Lösegeld für Daten: Alsfelder Stadtverwaltung nach Erpressungsversuch offline

Die Stadtverwaltung von Alsfeld hat ihre IT-Systeme heruntergefahren und ist derzeit nur telefonisch erreichbar. Ob Ransomware dahintersteckt, ist noch unklar.

In Pocket speichern vorlesen Druckansicht 81 Kommentare lesen
Weiterer Malware-Befall in Hessen – Server der Alsfelder Stadtverwaltung offline

(Bild: May_Lana / Shutterstock)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Nachdem im Dezember 2019 die Stadtverwaltungen von Frankfurt am Main und Bad Homburg aufgrund von Infektionen mit Schadsoftware nacheinander für einige Tage vom Netz gingen, hat Alsfeld am gestrigen Donnerstag als dritte hessische Stadt ihre Server heruntergefahren.

Offenbar wurde die Stadt aufgefordert, ein Lösegeld für Daten zu zahlen, ging aber nicht auf die Erpressung ein. Details zum Sachverhalt hat die Stadtverwaltung bislang noch nicht genannt.

Wie einer kurzen Mitteilung auf der Website der Stadtverwaltung von Alsfeld zu entnehmen ist, sind seit Donnerstagmorgen alle Server offline. Dieser Zustand werde beibehalten, bis geklärt sei, "ob und wie weit die städtischen IT-Systeme angegriffen wurden und welche Daten möglicherweise betroffen" seien.

In der Konsequenz sei die Stadtverwaltung auf unbekannte Zeit nicht per E-Mail, sondern nur telefonisch erreichbar. Auf Anfrage von heise online sagte Alfelds Bürgermeister Stephan Paule zudem, dass die Stadtverwaltung derzeit keinerlei Dienstleistungen am PC erbringen könne.

Die Website der Stadt wird laut einer dpa-Meldung von einem externen Dienstleister betrieben und ist deshalb wie gewohnt aufrufbar.

Laut einem von der Polizei bestätigten Bericht der Oberhessischen Zeitung hat die Alsfelder Stadtverwaltung ein anonymes Erpresserschreiben erhalten. Sie solle mit den Kriminellen Kontakt aufnehmen, um den Lösegeldbetrag in Bitcoin zu erfragen, damit die Daten wieder "freigegeben" würden. Die Stadtverwaltung sei allerdings nicht auf die Forderungen eingegangen und habe die Server heruntergefahren, um "ein Risiko auszuschließen".

Ob und in welchem Umfang tatsächlich Daten verschlüsselt oder auch kopiert wurden, ist der Berichterstattung nicht klar zu entnehmen. Ebenso unklar bleibt, ob es sich um einen Ransomware-Befall, einen Hackerangriff oder einen anderweitigen Erpressungsversuch handelt.

Gegenüber heise Online räumte Paule ein, dass die Erpresserbotschaft nicht etwa per E-Mail gekommen sei, wie die dpa fälschlicherweise gemeldet habe; nähere Angaben zum Sachverhalt wollte er jedoch nicht machen. Stattdessen verwies er auf die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main, die die Ermittlungen führt. Ein Pressseprecher der Staatsanwaltschaft teilte gegenüber heise online mit, dass aus ermittlungstaktischen Gründen keine Auskünfte möglich seien.

Die IT-Systeme der Stadt Frankfurt sind bereits seit dem 20. Dezember wieder online. Dort wütete der Schädling Emotet, den man auch als Auslöser für die in Bad Homburg bereinigten Malware-Infektionen vermutet. Bad Homburg ist seit dem 23. Dezember wieder am Netz.

Einem aktualisierten Hinweis auf der Website der Bad Homburger Stadtverwaltung ist außerdem zu entnehmen, dass seit Montag, dem 30. Dezember "der volle Service" der Verwaltung wieder wie gewohnt abgerufen werden kann. Die Systeme seien vollständig bereinigt und "keinerlei Daten verschwunden oder beschädigt" worden. (ovw)