Coming soon ... IT Summit by heise

Ransomware in Kommunen: Wie sich Erpresser in kommunale Netzwerke schleichen

Wenn öffentliche Institutionen, Kranken­häuser oder Be­hörden Opfer von Ransom­ware werden, geht es um sen­sible Daten – und manch­mal um Leib und Leben. Ein Rund­um­schutz vor den An­grif­fen ist kaum mach­bar, damit müssen sich selbst kri­tische Infra­struk­turen ab­finden. Doch Vor­be­rei­tung hilft im Ernstfall.

Erpressung aus dem Cyperspace

Von Vera Kriebel

Ransomware ist Erpressungssoftware, die den Zugriff der Angegriffenen auf ihre Daten beschränkt oder ganz verhindert. In der Regel werden die Daten verschlüsselt und nur gegen Zahlung von Lösegeld wieder freigegeben. Die Eintrittswege in ein IT-System sind dieselben wie bei Viren oder Trojanern. Es handelt sich meist um E-Mails mit Links oder Anhängen, die unbedachte Nutzer anklicken oder öffnen, oder um sind Sicherheitslücken im System, sogenannte Exploits. Schwachstellen sind dabei grundsätzlich die Schnittstellen nach außen, in vielen Kommunen etwa die Fernwartungszugänge. Auch Zugänge mit schwachen Passwörtern gefährden die Sicherheit.

Üblich sind ganze Ransomware-Kampagnen

Für Exploits und Systemzugänge gibt es einen regelrechten Markt, typischerweise werden sie im Darknet en bloc eingekauft. Der Angreifer startet dann massenweise Angriffe mit den gekauften Daten. Klassische Ransomware will so viele Opfer wie möglich treffen, denn: Je mehr potenzielle Opfer, desto höher ist auch der potenzielle Return in Form von Zahlungen. Die Lösegeldforderung ist in der Regel nicht unrealistisch hoch. Ransomware-Kampagnen, also Angriffe auf hunderttausende Systeme, lohnen sich schon bei kleinen Beträgen.

Kaspersky Warning Crypto.jpg
Schreck für den arglosen Nutzer: tpische Cyber-Erpressung (Bild: Kaspersky Lab)

„In letzter Zeit gibt es jedoch auch vereinzelt gezielte Ransomware-Angriffe“, berichtet Christian Funk vom Forschungs- und Analyse-Team des amerikanischen Security-Anbieters Kaspersky. „Im Vorfeld wird ausgekundschaftet, welche Schwachstelle es gibt. Welche Abteilung ist mit welchem Projekt betraut? Was geben Mitarbeiter über soziale Netzwerke wie Xing, Twitter preis? Wer hat welche Kollegen?“ Daraus kann ein Spear-Phishing-Angriff generiert werden, eine zielgerichtete E-Mail für einen bestimmten Mitarbeiter, mit Informationen, die diesen tatsächlich interessieren, sodass die Versuchung groß ist, nachzuschauen, was hinter dem Link oder Anhang der Mail steckt.

Auch sind die Angriffe raffinierter geworden. Die Welle der Ransomware Petya war ein Massenangriff und dennoch zielgerichtet: Die Petya-Bewerbungsschreiben waren teilweise besser als echte Bewerbungen, plausibel und in gutem Deutsch. Die Office-Datei enthielt das Makro, das die eigentliche Ransomware herunterlud.

Ebook KITK-2019 web fe a.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Kommunale-ITK-Sonderdruck zur Hannover Messe 2019. Einen Über­blick mit freien Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Eine fränkische Gemeinde wurde Opfer

Im Gegensatz zu anderer Schadsoftware basiert das Geschäftsmodell von Ransomware darauf, dass der Benutzer schnell erkennt, dass er angegriffen wurde. Ransomware legt daher nicht nur das System lahm, sondern informiert den Nutzer in einem auffälligen Fenster, dass seine Daten so lange verschlüsselt bleiben, bis er das Lösegeld gezahlt hat. Bei professionellen Angriffen sind sie mehrsprachig und mit einer Anleitung versehen, wie die Lösegeldzahlung zu erfolgen hat, in der Regel als Bitcoin-Transaktion. Manche bieten sogar eine Hotline an. Denn die Lösegeldzahlung via Bitcoins ist zwar sicher für die Angreifer, stellt aber eine echte Hürde für die Opfer dar.

