Thought Leadership
Ein Hackerangriff auf den Landkreis Anhalt-Bitterfeld hat den ersten Cyber-Katastrophenfall in Deutschland ausgelöst. Von dem Angriff ist das gesamte IT-System aller Standorte der Kreisverwaltung. Nach eigenen Angaben wird diese rund zwei Wochen lang nur eingeschränkt funktionsfähig sein. Im Verdacht steht die Windows-Sicherheitslücke. Update: Lösegeldzahlung keine Option.
Ein Hackerangriff auf den Landkreis Anhalt-Bitterfeld hat den ersten Cyber-Katastrophenfall in Deutschland ausgelöst. Von dem Angriff ist das gesamte IT-System aller Standorte der Kreisverwaltung. Die Angreifer nutzten vermutlich die Sicherheitslücke PrintNightmare, die Microsoft letzte Woche mit einem Patch beheben wollte.
Kriminelle hatten das Computersystem wohl bereits am 6. Juli attackiert. Am Freitag den 9. Juli um 11 Uhr wurde schließlich der Katastrophenfall ausgelöst und ein Katstrophenschutzstab eingerichtet. Der Katastrophenfall wurde ausgerufen, um schneller reagieren zu können.
Bizarres Detail: Dies geschah quasi als letzte Amtshandlung unter Verantwortung des bisherigen Landrates Uwe Schulze. Nach der Landtagswahl übernimmt just am heutigen Montag sein Nachfolger Andy Grabner die Amtsgeschäfte.
»PrintNightmare» schlägt zu
Bei dem Cyber-Angriff sind wohl rund 120 Server und Rechner betroffen, gesperrt und verschlüsselt worden, berichtet die Mitteldeutsche Zeitung unter Berufung auf interne Quellen im Landratsamt. Wie zu hören ist, ist das Amt lahmgelegt und die Verantwortlichen rechnen scheinbar damit, dass dies auch erstmal so bleibt. In Verdacht steht dabei eine Sicherheitslücke im Druckersystem von Windows 7 bis Windows 10, die in Fachkreisen »PrintNightmare« getauft wurde. Microsoft hatte dazu am Mittwoch einen Update-Patch bereitgestellt. Für den Landkreis offenbar einen Tag zu spät.
Seit dem Wochenende arbeiten nun Spezialisten und Experten aus Bundes- und Landesbehörden an der Analyse und Bekämpfung des Virus. Ab dieser Woche erwartet der Landkreis zudem die Unterstützung durch Dritte, die insbesondere auf den Wiederaufbau der IT-Infrastruktur und die schnellstmögliche Aufnahme von Dienstleistungen ausgerichtet ist. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eingeschaltet und vor Ort.
Arbeitsfähigkeit extrem eingeschränkt
Die Kommunikation mit Firmen und Bürgern ist derzeit ausschließlich über Telefon, Fax und per Briefpost möglich. Eine Kommunikation per E-Mail ist nicht mehr möglich. Die Folgen für die Bürger sind vielschichtig. So kann der Landkreis mit rund 157.000 Einwohnern vorrübergehend keine Sozial- und Unterhaltsleistungen mehr auszahlen. »Die Arbeitsfähigkeit der Verwaltung ist durch den Angriff in erheblichem Umfang bis auf Widerruf extrem eingeschränkt«, teilt der Landkreis dazu mit.
Das BSI warnt schon länger, dass die kommunale IT-Infrastruktur in Deutschland unzureichend gegen Cyberangriffe geschützt sei. Kommunen verfügten teilweise über veraltete Soft- und Hardware und im Unterschied zu großen Firmen und dem Bund über nur kleine IT-Abteilungen. Aber auch Prozesse gehören in ein Sicherheitskonzept. Es zeugt von einer gewissen Hilflosigkeit, dass der erste Katstrophenschutzstab im Amt für Brand-, Katastrophenschutz und Rettungsdienst untergebracht war. Mittlerweile ist der Krisenstab ins benachbarte Köthen umgezogen.
