Ransomware-Angriffe: Wie man sich gegen automatisierte Erpressung wehrt
Was der Südwestfalen IT (SIT) im Oktober 2023 passiert ist, klingt wie ein Albtraum für jedes Unternehmen und jede öffentliche Einrichtung. Über Nacht brach die gesamte Kommunikation ein. Weder per E-Mail noch per Telefon konnte der IT-Dienstleister Kontakt zur Außenwelt aufnehmen. Die öffentlichen Dienstleistungen der 72 zum Verbund gehörigen Kommunen, die sich ansonsten auf die Infrastruktur der Südwestfalen IT verlassen konnten, waren praktisch nicht mehr zugänglich. Die Behörden konnten keine Termine mehr vergeben und anfallende Aufgaben nicht mehr erledigen, da die Mailumgebung und die WLAN-Anbindung neu aufgebaut werden muss.
Jetzt, rund drei Wochen nach dem kriminellen Cyberangriff auf die Südwestfalen IT, hat das Unternehmen die wiederherzustellenden Prozesse nach Dringlichkeit priorisiert und zumindest eine Notfall-Telefonie eingerichtet. Die dringendsten Verwaltungsaufgaben sollen als Erste wieder hergestellt werden, um Geburten, Todesfälle und Eheschließungen anzumelden, Pässe und Ausweise auszustellen, Sozialhilfe auszuzahlen und damit Bedürftige möglichst rasch wieder Grundsicherung beantragen können. Von Asylanträgen über Aufenthaltstitel bis zur Haushaltsplanung und Budgetierung sind viele kritische Bereiche betroffen.
Ähnliche Angriffe fanden und finden auf Universitäten, Forschungseinrichtungen und Krankenhäuser statt. Derzeit leidet etwa die British Library unter den Folgen eines erpresserischen Angriffs auf ihre Informationssysteme, der ebenfalls Ende Oktober stattgefunden hat. Die Website war wochenlang ausgefallen, Bibliotheksnutzerinnen und -nutzer konnten nicht mehr auf den Katalog zugreifen und die Bezahlsysteme im Shop fielen aus.
Die Geschädigten müssen in aufwändiger und langwieriger Arbeit ihre Systeme neu aufsetzen, der wirtschaftliche Schaden ist enorm
Die Attacken auf die British Library und Südwestfalen IT (SIT) waren Angriffe mit Ransomware. Solche Computerprogramme, auch als Erpressungstrojaner bekannt, verschlüsseln Daten oder blockieren den Zugriff auf das Computersystem zentraler Infrastrukturanbieter. Parallel greifen die Angreifer oftmals Daten ab und drohen mit deren Offenlegung. Anonyme Gruppen schädigten im laufenden Jahr neben dem IT-Anbieter und der berühmten Bibliothek unter anderem die Universitätsklinik Frankfurt, Häfen in Australien und die Targobank. Die Geschädigten müssen in aufwändiger und langwieriger Arbeit ihre Systeme neu aufsetzen, der wirtschaftliche Schaden ist enorm.
IT-Forensiker arbeiten Vorfall auf
So musste die SIT alle Systeme abschalten und einen Krisenstab bilden, während IT-Forensiker den Hergang des Angriffs aufzuarbeiten begannen. Sämtliche Produktivsysteme gilt es zu prüfen, ob sie von der Schadsoftware befallen sind, und neue Sicherheitsrichtlinien sind auf Grund der gewonnenen Erkenntnisse auszuarbeiten, um künftige kriminelle Angriffe dieser Art zu verhindern – dabei geht Sicherheit vor Geschwindigkeit, weshalb SIT laut Notfallwebsite mit längeren Ausfällen rechnet.
Im Herbst 2022 hatte der Radioteleskopverbund ALMA (Atacama Large Millimeter/submillimeter Array) in Chile nach einem Cyberangriff erst nach 50 Tagen seine wissenschaftliche Arbeit wiederaufnehmen können, während die Aufräumarbeiten noch deutlich länger dauerten. Kurioserweise erfolgte der Angriff auf ALMA auf den Tag genau ein Jahr vor den Angriffen auf die Südwestfalen IT und die British Library, in der Nacht vom 29. auf den 30. Oktober 2022. Die Täter wählen für ihre Attacken oftmals Wochenenden und Termine rings um (internationale) Feiertage, wenn die zuständigen Stellen schwach besetzt sind und nicht sofort reagieren können.
