Cyberangriffe auf Unternehmen: Die Checklist für den Ernstfall

"Es gibt zwei Arten von Unternehmen: jene, die schon gehackt worden sind, und jene, die es noch werden." Dieses Zitat wird dem ehemaligen FBI-Direktor Robert Mueller zugeschrieben. Nicht alle Experten stimmen ihm zu. Fakt ist jedoch: Die Chance, ins Visier von Cyberkriminellen zu geraten, ist hoch, Tendenz steigend. Allein in der 14. Kalenderwoche 2024 meldeten Betroffene dem Bundesamt für Cybersicherheit 2400 Vorfälle. Seit Ende 2023 liegt die Zahl der wöchentlichen Meldungen regelmässig im dreistelligen Bereich.

Es kann daher nicht schaden, genau Bescheid zu wissen, was im Ernstfall zu tun ist. "Bei einem Cyberangriff ist schnelles Handeln wichtig, um die Folgen des Angriffs zu reduzieren", sagt Pascal Lamia, Leiter Operative Cybersicherheit im Bundesamt für Cybersicherheit (BACS). Das BACS und die Polizei ermutigen Unternehmen, relevante Vorfälle bei der Polizei anzuzeigen, wie Lamia erklärt. "Denn nur durch einen Schulterschluss von Strafverfolgungsbehörden und Wirtschaft kann die Täterschaft ermittelt, verurteilt und so Cyberkriminalität nachhaltig bekämpft werden."

Isolieren und alarmieren

Angriffe könnten sehr unterschiedlich sein, betont Lamia. Es sei umso wichtiger, sich zuerst einen Überblick zu verschaffen, was genau vorgefallen ist. Je nach Angriff seien die umzusetzenden Massnahmen unterschiedlich. "Es gilt also, Informationen zu sammeln, diese auszuwerten und dann die weiteren Schritte einzuleiten", sagt Lamia.

Bei einem Ransomware-Vorfall sei der erste Schritt die Isolation der Systeme vom Netzwerk, erklärt der Experte weiter. «Vergessen Sie nicht, das WLAN auszuschalten.» Mit dem Wiederaufsetzen der Systeme solle man warten, bis die Polizei die Spuren gesichert hat.

Im zweiten Schritt sei nämlich umgehend die Polizei zu kontaktieren, sagt Lamia weiter. Spezialisierte Mitarbeitende würden im Vorgehen beraten und unterstützen, Spuren sichern und ermitteln. Auf der Website www.suisse-epolice.ch ist die Telefonnummer des nächstgelegenen Polizeipostens zu finden. Wer keine Lust hat zu suchen, wählt die Notrufnummer der Polizei 117. Privatwirtschaftliche Unternehmen helfen wiederum dabei, die Infrastruktur zu reparieren und gegebenenfalls wiederherzustellen. Angriffe respektive Angriffsversuche sind ausserdem unter report.ncsc.admin.ch dem Bundesamt für Cybersicherheit zu melden.

Lösegeld zahlen? Das BACS sagt nein

Dass die Täterschaft tatsächlich Daten gestohlen hat, erkennt man laut Lamia daran, dass sie Kontakt mit dem Unternehmen aufnimmt und anbietet, einzelne Dateien zu entschlüsseln, sowie daran, dass der private Schlüssel, der nach der Lösegeldzahlung im Darknet heruntergeladen werden kann, auch tatsächlich funktioniert. Wie erwähnt ist bei einem Ransomware-Angriff umgehend die Polizei zu verständigen. "Die Polizei hat die Kompetenz und das Fachwissen, falls nötig mit den Erpressern zu verhandeln", sagt Lamia. Das BACS rate jedoch von einer Lösegeldzahlung ab: "Es gibt keine Garantie, dass die Angreifer nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen", sagt der Experte. Zudem würde eine erfolgreiche Erpressung die Angreifer zum Weitermachen motivieren, die Weiterentwicklung der Angriffe finanzieren und deren Verbreitung fördern. Des Weiteren sei es wichtig, nachvollziehen zu können, wie und weshalb die Angreifer in das Firmennetz eingedrungen sind, respektive Daten stehlen und/oder verschlüsseln konnten, erklärt Lamia. Dabei sei es wichtig, zu wissen, was die Angreifenden im Firmennetz alles gemacht haben. Hätten sie etwa Zugriffe bis in die Kernsysteme gehabt, müsse in der Regel die gesamte IT neu aufgebaut werden. "Dieser Schritt ist sehr aufwendig und veranlasst viele Opfer von Ransomware-Angriffen, dies nicht zu machen", sagt der Experte. Somit bestehe jedoch weiterhin die Möglichkeit, dass die Angreifer immer noch Zugriff auf die Infrastruktur und damit auch auf die Daten haben.

Lamia rät weiter, sich einen Überblick über potenziell abgeflossene Daten und das damit verbundene Risiko, etwa Reputationsschäden, zu machen. Wenn sich der befürchtete Datenabfluss bewahrheitet, empfiehlt das BACS die proaktive ­Information der Kunden. "Sie geben damit Ihren Kunden die Möglichkeit, geeignete Massnahmen zu treffen", sagt der BACS-Experte.

"Eine gute und professionelle Krisenkommunikation hilft, sich als zentrale und vertrauenswürdige Informationsquelle zu positionieren sowie Spekulationen, Indiskretionen oder Falschmeldungen vorzubeugen", erklärt Lamia weiter. Sollten datenschutzrelevante Informationen abgeflossen sein, ist laut dem Experten zwingend der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zu informieren (databreach.edoeb.admin.ch/report). Unternehmen sollten zudem eine Strafanzeige bei der Kantonspolizei an ihrem Geschäftssitz erstatten. Diese werde dann die notwendigen Ermittlungen in die Wege leiten. 

Lektionen aus gescheiterten Angriffen

Auch ein fehlgeschlagener Angriff auf das eigene Unternehmen ist kein Grund, die Füsse hochzulegen. Das Unternehmen sollte analysieren, wie es zum Angriff kam und weshalb dieser nicht erfolgreich war, betont der Experte des BACS. Aus diesen Erkenntnissen sollten laut Lamia Massnahmen zur Abwehr künftiger Angriffe etabliert werden (sogenannte 2Lessons Learned") und in ein ganzheitliches und umfassenden Sicherheitskonzepts fliessen. Dieses sollte sowohl technologisch als auch organisatorisch ausgerichtet sein. "Melden Sie auch gescheiterte Cyberangriffe und die von Ihnen umgesetzten Massnahmen dem Bundesamt für Cybersicherheit", sagt Lamia. Das BACS analysiere dies und informiere gegebenenfalls potenzielle Opfer über die Vorgehensweise und mögliche Schutzmassnahmen. "So helfen Sie mit, gemeinsam die Schweiz sicherer vor Cyberrisiken zu machen", sagt der Experte.

Das BACS hat zur Vorgehensweise bei Cyberangriffen u. a. folgende Informationen veröffentlicht:

Cyberattacke – was tun? Informationen und Checklisten

Cyberattacke – was tun? Checkliste für CISOs

Cyberangriff – wie kommunizieren?