Cybersicherheit im Jahr des Büffels. Das Dilemma mit dem Lösegeld

Am 1. Februar wird nach dem chinesischen Mondkalender das neue Jahr gefeiert. Das Jahr des Büffels endet – das Jahr des Wasser-Tigers beginnt. Was trotz des Jahreswechsels beständig bleibt: das Wettrennen zwischen den Cyberkriminellen und ihren potenziellen Angriffszielen darum, wer bessere Mechanismen und Strategien für Cyberangriffe oder Cybersicherheit hat. Was nun klar wird: Schnelle Reaktionsfähigkeit im Falle eines Angriffs reicht bei Weitem nicht mehr aus – schreiben Aleksandra SOWA i Natalia MARSZAŁEK

.Ransomware. Erpressung mittels geeigneter Software war, ist und bleibt offenbar ein einträchtiges Geschäftsmodell der Cyberkriminellen, auch wenn sich im Laufe der Zeit die Zielgruppen, die als lohnenswert erscheinen, um sie zu erpressen, geändert haben. Gegen Ransomware hilft offenbar wenig. Je mehr Daten, (sensible) Informationen, Prozesse und Dienstleistungen digitalisiert werden, desto größer der Datenreichtum, den die Kriminellen ergattern können. Mit dem Erbeuteten ist Verschiedenes anzustellen: die Besitzer – Organisationen oder Individuen – zur Zahlung von Lösegeld auffordern, dieses gegen Nichtveröffentlichung oder Entschlüsselung eintauschen. Oder, falls die Erpressten der Lösegeldzahlung nicht nachkommen und manchmal auch trotz Zahlung, die Daten im Darknet zum Verkauf anbieten. Veröffentlichen. Löschen. Oder auf Nimmerwiedersehen verschlüsseln.

Gegen Ransomware hilft wenig, außer, man bringt die IT-Systeme auf Vordermann und sorgt dafür – mit entsprechenden Ressourcen, Personal, Risikomanagement, Prozessen und Managementsystem –, dass diese entsprechend der aktuellen Gefährdungslage gepflegt und jeweils State of the Art sind. Man nennt das auch Cyberhygiene.

Oder man leistet sich eine Cyberversicherung, die im Angriffsfall das Lösegeld zahlt – bzw. bezahlt hat. Denn Versicherungen reagierten auf die steigende Anzahl der Ransomware-Angriffe und die sich zuspitzende Risikolage und wollen die Zahlungen der Lösegeldforderungen nicht mehr übernehmen. Als Erster strich der französische Versicherer Axa die Übernahme der Erpressungsgelder im Versicherungsfall aus seinem Leistungskatalog.[1] Immer wieder wird darüber diskutiert, Lösegeldzahlungen bei Ransomware-Vorfällen ganz zu verbieten.[2] Die Logik dahinter: Warum sollten Cyberkriminelle ein Unternehmen lahmlegen, wenn nichts dabei herausspringt?  

Auf zu neuen Ufern

.Während sich privatwirtschaftliche Unternehmen mit der Tatsache, ob und, falls ja, wie viel sie den Erpressern für die Herausgabe der Schlüssel und die Freigabe der verschlüsselten Daten, Back-ups und Systeme gezahlt haben, bedeckt halten, gehen die öffentlichen Stellen regelmäßig an die Öffentlichkeit, wenn sie erpresst werden. Nolens volens, denn es lässt sich schwer geheim halten, wenn nach einem Angriff auf eine Universität tage- bis wochenlang Studierende und Lehrende nicht auf die Systeme zugreifen können[3] oder Vorlesungen ausfallen bzw. Patienten in einem Krankenhaus nicht behandelt werden, weil alle Systeme offline sind.

„Die öffentliche Hand – unabhängig davon, wie die Privatwirtschaft das macht – […] wird keine Lösegeldforderungen bedienen“, sagte Sabine Griebsch, Chief Digital Officer der Landkreisverwaltung Anhalt-Bitterfeld (ABI). Der Landkreis fiel im Sommer 2021 einem Erpresserangriff zum Opfer. 

Bisweilen entsteht der Eindruck, dass es die Cyberkriminellen auf die deutsche Kommunalverwaltung abgesehen haben. Offenbar weniger deswegen, weil es dort besonders viel Lösegeld zu ergattern gibt, sondern weil sich die IT-Systeme oft in einem so erbärmlichen Zustand befinden, dass es für einen halbwegs kompetenten Cyberkriminellen ein Leichtes ist, in diese Systeme einzudringen. Besonders kritisch wird es dann, wenn solche Angriffe reale Opfer fordern. Wie im Erpressungsfall der Uniklinik Düsseldorf im Jahr 2020, bei der von den Cyberkriminellen eine Citrix-Schwachstelle ausgenutzt wurde, um in die Systeme einzudringen.[4] 30 Server der Uniklinik wurden verschlüsselt; Rettungswagen konnten die Klinik nicht anfahren. Eine der Patientinnen wurde nicht rechtzeitig behandelt, da sie in eine weiter entfernte Klinik in Wuppertal umgeleitet werden musste und daraufhin verstarb. Die Erpresser zogen sich währenddessen zurück und gaben den Schlüssel für die Entschlüsselung der Daten heraus. Dem Erpresserbrief, der an die Universität Düsseldorf – nicht an die Klinik – gerichtet war, entnahmen die Behörden, dass sich bei dem Erpressungsversuch vermutlich um eine Verwechselung handelte. Die Klinik war nicht das beabsichtigte Ziel der Erpresser gewesen.

