Vermeidbarer Worst Case? Erster Cyber-Katastrophenfall in Deutschland durch Angriff auf KRITIS
von Svenja Koch
Der Landkreis Anhalt-Bitterfeld meldete den ersten Cyber-Katastrophenfall in Deutschland. Ein Cyberangriff legte die komplette IT-Infrastruktur lahm. Für Experten aus dem Bereich der IT Security ist die Meldung aus dem Landkreis Anhalt-Bitterfeld keine Überraschung. Das Netzwerk des Landkreises war das Ziel eines großangelegten Cyberangriffes. Sicherheitsexperten warnen seit geraumer Zeit vor einem solchen Cyber-Katastrophenfall in Deutschland.
Die unmittelbaren Auswirkungen des Cyberangriffes auf den Landkreis Anhalt-Bitterfeld
Am Freitag, dem 9. Juli 2021 machte der Landkreis Anhalt-Bitterfeld eine Cyberattacke auf die eigene Infrastruktur öffentlich. Die Verwaltung rief gleichzeitig den ersten Cyber-Katastrophenfall in Deutschland aus. Der Angriff begann laut Kreisverwaltung am Dienstag, dem 6. Juli. Die öffentliche Verwaltung für die etwa 157.000 Einwohner des Landkreises Anhalt-Bitterfeld ist in Teilen unterbrochen. Laut den Verantwortlichen wird es mindestens zwei Wochen dauern, bis alle Dienste wieder einsatzfähig sind. Seit diesem Zeitpunkt sind zahlreiche Leistungen des Landkreises nicht mehr verfügbar. So ist die Auszahlung von Sozial- und Jugendhilfen unterbrochen. Gleiches gilt für die Fahrzeugzulassungsstelle, sodass der Landkreis Neuzulassungen aktuell nicht bearbeitet. Auch Anfragen via E-Mail beantwortet der Landkreis seit Beginn der Cyberattacke nicht.
Die Angreifer übermittelten inzwischen eine Lösegeldforderung an die Verwaltung. Gegen die Zahlung einer unbekannten Summe versprechen die Kriminellen, die Daten wieder freizugeben. Diese Vorgehensweise ist bei Cyberangriffen mit Ransomware üblich.
Das ist über die Methoden des Cyberangriffes bekannt
Aufgrund der aktuellen Situation und den laufenden Ermittlungen gibt es nur wenig belastbare Informationen über das Ausmaß des Cyberangriffes. Sicher ist, dass die Angreifer Ransomware eingesetzt haben. Diese Schadsoftware hat das Netzwerk des Landkreises kompromittiert und Daten in einem unbekannten Umfang verschlüsselt. Betroffen sind mehrere Server der Verwaltung. Über welchen Weg die Angreifer die Systeme verschlüsselten, ist ebenfalls noch nicht geklärt. Vermutet wird, dass die Kriminellen eine Windows-Sicherheitslücke ausnutzten. Diese war seit Anfang Juli bekannt und ist von Microsoft inzwischen durch einen Patch geschlossen. Auch wer hinter dem Angriff steckt, ist bis jetzt nicht bekannt.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Die direkte Reaktion des Landkreises auf die Cyberattacke
Nachdem der Landkreis den Cyber-Katastrophenfall für Deutschland erklärte hatte, trennten die Verantwortlichen alle Systeme vom Netzwerk. Auf diese Weise versucht die IT Security eine Ausbreitung der Schadsoftware im internen Netzwerk zu verhindern sowie den Zugriff der Angreifer auf die Daten zu unterbrechen.
Die Verantwortlichen des Landkreises Anhalt-Bitterfeld informierten zudem das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses schaltete sich aktiv in die Aufarbeitung des Cyberangriffes ein und ist mit entsprechenden Experten der IT Security vor Ort. Die Experten sind vor allem mit der Aufarbeitung des Cyberangriffes beschäftigt. Hierbei geht es um die Suche nach der Quelle der Infektion und eine Analyse des Angriffs. Für das BSI ist der Cyber-Katastrophenfall in Deutschland ebenfalls Neuland, obwohl das Bundesamt bereits bei ähnlichen Cyberangriffen auf KRITIS involviert war.
Landrat Andy Grabner von der CDU erklärte gegenüber den Medien, dass ein Team mit etwa 50 bis 100 Leuten daran arbeitet, neue Computersysteme für die Verwaltung bereitzustellen. Die IT-Mitarbeiter bereiten diese Systeme notdürftig für den Einsatz vor, so dass die Verwaltung schnellstmöglich die Arbeit wiederaufnehmen kann. Der Landkreis arbeitet parallel dazu an der Wiederherstellung der Daten. Offensichtlich stehen keine Backups zur Verfügung beziehungsweise wurden diese im Rahmen des Cyberangriffes zumindest teilweise kompromittiert, denn der Landkreis ist auf die Hilfe anderer Ämter angewiesen. Die Zulassungsstelle etwa bezieht Daten vom Kraftfahrtbundesamt. Zusätzlich greift die Verwaltung auf Akten in Papierform zurück, um Informationen wiederherzustellen.
