Cyber-Erpressungen nehmen zu: Geld oder Daten!
Kriminelle wollen eine halbe Million Euro in der Kryptowährung Monero vom Landkreis Anhalt-Bitterfeld erpressen. Das ist kein Einzelfall.
Computer werden gehackt, die Daten verschlüsselt – und die Behörden erpresst Illustration: Johanna Walderdorff
Was macht man, wenn eine Behörde von einem massiven Cyberangriff lahmgelegt wird? Wenn die Mitarbeitenden dringend darauf hingewiesen werden müssen, dass sie ihre Rechner herunterfahren sollen, damit das schon im System befindliche Virus nicht noch mehr Schaden anrichten kann? Wenn das aber aus gegebenem Anlass natürlich nicht per E-Mail geht? Dann kann sich glücklich schätzen, wer noch über eine Lautsprecheranlage verfügt.
Der Landkreis Anhalt-Bitterfeld – 8 Standorte, 20 Ämter, rund 1.000 Mitarbeiter:innen –, der am 6. Juli vergangenen Jahres von einer solchen Attacke getroffen wurde, hatte so zumindest ein Werkzeug, um im allerersten Moment nach der Entdeckung des Angriffs Notfallmaßnahmen einleiten zu können. Es war nicht der erste Angriff dieser Art auf eine Institution der öffentlichen Hand, aber einer, der besonders viel Aufmerksamkeit erlangte. Denn der Landkreis entschloss sich schnell, den Katastrophenfall auszurufen. Das ist eine Maßnahme, die sonst etwa bei extremen Wetterereignissen vorkommt – aber bislang nicht bei einem Cyberangriff.
Die Angreifer:innen kamen vermutlich über eine Phishing-Mail ins System. Die Forderung der Gruppe „Pay or Grief“ (Zahle oder trauere): eine halbe Million Euro, zu zahlen in der Kryptowährung Monero. Im Vergleich zu Angriffen auf Wirtschaftsunternehmen eine überschaubare Summe. Dass sie es dennoch ernst meinten mit der Drohung, machten die Angreifer:innen bald nach der Attacke deutlich: Sie veröffentlichten einen Teil der erbeuteten Daten, darunter Handynummern und Bankverbindungen von Kreistagsabgeordneten sowie Sitzungsprotokolle.
Das Prinzip: Kriminelle hacken sich ins IT-System ihres Opfers, sie verschlüsseln oder kopieren die Daten und fordern dann ein Lösegeld
Attacken mit Erpressersoftware – Ransomware genannt – sind einer der großen Cybercrime-Trends der vergangenen Jahre. Das Prinzip: Kriminelle verschaffen sich Zugang zum IT-System ihres Opfers und verschlüsseln und/oder kopieren die Daten. Anschließend setzen die Angreifer:innen die Opfer unter Druck. Sie sollen ein Lösegeld zahlen, andernfalls blieben die Daten verschlüsselt, würden veröffentlicht oder Dritte wie Geschäftspartner:innen oder Patient:innen über den Angriff informiert und so die Reputation infrage gestellt.
Kryptowährung als übliches Zahlungsmittel
Das Vorgehen ist so beliebt, dass sich eine eigene Branche in der Branche entwickelt hat: Ransomware as a Service. Dabei vermieten Ransomware-Entwickler:innen ihre Software. Auch wer selbst keine Ahnung von entsprechender Programmierung hat, kann so Angriffe fahren. Die Zahlung läuft auch hier typischerweise per Kryptowährung.
„Cyber-Erpressungen entwickeln sich zur größten Bedrohung“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Jahresbericht 2021. Die Folgen „können tage- oder wochenlange Netzwerkausfälle bedeuten, in denen Produktion oder Dienstleistungsangebote nur eingeschränkt oder gar nicht mehr zur Verfügung stehen“.
