Ein Hackerangriff lähmt die interne und externe Kommunikation kommunaler Betriebe in Darmstadt. Am Wochenende sahen sich die Unternehmen Entega, bauverein, HEAG mobilo und HEAG-Holding dem Angriff ausgesetzt. In einer städtischen Pressemeldung betonte Oberbürgermeister Jochen Partsch gestern, dass es „nach derzeitigen Erkenntnissen nicht zu Störungen in der Energieversorgung und im öffentlichen Nahverkehr“ gekommen sei. Gleichwohl ist die digitale Infrastruktur der kommunalen Unternehmen massiv beeinträchtigt. Genaueres teilt die Stadt aus „ermittlungstechnischen Gründen“ nicht mit. Das Beispiel zeigt die Schattenseite der Digitalisierung und die Anfälligkeit von Systemen der kommunalen Daseinsvorsorge. Dazu gehören oft sogenannte Ransomware-Angriffe. Dabei stellen die Angreifer erpresserische Forderungen für die Datenfreigabe. In seinem Gastbeitrag betrachtet Falk Herrmann das Thema aus kommunaler Perspektive.
Cyberkriminalität: Kommune ruft Katastrophenfall aus
Kritische Infrastrukturen standen 2021 erneut stark im Visier von Cyberkriminellen. Das ist ein Ergebnis des Bundeslagebildes „Cybercrime“ 2021 des Bundeskriminalamtes (BKA), das unlängst vorgestellt wurde. Weitere Erkenntnis: Ransomware-Angriffe werden immer gefährlicher.
Am 5. Juli 2021 fiel etwa die Landkreisverwaltung Anhalt-Bitterfeld einem schweren Cyberangriff zum Opfer. Die Bereitstellung öffentlicher Dienstleistungen war nach der Ransomware-Attacke nachhaltig eingeschränkt. Der Landkreis rief den Katastrophenfall aus. Ein Novum. Auch Monate nach dem Angriff war noch kein Regelbetrieb möglich.
Ransomware: Gefährdungslage verschärft sich
Laut aktuellem BKA-Lagebild standen Kritische Infrastrukturen (KRITIS) – zu denen auch Staat und Verwaltung zählen – im vergangenen Jahr besonders im Visier von Angreifern. Hinter solchen Angriffen stecken in den meisten Fällen sogenannte Ransomware-Attacken – also Erpressungsangriffe, die Daten verschlüsseln oder abziehen und dann ein Lösegeld fordern.
Die Zahl der Erpresserangriffe hat 2021 weiter zugenommen, so das BKA. Der jährliche Schaden durch Ransomware ist in den vergangenen Jahren gleichzeitig rasant gestiegen: auf circa 24,3 Milliarden Euro in 2021 von 5,3 Milliarden Euro im Jahre 2019. Der durchschnittliche Schaden pro Attacke hat um 21 Prozent zugelegt. Der Ransomware-Trend ist nicht neu – doch die Gefährdungslage verschärft sich aktuell dramatisch.
Zehn Gründe, warum Ransomware gefährlicher wird
1. Die Malware gibt es im Online-Shop.
Für Kriminelle wird es immer einfacher, Erpressungsangriffe zu starten. Denn die dafür benötigte Malware kann inzwischen jeder auf einschlägigen Seiten im Internet erwerben. Durch ein solches „Ransomware-as-a-Service“-Angebot wachsen die Verbreitung und die Professionalisierung der Angriffe weiter an.
2. Phishing wird immer professioneller.
Personenbezogene Daten können bereits für geringe Summen erworben werden. Phishing-E-Mails lassen sich dadurch immer realistischer gestalten. Für die Mitarbeitenden von Kommunen und Behörden wird es dadurch immer schwerer, kriminelle E-Mails zu enttarnen. Das ist extrem gefährlich: Denn Phishing gehörte 2021 zu den Haupteintrittsvektoren für Schadsoftware – auch von Ransomware.
3. Fake-E-Mails schüren die Angst.
Phishing-E-Mails versuchen, die Unsicherheiten der Empfänger auszunutzen oder eine Angstkulisse aufzubauen. Dies gelingt etwa durch knappe Zeitfristen oder Androhung von Geldstrafen. Zu den am häufigsten für Phishing imitierten Absender zählten 2021 Microsoft, DHL, Amazon, Google und WhatsApp.
4. Die Erfolgsquote steigt.
Die Abhängigkeit von digitalen Daten ist in Kommunen stark gewachsen. Sie sind daher eher bereit, auf die Forderungen von Erpressern einzugehen.
5. Das Erpressungsgeschäft wird immer lukrativer.
Daten werden bei Ransomware-Angriffen längst nicht nur verschlüsselt, sondern auch von den Systemen gestohlen. Auf diese Weise lassen sie sich weiterverkaufen. Außerdem können Hacker Schweigegeld einfordern, wenn sie androhen, diese zu veröffentlichen.