Gründe für Lücken in der IT Security von Kommunen
Experten aus dem Bereich der IT Security haben seit geraumer Zeit darauf hingewiesen, dass besonders in den Kommunen ein enormer Nachholbedarf besteht, was die IT-Infrastruktur betrifft. Während Großkonzerne und die Bundesregierung in die IT Security investiert haben, fehlen auf lokaler Ebene häufig die finanziellen Mittel dafür. Dies öffnet die Türen für Cyberbedrohungen, die dann zu Vorfällen wie jetzt im Landkreis Anhalt-Bitterfeld führen.
Die gravierenden Unterschiede zeigen sich an praktischen Beispielen und den gesetzlichen Vorgaben. Das BSI verfügt über ein eigenes Cyberabwehrzentrum. Dieses ist auf die Abwehr von Cyberbedrohungen spezialisiert und überwacht laufend die Systeme der Bundesverwaltung. Für Unternehmen und Organisationen, die dem KRITIS Sektor zugeordnet sind, gibt es gesetzliche Vorgaben wie das IT-Sicherheitsgesetz. Dieses legt Mindeststandards für die IT Security fest und schreibt außerdem vor, dass die Unternehmen über Audits und Zertifizierungen die Umsetzung der Vorgaben nachweisen.
Lokale Kommunen stehen selbst in der Verantwortung für die IT. Aus diesem Grund gibt es keine einheitlichen Standards und die IT-Abteilung ist häufig unterbesetzt. In Bereich der KMU sieht dies ähnlich aus. Dies führt dazu, dass die IT Security Schwächen aufweist. Selbst temporäre Verzögerungen, wie etwa das verspätete Aufspielen eines Sicherheitsupdates, haben dann schwerwiegende Folgen.
Cyberangriffe auf KRITIS nehmen dramatisch zu
Der Cyber-Katastrophenfall in Deutschland ist mit der Attacke auf die Systeme des Landkreises Anhalt-Bitterfeld erstmals Realität, jedoch ist dies nicht der erste Angriff auf den KRITIS Sektor.
Aufsehen erregte beispielsweise die Cyberattacke auf Colonial Pipeline im Mai 2021, den Betreiber einer US-amerikanischen Pipeline entlang der Ostküste. Auf den ersten Blick erscheint dies nicht wie ein Ziel, dass anfällig für eine Cyberattacke ist. Die Digitalisierung sorgt jedoch dafür, dass ein Ausfall der Computersysteme dazu führt, dass die Pipeline nicht mehr benutzbar ist. Nach mehrtägigem Ausfall stieg der Druck auf den Betreiber, da immer mehr Tankstellen an der US-Ostküste die Nachfrage nach Benzin und Diesel nicht mehr decken konnten. Welche Auswirkungen solche Cyberangriffe auf den KRITIS Sektor haben, zeigt sich am Beispiel Colonial Pipeline sehr gut. Die Pipeline transportiert etwa 45 Prozent des Treibstoffbedarfs der Ostküste der USA von Süden nach Norden. Rund 50 Millionen Amerikaner sind von dieser Leitung abhängig. Betroffen waren auch das US-Militär und Fluggesellschaften wie American Airlines. Die Gesellschaft leitete einige Flüge für das Betanken um. An den Tankstellen stiegen die Preise für Benzin und Diesel. Selbst der Weltmarktpreis für Rohöl zog an.
Zu guter Letzt hatte der Betreiber keine Wahl und zahlte die geforderte Lösegeldsumme an die Cyberkriminellen. Auch hier handelte es sich um einen Angriff mit der Ransomware DarkSide, der die Dateien des Unternehmens verschlüsselte. Colonial Pipeline zahlt rund fünf Millionen US-Dollar, damit die Kriminellen den Schlüssel für die Daten übermittelten. Damit gelang es, die Services lauffähig zu machen und die Pipeline wieder in Betrieb zu nehmen.
Auch in Deutschland nehmen die Angriffe auf den KRITIS Sektor zu. Im September 2020 erfolgte eine Attacke auf die Düsseldorfer Uniklinik. Dabei gelang es den Angreifern, erneut mit Ransomware, etwa 30 Server zu kompromittieren und die Daten zu verschlüsseln. Es dauerte mehrere Wochen, bis die IT-Abteilung alle Systeme wiederhergestellt hatte.
Die rasant steigende Gefahr durch Cyberbedrohungen hängt auch mit einer Änderung der Strategie von Cyberkriminellen zusammen. Inzwischen hat sich das Modell „Ransomware-as-a-Service“ etabliert. Die Entwickler dieser komplexen Schadsoftware sind also nicht mehr selbst bei spezifischen Angriffen aktiv, sondern vermieten ihre Software. Dies erfolgt ähnlich dem Prinzip von Cloud-Dienstleistungen wie „Software-as-a-Service“. Somit haben selbst wenig versierte Cyberkriminelle Zugang zu hoch entwickelter Ransomware und setzen diese ein, um finanzielle Vorteile durch Erpressungen zu erzielen. In naher Zukunft bedeutet das, dass Cyberbedrohungen eine alltägliche Gefahr darstellen. Besonders betroffen ist der KRITIS Sektor. Zum einen aufgrund der erwähnten Schwächen in der IT Security, die in Teilen der Organisationen vorhanden ist, zum anderen durch die enorme Bedeutung von kritischer Infrastruktur. Ausfälle im Bereich der KRITIS bedrohen schnell die Wirtschaft und das öffentliche Leben. Und es wird nur eine Frage der Zeit sein, wann der nächste Cyber-Katastrophenfall in Deutschland ausgerufen wird.