Nach Angaben des Landeskriminalamts haben die Angreifer auf die Computersysteme der Landkreisverwaltung Anhalt-Bitterfeld jetzt Lösegeld gefordert. Das bestätigte ein LKA-Sprecher am Dienstag in Magdeburg der Deutschen Presse-Agentur. Zur genauen Höhe der Forderung machte der Sprecher keine Angaben. Nicht selten seien solche Lösegeldforderungen allerdings in sechs- oder siebenstelliger Höhe, so der Sprecher weiter.
Update: Lösegeldzahlung keine Option, monatelange Ermittlungen
Der Landkreis Anhalt-Bitterfeld wird den Computer-Hackern kein Lösegeld zahlen. Erst seit Montag offiziell im Amt, sagte Landrat Grabner (CDU) lokalen Medien am Dienstag, dies sei keine Option. Eine Kreisverwaltung, die zum öffentlichen Dienst gehört, könne sich nicht erpressen lassen. Zudem gebe es keine Garantie, dass nach der Zahlung des Lösegeldes eine Entschlüsselung aller Daten gewährleistet sei.
Die Landkreisverwaltung versucht stattdessen, mit Hilfe der herangezogenen Experten von Bund, Land und externen Dienstleistern aus eigener Kraft wieder handlungsfähig zu werden. Dabei sollen neue PCs für 50 bis 100 Mitarbeiter, Sicherheitskopien, Akten und Daten anderer Behörden helfen. Zunächst werde auf Notprogrammen gearbeitet. Oben auf der abzuarbeitenden Agenda stünden Sozialleistungen wie Arbeitslosen- und Kindergeld.
Das LKA hatte den Eingang einer Lösegeldforderung am gestrigen Dienstag bestätigt. Die Kriminaler erwarten unterdessen langwierige Ermittlungen. Es könne Monate dauern, um die verschlüsselten Dateien der Kreisverwaltung wieder lesbar zu machen. Solange könne aber eine Kreisverwaltung nicht arbeitsunfähig bleiben, kommentierte LKA-Sprecher Michael Klocke.
Air-Gap und Backups alternativlos
Die Zahl öffentlichkeitswirksamer oder bekannt gewordener Cyberangriffe wächst wöchentlich. Die Dunkelziffer dürfte um ein Vielfaches höher sein. Betroffen sind davon Wirtschafts-Unternehmen jeder Größe und Branche ebenso wie Verbände, Ämter und Behörden mit sensiblen Daten. Der einzig wirksame Schutz im Sinne einer Prävention vor dem Worst-Case vor langfristigen Schäden und Beeinträchtigungen bleibt dabei immer dieselbe: Eine funktionierende Datensicherung mit entsprechenden Backup- und Restore-Lösungen.
Jörg Riether, Vitos Haina»Stand heute ist meiner Einschätzung nach auch zwingend anzuerkennen, dass ein zuverlässiger Schutz vor zielgerichteten und gleichzeitig potenten Angriffen nicht existiert und auch nicht existieren wird«, kommentierte bereits Jörg Riether, Leiter IT-Verbund bei Vitos Haina, im Gespräch mit speicherguide.de für das Storage-Magazin 03/2021 »Storage für den Mittelstand«. Deshalb fordert er: »Zurück zu striktem Einsatz von autarken Medien wie etwa Datenbändern mit einer Lagerung abseits von elektronischen Systemen. Nochmals, das heißt nicht, dass man auf Online-Backups verzichten sollte, ganz im Gegenteil, Online-Backup-Techniken bieten enorme Vorteile. Ich plädiere dafür, dass in Zukunft beide Techniken Hand-in-Hand eingesetzt werden.«
Albrecht Hestermann, Actidata »Dieser Fall in Bitterfeld zeigt wieder einmal sehr deutlich, wie wichtig die regelmäßige Datensicherung auf ein auswechselbares Medium ist«, betont Albrecht Hestermann, Leiter Vertrieb bei actidata Storage Systems. »LTO-Tapes bieten das, denn die zugriffsgeschützte Lagerung (Offsite-Backup) kann durch Ransomware nicht angegriffen werden. Wichtig ist jedoch, dass nicht nur das letzte Backup, sondern regelmäßige Datensicherungen auf LTO-Bänder ausgelagert werden. Malware können so genannte »Schläfer« sein und sich auch im Backup von letzter Woche verstecken.«
Hannes Heckel, Fast LTA»Nur wer ein funktionierendes, den Rahmenbedingungen optimal angepasstes Backup hat, kann die Folgekosten von Ausfällen oder Lösegeldforderungen minimieren«, ergänzt Hannes Heckel von Fast LTA. »Zum Sicherheitskonzept gehört auch, alle Maßnahmen und Lösungen immer wieder zu testen, die Mitarbeiter aufzuklären, in Technik wie Personal zu investieren und Sicherheits-Updates immer zeitnah umzusetzen. Dabei müssen nicht nur Backup und Archiv voneinander trennt werden, auch das sogenannte Air-Gap, die physische und räumliche Trennung von Datensicherungsmedien und produktiver Umgebung müssen dabei gewährleistet werden.«
Trend Micro: Katastrophale IT-Sicherheit?
