Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet Cyber-Katastrophenfall nach Ransomware und Trojaner

Gleich dreimal in zwei Wochen haben Hacker große öffentliche Institutionen angegriffen: Das Klinikum in Wolfenbüttel sowie die Stadtverwaltungen in Anhalt-Bitterfeld und Geisenheim. Das Krankenhaus konnte bereits einen Tag nach Befall seine Türen wieder öffnen. Die beiden Stadtverwaltungen hat es schwerer getroffen.

Nach mehr als zwei Wochen baut Anhalt-Bitterfeld eine neue Notinfrastruktur auf. Damit schneller Hilfe eintrifft, hat die Landkreisverwaltung den Katastrophenfall ausgerufen. Geisenheim dagegen sei zumindest für "drei Wochen offline", im schlimmsten Falle dauert es aber zwei bis drei Monate, um den alten Stand zu erreichen.


Start der Katastrophe​

Zuerst hatte es
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
. Die mutmaßlichen Hacker gelangten anscheinend über eine Sicherheitslücke in das System und verschlüsselten die Daten. Der Landrat vermutet, dass es sich um die
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
handelt – sicher ist das aber noch nicht. Zurzeit untersuchen Forensiker des Landeskriminalamtes die betroffenen Windows-Systeme.

Am 9. Juli hat der Landrat den deutschlandweit ersten Cyber-Katastrophenfall ausgerufen. Laut eigenen Angaben gibt das dem Landrat die Möglichkeit, schneller zu entscheiden und Hilfe anzufordern. Durch den Befall mit Ransomware seien ab dem Zeitpunkt beispielsweise keine Zahlungen mehr möglich gewesen.

Zwei Wochen nach dem Befall in Anhalt-Bitterfeld stand ab dem 19. Juli die Notinfrastruktur bereit. Landrat Andy Grabner sagte gegenüber dem ZDF, dass es noch bis zu sechs Monate dauern könne, bis sich der Landkreis komplett erholt hat.

Eine Lösegeldforderung lehnte die Verwaltung von Anhalt-Bitterfeld ab. Laut dem Chaos Computer Club (CCC) veröffentlichten die mutmaßlichen Angreifer als Gegenreaktion in einem bekannten Hackerforum 200 MByte an Daten. Der Landkreis bestätigte in einer Pressemitteilung die Authentizität der Daten. Es handele sich um teilweise nicht-öffentliche Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen.

Zwei an einem Tag​

Noch während Beamte in Sachsen-Anhalt an einer Notinfrastruktur feilten, hat es unabhängig voneinander am 14. Juli die
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
erwischt. Im Krankenhaus hatte eine Schadsoftware Teile des IT-Systems lahmgelegt. Auch dort forderten die Hacker laut der Staatsanwaltschaft Göttingen erfolglos Lösegeld.
Das Krankenhaus schreibt, es habe gut reagiert und direkt nach Befall die Systeme heruntergefahren sowie die Internetverbindung gekappt. Backups der wichtigsten Daten seien vorhanden. Bereits einen Tag später war die normale Versorgung der Patienten wiederhergestellt. Polizei und Staatsanwaltschaft ermitteln, während das Krankenhaus in der Zwischenzeit zu Papier und Stift wechselt.
Das Klinikum Wolfenbüttel teilt seinen Patienten über Facebook mit, dass ein Angriff stattgefunden hat. Auf der Website des Krankenhauses steht hingegen nichts zu dem Vorfall.
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
Das Klinikum Wolfenbüttel teilte seinen Patienten über Facebook mit, dass ein Angriff stattgefunden hat. Auf der Website des Krankenhauses dagegen steht nichts zu dem Vorfall.
In Geisenheim erkannte der Virenscanner den Trojaner, konnte aber dessen Installation nicht verhindern. Laut Pressemitteilung der Stadt Geisenheim dauert es im schlimmsten Fall zwei bis zu drei Monate, bis alle Systeme wieder einwandfrei funktionieren. Die Verwaltung plant, alle EDV-Systeme neu aufzusetzen oder auszutauschen.
Die drei Beispiele zeigen auf, wie wichtig Grundregeln in der IT-Sicherheit sind. Alleine Backups wie in Wolfenbüttel können den Unterschied machen zwischen einigen Tagen Ausfall und mehreren Monaten – sofern das Einspielen der Backups eingeübt wurde. Häufig ist die IT veraltet, nicht auf dem aktuellen Stand oder es fehlen wichtige zeitnahe Patches. Es ist also kein Wunder, dass sich Angriffe in solchen Ausmaßen häufen.
KOMMENTAR
Jürgen Schmidt (Leiter von heise Security)

