Ablauf und Lehren aus dem ersten Cyber-Katastrophenfall Deutschlands
Er wird als Deutschlands erste Cyberkatastrophe bezeichnet: Der Hack auf den Landkreis Anhalt-Bitterfeld. In der ARD-Audiothek gibt es zu diesem Fall nun einen spannenden Podcast, den wir Ihnen herzlichst ans Herz legen möchten: Jetzt anhören.
Eckpunkte des Cyberangriffes
Für diejenigen, die von dem Vorfall noch nicht bekannt ist, das Wichtigste in Kürze:
- Was?
Ein Ransomware-Angriff mit verheerenden Folgen: Hacker haben durch einen Trojaner die IT-Netzwerke des Landkreises Anhalt-Bitterfeldes verschlüsselt und forderten ein Lösegeld für deren Entschlüsselung. In der Folge konnte unter anderem die Auszahlung von Sozial- und Unterhaltsleistungen zeitweise nicht erfolgen. Der Schaden belief sich auf über 2 Mio. €. Einige Daten (bspw. die Umweltdatenbank) blieben dauerhaft verloren.
- Wer?
Als Angreifer des Landkreises Anhalt-Bitterfeldes konnte erst im März dieses Jahres eine Hackergruppe mit dem Namen „Double-Spider“ identifiziert werden. Nach Beteiligten wird weiter gefahndet und für die Ergreifung sind Belohnungen in Millionenhöhe ausgeschrieben.
- Wann?
Die Verschlüsselung der Daten war am 06.07.2021 entdeckt worden, konnte später aber auf den 02.06.2021 zurückdatiert werden. Darauf folgen 210 chaotische Tage des Krisenmanagements, der Forensik und der Rekonstruktion.
- Wie?
Das beinhaltet eigentlich verschiedene Fragen: Wie drangen die Angreifer in das Netzwerk ein? Wie wurde der Angriff entdeckt? Wieso griffen die Behörden zum Mittel des Ausrufens eines Katastrophenfalls? Vor alle aber:
Wie können wir aus diesem Fall Lehren für die Zukunft ziehen?
Um das Risiko Opfer eines Angriffes zu werden zu reduzieren, den Umgang im Krisenfall zu optimieren und der Schaden zu minimieren, lassen sich die folgenden Punkte aus dem Vorfall ableiten:
1. Ernsthaftigkeit der Bedrohung:
Der Fall verdeutlicht, dass Cyberangriffe eine reale und ernstzunehmende Bedrohung darstellen. Auch vermeintlich unscheinbare Organisationen können Ziel von Angriffen werden. Es ist wichtig, die Gefahr nicht zu unterschätzen und angemessene Schutzmaßnahmen zu ergreifen. In diesem Fall wurde sogar der Katastrophenfall ausgerufen. Dies hatte zur Folge, dass Hilfe anderer Behörden angefordert und notwendige Beschaffungen ohne langwierige Ausschreibungen getätigt werden konnten.
2. Notwendigkeit der Prävention:
In Anhalt-Bitterfeld waren alle Angestellten mit den Rechten von Systemadministratoren ausgestattet. Dies zeigt, dass der Fokus hier auf schneller Handlungsfähigkeit über einer sicheren Netzwerkumgebung lag. Wenn Angreifer sich jedoch eines beliebigen Accounts ermächtigen, so haben Sie damit gleich sehr weitreichende Möglichkeiten im System. Sensibilität für die Gefahr dieser Handhabung und eine effektive Präventionsstrategie sind entscheidend, um Hackerangriffe abzuwehren oder deren Auswirkungen zu minimieren. Regelmäßige Sicherheitsschulungen, Sicherheitsbewusstsein, starke Passwörter, aktuelle Softwareupdates und robuste Sicherheitsmaßnahmen können dazu beitragen, potenzielle Schwachstellen zu reduzieren.
3. Frühzeitige Erkennung und Reaktion:
Eine schnelle Erkennung von Sicherheitsvorfällen ist essenziell, um den Schaden zu begrenzen. Überwachungssysteme, Intrusion Detection Systems (IDS) und Incident Response Teams sind entscheidend, um verdächtige Aktivitäten frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen. Der Hackerangriff auf den Landkreis wäre ggfs. vor seinem Erfolg identifiziert worden, wenn Warnsysteme für Fehlversuche bei Logins implementiert gewesen wären. Diese hätten vermieden, dass eine unendliche Anzahl an unbemerkten Versuchen für die Übernahme eines Accounts zur Verfügung stand, die, wie oben beschrieben, den Hackern unmittelbar weitreichende Rechte im Netzwerk zur Verfügung stellte. Außerdem haben sich die Angreifenden im beschriebenen Fall lange vor dem eigentlichen Angriff im System bewegt, was bei einem sorgfältigen Monitoring der Log-Dateien hätte erkannt werden können.