Dirk Arendt, Trend MicroEin Katastrophenfall auf Grund eines Cyberangriffs, ist für Vorgang Dirk Arendt, Head of Government, Public & Healthcare bei Trend Micro ist in Deutschland bislang einzigartiger: »Nach einem schweren Cyberangriff hat der Landkreis Anhalt-Bitterfeld den Katastrophenfall festgestellt. Das Digitale trifft auf das wirkliche Leben. So symbolhaft dieser Schritt im Hinblick auf den Zustand von Digitalisierung und IT-Sicherheit in der öffentlichen Verwaltung auch wirken mag, ist er letztendlich nur richtig, pragmatisch und konsequent. Schließlich ermöglicht er den Behörden, einfacher auf zusätzliche Ressourcen zuzugreifen, um die Lage schnellstmöglich wieder in den Griff zu bekommen.
Infolge des Angriffs liegt die Verwaltung des Landkreises mit rund 157.000 Einwohnern für zwei Wochen praktisch still. Unter anderem können keine Bescheide erstellt und keine Sozial- und Unterhaltsleistungen mehr ausgezahlt werden. Viele Bürger leiden also direkt unter den kurzfristigen Folgen. Doch die mittel- und langfristigen Auswirkungen sind möglicherweise noch viel verheerender: Wenn solche elementaren Grundaufgaben nicht mehr erfüllt werden können, stellt dies die grundsätzliche Leistungsfähigkeit des Staates infrage. Die Geschehnisse haben damit das Potential, das Vertrauen der Bürger empfindlich zu treffen. Beeinträchtigt dies am Ende das weitere Voranschreiten der Digitalisierung?
Natürlich ist es noch viel zu früh, um über konkrete Ursachen und Verantwortlichkeiten zu spekulieren. Dennoch führen uns die aktuellen Angriffe einige Problemfelder vor Augen, die wir dringend angehen müssen:
- Erstens haben Angriffe auf digitale Infrastrukturen immer häufiger Auswirkungen auf die physische Welt. Ob Krankenhäuser, Benzin-Pipelines oder Behörden angegriffen werden – durch die zunehmende Vernetzung aller Lebensbereiche könnten wir alle zukünftig noch häufiger zu Opfern von Cyberattacken werden. Umso wichtiger ist es, dass wir uns als Staat und Gesellschaft dieser Herausforderung stellen.
- Zweitens zeigt sich, dass bei digitalen wie bei physischen Katastrophen, eine gute Vorbereitung unerlässlich ist. Nur wenn es Pläne für den Ernstfall gibt, können die Schäden minimiert und schnellstmöglich behoben werden. Dazu gehören im Cyber-Raum die nötigen Werkzeuge zur schnellen Erkennung und Reaktion auf Angriffe. In diese Infrastrukturen müssen wir verstärkt investieren. Der Lichtblick ist, dass es sich bei Cyberangriffen – im Gegensatz zu vielen anderen Katastrophen – nicht um höhere Gewalt handelt. Wir haben echte Chancen, solche Vorfälle zu verhindern, wenn wir es wirklich wollen.
