HELPads





MELANI: Vorsicht: Weiterhin erhöhtes Sicherheitsrisiko durch Ransomware gegen KMUs




Pressemitteilung





Pressetitel

MELANI: Vorsicht: Weiterhin erhöhtes Sicherheitsrisiko durch Ransomware gegen KMUs

Autor/Erfasser/Quelle

Melde- und Analysestelle Informationssicherung

Publikationsdatum

19.02.2020

Firmenporträt

Firmenporträt Melde- und Analysestelle Informationssicherung MELANI


- - - - - - - - - - START HELP.CH - PRESSEMITTEILUNG - - - - - - - - - -

19.02.2020, In den vergangenen Wochen hat MELANI / GovCERT mehr als ein Dutzend Ransomware-Fälle bearbeitet, bei welchen unbekannte Täter die Systeme von Schweizer KMUs und Grossbetrieben verschlüsselt und damit unbrauchbar gemacht haben. Die Angreifer stellten Lösegeldforderungen von mehreren zehntausend Franken, vereinzelt auch von Millionenbeträgen.


Bei der technischen Analyse der Vorfälle hat sich gezeigt, dass die IT-Sicherheit der betroffenen Unternehmen oftmals lückenhaft war und die üblichen «best-practices» nicht vollständig eingehalten wurden. Zudem wurden auch Warnmeldungen von Behörden nicht beachtet.

Bei der Aufarbeitung der Vorfälle der letzten Wochen haben sich insbesondere untenstehende Schwachstellen als Einfallstor für die Cyberangriffe herauskristallisiert die durch die Umsetzung der MELANI-Empfehlungen geschlossen werden können.:

1. Virenschutz und Warnmeldungen
Warnmeldungen von Antivirensoftware, dass auf Servern (z. B. Domain-Controllern) Malware gefunden wurde, wurden von den Unternehmen entweder nicht bemerkt oder nicht ernst genommen. In wenigen Fällen war auf einigen Servern sogar überhaupt keine Antivirensoftware installiert. Dies kann massgeblich zur Ausbreitung von Malware innerhalb von Unternehmensnetzwerken beitragen.

Empfehlungen:
• Antiviren-Software muss flächendeckend auf allen Clients und Servern eingesetzt werden. • Warnmeldungen von Antiviren-Software müssen geloggt und regelmässig überprüft werden. Sollte eine vollständige Prüfung der Warnmeldungen nicht möglich sein (z. B. aufgrund der hohen Anzahl), sollten mindestens solche von Servern (z. B. Domain-Controllern, Backup, usw.) täglich geprüft werden.

2. Schutz der Fernzugriffe («Remote-Zugriffe»)
Oftmals waren Fernzugriffe auf Systeme, sogenannte Remote Zugänge (Remote Desktop Protocol – RDP), nur mit einem schwachen Passwort geschützt und der Eingang nur standardmässig eingestellt ( Standardport 3389), ohne Einschränkung (z. B. VPN oder IP-Filter).

Dadurch waren die Systeme sehr leicht zugänglich. Die Angreifer konnten auf einfache Weise unbemerkt in Unternehmensnetzwerke eindringen und Malware installieren.

Empfehlung:
• Sämtliche Fernzugänge wie z. B. VPN und RDP (Terminalserver) müssen mittels Zwei-Faktor- Authentisierung abgesichert werden. Zusätzlich sollten diese, wenn immer möglich, nicht auf Standardports (z. B. 3389 für RDP) horchen. Der Einsatz und das Durchsetzen einer Passwortrichtline zur Verhinderung einfacher Passwörter («123456», « password», usw.) ist dabei unabdingbar.

3. Behördenmeldungen
Meldungen von Behörden oder von Internet Service Providern (ISPs) über allfällige Infektionen wurden von den betroffenen Unternehmen ignoriert oder nicht ernstgenommen. Infektionen wurden somit nur teilweise oder gar nicht bereinigt, was in vielen Fällen zu einer kompletten Verschlüsselung des Unternehmensnetzwerkes führte.

Empfehlung:
• Meldungen von Behörden und Internet Service Providern (ISPs) betreffend Infektionen müssen ernst genommen werden. Im Zweifelsfalle (z. B. Authentizität einer Meldung) wenden Sie sich an die absendende Behörde oder den Provider.

4. Offline-Backups und Updates
Viele Unternehmen verfügten nur über Online-Backups, welche nicht vom System abgekoppelt (offline) zur Verfügung stehen. Bei einem Befall mit Ransomware wurden diese somit ebenfalls entweder verschlüsselt oder unwiderruflich gelöscht. Eine Wiederherstellung der Unternehmenstätigkeit war dadurch in vielen Fällen nur mit erheblichem Aufwand oder überhaupt nicht mehr möglich.