Der Erpresser-Gentleman?

.Ein weiterer spektakulärer Fall, der bis heute nachhallt, war der Falls des Kammergerichts Berlin, bei dem im Jahr 2019 der Emotet-Virus das IT-System lahmlegte.[5] Zwar waren Lösegeldforderungen hier nicht im Spiel, sondern eine Schadsoftware (die Angreifer erlangten Zugriff auf den Datenbestand des Gerichts, verzichteten aber aus unbekannten Gründen auf die Lösegeldforderung), doch es verdeutlichte, wie verletzlich die Systeme der Verwaltung sind: Das Netzwerk des Gerichts sollte dabei „unwiderruflich beschädigt“ worden sein.[6] Der Fall war zugleich einer der Auslöser für die parlamentarische Anfrage des damaligen FDP-Abgeordneten, Bernd Schlömer, im März 2021. Aus der Antwort folgte, dass kaum eine Berliner Behörde die Vorgaben an IT-Sicherheit erfüllt.[7] Es war sogar einfacher, die Behörden aufzuzählen, die die Auflagen (teilweise) erfüllen, als die, die es nicht tun.

Und nun die Katastrophe

.Zu den der Öffentlichkeit am besten bekannten Vorfällen aus dem Jahr 2021 gehört zweifelsohne der Ransomware-Angriff auf die Kommunalverwaltung von Anhalt-Bitterfeld – ein Landkreis in Sachsen-Anhalt mit ca. 160.000 Einwohnern. Auch deswegen, weil die Verwaltung eine sehr effektive Kommunikation betrieben hat.[8] Aber eben auch deswegen, weil zum ersten Mal der Katastrophenfall ausgerufen und u. a. Amtshilfe der Bundeswehr für Cyberraum angefordert wurde.

Die Folgen des Angriffs, der in der Verschlüsselung der Daten und Systeme resultierte, waren verheerend: Gehälter der Mitarbeiter, Sozialhilfe, Bafög etc. konnten nicht ausgezahlt werden. Darüber hinaus wurden personenbezogene und vertrauliche Daten oder Protokolle der nichtöffentlichen Teile der Kreistagssitzung, wie auch personenbezogene Daten der Kreistagsmitglieder, darunter Bankverbindungen, Adressen, Arbeitgeber, verschlüsselt. Die Erpresser drohten mit Veröffentlichung, sollte das Lösegeld i. H. v. ca. einer halben Million Euro in der Kryptowährung Monero nicht bezahlt werden. Die Kommunalverwaltung zahlte nicht, woraufhin die Kriminellen personenbezogene Daten von 92 Personen, darunter 42 Mitgliedern des Kreistages, ins Darknet stellten. Die Verwaltung in Anhalt-Bitterfeld lag wochenlang lahm. Unter Zuhilfenahme der Bundeswehr, des LKA und des BSI hat die Verwaltung mühselig die Systeme wiederhergestellt und die Daten rekonstruiert. „Wir sind aktuell bei zwei Millionen“, bestätigte die CDO von BIA im Gespräch mit Dr. Sven Herpig von der Stiftung Neue Verantwortung (SNV) die Aufwendungen, die für den Wiederaufbau und die Wiederherstellung der Systeme notwendig waren.[9]

Strategie: Hack and Leak

.Wie und wann die von Cyberkriminellen in der Vergangenheit ergatterten Daten wieder auftauchen, wurde im Kontext der Bundestagswahl 2021 erneut zum Sicherheitsthema. Daten, die im Jahr 2015 bei einem Angriff auf die E-Mail-Konten der damaligen Bundestagsabgeordneten abgegriffen wurden und seitdem nie wieder aufgetaucht sind, hätten zur Erpressung, Desinformation oder Wahlmanipulation verwendet werden können, befürchteten die für die Sicherheit der Bundestagwahl zuständigen Behörden, der Bundeswahlleiter sowie das zuständige Innenministerium. Im Cyberraum wurden deswegen solche Szenarien in Betracht gezogen, wie Phishing, zwecks u. a. Diebstahl persönlicher Informationen vom Politiker und Abgeordneten und eventuell die spätere Verwendung zwecks Diffamierung oder Verbreitung von Falschinformationen, Hack and Leak oder Hack and Publish, Desinformationskampagnen aus dem Ausland und Inland. Man nehme „das Interesse bestimmter Staaten zur Kenntnis, auf die Bundestagswahl Einfluss zu nehmen“, sagte der BfV-Präsident auf einer Pressekonferenz zur Sicherheit der Bundestagwahl 2021 am 14. Juli 2021. „Unsere Sicherheitsbehörden haben das im Blick, sie sind gut vorbereitet“, ergänzte der damalige Bundesinnenminister Horst Seehofer[10].

