Cyber-Katastrophenfall nach Ransomware und Trojaner
Drei Beispiele zeigen, wie gefährlich Angriffe aus dem Internet sind. Ein Klinikum muss auf Papier und Stift umsteigen, zwei Stadtverwaltungen sind lahmgelegt.
Gleich dreimal in zwei Wochen haben Hacker große öffentliche Institutionen angegriffen: Das Klinikum in Wolfenbüttel sowie die Stadtverwaltungen in Anhalt-Bitterfeld und Geisenheim. Das Krankenhaus konnte bereits einen Tag nach Befall seine Türen wieder öffnen. Die beiden Stadtverwaltungen hat es schwerer getroffen.
Nach mehr als zwei Wochen baut Anhalt-Bitterfeld eine neue Notinfrastruktur auf. Damit schneller Hilfe eintrifft, hat die Landkreisverwaltung den Katastrophenfall ausgerufen. Geisenheim dagegen sei zumindest fĂĽr "drei Wochen offline", im schlimmsten Falle dauert es aber zwei bis drei Monate, um den alten Stand zu erreichen.
Start der Katastrophe
Zuerst hatte es am 6. Juli die Landkreisverwaltung Anhalt-Bitterfeld getroffen. Die mutmaßlichen Hacker gelangten anscheinend über eine Sicherheitslücke in das System und verschlüsselten die Daten. Der Landrat vermutet, dass es sich um die Microsoft-Drucker-Lücke PrintNightmare handelt – sicher ist das aber noch nicht. Zurzeit untersuchen Forensiker des Landeskriminalamtes die betroffenen Windows-Systeme.
Am 9. Juli hat der Landrat den deutschlandweit ersten Cyber-Katastrophenfall ausgerufen. Laut eigenen Angaben gibt das dem Landrat die Möglichkeit, schneller zu entscheiden und Hilfe anzufordern. Durch den Befall mit Ransomware seien ab dem Zeitpunkt beispielsweise keine Zahlungen mehr möglich gewesen.
Zwei Wochen nach dem Befall in Anhalt-Bitterfeld stand ab dem 19. Juli die Notinfrastruktur bereit. Landrat Andy Grabner sagte gegenüber dem ZDF, dass es noch bis zu sechs Monate dauern könne, bis sich der Landkreis komplett erholt hat.
Eine Lösegeldforderung lehnte die Verwaltung von Anhalt-Bitterfeld ab. Laut dem Chaos Computer Club (CCC) veröffentlichten die mutmaßlichen Angreifer als Gegenreaktion in einem bekannten Hackerforum 200 MByte an Daten. Der Landkreis bestätigte in einer Pressemitteilung die Authentizität der Daten. Es handele sich um teilweise nicht-öffentliche Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen.
Zwei an einem Tag
Noch während Beamte in Sachsen-Anhalt an einer Notinfrastruktur feilten, hat es unabhängig voneinander am 14. Juli die Stadtverwaltung Geisenheim und das städtische Klinikum Wolfenbüttel erwischt. Im Krankenhaus hatte eine Schadsoftware Teile des IT-Systems lahmgelegt. Auch dort forderten die Hacker laut der Staatsanwaltschaft Göttingen erfolglos Lösegeld.
Das Krankenhaus schreibt, es habe gut reagiert und direkt nach Befall die Systeme heruntergefahren sowie die Internetverbindung gekappt. Backups der wichtigsten Daten seien vorhanden. Bereits einen Tag später war die normale Versorgung der Patienten wiederhergestellt. Polizei und Staatsanwaltschaft ermitteln, während das Krankenhaus in der Zwischenzeit zu Papier und Stift wechselt.
Das Klinikum WolfenbĂĽttel teilt seinen Patienten ĂĽber Facebook mit, dass ein Angriff stattgefunden hat. Auf der Website des Krankenhauses steht hingegen nichts zu dem Vorfall.
In Geisenheim erkannte der Virenscanner den Trojaner, konnte aber dessen Installation nicht verhindern. Laut Pressemitteilung der Stadt Geisenheim dauert es im schlimmsten Fall zwei bis zu drei Monate, bis alle Systeme wieder einwandfrei funktionieren. Die Verwaltung plant, alle EDV-Systeme neu aufzusetzen oder auszutauschen.