Forschungseinrichtungen und kritische Infrastruktur exponiert
Das südwestfälische IT-Unternehmen ist derweil nur über eine rudimentäre Notfallseite im Internet präsent und Wochen nach dem Angriff noch dabei, die grundlegende Infrastruktur wiederaufzubauen. Ähnlich ergeht es vielen Betroffenen – sie sind teilweise auf Monate hinaus mit dem Wiederaufbau ihrer IT beschäftigt, da die Angreifer gezielt die Kommunikationssysteme ihrer Opfer zerstören, um etwaigen Lösegeldforderungen Nachdruck zu verleihen. Besonders oft picken sie sich Anbieter kritischer Infrastruktur und der Basisversorgung breiter Bevölkerungsschichten heraus. Hierzu gehören öffentliche Stellen oder Energieanbieter, aber auch Forschungs- und Bildungseinrichtungen sowie Krankenhäuser.
Im Fall der British Library sollen nun interne Daten im Darknet aufgetaucht sein – eine unter dem Namen »Rhysida« bekannte Bande droht, die gestohlenen Daten zu versteigern. Die British Library verfügt über rund 170 Millionen Objekte, darunter Bücher, E-Books und Zeitungen – die Website dient etwa zehn Millionen Menschen jährlich als Anlaufstelle, um die digitale Sammlung zu durchsuchen. Ob Nutzerdaten kompromittiert wurden, ist offenbar noch unklar – ebenso wie die Schadenshöhe noch offen ist, da die Wiederherstellungsarbeiten noch laufen. Hinter den Cyberangriffen stecken meistens kriminelle Gruppierungen, die sich durch Erpressung und Lösegeldforderungen finanzieren. Derzeit scheinen die Angriffe zuzunehmen.
»Zusammen mit der schweren Nachverfolgbarkeit einiger Kryptowährungen und nicht vorhandenen Auslieferungsabkommen ergibt sich der perfekte Sturm«Martin Schulze, Cybersicherheitsforscher
Matthias Schulze leitet am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH) den Forschungsschwerpunkt »Internationale Cybersicherheit«. Er sieht die jüngsten Cybervorfälle als »Ergebnis der zunehmenden Professionalisierung der cyberkriminellen Untergrundökonomie«, wie er gegenüber dem Science Media Center Germany (SMC) äußerte. Schulze beschreibt Ransomware-as-a-Service-Modelle, die vorgefertigte digitale Angriffsumgebungen bieten, womit die Kriminellen in hohem Tempo viele Systeme gleichzeitig scannen, angreifen und auch die Lösegeldzahlungen automatisiert abwickeln können – bis hin zur Geldwäsche.
Die Geschwindigkeit, mit der die organisierten Banden Sicherheitslücken nach deren Bekanntwerden ausnutzen, hat dem Forscher zufolge enorm zugenommen. Mittlerweile könnten sich auch kleinere Hackergruppen über Partnerprogramme die Angriffstools von größeren Gruppen mieten. Diese erhalten dann eine Beteiligung an der Beute, sobald ein Opfer Lösegeld zahlt. »Zusammen mit der schweren Nachverfolgbarkeit einiger Kryptowährungen und nicht vorhandenen Auslieferungsabkommen mit einigen Staaten ergibt sich so der perfekte Sturm«, warnt Schulze.
Automatisierte Angriffe und wie man sich davor wappnet
Das Bundesamt für Informationssicherheit (BSI) hat einen Leitfaden dazu veröffentlicht, wie Organisationen sich vor solchen Angriffen schützen sollten. Das Wissen, was zu tun wäre, ist also vorhanden – seine Umsetzung jedoch nicht in allen Bereichen verpflichtend. Schulze rät allen Organisationen, ihre Systeme regelmäßig auf Schwachstellen zu checken und das eigene Netzwerk zu überwachen. So ließen sich Vorfälle rasch erkennen. Die getroffenen Sicherheitsmaßnahmen gelte es regelmäßig zu überprüfen. Für den Ernstfall müsse ein Krisenplan bereitstehen und dann auch greifen: Wie lassen sich die beschädigten Systeme zügig wiederherstellen und der Betrieb aufrechterhalten?
Die immer professioneller agierenden Gruppen nutzen automatisierte Tools. Daher lautet Schulze zufolge die Frage nicht, wie gut man als Organisation sei, sondern wie gut die Verteidigung im Verhältnis zu den rasch besser werdenden Angreifern aufgestellt ist. Außerdem gibt es neben professionellen Ransomware-Gruppen laut Schulze noch »staatliche Bedrohungsakteure«, die aus politischen Motiven angreifen. Das IT-Budget kleinerer und mittlerer Unternehmen reiche kaum aus, um sich gegen die komplexer werdenden Angriffe zu schützen, sagt der Cybersicherheitsforscher. Kommunale Verwaltung und kleinere Organisationen könnten hier kaum am Ball bleiben. Die Wurzel des Übels sieht er im Fachkräftemangel, da die Maßnahmen zum Erkennen von Angriffen und zum Reagieren möglichst schnell und sachkundig umgesetzt werden müssen.