Im Übrigen seien aber Vorbereitung und Durchführung der Wahl sicher, betonte in der Pressekonferenz der Bundesinnenminister. Aus dem einfachen Grund, da die Stimmabgabe ausschließlich in Papierform erfolgt. So sei sie laut Bundeswahlleiter nicht „von der IT-Sicherheit abhängig und nicht manipulationsanfällig“. Es werden weder in Bundestagswahlen noch in Europawahlen Wahlgeräte eingesetzt. Das Analoge war der Garant der Sicherheit der Bundestagswahl.

Wenn Sicherheit in den Sternen steht

.Die Bundestagswahlen sind vorbei, die neue Regierung ist im Amt. Sie möchte in Sachen Informationssicherheit vieles anders machen als ihre Vorgänger. Am 1. Februar 2022 beginnt das chinesische Jahr des Tigers. Das Tierzeichen steht für Mut und Tapferkeit. Im Jahr 2022 wird er vom Element Wasser unterstützt, das wiederum für Fülle und Fruchtbarkeit sorgen soll. In der Sicherheit, erklärte der deutsche Kryptologe Hans Dobbertin, herrscht das ständige Wettrennen zwischen Code-Maker und Code-Breaker. Wer das Rennen im Jahr des Wasser-Tigers für sich entscheiden und wer von der Fülle und Fruchtbarkeit profitieren wird, ist noch völlig offen. Ob die Verwaltungen und Unternehmen aus den Angriffen gestärkt hervorgehen, mit etabliertem Informationssicherheits- und Datenschutzmanagement und resilienteren Systemen? Oder die Cyberkriminellen und Erpresser? Viele haben aus den Lektionen des Jahres des Büffels gelernt. Der Landkreis Anhalt-Bitterfeld, beispielsweise, der mit den bisher ausgegebenen zwei Millionen Euro der modernste in Sachen Cyber-Sicherheit sein möchte[11]. Andere könnten sicherheitshalber das Sternzeichen ihres IT-Sicherheitsbeauftragten prüfen. Es ist nur nicht gewiss, ob das hilft.

Aleksandra Sowa
Natalia Marszałek

[1] Volz, M. „Axa zahlt kein Lösegeld mehr an Cyber-Kriminelle: Ein Modell für die Branche?“, https://versicherungswirtschaft-heute.de/schlaglicht/2021-05-11/axa-zahlt-kein-loesegeld-mehr-an-cyber-kriminelle-ein-modell-fuer-die-branche/ (21.5.2021). [2] SNV. „Transkript zum Hintergrundgespräch: ‚Cyberkriminelle erpressen Anhalt-Bitterfeld – Was können wir daraus lernen?‘“, https://www.stiftung-nv.de/de/publikation/transkript-zum-hintergrundgespraech-cyberkriminelle-erpressen-anhalt-bitterfeld-was (3.12.2021). [3] Der Tagesspiegel, „Unbekannte attackieren Computersysteme der TU Berlin“, https://www.tagesspiegel.de/berlin/massive-angriffe-unbekannte-attackieren-computersysteme-der-tu-berlin/27148794.html (30.4.2021). [4] ZDF, „IT-Ausfall war erpresserischer Hacker-Angriff“, https://www.zdf.de/nachrichten/panorama/hacker-angriff-uniklinik-duesseldorf-100.html (17.9.2020) [5] Der Tagesspiegel, „Schadsoftware legt Berliner Kammergericht lahm“, https://www.tagesspiegel.de/berlin/nach-cyberattacke-schadsoftware-legt-berliner-kammergericht-lahm/25079048.html (2.10.2019). [6] Kiesel, R. „Kaum eine Berliner Behörde erfüllt Vorgaben der IT-Sicherheit“, in: Der Tagesspiegel, https://www.tagesspiegel.de/berlin/naechster-hack-eine-frage-der-zeit-kaum-eine-berliner-behoerde-erfuellt-vorgaben-der-it-sicherheit/26998758.html (12.3.2021). [7] Ebenda. [8] https://www.stiftung-nv.de/de/publikation/transkript-zum-hintergrundgespraech-cyberkriminelle-erpressen-anhalt-bitterfeld-was (3.12.2021). [9] https://www.stiftung-nv.de/de/publikation/transkript-zum-hintergrundgespraech-cyberkriminelle-erpressen-anhalt-bitterfeld-was(3.12.2021). [10] BReg. „Die Vorbereitung der Wahl und die Durchführung sind sicher“, https://www.bundesregierung.de/breg-de/themen/bundestagswahl-2021/sicherheit-der-bundestagswahl-1941912 (14.7.2021). [11] MDR, „Anhalt-Bitterfeld will Vorreiter bei Cyber-Sicherheit werden“, https://www.mdr.de/nachrichten/sachsen-anhalt/dessau/bitterfeld/landkreis-vorreiter-cybersicherheit-100.html (2.1.2022)