Cyber-Erpressungen nehmen zu: Geld oder Daten!
Kriminelle wollen eine halbe Million Euro in der Kryptowährung Monero vom Landkreis Anhalt-Bitterfeld erpressen. Das ist kein Einzelfall.
Was macht man, wenn eine Behörde von einem massiven Cyberangriff lahmgelegt wird? Wenn die Mitarbeitenden dringend darauf hingewiesen werden müssen, dass sie ihre Rechner herunterfahren sollen, damit das schon im System befindliche Virus nicht noch mehr Schaden anrichten kann? Wenn das aber aus gegebenem Anlass natürlich nicht per E-Mail geht? Dann kann sich glücklich schätzen, wer noch über eine Lautsprecheranlage verfügt.
Der Landkreis Anhalt-Bitterfeld – 8 Standorte, 20 Ämter, rund 1.000 Mitarbeiter:innen –, der am 6. Juli vergangenen Jahres von einer solchen Attacke getroffen wurde, hatte so zumindest ein Werkzeug, um im allerersten Moment nach der Entdeckung des Angriffs Notfallmaßnahmen einleiten zu können. Es war nicht der erste Angriff dieser Art auf eine Institution der öffentlichen Hand, aber einer, der besonders viel Aufmerksamkeit erlangte. Denn der Landkreis entschloss sich schnell, den Katastrophenfall auszurufen. Das ist eine Maßnahme, die sonst etwa bei extremen Wetterereignissen vorkommt – aber bislang nicht bei einem Cyberangriff.
Die Angreifer:innen kamen vermutlich über eine Phishing-Mail ins System. Die Forderung der Gruppe „Pay or Grief“ (Zahle oder trauere): eine halbe Million Euro, zu zahlen in der Kryptowährung Monero. Im Vergleich zu Angriffen auf Wirtschaftsunternehmen eine überschaubare Summe. Dass sie es dennoch ernst meinten mit der Drohung, machten die Angreifer:innen bald nach der Attacke deutlich: Sie veröffentlichten einen Teil der erbeuteten Daten, darunter Handynummern und Bankverbindungen von Kreistagsabgeordneten sowie Sitzungsprotokolle.
Attacken mit Erpressersoftware – Ransomware genannt – sind einer der großen Cybercrime-Trends der vergangenen Jahre. Das Prinzip: Kriminelle verschaffen sich Zugang zum IT-System ihres Opfers und verschlüsseln und/oder kopieren die Daten. Anschließend setzen die Angreifer:innen die Opfer unter Druck. Sie sollen ein Lösegeld zahlen, andernfalls blieben die Daten verschlüsselt, würden veröffentlicht oder Dritte wie Geschäftspartner:innen oder Patient:innen über den Angriff informiert und so die Reputation infrage gestellt.
Kryptowährung als übliches Zahlungsmittel
Das Vorgehen ist so beliebt, dass sich eine eigene Branche in der Branche entwickelt hat: Ransomware as a Service. Dabei vermieten Ransomware-Entwickler:innen ihre Software. Auch wer selbst keine Ahnung von entsprechender Programmierung hat, kann so Angriffe fahren. Die Zahlung läuft auch hier typischerweise per Kryptowährung.
„Cyber-Erpressungen entwickeln sich zur größten Bedrohung“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Jahresbericht 2021. Die Folgen „können tage- oder wochenlange Netzwerkausfälle bedeuten, in denen Produktion oder Dienstleistungsangebote nur eingeschränkt oder gar nicht mehr zur Verfügung stehen“.
Dabei sind Online-Erpressungen kein neues Phänomen. Sehr wohl aber die Summen, die die Angreifer:innen verlangen – und die teilweise gezahlt werden. So brachten 2021 einzelne US-amerikanische Unternehmen jeweils Summen im zweistelligen Millionenbereich auf. Bis ein Angriff bemerkt wird, kann einige Zeit vergehen. Zeit, in der die Angreifer:innen ihre Schadsoftware im System verteilen und sich weitere Zugriffe verschaffen können. Auch in Anhalt-Bitterfeld lag etwa ein Monat zwischen Infektions- und Ausbruchszeitpunkt.