Dabei sind Online-Erpressungen kein neues Phänomen. Sehr wohl aber die Summen, die die Angreifer:innen verlangen – und die teilweise gezahlt werden. So brachten 2021 einzelne US-amerikanische Unternehmen jeweils Summen im zweistelligen Millionenbereich auf. Bis ein Angriff bemerkt wird, kann einige Zeit vergehen. Zeit, in der die Angreifer:innen ihre Schadsoftware im System verteilen und sich weitere Zugriffe verschaffen können. Auch in Anhalt-Bitterfeld lag etwa ein Monat zwischen Infektions- und Ausbruchszeitpunkt.
„Die Situation ist beschissen, aber nicht hoffnungslos“, sagt der damalige Landrat Anhalt-Bitterfelds Uwe Schulze (CDU) kurz nach dem Angriff. Die Kreisverwaltung war in weiten Bereichen nicht mehr arbeitsfähig – ob das nun eine Bafög-Zahlung oder eine Kfz-Anmeldung betraf. Für Angreifer:innen sind Verwaltung und öffentliche Einrichtungen daher ein attraktives Ziel. Zwar sind sie in der Regel weniger finanzkräftig als Unternehmen – doch die sensiblen Daten der Bürger:innen machen sie erpressbar.
Lösegeld wurde nicht gezahlt
Anhalt-Bitterfeld entschied sich trotz allem früh gegen eine Lösegeldzahlung. „Die Frage stand ungefähr zehn Sekunden im Raum, dann hat man sich tief in die Augen geguckt und gesagt: Die öffentliche Hand wird keine Lösegeldforderungen bedienen“, berichtet Sabine Griebsch, Chief Digital Officer der Landkreisverwaltung und technische Einsatzleiterin beim Umgang mit dem Angriff, bei einer Veranstaltung im Dezember.
Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.
Auch Expert:innen, etwa des BSI, raten von Lösegeldzahlungen ab. Zum einen, weil die Täter:innen das Geld in Infrastruktur und Personal neuer Angriffe stecken können. Und zum anderen, weil auch eine Zahlung keine Garantie dafür ist, die Daten wiederzubekommen.
Doch auch ohne Lösegeldzahlung sind die Kosten für den Landkreis nicht ohne. Zwei Millionen Euro seien bislang geflossen, die Systeme wieder aufzubauen. Und fertig ist man immer noch nicht. „Wir rechnen aktuell mit einem Abschluss der Arbeiten Ende 2. Quartal 2022“, sagte Griebsch im Februar der taz. Eines der grundsätzlichen Probleme: Es fehle an qualifiziertem Personal. Die Leitung des neuen IT-Amtes ist weiterhin unbesetzt, in der ersten Runde seien nur zwei Bewerbungen eingegangen und der geeignetere Kandidat abgesprungen. In der zweiten Runde dann: null Bewerbungen. Das Problem kennen auch andere Behörden. In der freien Wirtschaft lässt sich mit IT-Kenntnissen schlichtweg ein Vielfaches an Geld verdienen.
Unabhängig davon bekommen die Verwaltungen des Landkreises ein neues Niveau an IT-Sicherheit verordnet. Die Mindestpasswortlänge wurde erhöht, lokale Administrator-Accounts abgeschafft, das Bewusstsein der Mitarbeiter:innen für IT-Sicherheit und Angriffe gestärkt. Doch zu sehr in die Karten schauen lassen möchte sich Sabine Griebsch nicht. Sie geht davon aus, dass Angreifer:innen sehr genau hinschauen werden, wenn die Systeme in Anhalt-Bitterfeld wieder komplett am Netz sind – und ausloten, wie gut das Abdichten funktioniert hat.