Was wir aus den aktuellen Ransomware-Vorfällen lernen können​

Von Jürgen Schmidt
Oft fehlt es bei den Betroffenen von Ransomware-Vorfällen schon an den absoluten Basics – und da sind Ämter, Behörden und Verwaltung ganz vorne mit dabei. Deren IT besteht oft aus einer überalterten Monokultur auf Windows-Basis, bekommt Security-Updates wenn überhaupt dann erst nach Monaten und die IT-Verantwortlichen sind so damit beschäftigt, das alles überhaupt irgendwie am Laufen zu halten, dass für IT-Security keine Zeit bleibt.
Da genügt dann ein falscher Klick, ein gestohlenes Passwort oder ein erfolgreicher Scan auf ein bekanntes Sicherheitsloch und es knallt. Dann fällt wie in Bitterfeld oder Geisenheim die komplette IT auf Wochen oder gar Monate aus. Dabei ließe sich ein Großteil dieser Ransomware-Vorfälle vermeiden, wenn man wenige grundlegende Security-Regeln befolgt: Sicherheits-Updates zügig einspielen, konsequent nur minimale Rechte einsetzen, für hoch priorisierte Accounts und Remote-Zugänge Zwei-Faktor-Authentifizierung einführen. Und natürlich dürfen gute und funktionierende Backups nicht fehlen. Das wäre dann schon mehr als nur die halbe Miete.
Dass diese Basisanforderungen eine Selbstverständlichkeit werden wie Sicherheitsgurte und funktionierende Bremsen, ist auch Aufgabe der Politik. Die muss Rahmenbedingungen vorgeben, die das nicht nur ermöglichen, sondern konsequent herbeiführen.
Doch wie die
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
eindrucksvoll gezeigt hat, ist es damit noch nicht getan. Denn angesichts von breit gestreuten Zero-Day- und Supply-Chain-Angriffen müssen wir auch unsere Vorstellung von möglichst guter Sicherheit ändern. Bisher ging es da vor allem darum, wirklich alle Angriffe zu verhindern. Das wird aber in Zukunft nicht mehr zu hundert Prozent möglich sein.
Egal wie viel Aufwand wir investieren, es wird erfolgreiche Angriffe geben. Deshalb müssen wir an einen Punkt kommen, an dem auch zunächst erfolgreiche Angriffe nicht mehr sofort „Game Over“ bedeuten, sondern zu ernsten, aber beherrschbaren Vorfällen werden. Dazu müssen wir vor allem für zwei Dinge sorgen: dass wir
a) eine bessere Chance haben, diese erfolgreichen Angriffe frühzeitig zu erkennen und
b) solche Angriffe eingrenzen und handhaben können, ohne dass es zu kritischen Verlusten kommt.
Besseres Monitoring und mehr Resilienz sind deshalb die zwei Themen, die meiner Ansicht nach aktuell den Schwerpunkt des konsequenten Ausbaus der IT-Security bilden sollten. Selbstverständlich gilt das erst, nachdem man die Basics im Griff hat, ohne die es weiterhin nicht geht. Wer keine Backups macht, ungepatchte Software einsetzt, schwache Passwörter benutzt und kritische Dienste weitgehend ungeschützt ins Internet exponiert, braucht sich über Zero Days und Lieferkettenangriffe keine Gedanken zu machen. Den wird es treffen – und zwar eher früher als später.
Quelle: c‘t
 
Oben