Cyberkriminelle treiben auch im Sarganserland ihr Unwesen

Mit der fortschreitenden Digitalisierung haben sich in den vergangenen Jahren neue Formen der Kriminalität etabliert. Darunter fallen Cyberattacken, sprich Hackerangriffe auf IT-Systeme. Die Absicht hinter dem Angriff ist es, dem «Opfer» zu schaden und zu drohen. Eine gängige Vorgehensweise solcher Kriminellen ist, die Systeme der Attackierten lahmzulegen, damit sie Lösegeld für das Entschlüsseln fordern können.

Dem Nationalen Zentrum für Cybersicherheit (NCSC) wurden in der 29. Kalenderwoche (17. bis 21. Juli 2023) insgesamt 1046 Cybercrime-Vorfälle gemeldet – der höchste Wert seit Beginn dieses Jahres. «Es handelt sich dabei nicht nur um Schadensmeldungen, sondern vor allem auch um Meldungen zu Cybervorfällen, welche durch den Meldenden frühzeitig erkannt wurden und somit keinen Schaden anrichteten», heisst es dazu.

In den Medien wird ständig von Attacken berichtet, unter anderem auf Behörden-Websites. So war die Website des Kantons St.Gallen im Frühling für ein paar Stunden nicht aufrufbar, und auch die Bundesverwaltung blieb nicht verschont. Bekannt sind auch die Fälle bei CH Media und der NZZ. Für diesen Cyberangriff hatten die Kriminellen «Ransomware» verwendet. Mit einem solchen Schadprogramm können Hacker ins Computersystem des «Opfers» eindringen und Zugriff auf IT-Systeme oder auf Daten erlangen oder diese blockieren.

Die Zahlen von Cyberdelikten bei Firmen im Kanton St.Gallen bewegen sich laut Angaben von Hanspeter Krüsi, Leiter Kommunikation bei der Kantonspolizei St.Gallen, auf hohem Niveau. Das Sarganserland sei im gleichen Rahmen betroffen, schliesslich würden Cyberkriminelle nicht nach Regionen unterscheiden. Der ganze Kanton, die Schweiz und Westeuropa seien gleichermassen betroffen.

Welche Art von Unternehmen trifft es bei solchen Cyberattacken im Kanton St.Gallen grossmehrheitlich? In den letzten paar Jahren hat sich laut Krüsi kein eindeutiger Trend hervorgetan: «Es betrifft sowohl kleinste wie auch grösste Unternehmen in unterschiedlichsten Branchen, wobei höchstens Nuancen in einzelnen Phänomenen feststellbar sind.» Entscheidend sei dabei nicht die Grösse oder das Tätigkeitsfeld eines Unternehmens, sondern die jeweilige IT-Sicherheit sowie das Bewusstsein der Mitarbeitenden.

Im Sarganserland sind laut Claudio Zala, Geschäftsführer der Föllmi AG in Wangs, vor allem KMU betroffen. Er spricht von einer Zunahme an Fällen in der Region. Wie gehen Cyberkriminelle vor, wenn sie es auf ein KMU abgesehen haben? Laut Zala versuchten die Hacker in das entsprechende ITSystem zu gelangen und Daten zu verschlüsseln, damit sie für die Betriebe nicht mehr zugängig sind. Teilweise werden ganze Betriebssysteme lahmgelegt, sodass gar nicht weitergearbeitet werden kann. «Oftmals ist es schwierig zu sagen, wie die Hacker in die Systeme gelangt sind, da es verschiedene Wege gibt und die Hacker versuchen, das zu verschleiern», erklärt er.

Haben sich die Angreifer erst einmal ins System gehackt, versuchen sie – um die Effektivität ihres Angriffes zu maximieren –, an möglichst viele Rechte zu kommen und diese auch zu erweitern. Gemäss Zala tüfteln die Angreifer bereits monatelang im Netz herum, bevor der Angriff durchgeführt wird. «Die Dunkelziffer der geplanten Angriffe ist gross», ist sich der Experte sicher.

Bei einem konkreten Fall in der Region seien bei einem Kunden die Daten verschlüsselt worden und der Hacker habe eine Nachricht hinterlassen. Eine solche sei nicht selten und beinhalte meist, was der Hacker verlangt. «Dieser Kunde hatte glücklicherweise ein mehrstufiges Back-up und der Angreifer erst die erste Stufe geknackt», erzählt Zala. Bei diesem Kunden konnten alle Daten aus dem Back-up zurückgeholt werden. «Ziel der Angreifer ist es darum oft, alle Back-ups unbrauchbar zu machen, damit der Kunde gar keine Wahl hat und zahlen muss», fügt der IT-Experte an.