Die drei Beispiele zeigen auf, wie wichtig Grundregeln in der IT-Sicherheit sind. Alleine Backups wie in Wolfenbüttel können den Unterschied machen zwischen einigen Tagen Ausfall und mehreren Monaten – sofern das Einspielen der Backups eingeübt wurde. Häufig ist die IT veraltet, nicht auf dem aktuellen Stand oder es fehlen wichtige zeitnahe Patches. Es ist also kein Wunder, dass sich Angriffe in solchen Ausmaßen häufen.
Was wir aus den aktuellen Ransomware-Vorfällen lernen können
Von JĂĽrgen Schmidt
Oft fehlt es bei den Betroffenen von Ransomware-Vorfällen schon an den absoluten Basics – und da sind Ämter, Behörden und Verwaltung ganz vorne mit dabei. Deren IT besteht oft aus einer überalterten Monokultur auf Windows-Basis, bekommt Security-Updates wenn überhaupt dann erst nach Monaten und die IT-Verantwortlichen sind so damit beschäftigt, das alles überhaupt irgendwie am Laufen zu halten, dass für IT-Security keine Zeit bleibt.
Da genügt dann ein falscher Klick, ein gestohlenes Passwort oder ein erfolgreicher Scan auf ein bekanntes Sicherheitsloch und es knallt. Dann fällt wie in Bitterfeld oder Geisenheim die komplette IT auf Wochen oder gar Monate aus. Dabei ließe sich ein Großteil dieser Ransomware-Vorfälle vermeiden, wenn man wenige grundlegende Security-Regeln befolgt: Sicherheits-Updates zügig einspielen, konsequent nur minimale Rechte einsetzen, für hoch priorisierte Accounts und Remote-Zugänge Zwei-Faktor-Authentifizierung einführen. Und natürlich dürfen gute und funktionierende Backups nicht fehlen. Das wäre dann schon mehr als nur die halbe Miete.
Dass diese Basisanforderungen eine Selbstverständlichkeit werden wie Sicherheitsgurte und funktionierende Bremsen, ist auch Aufgabe der Politik. Die muss Rahmenbedingungen vorgeben, die das nicht nur ermöglichen, sondern konsequent herbeiführen.
Doch wie die Hackerbande REvil mit den aktuellen Attacken eindrucksvoll gezeigt hat, ist es damit noch nicht getan. Denn angesichts von breit gestreuten Zero-Day- und Supply-Chain-Angriffen müssen wir auch unsere Vorstellung von möglichst guter Sicherheit ändern. Bisher ging es da vor allem darum, wirklich alle Angriffe zu verhindern. Das wird aber in Zukunft nicht mehr zu hundert Prozent möglich sein.
Egal wie viel Aufwand wir investieren, es wird erfolgreiche Angriffe geben. Deshalb müssen wir an einen Punkt kommen, an dem auch zunächst erfolgreiche Angriffe nicht mehr sofort „Game Over“ bedeuten, sondern zu ernsten, aber beherrschbaren Vorfällen werden. Dazu müssen wir vor allem für zwei Dinge sorgen: dass wir
a) eine bessere Chance haben, diese erfolgreichen Angriffe frĂĽhzeitig zu erkennen und
b) solche Angriffe eingrenzen und handhaben können, ohne dass es zu kritischen Verlusten kommt.
Besseres Monitoring und mehr Resilienz sind deshalb die zwei Themen, die meiner Ansicht nach aktuell den Schwerpunkt des konsequenten Ausbaus der IT-Security bilden sollten. Selbstverständlich gilt das erst, nachdem man die Basics im Griff hat, ohne die es weiterhin nicht geht. Wer keine Backups macht, ungepatchte Software einsetzt, schwache Passwörter benutzt und kritische Dienste weitgehend ungeschützt ins Internet exponiert, braucht sich über Zero Days und Lieferkettenangriffe keine Gedanken zu machen. Den wird es treffen – und zwar eher früher als später.
In c’t 17/2021 liefern wir jede Menge Anregungen und Tipps fürs mobile Büro. Wir bescheren älteren Geräten mit dem Raspberry Pi einen zweiten Frühling, haben Versender von Phishing-Mails entlarvt und den brandneuen AMD Ryzen 5700G getestet. Außerdem beleuchten wir klimafreundliche(re) Kryptowährung, testen USB-Speicher mit Schreibschutz und stellen sechs technische Konzepte für Quantencomputer vor. Ausgabe 17/2021 finden Sie ab dem 30. Juli im Heise-Shop und am gut sortierten Zeitschriftenkiosk.
(wid)