Empfehlungen:
• Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie muss offline (z. B auf einem externen Medium wie beispielsweise einer externen Festplatte oder einem Backup-Tape) gespeichert werden.

Stellen Sie sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang physisch vom Computer bzw. Netzwerk trennen. Definieren Sie zudem einen Prozess, der die regelmässige Datensicherung festlegt und halten Sie diesen konsequent ein.

• Sorgen Sie für konsequente Updates. Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Software (z. B. Adobe Reader, Adobe Flash, Oracle Java usw.) müssen konsequent auf den neuesten Stand gebracht werden. Falls möglich, am besten mit der automatischen Update-Funktion vornehmen.

5. Patch- und Lifecycle-Management
Oftmals führen Unternehmen kein sauberes Patch- und Life-Cycle Management. Dadurch waren veraltete, nicht mehr unterstützte Betriebssysteme oder Software im Einsatz. Die Angreifer nutzten die Sicherheitslücken aus und verschafften sich dadurch Zugang zum Unternehmensnetzwerk und weiteren internen Systemen.

Hat sich ein Angreifer Zugang zum Netzwerk verschafft, begünstigt ein mangelhaftes Patch- und Life-Cycle Management zudem die Weiterverbreitung der Malware innerhalb des Netzwerkes.

Empfehlungen:
• Führen Sie ein Patch- und Life-Cycle Management. Trennen Sie veraltete Systeme vom Netzwerk, wenn Sie diese nicht mehr benötigen oder ersetzen Sie diese so rasch wie möglich.

• Isolieren Sie schlecht geschützte Systeme. Sollten Systeme mit einem alten Betriebssystem (z. B. Windows XP, Windows 2003 Server, Windows 2008 Server) vorhanden sein, die nicht migriert werden können, müssen diese zwingend so weit wie möglich isoliert werden.

Es sollten nur diejenigen Verbindungen vom und zum System erlaubt werden, welche für den reibungslosen Betrieb unabdingbar sind.

6. Keine Segmentierung
Die Netzwerke waren nicht aufgeteilt (segmentiert), d. h. dass eine Infektion z. B. auf einem Rechner der Personalabteilung dem Angreifer einen direkten Angriffspfad in die Produktionsabteilung ermöglichte.

Empfehlung:
• Netzwerke sollten zumindest minimal segmentiert werden, so dass kritische Umgebungen abgeschottet sind.

7. Zu hohe Benutzerrechte
Häufig wurden Benutzer mit zu hohen Rechten ausgestattet, z. B. ein Backup User, der Domain Admin Rechte hat oder der Systemverantwortliche, der mit denselben Rechten sowohl im Internet surft wie er die Systeme verwaltet.

Empfehlung:
• Definieren Sie in einem Rollenkonzept, für welche Art von Benutzern welche Rechte notwendig sind. Stellen Sie ausserdem sicher, dass die Rechte bei personellen Wechseln (Verlassen der Firma, Wechsel in eine andere Abteilung) entsprechend angepasst werden können.

Vorsicht bei Lösegeldforderungen
Wurden Systeme durch eine Ransomware verschlüsselt, rät MELANI von einer Lösegeldzahlung ab. Grundsätzlich empfiehlt MELANI nicht zu bezahlen, weil dadurch die Infrastruktur der Hacker unterstützt wird. Zudem muss beachtet werden, dass es auch bei der Bezahlung von Lösegeld keine Garantie gibt, dass der Erpresser die Daten wieder entschlüsselt.

Wichtig ist, dass die betroffenen Unternehmen unverzüglich mit der Kantonspolizei Kontakt aufnehmen, Anzeige erstatten und mit Ihnen das weitere Vorgehen besprechen. Solange es weiterhin Unternehmen gibt, welche Lösegeld bezahlen, werden die Angreifer nie mit den Erpressungen aufhören.

Wird dennoch eine Lösegeldzahlung in Erwägung gezogen ist zu beachten, dass Systeme und Daten zwar entschlüsselt werden könnten, die zugrundeliegende Infektion durch Malware wie «Emotet» oder «TrickBot» bleibt jedoch weiterhin aktiv. Infolgedessen haben die Angreifer weiterhin vollen Zugriff auf das Netzwerk des betroffenen Unternehmens und können beispielsweise erneut Ransomware installieren oder sensible Daten aus dem Unternehmensnetzwerk stehlen.

So sind MELANI Fälle im In- und Ausland bekannt, wo dieselben Unternehmen innert kürzester Zeit mehrmals Opfer von Ransomware wurden.

