So erkennen Sie Cyberangriffe – und reagieren richtig

Wenn Cyberkriminelle erfolgreich in ein Unternehmen eingebrochen sind, ist die richtige Reaktion entscheidend. Diese Checkliste hilft Ihnen, Angriffe zu erkennen und richtig und vor allem schnell zu reagieren, um den Schaden zu begrenzen.

Sie sollten auf einen Cyberangriff nicht erst reagieren, wenn eine Ransomware bereits alle Daten verschlüsselt hat. Dann können Sie nur noch minimale Schadensbegrenzung betreiben. Je früher Sie einen erfolgreichen Angriff erkennen, desto mehr Zeit bleibt Ihnen, zu reagieren und einen Ausfall Ihrer IT oder einen Datenklau zu verhindern. «Erfolgreich» bedeutet in diesem Fall, dass es den Angreifern bereits gelungen ist, sich Zugang zu Ihrer IT zu verschaffen.

Es kann sein, dass sich Cyberkriminelle über Wochen oder Monate in Ihrer IT eingenistet haben, ohne dass Sie im Alltag etwas bemerken. Diese Zeit nutzen die Eindringlinge, um sich seelenruhig in Ihrer Infrastruktur umzusehen und die Kontrolle über möglichst alle Systeme zu erlangen.

Bevor die Kriminellen dann zuschlagen und alle Daten verschlüsseln, haben sie vielleicht bereits wichtige Geschäftsunterlagen abgezügelt. Damit verleihen die Angreifer ihrer Lösegeldforderung mittels Verschlüsselungstrojaner (Ransomware) noch Nachdruck.

Aufgrund der Heimlichtuerei der Cyberkriminellen ist es oft schwierig, erfolgreiche Angriffe frühzeitig zu erkennen. Diese Tipps liefern Ihnen Ansätze dazu und zeigen, wie Sie auf eine erfolgreiche Attacke richtig reagieren.

Cyberangriffe im Alltag erkennen

Es gibt verschiedene Indizien, dass auf Ihr KMU gerade ein erfolgreicher Cyberangriff läuft. Den folgenden Indizien sollten Sie nachgehen, um die Ursache herauszufinden – lieber ein falscher Alarm zu viel als ein nicht entdeckter Angriff. Für die Prüfung ziehen Sie allenfalls Ihren IT-Partner bei oder die verantwortliche interne Person.

Kritische Indikatoren: sofort handeln

Die folgenden Anzeichen sind recht klare Anzeichen für einen Cyberangriff. Insbesondere dann, wenn Sie die Ursache nicht mit eigener Aktivität begründen können.

• Die Internetverbindung ist unerklärlich langsam und auf dem Dashboard des Routers stellen Sie hohen ausgehenden Internetverkehr («outbound Traffic») fest.
• Windows-Schattenkopien (Volume Shadow Copies) wurden gelöscht. Dabei handelt es sich um eine in Windows integrierte Backup-Funktion, die eine Momentaufnahme des Systems oder von Anwendungsdaten erstellt.
• Fehlermeldungen in den Logdateien von Servern und NAS, wie zum Beispiel viele fehlerhafte Zugriffsversuche oder erfolgreiche Zugriffe eines Administrators, die sich nicht erklären lassen (beispielsweise ausserhalb der Arbeitszeiten).
• Hintergrundprozesse mit ungewöhnlichen, oft kryptischen oder zufälligen Namen oder Bezeichnungen, die nach einem legitimen Dienst tönen. Wenn diese Dienste eine hohe Prozessorlast erzeugen oder viel Netzwerkverkehr, kann das ein Hinweis auf eine laufende Malware sein. Beispiele sind etwa eine Ransomware, die Daten verschlüsselt oder ein Remote-Access-Trojaner (RAT), mit dem Angreifer aus der Ferne auf den Rechner zugreifen.
• Verdächtige neue Administrator-Konten oder Gruppenmitgliedschaften deuten darauf hin, dass die Angreifer «Backup-Konten» angelegt haben, um den Zugriff zu sichern.
• Sie erhalten Warnmails, dass von einem neuen Gerät oder einem unbekannten Ort auf ein Online-Konto zugegriffen worden sei, beispielsweise auf Microsoft 365 oder ein Google-Konto. Das ist ein Hinweis darauf, dass Cyberkriminelle im Besitz der Zugangsdaten sind.

Wichtige Indikatoren: überprüfen

Die folgenden Anzeichen können von einem Cyberangriff stammen, aber auch andere Ursachen haben wie Softwarefehler, Verbindungsprobleme usw.

• Sie erhalten Fehlermeldungen bei Windows-Updates oder von Ihrer Antiviren-Software, etwa dem Microsoft Defender. Beispielsweise meldet dieser, er sei deaktiviert. Angreifer versuchen oft, diese Schutzmassnahmen zu deaktivieren und auszuhebeln.
• Ein Passwort wird bei einer Anmeldung nicht akzeptiert, obwohl Sie mehrfach geprüft haben, dass Sie das richtige Kennwort eingegeben haben. Das ist insbesondere bei Administrator-Zugängen ein Warnzeichen: Allenfalls haben die Angreifer die Zugangsdaten (das Passwort) geändert.
• Auffällige Log-Einträge wie fehlgeschlagene Anmeldungen, die Installation von Windows-Diensten, Anpassen von Berechtigungen oder das Löschen von Logdateien können Spuren der Aktivität von Cyberkriminellen sein.
• Ungewöhnliche Netzwerkverbindungen in Länder, mit denen Sie nichts zu tun haben oder auf Internet-Dienste (Ports), die Sie nicht nutzen (beispielsweise Fernzugriff) sind Indizien für Malware. Diese empfängt ihre «Befehle» oft von einem Command-und-Control-Server (C2) des Angreifers.

