Cyber-Erpressungen nehmen zu: Geld oder Daten!

Was macht man, wenn eine Behörde von einem massiven Cyberangriff lahmgelegt wird? Wenn die Mitarbeitenden dringend darauf hingewiesen werden müssen, dass sie ihre Rechner herunterfahren sollen, damit das schon im System befindliche Virus nicht noch mehr Schaden anrichten kann? Wenn das aber aus gegebenem Anlass natürlich nicht per E-Mail geht? Dann kann sich glücklich schätzen, wer noch über eine Lautsprecheranlage verfügt.

Der Landkreis Anhalt-Bitterfeld – 8 Standorte, 20 Ämter, rund 1.000 Mit­ar­bei­te­r:in­nen –, der am 6. Juli vergangenen Jahres von einer solchen Attacke getroffen wurde, hatte so zumindest ein Werkzeug, um im allerersten Moment nach der Entdeckung des Angriffs Notfallmaßnahmen einleiten zu können. Es war nicht der erste Angriff dieser Art auf eine Institution der öffentlichen Hand, aber einer, der besonders viel Aufmerksamkeit erlangte. Denn der Landkreis entschloss sich schnell, den Katastrophenfall auszurufen. Das ist eine Maßnahme, die sonst etwa bei extremen Wetterereignissen vorkommt – aber bislang nicht bei einem Cyberangriff.

Die An­grei­fe­r:in­nen kamen vermutlich über eine Phishing-Mail ins System. Die Forderung der Gruppe „Pay or Grief“ (Zahle oder trauere): eine halbe Million Euro, zu zahlen in der Kryptowährung Monero. Im Vergleich zu Angriffen auf Wirtschaftsunternehmen eine überschaubare Summe. Dass sie es dennoch ernst meinten mit der Drohung, machten die An­grei­fe­r:in­nen bald nach der Attacke deutlich: Sie veröffentlichten einen Teil der erbeuteten Daten, darunter Handynummern und Bankverbindungen von Kreistagsabgeordneten sowie Sitzungsprotokolle.

Attacken mit Erpressersoftware – Ransomware genannt – sind einer der großen Cybercrime-Trends der vergangenen Jahre. Das Prinzip: Kriminelle verschaffen sich Zugang zum IT-System ihres Opfers und verschlüsseln und/oder kopieren die Daten. Anschließend setzen die An­grei­fe­r:in­nen die Opfer unter Druck. Sie sollen ein Lösegeld zahlen, andernfalls blieben die Daten verschlüsselt, würden veröffentlicht oder Dritte wie Ge­schäfts­part­ne­r:in­nen oder Pa­ti­en­t:in­nen über den Angriff informiert und so die Reputation infrage gestellt.

Kryptowährung als übliches Zahlungsmittel

Das Vorgehen ist so beliebt, dass sich eine eigene Branche in der Branche entwickelt hat: Ransomware as a Service. Dabei vermieten Ransomware-Entwickler:innen ihre Software. Auch wer selbst keine Ahnung von entsprechender Programmierung hat, kann so Angriffe fahren. Die Zahlung läuft auch hier typischerweise per Kryptowährung.

„Cyber-Erpressungen entwickeln sich zur größten Bedrohung“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Jahresbericht 2021. Die Folgen „können tage- oder wochenlange Netzwerkausfälle bedeuten, in denen Produktion oder Dienstleistungsangebote nur eingeschränkt oder gar nicht mehr zur Verfügung stehen“.

Dabei sind Online-Erpressungen kein neues Phänomen. Sehr wohl aber die Summen, die die An­grei­fe­r:in­nen verlangen – und die teilweise gezahlt werden. So brachten 2021 einzelne US-amerikanische Unternehmen jeweils Summen im zweistelligen Millionenbereich auf. Bis ein Angriff bemerkt wird, kann einige Zeit vergehen. Zeit, in der die An­grei­fe­r:in­nen ihre Schadsoftware im System verteilen und sich weitere Zugriffe verschaffen können. Auch in Anhalt-Bitterfeld lag etwa ein Monat zwischen Infektions- und Ausbruchszeitpunkt.

