Optimal geschützt vor Cyberattacken

«Bei einem Angriff werden die Swisscom Sicherheitsexperten sofort aktiv»

Ein Angriff mit Ransomware – der Erpressersoftware – kann ein Unternehmen im schlimmsten Fall komplett lahmlegen. Die St. Galler Kantonalbank SGKB hat geschickt vorgesorgt.

Text: Anton Neuenschwander, Bilder: Michael Meier, 31

Das Geschäftsmodell der Erpresserbranche hat sich gewandelt. Früher machte sie einem Unternehmen das oft unwiderstehliche Angebot, gewisse sensible Informationen nicht zu veröffentlichen, sofern der geforderte Betrag entrichtet werde. Heute bezahlen Unternehmen Lösegeld für ihre eigenen Daten. Die schärfste Waffe der Erpresser dafür ist Ransomware: Diese Schadsoftware dringt schleichend in die File Server ein und sperrt die Dateien mit einer Verschlüsselung. Wer bezahlt, bekommt sie wieder freigeschaltet. Oder auch nicht.

Gesucht: ein intelligentes Abwehrsystem

Guido Kölliker ist Chief Information Security Officer bei der SGKB und damit verantwortlich für die Informationssicherheit im führenden Ostschweizer Finanzinstitut. Anfang 2017 analysierte er die Cyber-Risiken, denen die Bank ausgesetzt ist. «Wir mussten feststellen, dass uns gegen Ransomware-Attacken keine geeigneten Gegenmassnahmen zur Verfügung standen», erinnert er sich. «Das war nun wirklich kein gutes Gefühl. Ein solcher Angriff kann Schaden in Millionenhöhe anrichten.» Kölliker suchte Rat bei Swisscom Experten, da die File Server der SGKB von Swisscom betrieben werden. «Unsere Anforderungen an eine wirksames Schutzsystem gegen Ransomware waren klar: Erstens die blitzschnelle Identifikation eines Angriffs. Und zweitens die sofortige Reaktion mit Gegenmassnahmen.» Donat Kaeser, Product Manager für Storage, Backup & Archiv Services bei Swisscom, nennt ein drittes wichtiges Kriterium: «Unerlässlich ist auch ein wirksames Backup- und Restore-Konzept. Wir empfehlen, die Daten fünf Mal täglich mit Snapshot-Technologie zu sichern. Bei einem Befall – der nie ganz auszuschliessen ist – muss sofort mit dem Restoren begonnen werden. Das Problem dabei: Nach einem Vorfall werden die Daten auf jenem Stand wiederhergestellt, den sie vor dem Angriff hatten. Dazwischen liegen oft einige Stunden. Inzwischen haben die mehr als 1000 Mitarbeitenden der SGKB aber viel Arbeit geleistet, die in ihren Dateien steckt. Diese Arbeit ginge verloren, wenn undifferenziert sämtliche Dateien zurückgesetzt würden. Dagegen hilft 'Differential Restore', das nur befallene Dateien überschreibt.»

Donat Kaeser (links) und Guido Kölliker wollen den Cyberkriminellen einen Schritt voraus sein.

Donat Kaeser (links) und Guido Kölliker wollen den Cyberkriminellen einen Schritt voraus sein.

«Gute» Änderungen bleiben erhalten

Die SGKB hat sich für die Serviceoption Ransomware Protection entschieden. Dieser intelligente Radarschirm erkennt Ransomware-Attacken anhand von über 1700 Patterns und initiiert sofort die definierten Abwehrmassnahmen. Guido Kölliker zeigt sich begeistert von einem besonderen Highlight der Lösung: «Mit 'Differential Restore' werden jene Dateien identifiziert, die von der Attacke verschont geblieben sind. Sie enthalten 'gute' Änderungen, die erhalten bleiben. Dateien mit Virenbefall hingegen – also mit 'schlechten' Änderungen – werden mit einer unversehrten älteren Version überschrieben.» Dank Ransomware Protection kann Guido Kölliker heute ruhiger schlafen. «Wir wissen, dass wir optimal geschützt sind. Bei einem Angriff werden die Swisscom Sicherheitsexperten sofort aktiv – etwa, indem sie bestimmte Userprofile sperren. Wir werden umgehend darüber informiert, was genau passiert ist und was die Bank noch unternehmen muss.»

«Wir wissen, dass wir optimal geschützt sind.»

Guido Kölliker, Chief Information Security Officer bei der SGKB

Vorsprung gewinnen im Katz- und Maus-Spiel

Die SGKB sei in Sachen Sicherheit proaktiv tätig und in ihrer Branche führend, um für sich und ihre Kunden einen möglichst breiten Schutz zu gewährleisten, hält Guido Kölliker fest. «Schon vor Jahren hat sich die Bank auf ihr Kerngeschäft fokussiert, weshalb sie auf kompetente externe Security-Partner angewiesen ist», beschreibt er den Weg dazu. «Deshalb überlegen wir, neben Ransomware Protection weitere Managed Security Services von Swisscom zu nutzen. Im Gespräch sind Threat Detection & Response-Services wie Security Analytics, Security Operation Center (SOC) und Computer Security Incident Response Team (CSIRT).» Dieses Vorgehen findet Donat Kaeser sinnvoll, denn: «Machen wir uns nichts vor: Zwar haben wir im File Service-Bereich mit Ransomware Protection die Rahmenbedingungen für optimalen Schutz und schnellen Restore geschaffen. Aber das Katz- und Maus-Spiel mit den Cyberkriminellen geht weiter. Wir perfektionieren unsere Lösungen laufend, damit unsere Kunden gegen künftige Bedrohungen gewappnet sind.»

Führend in Sachen Cyber Security: die St. Galler Kantonalbank.

Führend in Sachen Cybersecurity: die St. Galler Kantonalbank.

St. Galler Kantonalbank SGKB

Jede zweite St. Gallerin und jeder zweite St. Galler pflegt eine Geschäftsbeziehung mit der SGKB. Als regionale Universalbank berät die SGKB seit bald 150 Jahren Privat- und Geschäftskunden. Ihren Hauptsitz hat die Bank in der Kantonshauptstadt, dazu kommen 38 Niederlassungen.

Enterprise File Services – Option Ransomware Protection

  • Basiert auf NetApp- und Cleondris-Technologien.
  • Erkennung und Alarmierung bei erkannten Ereignissen (Ransomware Patterns).
  • Automatisches Blocken von Clients/Hosts
  • Automatisches Auslösen von Emergency Snapshots (Zurücksetzungspunkte) bei identifizierten Angriffen.
  • Differential Restore zur raschen Wiederherstellung des Services bei einem Befall. Diese einzigartige Funktionalität repariert defekte Daten und belässt «gute» Modifikationen.
  • Integration in das Security-Portfolio «Threat Detection & Response» möglich (Event & Incident Management).
Hand with smartphone

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?

> zur Anmeldung

Mehr zum Thema