4. Zusammenarbeit und Koordination:
Der Angriff auf Anhalt-Bitterfeld zeigt die Bedeutung der Zusammenarbeit zwischen verschiedenen Akteuren. IT-Abteilungen, Sicherheitsteams, Behörden und gegebenenfalls externe Experten sollten im Krisenfall eng kooperieren, um eine effektive Reaktion zu gewährleisten. Diese könnte mit dem Abrufen eines vorher aufgestellten Krisenplan, in dem Abläufe, Prioritäten, Ansprechpartner und Verantwortungen klar festgelegt sind, künftig wesentlich effizienter und koordinierter gestaltet werden.
5. Kontinuitätsplanung und Backups:
Teil des erwähnten Krisenplans sollte auch ein umfassender Business Continuity Plan sein. Dieser ist unerlässlich, um im Falle eines Angriffs oder einer Störung die Geschäftskontinuität aufrechtzuerhalten. Im Falle Anhalt-Bitterfeld bestand beispielsweise zunächst keine Übersicht darüber, welche Leistungen unbedingt zuerst wieder abrufbar gemacht werden müssen. All dies kostet wertvolle Zeit und ging in diesem Fall zulasten der beziehenden Menschen in der Region. In diesem Zusammenhang sei auch noch einmal der Wert regelmäßiger Backups als wesentlicher Bestandteil genannt. Diese strukturiert und vom Netzwerk stringent abgekoppelt durchzuführen, hätte den Verlust der Umweltdatenbank vermutlich vermeiden können.
6. Transparente Kommunikation:
Der Umgang mit einem Sicherheitsvorfall erfordert eine klare und transparente Kommunikation sowohl intern als auch extern. Betroffene Mitarbeiter, Kunden und die Öffentlichkeit müssen angemessen informiert werden, um Vertrauen und Glaubwürdigkeit aufrechtzuerhalten. Die einberufene Pressekonferenz, teilanaloge Kommunikation per Facebook und das Ausrufen des Katastrophenfalls hier zeigt den Wert solcher Kommunikation.
7. Lektionen für die Zukunft:
Jeder Sicherheitsvorfall bietet wertvolle Lektionen. Nach dem Angriff sollten eine umfassende Untersuchung und Analyse durchgeführt werden, um die Schwachstellen und Fehler zu identifizieren, die zu dem Vorfall geführt haben. Diese Erkenntnisse müssen genutzt werden, um die Sicherheitsmaßnahmen weiter zu verbessern und zukünftige Angriffe abzuwehren.
8. Keine 100%ige Sicherheit:
Trotz aller Präventionsmaßnahmen und Vorsichtsmaßnahmen kann keine Organisation eine absolute Sicherheit vor Cyberangriffen garantieren. Es ist wichtig, dies zu akzeptieren und zusätzlich Absicherungsmaßnahmen wie Cyberversicherungen in Betracht zu ziehen, um im Falle eines Angriffs finanziellen Schutz zu gewährleisten. Im konkreten Fall hätte dies an mehreren Punkten für einen vollkommen anderen Ablauf sorgen können. Ein Beispiel: Die Cyberversicherung des Landkreises hätte dank seiner 24/7-Hotline sofort ein Krisenteam vor Ort platziert, um sofortige Gegenmaßnahmen zu initiieren. Aufwendig über das Finanzministerium Mittel (245.000 €) beschaffen zu müssen, die mangels Ansprechpartner an einen für sie unbekannten Anbieter für IT-Forensik gingen, der nach einem 9-tägigen, ergebnislosen Einsatz gebeten wurde seine Arbeit einzustellen, hätte sich so vermeiden lassen. Nicht nur im Sinne der Betroffenen, sondern auch dem der Versicherer und Vermittler wie CyberDirekt ist es außerdem, bei der Prävention zu unterstützen. Daher bieten wir, wie auch viele Cyberversicherungs-Anbieter zusätzlich stets Maßnahmen zur Sensibilisierung an, die einer Cyberattacke vorbeugen.
Dies ist nur ein winziger Ausschnitt der Absicherung, die eine gute Cyberversicherung Unternehmen, Organisationen und Verbänden geben kann. Sprechen Sie uns gern an, sollten Sie hierzu sowie einer der oben genannten Punkte, Fragen haben oder Beratung wünschen.
Telefon: 030 403 660 36
E-Mail: info@cyberdirekt.de
Website: CyberDirekt GmbH
Der Fall des Angriffs auf den Landkreis Anhalt-Bitterfeld dient als schmerzhaftes Beispiel dafür, wie verheerend Cyberangriffe sein können. Es zeigt uns, dass Cyber-Sicherheit eine kontinuierliche und gemeinschaftliche Anstrengung erfordert, um sich gegen diese ständig weiterentwickelnden Bedrohungen zu verteidigen. Es ist wichtig, aus solchen Vorfällen zu lernen und unsere Sicherheitsmaßnahmen kontinuierlich zu verbessern, um unsere wertvollen Daten und Ressourcen zu schützen. Gerne möchten wir Sie dabei unterstützen!
Terminkalender: Beratung vereinbaren