Cybererpressung von Kleinunternehmen mit sensiblen Daten wie Arztpraxen ist bei Kriminellen hoch im Kurs. Von hohem Nutzen für die Angreifer sind dabei namentlich berufsgeheimnisgeschützte Daten, für die höchstwahrscheinlich ein Lösegeld bezahlt wird. Das schreibt die Melde- und Analysestelle Informationssicherung MELANI im unlängst veröffentlichten Halbjahresbericht 2016/1.
Ärztinnen und Ärzte sollten sich damit befassen
Cryptolocker, Armada Collective und Rex Mundi, drei Formen der Cybererpressung, sind moderne Bedrohungen für Kleinunternehmen, unterstreicht MELANI im Schwerpunktthema des jüngsten Halbjahresberichts. Diese profitable Masche ist bei Kriminellen beliebt, weil sie nach wie vor sehr ergiebig ist. Statt das Geld direkt zu stehlen, wird ein Druckmittel eingesetzt und das Opfer dazu bewegt, ein Lösegeld zu bezahlen. Namentlich auch Ärztinnen und Ärzte, sollten sich aufgrund der sensiblen Daten in ihren informationstechnologischen Systemen damit befassen und die notwendigen Abwehrmassnahmen treffen.
Das sind Erpressungstrojaner
Bei Erpressungstrojanern handelt es sich um Schadsoftware, sogenannter Malware, die Dateien auf dem Computer des Opfers sowie auf verbundenen Netzlaufwerken verschlüsselt und somit für das Opfer unbrauchbar macht. Die Software zeigt danach dem Opfer einen „Sperrbildschirm“ an. Auf diesem wird das Opfer aufgefordert, eine bestimmte Summe an die Angreifer zu bezahlen, damit die Dateien wieder entschlüsselt werden. Meist wird die Summe in der Internetwährung «Bitcoins» verlangt, damit alle Spuren verwischt werden können.
Präventive Massnahmen
Alle Arztpraxen sollten zumindest die folgenden präventiven Massnahmen ergreifen:
- Ein externes Backupsystem nutzen, das in einer Schweizer Cloud betrieben wird. Damit wird die Replikation aller Backupdaten an einem sicheren Schweizer Standort sichergestellt, ein Standort, der geografisch vom Unternehmensstandort getrennt ist. Die Datenübertragung erfolgt mittels gesicherter Datenverbindungen über das Internet.
- Sowohl das Betriebssystem wie auch alle auf den Praxiscomputern installierte Applikationen müssen dank der aktivierten automatischen Updatefunktionen dauernd auf dem neusten Stand sein.
- Der Virenschutz ist stets aktuell zu halten und es muss eine Firewall installiert sein.
- Alle Mitarbeitenden sind eindringlich zu instruieren, verdächtige E-Mails oder E-Mails, die unerwartet kommen oder von einem unbekannten Absender stammen, nie zu öffnen. Auf keinen Fall sind Anweisungen im Text oder Links in verdächtigen E-Mails oder E-Mail-Anhänge von verdächtigen E-Mails zu befolgen, anzuklicken oder zu öffnen.
Massnahmen nach einem erfolgreichen Angriff
- Wer trotz aller präventiven Massnahmen Opfer eines erfolgreichen Angriffs geworden ist, muss die Computer sofort von allen Netzwerken zu trennen. Danach sind eine Neuinstallation des Systems und das Ändern aller Passwörter unumgänglich.
- Nachdem der erfolgten Säuberung der Computer, werden die Backup-Daten zurückgespielt.
- In jedem Fall empfiehlt MELANI, den Vorfall der Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK zu melden und Anzeige bei der lokalen Polizeidienststelle zu erstatten.
- Wichtig: Nie Lösegeld zahlen, da dies die kriminellen Infrastrukturen stärkt und dies somit den Kriminellen ermöglicht, weitere Opfer zu erpressen. Ausserdem gibt es keine Garantie, die Schlüssel für die Entschlüsselung zu bekommen.
Eine weiter wirksame präventive Massnahme ist der Einsatz der Windows AppLocker. Darauf gehen wir in den nächsten ABC-E-News ein.