6. DDoS verschärft Erpressungen.
Zusätzlich zur Datenverschlüsselung und -veröffentlichung legen immer mehr DDoS (Distributed Denial of Service)-Attacken die Webseiten der Opfer lahm. Im Jahr 2021 hat das BKA verstärkt Multivektor-Angriffe, sogenanntes Carpet-Bombing, und eine Kombination von DDoS- und Ransomware-Angriffen, festgestellt. Cyberkriminelle versuchen mit solchen Attacken, das Zielsystem mit einer großen Datenmenge derart zu überlasten, dass es für Nutzer nicht oder nur sehr eingeschränkt verfügbar ist.
7. Cyberkriminelle erfinden sich neu.
Gestern Darkside heute Blackmatter, gerade noch Grandcrab, dann Revil: Steigt der Ermittlungsdruck auf eine Hackergruppe, löst sich diese häufig auf – nur um sich einige Zeit später unter einem anderen Namen neu zu erfinden. Häufig mit neuen Methoden und noch gefährlicher als vorher.
8. Emotet ist wieder da.
Ransomware war zuletzt auch deshalb auf dem Vormarsch, weil der Trojaner Emotet, „die gefährlichste Software der Welt“, wieder auftauchte. Er dient als Türöffner, über den sich weitere Schadsoftware nachladen lässt, auch Ransomware.
9. Sicherheitslücke „Faktor Mensch“.
Phishing zielt auf die Schwachstelle Mensch. Die Mitarbeitenden werden immer geschickter dazu verleitet, schädliche Anhänge zu öffnen und auf Webseiten mit Schadcodes zu gehen.
10. Gängige IT-Sicherheits-Tools sind machtlos.
Angesichts dieses immer professionelleren und geschickteren Vorgehens der Täter, reichen einzelne Firewalls oder Virenschutzprogramme längst nicht mehr aus.
Was Kommunen gegen die Gefahr tun können
Die gute Nachricht ist: Kommunen können sich vor Ransomware schützen beziehungsweise die Gefahr eines Angriffs minimieren. Und zwar mit folgenden Maßnahmen:
– Sicherheitslücken schließen.
Mit Programmkorrekturen – sogenannten Patches – lassen sich bekannte Fehler in Programmen ausbessern oder Sicherheitslücken schließen. Patches sollten regelmäßig und zeitnah auf alle Geräte im IT-Netzwerk eines Unternehmens aufgespielt werden.
– Keine veralteten Systeme.
Das Alter der Geräte spielt eine wichtige Rolle für die Netzwerksicherheit. Veraltete Systeme mit nicht mehr unterstützten Betriebssystemen sollten keinesfalls in einem mit dem Internet verbundenen Netzwerk laufen.
– Vertrauensvolle Links nutzen.
Anhänge oder Links, die nicht zweifelsfrei sicherer Herkunft sind, sollten auf keinen Fall geöffnet werden. Die Mitarbeitenden müssen entsprechend geschult werden.
– Verifizierte Download-Quellen.
Mitarbeitende sollten niemals Programme aus dem Internet herunterladen, die nicht von verifizierten Stellen angeboten sind.
– Daten mit Backups sichern.
Regelmäßige Backups auf externen Datenträgern sichern den Zugang zu unternehmenskritischen Daten.
– Sicherheitstechnologien einsetzen.
Zusätzlich gibt es sehr wirksame IT-Sicherheitstechnologien, mit denen sich Ransomware-Angriffe abwehren lassen. Der wichtigste Schutz ist die Absicherung des Internetzugangs. Am konsequentesten ist das durch eine Trennung von Internet und internem Netzwerk möglich – denn dann kann Schadsoftware nicht in das Basisbetriebssystem eindringen. Praktisch umsetzen lässt sich das mit einem virtuellen Browser: Die Nutzer arbeiten mit einer vom Betriebssystem separierten Maschine. Entscheidend ist es, dass es sich dabei um eine vollvirtualisierte Surfumgebung handelt. Dabei wird zusätzlich auf der Netzwerkebene der Zugang zum Internet vom Intranet getrennt. Diese Lösung ermöglicht eine konsequente Netzwerktrennung und schützt auch vor Angriffen via E-Mail-Anhängen oder bei Webkonferenzen mit Mikrofonnutzung und Webcam-Unterstützung. Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand. Kommt ein virtueller Browser zum Einsatz, haben Cyberkriminelle keine Chance.
Falk Herrmann (Quelle: Rohde & Schwarz Cybersecurity/Thom Bell)
Der Autor
Dr. Falk Herrmann ist CEO von Rohde & Schwarz Cybersecurity. Das Unternehmen hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die vollvirtualisierte Surfumgebung „R&S Browser in the Box“ entwickelt.
