Alte Betriebssysteme im Einsatz

Notwendig sei auch ein konsequentes Update. Oft würden Unternehmen auch kein sauberes Patch- und Life-Cycle-Management führen, so dass teilweise veraltete, nicht mehr unterstützte Betriebssysteme oder Software im Einsatz gestanden habe. Die Angreifer hätten diese Sicherheitslücken ausgenutzt und sich dadurch Zugang zum Netzwerk verschafft.

Die Netzwerke seien auch nicht aufgeteilt gewesen, das heisst dass eine Infektion zum Beispiel auf einem Rechner der Personalabteilung dem Angreifer einen direkten Angriffspfad in die Produktionsabteilung ermöglicht habe. Zudem seien häufig Benutzer mit zu hohen Rechten ausgestattet worden. Als Beispiel nennt Melani einen Backup-User, der Domain Admin Rechte habe oder der Systemverantwortliche, der mit denselben Rechten sowohl im Internet surfe wie er die Systeme verwalten.

Wenn Systeme durch eine Ransomware verschlüsselt wurden, so rät Melani von einer Lösegeldzahlung ab. Denn dadurch werde die Infrastruktur der Hacker unterstützt. Auch bestehe bei der Bezahlung von Lösegeld keine Garantie, dass der Erpresser die Daten wieder entschlüssele.

Wichtig sei es, dass die betroffenen Unternehmen unverzüglich mit der Kantonspolizei Kontakt aufnähmen, Anzeige erstatteten und mit ihnen das weitere Vorgehen besprechen. Solange es weiterhin Unternehmen gebe, die Lösegeld bezahlten, würden die Angreifer auch nie mit den Erpressungen aufhören.

Falls trotzdem eine Lösegeldzahlung in Erwägung gezogen werde, so müsse beachtet werden, dass Systeme und Daten zwar entschlüsselt werden könnten, die zugrundeliegende Infektion durch Malware bleibe jedoch weiterhin aktiv. Die Angreifer hätten so weiterhin vollen Zugriff auf das Netzwerk des betroffenen Unternehmens und könnten beispielsweise erneut Ransomware installieren oder sensible Daten stehlen.