Am Mittwochmorgen wurden verschiedene IT-Systeme von Comparis.ch blockiert und auch die Website Comparis.ch kann nicht mehr aufgerufen werden. Grund ist eine sogenannte Ransomware-Attacke. Comparis.ch arbeitet derzeit mit Hochdruck und mit externen wie internen Cybersecurity-Spezialisten an einer Lösung», meldete das Vergleichsportal am 8. Juli.

«Aufgrund der Art des Angriffs können wir davon ausgehen, dass es keine gezielte Attacke auf Comparis war, sondern die Ausnutzung einer weiterverbreiteten Schwachstelle», sagt Comparis-Sprecherin Andrea Auer. «Wir haben mittlerweile den Zugangspunkt der Hacker identifizieren können. Er wurde direkt nach Entdeckung des Angriffs durch unsere Sicherungsmassnahmen geschlossen und ist dauerhaft abgesichert.»

Angreifen, wo die Daten liegen

Den grössten Teil der Systeme konnte man aus eigener Kraft wiederherstellen. «Innerhalb von weniger als 48 Stunden waren wir wieder online», so Auer. «Durch die Einigung konnten wir aber einige für uns operativ essenzielle Dateien in einem Teilbereich entschlüsseln, die wir zum Teil gar nicht und zum Teil nur mit grossen Aufwänden und Zeit hätten wiederherstellen können.» Comparis hatte demnach Geld für die Entschlüsselung bezahlt. «Ausserdem arbeiten wir mit der Polizei und Experten für Cyberkriminalität zusammen.»

Comparis ist ein ziemlich typischer Fall. «Betroffen sind alle Unternehmen, die entweder signifikante Betriebsunterbrüche fürchten müssen (meist in der produzierenden Industrie, aber auch Spitäler, Werkstätten und so weiter) oder die fürchten müssen, dass die Bekanntgabe oder der illegale Weiterverkauf der Daten Folgeschäden verursachen (Regress der betroffenen ‹data owner›, Vorteile für die Konkurrenz durch die Nutzung des illegal erworbenen Wissens, regulatorische Auflagen und so weiter)», sagt Hannes Lubich, emeritierter Professor für IT-Sicherheit an der Fachhochschule Nordwestschweiz, ohne hier auf den spezifischen Fall einzugehen. «Rein virtuell operierende Dienstleister sind ebenfalls betroffen, können aber meist rascher einen funktionierenden Notbetrieb aufrechterhalten und betreiben.»

Eine gut vorbereitete Kommunikation ist von grossem Vorteil.

Nicht unter Druck entscheiden

Private seien dagegen bei den Erpressern weniger im Fokus der Angreifer, da dort weniger «zu holen» ist, sowohl bezüglich Daten als auch bezüglich Lösegeld.

Man kann und sollte sich als Unternehmen auf solche Fälle vorbereiten, sagt Lubich. «Es ist hilfreich, wenn die relevanten Fragen (Ist dies ein meldepflichtiger Tatbestand, sind Lösegeldzahlungen illegal, würde man Lösegeld zahlen und dies auch so mitteilen? Wie sind die entsprechenden Backups, Notfalldispositive und dergleichen in der Lage, mit solchen Fällen in der Realität umzugehen?) in den Entscheidungsgremien – Verwaltungsrat, Geschäftsleitung – in Zeiten ohne Angriff diskutiert und so abschliessend entschieden, dokumentiert und bei Bedarf aktualisiert würden, dass sie im Bedarfsfall sofort herangezogen werden können, ohne dass unter Zeitdruck, Nervosität und Unwissenheit über die Details diskutiert und entschieden werden muss.»

