Sind Cyberattacken mehrheitlich von Erpressungsversuchen begleitet? 
Die Cyberkriminellen, welche KMU angreifen, sind häufig finanziell motiviert. Dabei ist die Erpressung – in den meisten Fällen durch Verschlüsselungstrojaner – eine Möglichkeit, Geld zu verdienen. Neben der Erpressung ist der Online-Betrug durch manipulierte Rechnungen, welche per E-Mail übermittelt werden, eine weitere – leider gut funktionierende – Methode.  

Was sind Fälle, die Ihnen durch Umfang oder Vorgehen der Kriminellen besonders Eindruck machen? 
Mich beeindruckt bei den Erpressungs-Schadenfällen immer wieder, mit welcher Professionalität die Erpresser ans Werk gehen. Wie ein «normales» Unternehmen verfügen sie über eine eigene Webseite, Social Media Profile und einen Kundensupport. Im Thema Lösegeldzahlungen lässt sich oft mit den Erpressern verhandeln. Es ist deshalb unerlässlich, professionelle Unterstützung beizuziehen und nicht in Eigenregie mit Cyberkriminellen zu kommunizieren. 

Trifft es nach Ihrer Erfahrung eher kleine oder grosse Unternehmen? Gibt es Branchen, die es besonders häufig trifft? 
Jedes Unternehmen kann von Cyberangriffen betroffen sein, unabhängig von Branche oder Grösse. KMU sind ein beliebtes Ziel für Betrüger, da sie oft schlechter geschützt sind als grosse Unternehmen. In der Regel wird nicht ein bestimmtes KMU als Ziel von Cyberkriminellen ausgewählt, sondern sie fallen per Zufall in das Raster des Angreifers. Betrüger verbreiten zum Beispiel grossflächig gefälschte E-Mails (wir sprechen dann von Phishing). Die Opfer werden verleitet, einen mit Schadsoftware infizierten Anhang zu öffnen oder eine Webseite zu besuchen, auf der Nutzerdaten abgegriffen werden.  

Werden Unternehmen auch mehrmals erpresst? 
Bisher ist mir nur ein solcher Fall begegnet, in welchem ein Unternehmen mehrstufig erpresst wurde. Es handelte sich um eine Datenverschlüsselung von mehreren Servern. Im Glauben, dass nach der Lösegeldzahlung alle Server entschlüsselt und freigegeben würden, zahlte das betroffene Unternehmen die in ihren Augen geringe Summe. Als jedoch klar wurde, dass sie für jeden weiteren Server einzeln hätten zahlen sollen, verzichtete das Unternehmen auf weitere Überweisungen. Die Wiederherstellung erfolgte anschliessend aus Datensicherungen und durch manuelle Nacherfassungen.  

Dass Unternehmen häufig mehrfach angegriffen und erpresst werden, kann ich so jedoch nicht bestätigen. Wir wissen aber, dass im Darknet Listen mit «zahlungswilligen» Unternehmen in Umlauf sind und diese wohl besonders im Fokus der Cyberkriminellen stehen. 

Was sind die typischen Warnsignale für einen Cyberangriff mit Erpressung? 
Cyberangriffe kommen immer überraschend und es gibt keine Warnsignale. Eine hundertprozentige IT-Sicherheit gibt es nie, doch man kann das Risiko reduzieren. Wer das Thema vernachlässigt, ist häufig eine leichtere Beute für Hacker. Nicht ohne Grund sagt man von Cyberkriminellen, sie seien eher «bequem» und suchen sich den Weg des geringsten Widerstandes – so landen sie bei ungenügend geschützten Unternehmen. 

Was sollte man tun, wenn man Opfer einer Cybererpressung wird? Sollte man das Lösegeld zahlen oder nicht? 
Wir empfehlen die sofortige Meldung an die Polizei und beim NCSC (Nationales Zentrum für Cybersicherheit). In einem zweiten Schritt sollte die Versicherung informiert und – falls Daten gestohlen wurden – der Vorfall den Datenschutzbehörden gemeldet werden. Wir sprechen uns klar gegen eine Lösegeldzahlung aus. 

Welche Rolle übernimmt eine Cyberversicherung  
Die Cyberversicherung sichert die Unternehmen finanziell ab, wenn etwas passiert. Dazu gehört auch die Expertise unserer Partner in Krisenmanagement, Cybererpressung sowie der Daten- und Systemwiederherstellung. Im Ernstfall gilt es, schnell zu handeln und die richtigen Massnahmen zu treffen. In der Regel sind Betroffene hilflos, überfordert und wissen nicht, wie vorzugehen ist.