Kaspersky Screenshot Verschluesselung Locky.jpg
Ransomware-Angriff: Die Anleitung zur Enschlüsselung wird mitgeliefert (Bild: Kaspersky Lab)

Die unterfränkische Gemeinde Dettelbach errang 2016 mediale Berühmtheit als Ransomware-Opfer. Sie hatte keine Backups und zahlte über einen Dienstleister 1,3 Bitcoin Lösegeld, etwa 490 Euro. Danach erhielt sie den Entschlüsselungscode und damit wieder Zugriff auf ihre Daten. Neben lokalen Laufwerken werden auch angeschlossene externe Medien, zum Beispiel USB-Sticks, und Netzlaufwerke verschlüsselt, sodass sie nicht mehr nutzbar sind. Dass vorwiegend Microsoft-Windows-Systeme betroffen sind und nur vereinzelt Apple MacOS oder Serversysteme unter Linux, liegt vor allem daran, dass Cyberkriminalität marktwirtschaftlich funktioniert: Es gibt relativ wenige MacOS-Rechner, Linux hat einen Marktanteil von 1,85 %. Daher ist es lohnender, Ransomware für Windows zu entwickeln.

In Krankenhäusern wird es kritisch

Das Internet der Dinge vernetzt physische und virtuelle Gegenständen, sammelt automatisiert Daten und ermöglicht Übertragung und Auswertung in Echtzeit. Im Krankenhaus 4.0 werden über das Netzwerk zum Beispiel Infusionspumpen gesteuert, auch übertragen MRT-Geräte Daten an andere Abteilungen und Krankenhäuser. Kommunen nutzen IoT-Sensoren (Internet of Things) etwa, um den öffentlichen Nahverkehr oder das Ampelsystem zu steuern. Der Eingriff in ein solches IoT-Netzwerk hat wegen der gesellschaftlichen Funktion von Gesundheitswesen und Behörden ganz andere Auswirkungen hat als in Unternehmen. Es kann um Leben und Tod gehen.

Können also Krankenhaus oder Behörde der 4.0-Welt eher erpresst werden? Die Antwort lautet Jein. Die IoT-Geräte selbst sind fast nie Ziel der Angriffe, weil Ransomware nur dann erfolgreich ist, wenn der Benutzer auch bemerkt, dass er angegriffen wurde. Die meisten IoT-Geräte stehen jedoch hinter der Firewall und sind kleine, billige Sensoren, entweder ganz ohne Display oder mit einem Minibildschirm, auf dem sich kaum komplizierte Erpressermitteilungen unterbringen lassen. Hinzu kommt die große Vielfalt an Linux- oder Windows-basierten Komponenten und Protokollen bei diesen IoT-Frontendgeräten, die es überaus aufwendig machen würde, passgenaue Ransomware für die oft vorhandenen Sicherheitslücken zu entwickeln. Ausnahmen in Krankenhäusern sind große, teure Geräte wie ein Kernspintomograf, die über mehrere Jahre oder sogar Jahrzehnte im Einsatz und oft sehr individuell konfiguriert sind. Trotz bekannter Schwachstellen werden hier Sicherheitsupdates meist vernachlässigt.

Normalerweise wird jedoch das Backend per Ransomware angegriffen, das klassische IT-Netzwerk. Dr. Tilman Frosch, Experte beim deutschen Security-Anbieter G Data erläutert, wie sich ein Ransomware-Angriff auswirkt: „Auf die Befunde, auf die Bilddaten des Kernspintomografen kann man im OP, im Arztzimmer, bei der Visite zugreifen. Eine gewisse Zeit geht es auch ohne das Netzwerk, wenn auch nicht mehr so schnell.“ Irgendwann sei der Betrieb aber so stark eingeschränkt, dass sich das Krankenhaus von der Notfallversorgung abmelden müsse. Passiere dann etwa ein großer Unfall mit vielen Verletzten, könne es bedenklich werden. „Wir sind in Deutschland im Gesundheitswesen aber so redundant aufgestellt, dass das Gesamtsystem dann immer noch arbeitet.“

Im angegriffenen Krankenhaus selbst aber ist die Lage kritisch. „In jedem betroffenen Krankenhaus, das ich kenne, haben Menschen in einer solchen Situation anderen das Leben gerettet, zum Beispiel weil sie daran gedacht haben, die Behandlungsverläufe für einen Intensivpatienten auszudrucken und ans Patientenbett zu tackern, bevor die Systeme getrennt wurden“, so Frosch.