- Drittens stellen gerade kommunale Einrichtungen im Gefüge der digitalen Verwaltung noch immer einen Schwachpunkt dar. Während auf Bundes- und Länderebene verstärkt in digitale Infrastrukturen und besonders auch in deren Absicherung investiert wird, beispielsweise durch die Schaffung von CERTs, hinken Kommunen und Landkreise oft noch hinterher. Dabei sind gerade diese Behörden im Alltag der Menschen besonders präsent und Systemausfälle haben schnell unmittelbare Folgen für den Einzelnen. Natürlich besitzen Kommunen nur beschränkte finanzielle und personelle Ressourcen. Doch auch hierfür gibt es Lösungen – beispielsweise können IT-Sicherheitsdienstleistungen auch als „Managed Service“ von hochqualifizierten und -spezialisierten Partnern bezogen werden. Dies erlaubt eine professionelle Cyber-Abwehr auch bei kleinen Budgets.
Nach solchen Angriffen mögen manche reflexartig »der Digitalisierung« die Schuld geben und anzweifeln, ob es wirklich sinnvoll ist, diese weiter voranzutreiben. Dem möchte ich entschieden widersprechen: Wir werden zukünftig nicht mehr ohne digitale Prozesse auskommen. Es ist aber an der Zeit, diese endlich richtig zu machen, in gute Lösungen zu investieren und die Sicherheit dabei als wichtiges Querschnittsthema von Anfang an mitzudenken.«
Blackberry: Globale Verteidigung als Schlüssel gegen Ransomware
Marjorie Dickman, BlackberryEine globale Verteidigungsstrategie ist für Marjorie Dickman, Chief Government Affairs und Public Policy Officer bei BlackBerry der Schlüssel gegen Ransomware: »Regierungen weltweit beginnen, die Bedrohung durch Ransomware sehr ernst zu nehmen – und das aus gutem Grund: 2021 haben Cyber-Attacken auf die Colonial Pipeline in den USA, die französischen Krankenhäuser Dax und Villefranche-sur-Saône, Nine Entertainment in Australien, JBS Foods und zuletzt die Kaseya VSA-Lieferkette verdeutlicht, welch erheblichen Schaden Ransomware-Angriffe anrichten können. Die Cyber-Attacken haben teils verheerende Ausmaße: Kritische Infrastrukturen (KRITIS) werden lahmgelegt, globale Lieferketten zum Stillstand gebracht, der Betrieb von Krankenhäusern destabilisiert und Unternehmen in die Knie gezwungen.
Als Folge dieser Angriffe erwägen Regierungen auf der ganzen Welt, neue Gesetze zu verabschieden, Ransomware-Angriffe von einer zentralen Stelle analysieren zu lassen und Richtlinien zur rechtzeitigen Meldung durch betroffene Unternehmen einzuführen. Opfer von Ransomware-Attacken sollen die jeweilige Regierung direkt über Angriffe informieren, sodass die Angriffe untersucht und leichter verstanden werden können – ein klares Signal, dass Cyber-Bedrohungen sowohl ein nationales als auch ein internationales Sicherheitsproblem darstellen.
Die transparente Reaktion auf Cyber-Angriffe sowie die Einführung von standardisierten Abläufen für den effizienten Informationsaustausch zwischen privaten und öffentlichen Stellen verschaffen Regierungen und Organisationen eine Chance, sich wirksam vor Ransomware-Bedrohungen zu schützen und hohe Kosten durch Ausfallzeiten und Lösegeldzahlungen zu vermeiden. Je mehr Informationen über einzelne Angriffe gesammelt werden, desto besser können sie verstanden, Muster erkannt und ein Profil der Bedrohungsakteure erstellt werden.