Im Mittel dauert es 37 Tage, die Systeme wiederherzustellen – sofern es einen guten Krisenplan gab
Je nach Schwere des Vorfalls legen Cyberangriffe Organisationen für bis zu 280 Tagen lahm, mindestens jedoch mehrere Wochen. Einer Sicherheitsstudie zufolge dauert es im Mittel 37 Tage bis zum Wiederherstellen der Systeme, sofern es einen guten Krisenplan gab, und durchschnittlich 50 Tage, falls kein Reaktionsplan vorlag. Je länger der Ausfall andauert, desto höhere Kosten fallen an. Im Verhältnis dazu sei die IT-Sicherheit günstig. Schulze gab zu bedenken, dass von Ransomware Geschädigte oft mehrfach angegriffen werden, wenn sie nicht alle Hintertüren der Angreifer auf Anhieb finden und schließen konnten.
Sechs konkrete Maßnahmen zum Schutz vor Cyberangriffen
Die Herausforderung besteht darin, dass sich mehrere Akteure bei aktuellen Ransomware-Angriffen die Arbeit teilen – und viele von ihnen gehören dem Milieu organisierter Kriminalität an. Laut Eric Bodden und Matthias Meyer vom Fraunhofer-Institut Paderborn agieren viele dieser Gruppen aus Russland heraus – die aktuelle weltpolitische Lage dürfte sie begünstigen. Organisationen wiederum seien oft »unzureichend sensibilisiert« und von den Angriffen überrumpelt. Bodden und Meyer bestätigen mit Verweis auf Berichte des BSI, dass derzeit die Anzahl der Attacken zunimmt und auch deren Erfolgsrate. Generative künstliche Intelligenz helfe den Angreifern neuerdings, professionellere Phishing-E-Mails zu erstellen.
Maßnahmen gegen Ransomware
1 – Security-Grundwissen verbreiten2 – Mehr IT-Sicherheitsexperten einstellen
3 – Gesetzliche Rahmenbedingungen schaffen
4 – Lösegeldzahlungen verhindern
5 – Fördermittel bereitstellen
6 – Forschung intensivieren
Bodden und Meyer nennen sechs konkrete Maßnahmen, wie der Staat Unternehmen und öffentliche Stellen besser schützen und beim Selbstschutz unterstützen kann: Es sei wichtig, in der Bevölkerung mehr Bewusstsein für IT-Sicherheit zu schaffen und das Grundwissen dazu zu verbreiten – eine Art Security-Alphabetisierung, wie sie es nennen. Dabei sollten nicht Schreckensszenarien heraufbeschworen werden, sondern ein kompetenter Umgang mit Security-Risiken und typischen Angriffs- und Betrugsmaschen vermittelt werden. Das Thema gehört ihrer Ansicht nach in die Lehrpläne an Schulen und in der Ausbildung.
Durch Aus- und Weiterbildung müsse der Staat außerdem dafür sorgen, dass es mehr IT-Sicherheitsexperten und -expertinnen gebe, insbesondere mit Blick auf die zunehmende Digitalisierung der öffentlichen Verwaltung und aller Lebensbereiche. Zudem fordern die Experten gesetzliche Rahmenbedingungen mit klaren Vorgaben für Sicherheitsstandards und Maßnahmen – für Unternehmen und für öffentliche Stellen.
»Es ist wichtig, den Sumpf auszutrocknen, indem Lösegeldzahlungen an Cyberkriminelle verhindert werden«Eric Bodden, IT-Sicherheitsforscher
Besonders wichtig ist laut den beiden Sicherheitsforschern, dass kein Lösegeld fließt. Nur so lasse sich der Sumpf austrocknen, so dass sich die kriminellen Machenschaften nicht mehr lohnen. »Da Kryptowährungen vornehmlich dem organisierten Verbrechen nutzen, sollte ihre Verwendung reguliert werden«, ergänzt Bodden. Beide Forscher fordern, dass der Staat Cybersicherheitsmaßnahmen finanziell fördern sollte, damit auch kleine und mittlere Unternehmen eine Chance haben, sie umzusetzen. Als letzten Punkt fordern die beiden intensivere Forschung und Entwicklung, damit überhaupt Lösungen gefunden werden, mit denen Organisationen sich gegen Angriffe absichern können. Wie Matthias Meyer betont, reicht ein einziger Schutzwall nicht aus – es brauche ein tief verankertes Verteidigungssystem »wie bei mittelalterlichen Burgen, die auch mehrere Schutzwälle haben« – und dazu einen gut ausgearbeiteten Notfallplan, für den Fall, dass ein Angreifer doch sämtliche Hürden überwindet.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.