Ein Katastrophenfall wird in Deutschland dann ausgerufen, wenn die Lebensgrundlage oder die Gesundheit vieler Menschen in Gefahr sind, wie es zurzeit auch bei uns in zahlreichen Landkreisen aufgrund das Hochwassers der Fall ist. Wird der Katastrophenfall ausgerufen, wird ein Krisenstab gebildet, um die Katastrophe schnellstmöglich wieder in den Griff zu bekommen und die Auswirkungen möglichst gering zu halten.
Was ist passiert?
In diesem Fall hatten Hacker die Verwaltung des Landkreises Anhalt-Bitterfeld in Sachsen-Anhalt für zwei Wochen lahmgelegt. Da hier überhaupt nicht mehr gearbeitet werden konnte, konnten in diesem Zeitraum unter anderem auch keine Sozial- und Unterhaltsleistungen mehr ausgezahlt werden. Da viele Einwohner des Landkreises jedoch auf diese Zahlungen dringend angewiesen sind und daher eine schnelle Auflösung notwendig war, wurde der Katastrophenfall ausgerufen.
Die Hacker hatten bei Ihrem Angriff die Systeme mit einer Ransomware verschlüsselt und ein Lösegeld für die Freigabe der Daten gefordert. Da die Behörde auf diese Forderung nicht eingegangen ist wurden mutmaßlich sensible Behördendaten des Landkreises im Internet veröffentlicht. Forensik Experten und Mitarbeiter des BSI sind aktuell noch an der Aufklärung des Angriffs, inzwischen kann die Verwaltung in einer Notinfrastruktur wieder arbeiten.
Fälle wie dieser oder auch einer aus dem vergangenen Jahr, bei dem unter anderem eine Klinik Opfer einer Cyberattacke wurde, bei der sogar aufgrund dessen ein Mensch ums Leben kam, zeigen immer wieder deutlich, dass Cyberkriminelle keine Scheu haben auch kritische Infrastrukturen anzugreifen, die eine wichtige Rolle spielen und an denen unter Umständen auch die Gesundheit oder das Leben von Menschen hängen.
Bei zwei weiteren Angriffen in den Tagen kurz danach wurden die Städte Geisenheim und Rheingau Ziel von Kriminellen. Im Fall Geisenheim wurden neben der Verwaltung weitere kommunale Einrichtungen wie etwa die Kindergärten und die Stadtbücherei lahmgelegt.
Wie konnte es dazu kommen?
Viele Behörden (aber auch zahllose Unternehmen) haben nach wie vor veraltete Betriebssysteme und Software im Einsatz. Diese veralteten Systeme stellen immense Schwachstellen dar, da es meist keine Sicherheitsupdates mehr dafür gibt. Das führt dazu, dass hier mehr oder weniger Tür und Tor für Angreifer offen stehen. Zusätzlich zu der veralteten Software stellte auch noch die aktuelle „PrintNightmare“ Schwachstelle ein weiteres Einfallstor dar.
Ist dann zusätzlich zu diesen beiden Punkten die Infrastruktur generell nicht ausreichend abgesichert, z.B. keiner oder kein ausreichender Virenschutz, keine oder eine falsch konfigurierte Firewall, kein SPAM Schutz usw. können sich Angreifer mühelos Zugriff verschaffen.
Was muss getan werden, um so etwas zu verhindern?
Hundertprozentige Sicherheit gibt es nie, kombiniert man jedoch die unterschiedlichen Möglichkeiten die eigene Infrastruktur zu schützen, sinkt dadurch die Angriffsfläche immer weiter und ein Fall wie beim hier betroffenen Landkreis ist unwahrscheinlich.
Dabei sollten folgende Punkte in jedem Fall beachtet werden:
- Gesichertes Backup – am besten redundant (ein verschlüsseltes Backup ist genauso nutzlos wie kein Backup)
- Aktueller, verwalteter Virenschutz – nur wenn der Virenschutz die aktuellen Bedrohungen auch kennt kann er wirksam schützen
- Aktuelle, korrekt konfigurierte Firewall – Wenn jegliche Art von ein- und ausgehendem Traffic erlaubt ist bringt die beste Firewall nichts
- Aktiver SPAM Filter – sehr häufig gelangt Schadsoftware per Mails in Unternehmen
- Aktuelle Updates und Patches der Hersteller einspielen
- Betriebssysteme und Software stets aktualisieren – sollte zwingend ein veraltetes Betriebssystem z.B. für eine Produktionsmaschine benötigt werden, sollte sich dieses System nicht im selben Netzwerk wie die übrigen Systeme befinden und keine Verbindung ins Internet haben bzw. nicht von außen erreichbar sein
- Wo möglich Multi-Faktor-Authentifizierung, vor allem für Administrative Zugänge einsetzen – selbst wenn das System gehackt wird benötigen Angreifer den zweiten Faktor, um administrative Aktionen ausführen zu können
- Mitarbeiter sensibilisieren – mindestens einmal jährlich Schulungen durchführen
- Infrastruktur regelmäßig überprüfen (lassen) – mindestens einmal im Jahr