Eigenverantwortung wahrnehmen
MELANI hat bereits im vergangenen Jahr zusammen mit Partnern im Rahmen des Private- Public-Partnership (PPP) Massnahmen getroffen, um die Bedrohung durch einzelne Akteure sowie die Verbreitung von Malware in der Schweiz zu reduzieren.

Grundsätzlich appelliert MELANI jedoch einmal mehr an die Wahrnehmung der Eigenverantwortung aller Schweizer Unternehmen betreffend sicherem Betrieb ihrer IT- Infrastruktur.


Medienkontakt:
Melde- und Analysestelle Informationssicherung MELANI
info@melani.admin.ch



Über Melde- und Analysestelle Informationssicherung MELANI

Der Offene Kundenkreis, an den sich vorliegende Website richtet, umfasst private Computer- und Internetbenutzer, sowie kleinere und mittlere Unternehmen (KMU) in der Schweiz.

Zu Ihrem Schutz bietet MELANI:

Informationen über Gefahren und Massnahmen im Umgang mit modernen Informations- und Kommunikationstechnologien (z.B. Internet, E-Banking).

Berichte, welche die wichtigsten Tendenzen und Entwicklungen rund um Vorfälle und Geschehnisse in den Informations- und Kommunikationstechnologien (IKT) erläutern.

ein Meldeformular um Vorfälle, von denen Sie persönlich betroffen sind, zu melden.



- - - - - - - - - - ENDE HELP.CH - PRESSEMITTEILUNG - - - - - - - - - -

Quelle: Melde- und Analysestelle Informationssicherung | Publiziert am 19.02.20 | Aktualisiert um 11:32 Uhr


Weitere Informationen und Links:

 Melde- und Analysestelle Informationssicherung MELANI (Firmenporträt)
 Artikel 'MELANI: Vorsicht: Weiterhin ...'auf Swiss-Press.com
 Weitere Nachrichten der Branche





Aktuelles Wetter in Zürich
Mehr Freiheiten für die Unternehmen zur Bekämpfung der Corona-Pandemie / Neue Analyse von Avenir Suisse Avenir Suisse, 01.04.2020
Statusbericht Menschenrechte erscheint zum zehnten Mal - Fürstentum Liechtenstein Regierung des Fürstentums Liechtenstein, 01.04.2020
Neuer Leiter der Abteilung Übertragbare Krankheiten des BAG Bundesamt für Gesundheit BAG, 01.04.2020

21:32 Uhr Espace Wirtschaft
Der Staat darf die Eigentumsfreiheit nicht einschränken »


21:22 Uhr SF Tagesschau
Allgemeine Maskenpflicht in Israel »


21:12 Uhr Cash Wirtschaft
Konjunktur USA - Amerikanische Firmen streichen erstmals seit ... »


18:01 Uhr NZZ
Weitere Bundesmilliarden für die Unternehmen »


15:11 Uhr Computerworld
iWay bringt Internet mit 10 Gbit/s »


Beck’s Bier, Dosen, 24 x 50 cl
CHF 19.95 statt 41.95
Coop-Gruppe Genossenschaft    Coop-Gruppe Genossenschaft
Laschinger Lachs Gourmet Selection
CHF 4.95 statt 10.20
Denner AG    Denner AG
Alteno Salice Salentino DOC Riserva
CHF 33.60 statt 67.20
Denner AG    Denner AG
Anker Lagerbier, Dosen, 24 x 50 cl
CHF 12.95 statt 27.60
Coop-Gruppe Genossenschaft    Coop-Gruppe Genossenschaft
Antica Modena Aceto Balsamico, 3 Blatt, 1 Liter
CHF 9.95 statt 19.95
Coop-Gruppe Genossenschaft    Coop-Gruppe Genossenschaft
Ariel Flüssig Colorwaschmittel, 2 x 2,75 Liter (2 x 50 WG), Duo
CHF 25.95 statt 54.75
Coop-Gruppe Genossenschaft    Coop-Gruppe Genossenschaft
Alle Aktionen »
Gutschein zum Massagekurs für Paare
Gutschein zum Weekend Partnermassagekurs
Gutschein zum Weekend-Partner-Massageworkshop
Alles für den Sport
Chin Min Sportbalsam
Chin Min Sportbalsam
Blumen, Deko, Sträusse
Beratungen, Gesamtlösungen, Küchenumbauten und Badumbauten
Online Shop, Spielwaren, Kaufen, Mieten
Alle Inserate »

1
4
19
21
22
35
1

Nächster Jackpot: CHF 33'600'000


12
17
24
30
36
1
9

Nächster Jackpot: CHF 39'000'000


Aktueller Jackpot: CHF 1'059'793


Untitled


Abonnieren Sie unseren News­letter



Newsletter