Künstliche Intelligenz (KI) spielt eine zentrale Rolle dabei, dieses kollektive Wissen zu maximieren und Regierungen und Unternehmen mit den Erkenntnissen auszustatten, die sie benötigen, um eine präventive Verteidigung gegen Ransomware-Angriffe aufzubauen. Durch die Analyse von Millionen Malware-Samples verbessert die KI ihre Fähigkeit, bösartige Aktivitäten genau zu identifizieren und zu blockieren. Je umfangreicher die Datenbasis ist, desto besser wird die weltweite Cyber-Resilienz.
Cyber-Bedrohungen sind – ähnlich wie ein Großteil der betroffenen Organisationen selbst – nicht auf nationale Grenzen beschränkt. Dennoch gelten gesetzliche und regulatorische Befugnisse nur für definierte Rechtsräume wie Nationalstaaten oder Regionen. In Übereinstimmung mit den jüngsten Diskussionen innerhalb der G7 erfordert die Zukunft einen koordinierten, multilateralen Ansatz, um gegen das ständig wachsende Risiko von Ransomware und anderen Cyber-Angriffen anzukämpfen. Böswillige Akteure schlagen grundsätzlich überall dort zu, wo es eine Schwachstelle, eine Sicherheitslücke oder einen entsprechenden Anreiz gibt. Vor diesem Hintergrund ist eine geschlossene Front verbündeter Partner entscheidend für die Stärkung unserer globalen Cyber-Abwehr.«
Rubrik: Bedeutung von Backups erschließt sich oft erst, wenn es zu spät ist
Roland Rosenau, RubrikRoland Rosenau, Manager bei Rubrik, bewertet die Erkenntnisse: »Die Verwaltung geht aktuell davon aus, dass bis zu sechs Monate ins Land ziehen werden, bis die Systeme wieder voll einsatzfähig sind. Das ist für eine Behörde ein massives Problem und für ein Wirtschaftsunternehmen eigentlich nicht zu überleben.
Diese düstere Prognose deutet daraufhin, dass funktionierende Backups fehlen. Entweder wurden die vorhandenen Backups, was wahrscheinlich ist, auch kompromittiert oder es gab gar keine. Entsprechend werden viele Daten in den kommenden Wochen und Monaten neu erstellt bzw. abgetippt werden müssen. Für beide Probleme hätte es aber Lösungen gegeben: Unveränderbare Backups sind gegen Verschlüsselung immun, und automatisierte Datensicherungen sorgen dafür, dass überhaupt regelmäßig Backups erzeugt werden.
Zudem wurde erklärt, dass noch nicht klar sei, welche und wie viele Daten verschlüsselt wurden. Dieses Problem haben praktisch alle Organisationen, die mit Ransomware angegriffen werden. Es ist nahezu unmöglich, zu überprüfen, welche Bereiche betroffen sind. Von daher sollte man vom schlimmsten Fall ausgehen, um schnellstmöglich mit der Wiederherstellung zu beginnen.
Aktuell versuchen die IT-Teams des Landkreises sowie externe Experten die Quelle der Malware-Infektion zu finden. Hier raten wir zunächst zu einer Analyse der Backups. Dabei kann dann im Idealfall festgestellt werden, von wann die letzte funktionierende Backupkopie ist. Von daher lässt sich zumindest der Zeitpunkt des Angriffs schonmal eingrenzen. Mit Hilfe weiterer Forensik kann dann herausgefunden werden, wie genau die Malware in das System der Verwaltung geraten ist. Dies muss auch genau die Vorgehensweise sein, um zu verhindern, dass die Erpresser auch in den vermeintlich funktionierenden Backups eine Hintertür eingebaut haben, durch die sie jederzeit wieder eine Verschlüsselung starten können.
Der aktuelle Fall macht doch ein Fakt deutlich: Cybersicherheitsvorkehrungen sind nie perfekt. Es genügt eine kleine Lücke in der Verteidigung, und schon haben die Angreifer recht freie Fahrt. Deshalb muss eine zweite Schutz-Strategie umgesetzt werden. Diese umfasst zwingend das Thema der Backups. Leider erschließt sich deren Bedeutung vielen Organisationen erst dann, wenn es schon zu spät ist.
