Verschlüsselungstrojaner und Privathandys beunruhigen Melani
Die Melde- und Analysestelle Informationssicherung des Bundes (Melani) hat in ihrem Bericht für das erste Halbjahr 2017 den Schwerpunkt auf die Ransomware-Attacken mit Wannacry und Notpetya gelegt. Empfehlungen und Informationen bietet der Bericht aber auch für die Sicherheit von privaten Geräten und dem neuen EU-Datenschutz.
Die Melde- und Analysestelle Informationssicherung (Melani) hat ihren Bericht für die erste Jahreshälfte 2017 vorgelegt (Download als PDF). Im Zentrum des Berichts stehen die beiden Verschlüsselungstrojaner Wannacry und Notpetya, wie Melani in einer Mitteilung schreibt. Aber auch dem Thema Sicherheit von privaten Geräten und der neuen EU-Datenschutzverordnung widmeten die Cybersicherheits-Experten des Bundes ihre Aufmerksamkeit.
Erpressung aus dem Cyberspace
Ransomware, also Schadprogramme, die ihre Opfer zu erpressen versuchen, sei bereits seit längerem ein Problem, heisst es im Bericht. Mit Wannacry und Notpetya habe die Methode allerdings eine neue Virulenz erreicht. Im Vergleich mit anderen Ländern wie der Ukraine habe die Schweiz die beiden Attacken zwar glimpflich überstanden, Melani weist allerdings auf Besonderheiten der beiden Schadprogramme hin.
Die Art, wie Wannacry und Notpetya im Umlauf gesetzt wurden und ihre Opfer erpressten, trage Züge von gezielter Sabotage, schreibt Melani. Ein rein finanziell motivierter Hintergrund sei dagegen weniger wahrscheinlich. Beweisen lasse sich dies indes nicht. "Während die Welt über Motivation und Herkunft des Angriffs spekuliert, kann sich der Angreifer in der Anonymität des Internets verstecken", heisst es im Bericht.
Risiken im Gesundheitswesen
Microsoft habe zwar schon vor den Angriffen ein Update für die von Wannacry und Notpetya ausgenutzten Schwachstellen in Windows veröffentlicht. Trotzdem habe die Ransomware viele Opfer gefunden. Dies hänge nicht zuletzt damit zusammen, dass Unternehmen Updates nicht gerne einspielen. Jedes Update könne nämlich eine Beeinträchtigung des Betriebs darstellen.
Besonders gross sei dieses Problem im Gesundheitswesen, wo Wannacry denn auch erfolgreich gewesen sei. "Ein fehlerhaftes Update an einem Medizingerät kann möglicherweise lebensbedrohliche Folgen haben. Daher ist es verständlich, dass Spitäler, Arztpraxen, Labors und so weiter dieses Risiko nicht eingehen wollen."
Kritisch merkt Melani zudem an, dass Informationen über die Sicherheitslücke, die sich Wannacry und Notpetya zunutze machten, möglicherweise vom US-Geheimdienst NSA gestohlen wurden. Sicherheitsdienste seien hier in der Pflicht, auf schwere Schwachstellen aufmerksam zu machen und somit ähnliche Attacken in Zukunft zu verhindern.
Zum Schutz vor Ransomware empfiehlt Melani den einzelnen Nutzern regelmässige und vor allem sichere Back-ups. Unternehmen, die Steuerungssysteme für Industrie und Infrastruktur betreiben, sollen auf die Sicherheit dieser kritischen Bereiche besonderes Augenmerk legen. Wer auf offen erreichbare oder schlecht gesicherte Steuerungssysteme im Internet stosse, solle diese Melani melden. Ein Info-Dokument stehe online zum Download bereit.
Private Geräte im Fadenkreuz
Der Melani-Bericht erwähnt eine Reihe Sicherheitsrisiken und Vorfällen, die besonders die Schweiz betreffen. Neben Rootkits, Hacken mit propagandistischer Absicht, Infektionen über Newsseiten, Phishing, Anrufen oder Mails mit falscher Identität sowie Angriffen auf MacOS, will die Meldestelle für die Verwundbarkeit privater Geräte sensibilisieren.
PC, Handys, E-Mail-Accounts oder Heimnetzwerke seien ausserhalb des Einflussbereichs von Unternehmen und Institutionen. Angriffe auf diese Infrastrukturen hätten deshalb potenziell mehr Chancen auf Erfolg, schreibt Melani. Der Bericht nennt eine Reihe von Empfehlungen, die sich insbesondere an Politiker und Führungskräfte von Finanzunternehmen richten:
Geschäftliche Nachrichten sollten nicht über private E-Mail-Konten versendet werden.
Als vertraulich eingestufte Nachrichten sollten verschlüsselt werden.
Zwei-Faktor-Authentifizierung sollten eingerichtet werden.
Beim geringsten Verdacht, dass E-Mail-Konto könnte gehackt worden sein, sollte das Passwort unverzüglich geändert werden.
Weitere Sicherheitsmassnahmen mit Fokus auf Schweizer Parlamentarier stellte Melani auf einer Infokarte zusammen, die online verfügbar ist.
Herausforderungen durch neuen EU-Datenschutz
Mit Blick auf die neue EU-Datenschutz-Grundverordnung (DSGVO) schreibt Melani, dass die neuen Regeln in den EU-Staaten auch für Schweizer Unternehmen bedeutsam seien. Die DSGVO gilt laut Bericht für alle Schweizer Unternehmen, die Personen in der EU Waren- oder Dienstleistungen anbieten, persönliche Daten bearbeiten, die von Staatsangehörigen der EU-Mitgliedstaaten stammen oder das Verhalten von Personen in der EU analysieren.
Die Meldestelle des Bundes empfiehlt hiesigen Firmen deshalb, "die entsprechenden Informationsverarbeitungsprozesse, die Datenhaltung und die Informationssicherung rechtzeitig an die neuen gesetzlichen Anforderungen anzupassen".