Richtig auf einen Cyberangriff reagieren

Die folgenden Schritte kümmern sich um die Behebung des Angriffs. Sie sollten Sie in Absprache mit Fachleuten durchführen oder gleich diesen anvertrauen. Ziehen Sie ebenfalls Ihre IT-Abteilung oder Ihren IT-Partner bei. Swisscom beschäftigt für solche Situationen ein Team von Cybersecurity-Fachleuten, die Sie im Ernstfall rund um die Uhr unterstützen.

Eindämmen des Vorfalls:

1. Bei Verdacht auf einen Cyberangriff isolieren Sie kompromittierte (von Malware befallene) Systeme, um eine weitere Ausbreitung zu verhindern. Trennen Sie die Geräte vom Netzwerk, schalten Sie sie aber nicht aus. Den beim Ausschalten gehen möglicherweise wertvolle Spuren der Angreifer verloren, die nur flüchtig im Arbeitsspeicher (RAM) festgehalten sind.

Analyse des Vorfalls:

2. Start der Analyse: Welche Daten und Systeme sind betroffen? Um welche Art von Angriff handelt es sich?
3. Sichern Sie Beweise auf den befallenen Systemen (Forensik) und dokumentieren Sie die Vorgänge.
4. Prüfen Sie nach Möglichkeit, ob sensible Daten wie beispielsweise Personendaten entwendet wurden. Allenfalls ist eine Meldung beim eidgenössischen Datenschutzbeauftragten (EDÖB) empfohlen oder nötig.
5. Melden Sie den Vorfall der Polizei und dem Bundesamt für Cybersicherheit (BACS). Sie unterstützen damit generell die Bekämpfung von Cyberkriminellen. Erstatten Sie Anzeige.

Wiederherstellung der Systeme:

6. Falls Sie von einer Ransomware-Bande erpresst werden und Verhandlungen führen möchten: Ziehen Sie Fachleute der Polizei oder eines IT-Partners bei. Untersuchen Sie aber zuerst, ob Sie die Daten ohne Entschlüsselung wiederherstellen können, beispielsweise aus einem Backup.
7. Bereinigen Sie die Systeme, indem Sie die Malware entfernen oder die Geräte komplett neu aufsetzen. Allenfalls können Sie Betriebssystem, Anwendungen und Daten auch aus einem Backup wiederherstellen.
8. Wenn Sie sicher sind, dass die Angreifer nicht mehr im Netz sind: Ändern Sie möglichst alle Passwörter, zumindest aber die Administrator-Passwörter.
9. Informieren Sie betroffene Mitarbeitende und Kunden. Eine erste Information an die Mitarbeitenden kann erfolgen, wenn sich ein erfolgreicher Cyberangriff bestätigt und das Unternehmen in einen «Notfallmodus» schaltet.

Nachbearbeitung des Vorfalls und weitere Schritte:

10. Wenn alles wieder läuft, analysieren Sie, allenfalls zusammen mit den IT-Sicherheitsfachleuten und Ihrem IT-Partner, wie Sie den Schutz Ihrer IT verbessern können. Ein zeitgemässer Ansatz besteht darin, jeden Zugriff auf Anwendungen und Daten zu prüfen, sowohl lokal als auch in der Cloud. Damit Sie diese Checkliste hoffentlich nie mehr benötigen.

Zukünftige Cyberangriffe verhindern oder eindämmen

Welche Schutzmassnahmen sich anbieten, um das Unternehmen künftig besser vor Cyberangriffen zu sichern, hängt von der individuellen Situation ab. Es gibt aber ein paar «Klassiker», die auf jeden Fall einen wirksamen Effekt bringen:

• Konten mit Zweifaktor-Authentifizierung (2FA) oder passwortlosem Login absichern.
• Wenn Passwörter, dann mit klaren Regeln: sichere Passwörter voraussetzen, für jedes Konto ein separates Passwort, keine geteilten Passwörter.
• Zugriffsrechte auf Online-Ablagen so einrichten, dass Mitarbeitende nur auf Daten zugreifen können, die sie in ihrem Alltag benötigen («principle of least privilege»).
• Wirksamer Schutz für Netzwerk und Geräte, der verdächtige Aktivitäten erkennen und rechtzeitig blockieren kann. Beispiele dafür sind eine sogenannte Next-Generation-Firewall im Büro oder beem für einen standortunabhängigen Schutz aller Geräte und Zugriffe.
• Update-Strategie, allenfalls zusammen mit Ihrem IT-Partner: Spielen Sie zumindest Sicherheits-Updates so schnell wie möglich nach ihrer Veröffentlichung ein.