„Die Situation ist beschissen, aber nicht hoffnungslos“, sagt der damalige Landrat Anhalt-Bitterfelds Uwe Schulze (CDU) kurz nach dem Angriff. Die Kreisverwaltung war in weiten Bereichen nicht mehr arbeitsfähig – ob das nun eine Bafög-Zahlung oder eine Kfz-Anmeldung betraf. Für Angreifer:innen sind Verwaltung und öffentliche Einrichtungen daher ein attraktives Ziel. Zwar sind sie in der Regel weniger finanzkräftig als Unternehmen – doch die sensiblen Daten der Bürger:innen machen sie erpressbar.
Lösegeld wurde nicht gezahlt
Anhalt-Bitterfeld entschied sich trotz allem früh gegen eine Lösegeldzahlung. „Die Frage stand ungefähr zehn Sekunden im Raum, dann hat man sich tief in die Augen geguckt und gesagt: Die öffentliche Hand wird keine Lösegeldforderungen bedienen“, berichtet Sabine Griebsch, Chief Digital Officer der Landkreisverwaltung und technische Einsatzleiterin beim Umgang mit dem Angriff, bei einer Veranstaltung im Dezember.
Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.
Auch Expert:innen, etwa des BSI, raten von Lösegeldzahlungen ab. Zum einen, weil die Täter:innen das Geld in Infrastruktur und Personal neuer Angriffe stecken können. Und zum anderen, weil auch eine Zahlung keine Garantie dafür ist, die Daten wiederzubekommen.
Doch auch ohne Lösegeldzahlung sind die Kosten für den Landkreis nicht ohne. Zwei Millionen Euro seien bislang geflossen, die Systeme wieder aufzubauen. Und fertig ist man immer noch nicht. „Wir rechnen aktuell mit einem Abschluss der Arbeiten Ende 2. Quartal 2022“, sagte Griebsch im Februar der taz. Eines der grundsätzlichen Probleme: Es fehle an qualifiziertem Personal. Die Leitung des neuen IT-Amtes ist weiterhin unbesetzt, in der ersten Runde seien nur zwei Bewerbungen eingegangen und der geeignetere Kandidat abgesprungen. In der zweiten Runde dann: null Bewerbungen. Das Problem kennen auch andere Behörden. In der freien Wirtschaft lässt sich mit IT-Kenntnissen schlichtweg ein Vielfaches an Geld verdienen.
Unabhängig davon bekommen die Verwaltungen des Landkreises ein neues Niveau an IT-Sicherheit verordnet. Die Mindestpasswortlänge wurde erhöht, lokale Administrator-Accounts abgeschafft, das Bewusstsein der Mitarbeiter:innen für IT-Sicherheit und Angriffe gestärkt. Doch zu sehr in die Karten schauen lassen möchte sich Sabine Griebsch nicht. Sie geht davon aus, dass Angreifer:innen sehr genau hinschauen werden, wenn die Systeme in Anhalt-Bitterfeld wieder komplett am Netz sind – und ausloten, wie gut das Abdichten funktioniert hat.
Bislang sind im Internet nicht noch weitere persönliche Daten aufgetaucht, die von den Erpresser:innen in Anhalt-Bitterfeld erbeutet sein könnten. Es ist allerdings nicht ausgeschlossen, dass es noch dazu kommt – oder dass, bislang unentdeckt, Datensätze bereits im Darknet gehandelt werden. Sabine Griebsch rät anderen Kommunen dringend, „einen Plan B oder überhaupt einen Plan in der Tasche“ zu haben, für den Fall eines Angriffs. Ihre Vermutung: „Die paar Vorfälle, die jetzt in die Öffentlichkeit getreten sind, sind wirklich nur die Spitze des Eisberges.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?
Nordkoreas Soldaten in Russland
Kim Jong Un liefert Kanonenfutter
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten