Wie Ransomware eine Stadtverwaltung Tage lang lahmlegte

Inhaltsverzeichnis

Ein Ransomware-Angriff mit gravierenden Folgen für eine Stadt stand im Mittelpunkt des Panels "Cybererpressungen von Unternehmen – Es kann jeden treffen!" auf der 4. Jahrestagung Cybersecurity der Zeit. Die Teilnehmer schilderten den Verlauf und die schweren Auswirkungen und zogen die Lehren für künftige Betroffene einer groß angelegten Attacke.

Am 6. September 2019 bemerkte ein IT-Mitarbeiter der niedersächsischen Stadtverwaltung Neustadt am Rübenberge eine extreme Server-Auslastung im städtischen Rechenzentrum. Bereits ein halbes Jahr zuvor hatte der Trojaner Trickbot das IT-System befallen und sich allmählich auf verschiedene Ebenen hochgearbeitet und Signale ausgesendet. Eine Ransomware verschlüsselte auf allen Ebenen, sodass die Server voll ausgelastet wurden.

"In der ersten Phase war es noch relativ entspannt, nachdem wir kontrolliert hatten, dass alle Back-ups gelaufen sind. Wir stellten dann aber fest, dass auch dort verschiedene Bereiche verschlüsselt waren. Wir haben uns entschieden, alle Konten zu sperren, alle Externen zu informieren und uns vom gesamten Netz zu trennen. Danach riefen wir die Cybercrime-Spezialisten vom LKA an, die auch sehr schnell da waren", berichtete Maic Schillack, Erster Stadtrat und IT-Leiter von Neustadt.

Netzwerk neu aufgebaut

"Das LKA hat beraten, wie forensische Maßnahmen durchgeführt werden sollen. Sie erfolgten so, dass der Dienstbetrieb der Stadtwerke nicht noch weiter in die Knie ging. Die frühzeitige Kontaktaufnahme zum LKA ermöglichte es, einen schnellen Lageüberblick zu gewinnen", sagte Heiko Löhr, Gruppenleiter Strategie und Service in der Abteilung Cybercrime im Bundeskriminalamt.

Stadtrat Schillack schilderte die weiteren Schritte der Verwaltung. Zunächst habe sie geprüft, ob lebensnotwendige Systeme wie Abwasser, Klärwerke, Verkehrs- und Schließsysteme zum Beispiel für Schulen betroffen waren. Das war nicht der Fall. Danach sei es darum gegangen, ob Sozialhilfe und Gehälter von der Stadt weiter ausgezahlt werden können.

"Wir haben uns schnell entschlossen, das gesamte Netzwerk neu aufzubauen. Das ist ein riesiges Thema, wofür viel Personal nötig ist. Wir hatten zwischenzeitlich bis zu 40 IT-Spezialisten hier, die sich um die Hardware des neuen Netzes und das Hochfahren der einzelnen Arbeitsplätze gekümmert haben", sagte er.

In der Zwischenzeit wurden die Arbeitsplätze der Verwaltung outgesourct an die Nachbarkommunen und an das Rechenzentrum der Stadt. "Viele Dinge sind gehostet. Das hat ganz gut funktioniert. Letztlich waren wir relativ schnell wieder zurück mit den grundlegenden Tätigkeiten. Das dauerte fünf Tage, weil nach meiner Kenntnis bei relativ neuen Viren auch Spezialisten diese Zeit benötigen, um den Virus zu erkennen und die Gegenprogrammierung einzuleiten. Schneller kann es nach meiner Erfahrung nicht gehen."

Stumpfes Ausschlussverfahren

Nach dem Wiederaufbau des Netzwerks wurde zuerst die Sicherheitsinstallation generiert und verbessert. Anschließend gab es ein "stumpfes Ausschlussverfahren", schildert Schillack: "Welche Software ist gehostet, die in verschiedenen Rechenzentren oder bei Externen liegt? Dann sind wir nach der Lebensnotwendigkeit für die Bürger gegangen, damit sie zum Beispiel mit uns kommunizieren können oder das Rechnungswesen und Ähnliches läuft. Das war relativ einfach."

Der IT-Angriff auf Neustadt ist ein exemplarischer Fall für den seit Jahren anhaltenden Trend zur Ransomware in der Cyberkriminalität. Einen Überblick über die Entwicklung aus Sicht des BKA gab Löhr. Die Täter legen immer seltener sich selbst den Zugang, sondern beschaffen sich in der Untergrundwirtschaft die digitalen Credentials und suchen damit die Zugänge. "Ein anderer Trend ist, dass Unternehmen in immer mehr Phasen erpresst werden. Die Wertschöpfungskette wird weiter verlängert und die Unternehmen werden ausgepresst so weit es irgendwie geht."

Mehr Kapazitäten gegen Cyberkriminalität

Als Reaktion auf den rasanten Anstieg von Online-Straftaten hat das BKA seine Kapazität für Cyberkriminalität stark erweitert. Im vergangenen Jahr machte es aus diesem Arbeitsbereich eine eigene Abteilung, die größte Organisationseinheit im BKA. Das Personal wurde seitdem fast verdoppelt und soll in den kommenden Jahren nahezu verdreifacht werden.

Lesen Sie dazu auch

Trojaner-Befall: Emotet bei Heise

Neustadt zog einige Lehren aus den gravierenden Erfahrungen. "Die IT-Organisation muss strikt, kontrolliert und dokumentiert sein." Es habe ein Domain-Admin-Passwort gegeben, das für alle Ebenen galt. "Ein Vier-Augen-Prinzip gab es nicht. Das rührt von einem rasanten Wachsen der IT her, weil es so einfacher war. Da muss man einen Riegel vorschieben", sagte Schillack. Nun treffe man erst die organisatorischen Voraussetzungen und die Schutzmaßnahmen. "Unsere Mitarbeiter sind jetzt hochsensibilisiert, weil viele von ihnen betroffen waren und eine Woche keinen EDV-Arbeitsplatz hatten."

Dennoch unternehme die Verwaltung immer wieder Bewusstseinskampagnen und wiederholt dabei die Sicherheitsregularien. "Letztlich hängt es immer vom Faktor Mensch ab, der vor dem PC sitzt. Vor jedem digitalen Projekt steht jetzt immer die Frage der Sicherheit. Wie organisieren wir das, was sind die Wünsche der Nutzer und wie integrieren wir sie in unser System? Wir machen eine Rollenbeschreibung: Wer macht was warum?" Wenn Sicherheitsmaßnahmen wie Whitelisting die Nutzer zu sehr einschränken, machen sie Druck, die Funktionalität zu erhöhen. "Diese Diskussion haben wir immer noch."

Schillack schloss mit einem Appell an alle betroffenen Unternehmen: "Wenden Sie sich an das LKA! Nur durch die Nachverfolgung, wie sich die Viren ausbreiten, kommen wir einen entscheidenden Schritt weiter. Das LKA arbeitet sehr vertraulich."

(anw)