Wie Ransomware eine Stadtverwaltung Tage lang lahmlegte
Seite 2: Stumpfes Ausschlussverfahren
Nach dem Wiederaufbau des Netzwerks wurde zuerst die Sicherheitsinstallation generiert und verbessert. Anschließend gab es ein "stumpfes Ausschlussverfahren", schildert Schillack: "Welche Software ist gehostet, die in verschiedenen Rechenzentren oder bei Externen liegt? Dann sind wir nach der Lebensnotwendigkeit für die Bürger gegangen, damit sie zum Beispiel mit uns kommunizieren können oder das Rechnungswesen und Ähnliches läuft. Das war relativ einfach."
Der IT-Angriff auf Neustadt ist ein exemplarischer Fall für den seit Jahren anhaltenden Trend zur Ransomware in der Cyberkriminalität. Einen Überblick über die Entwicklung aus Sicht des BKA gab Löhr. Die Täter legen immer seltener sich selbst den Zugang, sondern beschaffen sich in der Untergrundwirtschaft die digitalen Credentials und suchen damit die Zugänge. "Ein anderer Trend ist, dass Unternehmen in immer mehr Phasen erpresst werden. Die Wertschöpfungskette wird weiter verlängert und die Unternehmen werden ausgepresst so weit es irgendwie geht."
Mehr Kapazitäten gegen Cyberkriminalität
Als Reaktion auf den rasanten Anstieg von Online-Straftaten hat das BKA seine Kapazität für Cyberkriminalität stark erweitert. Im vergangenen Jahr machte es aus diesem Arbeitsbereich eine eigene Abteilung, die größte Organisationseinheit im BKA. Das Personal wurde seitdem fast verdoppelt und soll in den kommenden Jahren nahezu verdreifacht werden.
Neustadt zog einige Lehren aus den gravierenden Erfahrungen. "Die IT-Organisation muss strikt, kontrolliert und dokumentiert sein." Es habe ein Domain-Admin-Passwort gegeben, das für alle Ebenen galt. "Ein Vier-Augen-Prinzip gab es nicht. Das rührt von einem rasanten Wachsen der IT her, weil es so einfacher war. Da muss man einen Riegel vorschieben", sagte Schillack. Nun treffe man erst die organisatorischen Voraussetzungen und die Schutzmaßnahmen. "Unsere Mitarbeiter sind jetzt hochsensibilisiert, weil viele von ihnen betroffen waren und eine Woche keinen EDV-Arbeitsplatz hatten."
Dennoch unternehme die Verwaltung immer wieder Bewusstseinskampagnen und wiederholt dabei die Sicherheitsregularien. "Letztlich hängt es immer vom Faktor Mensch ab, der vor dem PC sitzt. Vor jedem digitalen Projekt steht jetzt immer die Frage der Sicherheit. Wie organisieren wir das, was sind die Wünsche der Nutzer und wie integrieren wir sie in unser System? Wir machen eine Rollenbeschreibung: Wer macht was warum?" Wenn Sicherheitsmaßnahmen wie Whitelisting die Nutzer zu sehr einschränken, machen sie Druck, die Funktionalität zu erhöhen. "Diese Diskussion haben wir immer noch."
Schillack schloss mit einem Appell an alle betroffenen Unternehmen: "Wenden Sie sich an das LKA! Nur durch die Nachverfolgung, wie sich die Viren ausbreiten, kommen wir einen entscheidenden Schritt weiter. Das LKA arbeitet sehr vertraulich."
(anw)