„Die Situation ist beschissen, aber nicht hoffnungslos“, sagt der damalige Landrat Anhalt-Bitterfelds Uwe Schulze (CDU) kurz nach dem Angriff. Die Kreisverwaltung war in weiten Bereichen nicht mehr arbeitsfähig – ob das nun eine Bafög-Zahlung oder eine Kfz-Anmeldung betraf. Für An­grei­fe­r:in­nen sind Verwaltung und öffentliche Einrichtungen daher ein attraktives Ziel. Zwar sind sie in der Regel weniger finanzkräftig als Unternehmen – doch die sensiblen Daten der Bür­ge­r:in­nen machen sie erpressbar.

Lösegeld wurde nicht gezahlt

Anhalt-Bitterfeld entschied sich trotz allem früh gegen eine Lösegeldzahlung. „Die Frage stand ungefähr zehn Sekunden im Raum, dann hat man sich tief in die Augen geguckt und gesagt: Die öffentliche Hand wird keine Lösegeldforderungen bedienen“, berichtet Sabine Griebsch, Chief Digital Officer der Landkreisverwaltung und technische Einsatzleiterin beim Umgang mit dem Angriff, bei einer Veranstaltung im Dezember.

taz am wochenende

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.

Auch Expert:innen, etwa des BSI, raten von Lösegeldzahlungen ab. Zum einen, weil die Tä­te­r:in­nen das Geld in Infrastruktur und Personal neuer Angriffe stecken können. Und zum anderen, weil auch eine Zahlung keine Garantie dafür ist, die Daten wiederzubekommen.

Doch auch ohne Lösegeldzahlung sind die Kosten für den Landkreis nicht ohne. Zwei Millionen Euro seien bislang geflossen, die Systeme wieder aufzubauen. Und fertig ist man immer noch nicht. „Wir rechnen aktuell mit einem Abschluss der Arbeiten Ende 2. Quartal 2022“, sagte Griebsch im Februar der taz. Eines der grundsätzlichen Probleme: Es fehle an qualifiziertem Personal. Die Leitung des neuen IT-Amtes ist weiterhin unbesetzt, in der ersten Runde seien nur zwei Bewerbungen eingegangen und der geeignetere Kandidat abgesprungen. In der zweiten Runde dann: null Bewerbungen. Das Problem kennen auch andere Behörden. In der freien Wirtschaft lässt sich mit IT-Kenntnissen schlichtweg ein Vielfaches an Geld verdienen.

Unabhängig davon bekommen die Verwaltungen des Landkreises ein neues Niveau an IT-Sicherheit verordnet. Die Mindestpasswortlänge wurde erhöht, lokale Administrator-Accounts abgeschafft, das Bewusstsein der Mit­ar­bei­te­r:in­nen für IT-Sicherheit und Angriffe gestärkt. Doch zu sehr in die Karten schauen lassen möchte sich Sabine Griebsch nicht. Sie geht davon aus, dass An­grei­fe­r:in­nen sehr genau hinschauen werden, wenn die Systeme in Anhalt-Bitterfeld wieder komplett am Netz sind – und ausloten, wie gut das Abdichten funktioniert hat.

Bislang sind im Internet nicht noch weitere persönliche Daten aufgetaucht, die von den Er­pres­se­r:in­nen in Anhalt-Bitterfeld erbeutet sein könnten. Es ist allerdings nicht ausgeschlossen, dass es noch dazu kommt – oder dass, bislang unentdeckt, Datensätze bereits im Darknet gehandelt werden. Sabine Griebsch rät anderen Kommunen dringend, „einen Plan B oder überhaupt einen Plan in der Tasche“ zu haben, für den Fall eines Angriffs. Ihre Vermutung: „Die paar Vorfälle, die jetzt in die Öffentlichkeit getreten sind, sind wirklich nur die Spitze des Eisberges.“