Bislang sind im Internet nicht noch weitere persönliche Daten aufgetaucht, die von den Erpresser:innen in Anhalt-Bitterfeld erbeutet sein könnten. Es ist allerdings nicht ausgeschlossen, dass es noch dazu kommt – oder dass, bislang unentdeckt, Datensätze bereits im Darknet gehandelt werden. Sabine Griebsch rät anderen Kommunen dringend, „einen Plan B oder überhaupt einen Plan in der Tasche“ zu haben, für den Fall eines Angriffs. Ihre Vermutung: „Die paar Vorfälle, die jetzt in die Öffentlichkeit getreten sind, sind wirklich nur die Spitze des Eisberges.“
Leser*innenkommentare
Dodoist
Ich habe in meiner Firma eine massive Firewall errichtet. Der Rechner mit den Kundendaten weiß nicht einmal das es ein Internet gibt. Das sollte auch Verwaltung und Firmen möglich sein. Das Internet und das Intranet sollten konsequent getrennt werden.
05989 (Profil gelöscht)
Gast
Es gibt ein relativ einfache Strategie, sich von dieser Form von Cyberkriminalität zu befreien - und viele Verwaltungen in Europa verfolgen diese Strategie: Open Source.
Dabei geht es nicht zwingend nur um die Transparenz des offenen Source-Codes, zumindest nicht in erster Linie - es geht darum, dass Software amerikanischer Softwarehäuser unter Abhängigkeiten entstehen, die nicht zu unserem Schutz existieren. Die Stichworte sind National Security Letter, CIA, NSA und Vorgänge um Lavabit oder gepatchte Cisco-Router.
Die Dominanz von Microsoft Betriebssystemen, Desktop-Software und Servern ist für fast alle Ransomware-Attacken, die seit einigen Jahren stattfinden, verantwortlich. Ein prominentes Beispiel ist die Attacke auf den Chip-Designer Nvidia, deren Initiatoren von Nvidia hohe Lösegelder fordern und mit der alternativen Veröffentlichung essentieller Geschäftsgeheimnisse drohen.
Die deutsche Digital-Faulheit macht alles schlimmer: Jede Kommune, jeder Kreis, jedes Bundesland wurschtelt für sich und hat kaum Geld, um auch nur einen erfahreren Administrator zu bezahlen. Die Einrichtung des BSI oder zum Beispiel des IT-Dienstleistungszentrum des Freistaats Bayern LDBV sind wahrscheinlich die richtigen Schritte, lassen aber noch viel zu viele Lücken. Dazu sind auch diese Einrichtungen am Wunsch der Kommunen nach Microsoft-Software eingenordet.
Die Digital-Kompetenz im öffentlichen Dienst hat sich in den letzten zwei Jahrzehnten kaum verbessert, Corona zeigte wie furchtbar die Zustände an den Schulen sind - wo immerhin praktisch alle ein Hochschulstudium vorweisen können und es für Digitalisierung halten, wenn sie eine Mail-Adresse haben.
Einstellungsvoraussetzung für viele Jobs sind nach wie vor Kenntnisse mit "MS-Office" - nicht mit Office-Software - was dazu führt, dass zertifizierte Digitaldienstverweigerer gegenüber Bewerbern mit echter Erfahrung bevorzugt werden.
Es ist ein verdammter digitaler Alptraum...
93851 (Profil gelöscht)
Gast
Die Digitalisierung lässt grüßen!
Da "lobt" man sich nicht zuletzt die elektronische Patientenakte...
Was ist denn bitteschön sicher?
NICHTS.
Und das ist keine neue Erkenntnis.
Bolzkopf
Ich kann nicht verhehlen, dass eine gewisse Häme an meinen Mundwinkeln zupft.
Haben doch reihenweise Spezialisten davor gewarnt alles über ein System 08/15 (oder wie auch immer der angelsächsische Raum verglaste Öffnungen im Mauerwerk bezeichnet) zu scheren.
Die sogenannten "Wirtschaftswissenschaftler" haben wie immer die Nase vorn.
Computercode schreibt sich ja fast von selbst - und in Indien auch noch zum halben Preis ... in der halben Zeit.
Aber zu Zeiten von 08/15 wusste man schon: Wenn alle den gleichen Krempel nutzen sind nicht nur alle gleich angreifbar sondern der Gegner kann erbeutete Waffen und Muniton in seinen eigenen 08/15-er verwenden - und genau so arbeiten Cyberkriminelle.