Auch entsprechende Tests (gegebenenfalls durch Externe) und das Vorhalten von relevanten Kontakten zu Firmen mit Incident-Response- (IR-)Erfahrung sowie eine ausreichend gute Dokumentation der eigenen (und gegebenenfalls ausgelagerten) IT, der Betriebsprozesse, Schnittstellen, Rollen, Rechte und so weiter sowie ein regelmässiges, getestetes und geübtes Backup- und Restore-Prozedere sowohl aller relevanten Daten als auch Anwendungs- und Systemkonfigurationen sowie ein klarer und eingeübter Business-Continuity-Plan seien von Vorteil. Zudem sei eine gut vorbereitete und abgestimmte interne (Mitarbeitende, Partner/Lieferanten, Aktionäre und so weiter) und externe (Kunden, Öffentlichkeit) Kommunikation von grossem Vorteil.

«Nicht zu empfehlen sind Entscheide unter Druck und Unwissenheit, Schnellschüsse, Improvisation ohne Plan und Auftrag, Druck der Entscheidungsträger auf die IT, den Betrieb ‹irgendwie› wiederherzustellen, unvorbereitete Kommunikation mit der Angreiferseite», so Lubich weiter. «Ein Abstreiten eines erfolgreichen Angriffs ist ebenfalls nicht zu empfehlen, da die Wahrheit dann oft doch ans Licht kommt und nun ein zusätzliches Imageproblem entsteht.»

Gute Vorbereitung zählt

Wenn sich das betroffene Unternehmen nach Abwägung der Rechtslage und der Risikolage dafür entscheidet, die Ermittlungs- und Strafverfolgungsbehörden zu involvieren, sollte erstens das nationale Zentrum für Cybersicherheit NCSC informiert werden, zweitens muss das Unternehmen bei der kantonalen Polizei Anzeige erstatten – will das Unternehmen die Dienstleistungen einer externen Incident-Response-Organisation in Anspruch nehmen, empfiehlt es sich jedoch, die Incident-Response-Organisation zuerst zu kontaktieren (sofern die Information über einen laufenden Angriff nicht ohnehin vom IR-Dienstleister kommt) und die weiteren Schritte miteinander zu besprechen, rät Lubich.

Ein funktionierender Plan B gehört zu den Grundregeln.

Eine wichtige Rolle können Spezialisten und Verhandler spielen. «Sie können einerseits auf Basis ihrer Fallerfahrung Fehler in den ersten Minuten und Stunden des Angriffs vermeiden helfen – sie können zudem helfen, das Schadenausmass zu bestimmen, und, je nach Auftrag, auch in Kontakt mit den Angreifern treten, um Lösegeldforderungen abzumildern.»

Sie könnten weiterhin im Verlauf der Arbeit bei der Wiederherstellung der Informatikmittel helfen und schliesslich auch Auskunft zum Angriffspfad und den nötigen Gegenmassnahmen zur Verhinderung weiterer Vorfälle liefern. In der Regel könne ein entsprechender Dienstanbieter in der Folge auch weitere Dienste in den Bereichen SOC (Security Operation Center) / SIEM (Security Incident Event Management), Penetration Testing, Vulnerability Scanning oder Schulungen, Awareness-Massnahmen und so weiter anbieten, da er nach einem Vorfall in der Regel die IT-Strukturen der betroffenen Unternehmen gut kennt und auch aus Vorfällen bei anderen Kunden Hinweise auf die Schadenvermeidung oder -verminderung bei anderen Kunden ableiten kann.

«Gute Vorbereitung auf allen Stufen, konstantes Überwachen, Aktualisieren und Üben sowie ein funktionierender Plan B sind die Grundregeln, auf denen dann detailliertere Konzepte wie eine Back-upund Recovery-Strategie ausgebaut werden müssen», so Lubich. Wichtig hierbei sei einerseits das Zusammenwirken von Technik, Organisation/ Führung und Prozessen, anderseits die korrekte Zuordnung von Kompetenzen und Verantwortlichkeiten (gegebenenfalls unter Beizug von externem Know-how und Managed Services).

Nicht delegierbar

«Jedoch verbleibt auch bei Auslagerung der IT oder von Teilen der IT-Leistung die Verantwortung für eine korrekte und ausreichende stabile, performante, sichere und resiliente Betriebserbringung eine nicht delegierbare Verantwortung der Unternehmensführung.» Die Chefs sind auch hier gefragt – diese Aufgabe lässt sich nicht auslagern.