Im Frühling hat sich ein weiterer Cyberangriff ereignet, von dem viele Sarganserländer KMU betroffen waren. Eine Schwachstelle im System eines Firewall-Herstellers war schuld daran. Viele Betriebe konnten ihre Geräte nur eingeschränkt oder gar nicht nutzen, und den ganzen Tag lang konnte der Hersteller keine Lösung für das Problem liefern

Wie Zala betont, sei jedes Unternehmen erpressbar und es lohne sich, Schutzmassnahmen vorzunehmen. Er empfiehlt seinen Kunden, möglichst wenig Angriffsfläche zu bieten – und warnt davor, bei der Arbeit mehr Befugnisse zu haben als nötig. «Je mehr Berechtigungen man hat, desto einfacher öffnet man den Angreifern Türen», erklärt er.

Mit den richtigen Vorkehrungen könne man sich gut schützen – unter anderem einem Virenschutz, E-MailFilter und einem Back-up, bei welchem man die Datenwiederherstellung wiederkehrend prüft und übt. Weiter helfe es, mit immer unterschiedlichen Passwörtern und Zwei-Faktoren-Codes zu arbeiten. Man müsse allerdings immer abwägen, wie weit der Schutz den Komfort einschränken soll. «Heisst, wer einen besonders guten Schutz möchte, muss mehr Einschränkungen im System auf sich nehmen», erklärt der Spezialist. Wichtig sei auch, über das Thema zu sprechen, sensibel zu sein und den Verdacht auf einen Angriff sofort zu melden. «Wird ein Verdacht frühzeitig gemeldet, kann man den Angriff allenfalls noch aufhalten», so Zala.

Die Mitarbeiter sensibilisieren und so zu schulen, dass sie misstrauisch für Links oder Anlagen in E-Mails unbekannter Absender sind – dieser Punkt ist auch im Dokument zu finden, das das Netzwerk für digitale Ermittlungsunterstützung (Nedik) zum Schutz vor Cybermassnahmen veröffentlicht hat. Die Broschüre «Cyberdelikte verhindern – Wegleitung für KMU» ist unter diesem Namen im Internet zu finden.

Wie soll ein Unternehmen vorgehen, das angegriffen wurde? Polizeisprecher Krüsi verweist auch hier auf die Broschüre. Darin heisst es, man solle alle Systeme umgehend vom Netzwerk trennen, die Polizei kontaktieren und mit dem Wiederaufsetzen der Systeme warten, bis die Polizei die Spuren gesichert hat. Spezialisierte privatwirtschaftliche Unternehmen helfen danach, die Infrastruktur zu reparieren und gegebenenfalls wiederherzustellen. Angriffsversuche ohne Schaden sollten bei der Melde- und Analysestelle für Informationssicherung («Melani») gemeldet werden.

Unternehmen betreiben den ganzen Aufwand, um möglichst jeden Schaden zu verhindern. Den Hackern geht es oftmals um Geld, Zala ist allerdings nur ein Fall aus der Region bekannt, wo der Betrieb im Endeffekt bezahlt hat. Es handle sich bei den Fällen, mit denen die Föllmi AG bis anhin zu tun hatte, um rund 5000 bis 10'000 Franken, die die Hacker ergaunern möchten. Die Tendenz sei stark steigend. Nicht zu zahlen, empfiehlt auch die Polizei: «Wir raten grundsätzlich, kein Lösegeld zu bezahlen und das Vorgehen mit der Polizei abzusprechen», so Krüsi.

So können Attackierte beispielsweise mit Fotos erpresst werden, die die Angreifer geklaut haben. Wie Föllmi Geschäftsführer Claudio Zala sagt, erhält das Informatikgeschäft wöchentlich Anrufe von Privatpersonen, die angegriffen wurden. Erwischt werden die Betroffenen oftmals via Phishingmails. Durch Phishing werden Personen so getäuscht, dass sie denken, der Absender sei vertrauenswürdig. Darum geben sie sensible Informationen wie Kennwörter preis. Da die Nachrichten immer authentischer werden, wird es immer schwieriger, sie vom Originalabsender zu unterscheiden. Für Private empfiehlt die Kantonspolizei die Informationen der Schweizerischen Kriminalprävention. Dort sind hilfreiche Tipps zu finden. Im Schadenfall wird geraten, die Polizei zu kontaktieren. In gewissen Fällen sei es neu auch möglich, auf Suisse ePolice - dem Schweizer Online-Polizeiposten – Anzeige zu erstatten.