Notfallpläne und Vorbereitung helfen

Seit Langem gibt es in öffentlichen Institutionen Notfallpläne bei einem Brand oder Stromausfall. Genauso nötig ist ein IT-Notfallplan mit konkreten Handlungsanweisungen: „Im Fall eines Ransomware-Angriffs verfällt man leicht in Panik. Dabei ist gerade das schnelle, zielgerichtete Handeln unabdingbar, um den Schaden möglichst gering zu halten“, sagt Christian Funk. Doch wer entscheidet, wann ein Standort vom Netz getrennt wird? Gerade in Kommunen muss der Notfallplan festlegen, wer die Initiative ergreifen darf. Wichtig ist zudem die Lagebeurteilung durch interne oder externe Experten, denn ein solcher Sicherheitsfall lässt sich nicht mit dem üblichen Personal bewältigen.

Tipps gegen Ransomware-Angriffe

Die wichtigsten vorbeugenden Maßnahmen setzen eine genaue Bestandskenntnis der eigenen IT-Infrastruktur voraus, bei der Reaktion zählt jede Minute:

  • Problemstellen im IoT-Netzwerk ausmachen: Transport, Zugänge, Datenhaltung, zentrale Datenspeicher, Netzlaufwerke, WLAN, Backup-Laufwerke. IoT-Geräte beachten, wenn sie sich für Ransomware eignen (z.B. große medizinische Geräte).
  • Segmentiertes Netzwerkdesign, um im Ernstfall das System nicht nur nach draußen, sondern auch nach drinnen abzuschirmen, sodass nur ein möglichst kleines Segment betroffen ist.
  • Mitarbeiter schulen, damit sie wissen, worauf sie bei E-Mails achten müssen.
  • E-Mail: Risiken bereits im System abfangen (Beispiele: Bewerbungen nur per Formular, keine Anhänge oder Anhänge nur in geschützter Umgebung öffnen).
  • Externe IT-Dienstleister: Check der Rahmenverträge. Gibt es Service Level Agreements, die einen Ransomware-Angriff berücksichtigen? Gibt es einen Bereitschaftsdienst?
  • Lohnt sich eine Versicherung? Zu welchen Bedingungen?
  • Forensische Aufarbeitung im Schadensfall: Wie gelangte die Ransomware ins System? Gibt es eine Schwachstelle nach draußen, die nochmals benutzt werden kann? War es ein menschlicher Fehler?
  • Backups: Das A und O gegen Ransomware sind Backups. Sie müssen auch vom Netzwerk getrennt gespeichert werden, damit sie bei Angriffen nicht betroffen sind (Offline-Backup).
  • Notfallplan: Handlungsdirektiven und -alternativen (Beispiel IoT-Ampelsteuerung: Wie viele Polizisten brauche ich auf wie vielen Kreuzungen?). Welche Experten werden kontaktiert? Wer darf entscheiden, zum Beispiel vom Netz zu gehen? Wer ist wann zu benachrichtigen? Welche Systeme müssen sofort abgeschirmt werden? Alternativpläne: Wie kann die Arbeit weitergehen, wenn die IT nicht mehr funktioniert?

Die wenig Zuversicht versprühende Einsicht des G-Data-Experten Frosch lautet, dass „über die Zeit betrachtet das Risiko eines Ransomware-Eingriffs immer 1 ist, denn irgendwann wird der Vorfall eintreten.“ Die zweite schlechte Nachricht: Die digitale Erpressung ist meist nur die Spitze des Eisbergs. „Wenn wir wegen Ransomware zu einem Schadenfall gerufen werden und die forensische Auswertung des Systems vornehmen, sehen wir Altinfektionen, manches, was von der hausinternen Sicherheits-IT abgefangen wurde, aber auch Schadsoftware, die noch aktiv ist, die jedoch noch keiner bemerkt hat“, erzählt Tilman Frosch von G Data. Ransomware ist letztlich symptomatisch dafür, dass das Gesamtsystem IT nicht so gut gemanagt ist, wie es sein sollte.

Vorsorge und Notfallplan

Ransomware-Angriffe versperren den Opfern den Zugang zu ihrem IT-Netzwerk. Auch Kommunen und Krankenhäuser waren in der Vergangenheit schon betroffen und mussten auf die digitale Erpressung eingehen, um ihre IT wieder nutzen zu können. Vorbeugende Maßnahmen und ein Notfallplan helfen, um Ransomware-Angriffe so weit wie möglich auszuschließen und im Falle eines Falles schnell und sicher zu reagieren.

Nützliche Links