Wenn kein Backup da ist, müssen die Daten neu erzeugt werden. Im Zweifelsfall werden Papierakten genommen und mit Hilfe von Datenerfassern wieder in das EDV-System übertragen. Dann ist ein Schritt essentiell: Sobald neue Objekte erstellt werden, kommen diese automatisiert ins Backup ohne, dass ein Client bzw. Agent installiert werden muss. Des Weiteren muss sichergestellt sein, dass die Backups, die vorhanden sind, in einem unveränderbaren Format abgespeichert sind. Wie sich hier herausstellt, ist die fehlende Backup-Kopie der Hauptgrund für die enorm lange Zeit, die für die Wiederherstellung benötigt wird. Eine komplette Wiederherstellung aus Backups sollte innerhalb von wenigen Tagen möglich sein. Moderne Recovery-Lösungen sollten sogar binnen einiger Stunden ein Unternehmen oder eine Behörde wieder startklar machen.«
Cohesity: Backup ist nicht alles, aber ohne Backup ist alles nichts
Wolfgang Huber, Cohesity Der Landkreis will den Computer-Hackern kein Lösegeld zahlen und folgt damit der Empfehlung des BSI. Wolfgang Huber, Regional Director DACH bei Cohesity sieht es ähnlich: »Auch wenn es der einfachste Weg zu sein scheint, die Arbeitsfähigkeit von öffentlichen Einrichtungen und Unternehmen wieder herzustellen, stellt die Zahlung eines Lösegelds das System nicht wieder her. Es stehen noch erhebliche Aufräumarbeiten an aufgrund von Dateibeschädigungen und durch den längeren Netzwerk- und Dienstausfall. Der schnell gezahlte Dollar bringt nicht die Abhilfe, die er verspricht. Und wenn Lösegeld fließt, wird damit lediglich ein Angriff auf eine andere Organisation finanziert.
Abgesehen von den unmittelbaren Kosten werden Ransomware-Attacken auch versicherungsrechtlich zu einem Problem: So hat die Axa kürzlich angekündigt, keine Versicherungen gegen Ransomware mehr zu verkaufen. Und es ist auch anzunehmen, dass betroffene Unternehmen horrende Prämien zahlen müssen, wenn sie Opfer einer Attacke wurden und sich künftig absichern wollen.
Wenn Unternehmen Opfer von Ransomware werden, die ihren Betrieb nachhaltig gefährdet, und sie über Zahlung eines Lösegeldes nachdenken, läuft schon lange gehörig etwas schief. Sie müssen diesen Angriffen zuvorkommen, indem sie sich richtig vorbereiten.
Wenn Unternehmen Maßnahmen zur Datenwiederherstellung ergreifen, bevor ein Ransomware-Angriff erfolgt, sind sie in der stärksten Position – eine häufig unterschätzte Rolle spielen dabei Lösungen für Daten-Backup und -Wiederherstellung. Das Zauberwort heißt »Immutable Backups« (mehr zu Immutable-Storage: Storage-Magazin 03/2021 »Storage für den Mittelstand«). Auch das Sky Lakes-Krankenhaus in den USA wurde im letzten Herbst zur Zielscheibe eines Ransomware-Angriffs (Ryuk) – durch den Einsatz von Immutable-Backups konnte Sky Lakes seine Systeme erfolgreich schützen und ohne Lösegeld-Zahlung wiederherstellen.
Ein Backup kann jedoch nur ein Teil einer Security-Strategie sein: Security hat einen viel größeren Stellenwert und muss zwingend ganzheitlich betrachtet werden. Ransomware ist durch seine aktuelle Omnipräsenz ein Treiber, der dafür sorgt, dass sich Unternehmen und öffentliche Einrichtungen dem Thema noch intensiver widmen. Ein unveränderbares Backup ist darin ein enorm wertvoller Baustein, der eine schnellere Überwindung einer solchen Krise wie im Fall des Landkreis Anhalt-Bitterfeld und eine Rückkehr zur Arbeitsfähigkeit sicherstellt.«
