Drei Volltreffer
Katastrophenfall nach Ransomware und Trojaner
Drei Beispiele zeigen, wie gefährlich und unterschätzt Angriffe aus dem Internet sind. Ein Klinikum muss auf Papier und Stift umsteigen, zwei Stadtverwaltungen sind lahmgelegt – eine ruft den ersten Cyber-Katastrophenfall aus.
Gleich dreimal in zwei Wochen griffen Hacker große öffentliche Institutionen an: das Klinikum in Wolfenbüttel sowie die Stadtverwaltungen in Anhalt-Bitterfeld und Geisenheim. Das Krankenhaus konnte bereits einen Tag nach Befall seine Türen wieder öffnen. Die beiden Stadtverwaltungen hat es schwerer getroffen, nach mehr als zwei Wochen baut Anhalt-Bitterfeld eine neue Notinfrastruktur auf. Damit schneller Hilfe eintrifft, rief die Landkreisverwaltung den Katastrophenfall aus. Geisenheim dagegen sei sicher für „drei Wochen offline“, im schlimmsten Falle dauert es aber zwei bis drei Monate, um den alten Stand zu erreichen.
Start der Katastrophe
Zuerst traf es am 6. Juli die Landkreisverwaltung Anhalt-Bitterfeld. Die mutmaßlichen Hacker gelangten anscheinend über eine Sicherheitslücke in das System und verschlüsselten die Daten. Der Landrat gehe davon aus, dass es sich um die Microsoft-Drucker-Lücke PrintNightmare handeln könne [1] – sicher ist das aber noch nicht. Zurzeit untersuchen Forensiker des Landeskriminalamtes die betroffenen Windows-Systeme.
Am 9. Juli rief der Landrat den deutschlandweit ersten Cyber-Katastrophenfall aus. Laut eigenen Angaben gebe das dem Landrat die Möglichkeit, schneller zu entscheiden und Hilfe anzufordern. Durch den Befall der Ransomware seien ab dem Zeitpunkt etwa keine Zahlungen mehr möglich gewesen.
Zwei Wochen nach dem Befall in Anhalt-Bitterfeld stand ab dem 19. Juli die Notinfrastruktur bereit. Landrat Andy Grabner sagte gegenüber dem ZDF, dass es noch bis zu sechs Monate dauern könne, bis sich der Landkreis komplett erholt hat.
Eine Lösegeldforderung lehnte die Verwaltung von Anhalt-Bitterfeld ab. Laut dem Chaos Computer Club (CCC) veröffentlichten die mutmaßlichen Angreifer als Gegenreaktion in einem bekannten Hackerforum 200 MByte an Daten. Der Landkreis bestätigte in einer Pressemitteilung die Authentizität der Daten. Es handele sich um teilweise nicht-öffentliche Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen.
Zwei an einem Tag
Noch während Beamte in Sachsen-Anhalt an einer Notinfrastruktur feilten, erwischte es unabhängig voneinander am 14. Juli die Stadtverwaltung Geisenheim und das städtische Klinikum Wolfenbüttel. Im Krankenhaus hatte eine Schadsoftware Teile des IT-Systems lahmgelegt. Auch dort forderten die Hacker laut der Staatsanwaltschaft Göttingen erfolglos ein Lösegeld.
Das Krankenhaus schreibt, es habe gut reagiert und direkt nach Befall die Systeme heruntergefahren sowie die Internetverbindung gekappt. Backups der wichtigsten Daten seien vorhanden. Bereits einen Tag später war die normale Versorgung der Patienten wiederhergestellt. Polizei und Staatsanwaltschaft ermitteln, während das Krankenhaus in der Zwischenzeit zu Papier und Stift wechselt.
In Geisenheim erkannte der Virenscanner den Trojaner, konnte aber dessen Installation nicht verhindern. Laut Pressemitteilung der Stadt Geisenheim dauert es im schlimmsten Fall zwei bis zu drei Monate, bis alle Systeme wieder einwandfrei funktionieren. Die Verwaltung plant, alle EDV-Systeme neu aufzusetzen oder auszutauschen.
Fazit
Die drei Beispiele zeigen auf, wie wichtig Grundregeln in der IT-Sicherheit sind. Alleine Backups wie in Wolfenbüttel können den Unterschied machen, zwischen einigen Tagen Ausfall und mehreren Monaten. Häufig ist die IT veraltet, nicht auf dem aktuellen Stand oder es fehlen wichtige zeitnahe Patches. Es ist also kein Wunder, dass sich Angriffe in solchen Ausmaßen häufen. Mehr dazu auf Seite 39. (wid@ct.de)