Folgen von erfolgreichen Cyberangriffen für das eigene Unternehmen
Die Auswirkungen von erfolgreichen Cyberattacken sind folgenschwer. Gerade bei gezielten Angriffen mit Ransomware legen die Kriminellen Wert darauf, alle Daten, Server und auch die Sicherheitskopien zu kompromittieren. Deshalb kommt es immer wieder zu einem kompletten Verlust der IT-Infrastruktur, was wochenlange Arbeiten mit sich bringt, in der die Arbeit still liegt und die IT versucht, wieder eine arbeitsfähige Umgebung aufzubauen.
Hinzu kommt, dass nach dem IT-Sicherheitsgesetz 2.0 und der EU-DSGVO Cyberangriffe meldepflichtige Ereignisse sind. Verstöße von KRITIS Betreibern ahnden die Verordnungen mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Zu den schwerwiegenden Ausfällen der IT und fehlenden Einnahmen durch Arbeitsverlust drohen also auch noch empfindliche Strafen.
Wie lassen sich solche Cyberangriffe verhindern?
Cyberangriffe wie im Landkreis Anhalt-Bitterfeld sind vor allem deshalb erfolgreich, weil die IT Security Lücken hat und nach veralteten Prinzipen agiert. Es wird viel zu häufig auf passive Systeme vertraut, anstelle aktiv nach Cyberbedrohungen im eigenen Netzwerk zu suchen. Zu den klassischen Verteidigungsmaßnahmen gehören beispielsweise Antivirenscanner oder eine Firewall. Versagen diese jedoch, gibt es keinerlei Schutz vor Angreifern. Gerade Antivirenprogramme erkennen nur bekannte Cyberbedrohungen. Hoch entwickelte Schadsoftware, wie sie bei gezielten Angriffen auf KRITIS Einrichtungen zum Einsatz kommt, wird beispielsweise meist nicht entdeckt. Dann haben die Angreifer sogar Zeit, sich unentdeckt im Netzwerk zu bewegen und die Ransomware in Stellung zu bringen.
Gerade hier setzen aktive Technologien wie Active Cyber Defense an. Mit diesem Service ist es möglich, frühzeitig Aktivitäten von Unbefugten in Netzwerken aufzuspüren. Dies sind beispielsweise Verbindungen mit einem C&C-Server, über die Cyberkriminelle ihre Schadsoftware steuern. Auf diese Weise entdeckt der ACD-Service Angriffe in der ersten Phase, so dass Gegenmaßnahmen ergriffen werden können, bevor Schäden entstehen. Eine solche Implementierung ist in wenigen Tagen vollzogen und bedarf keiner lokalen Installation. Unternehmen, die dem KRITIS Sektor zugeordnet sind, müssen laut Gesetz bis spätestens Anfang Mai 2023 ein solches System für die aktive Erkennung von Cyberattacken implementieren.
Fazit
Der Fall im Landkreis Anhalt-Bitterfeld sorgte für diverse Schlagzeilen und bestimmte einige Tage die Medien. In einigen Fällen wird dies für Veränderungen in der IT Security sorgen und vereinzelte Unternehmen lenken den Fokus temporär auf Cyberbedrohungen. Mutmaßlich gelangt das Thema jedoch zu schnell wieder in Vergessenheit – bis der nächste Cyber-Katastrophenfall in Deutschland ausgelöst wird. Verantwortliche und Entscheidungsträger in den Organisationen sollten die aktuelle Lage der Cyberbedrohungen - insbesondere für die KRITIS - nicht unterschätzen. Deshalb ist es umso wichtiger, jetzt entsprechende proaktive Abwehrmaßnahmen in der IT Security zu ergreifen. Schnelles Handeln ist wichtig, damit der nächste Cyber-Katastrophenfall in Deutschland nicht das eigene Unternehmen betrifft.
Wie sind Sie als Unternehmen der KRITIS gegen solche Cyberangriffe aufgestellt? Kontaktieren Sie uns - wir beraten Sie gerne!
Zum Thema passende Artikel
So schnell kann es mit Social Engineering gehen. Ein bemerkenswerter Hack traf die milliardenschwere Casino-Kette MGM, legte die technische Infrastruktur lahm und führte zu Störungen innerhalb der Casinos. Was passiert ist und wie die Angreifer vorgegangen sind, erklären wir in diesem Artikel.
Weiterlesen … Social Engineering: Ein Blick auf den spektakulären Hack von MGM.
Die sogenannten Advanced Persistant Threats (ATP) sorgen für eine zunehmend komplexe Bedrohungslage. Diese verschärft die Risikosituation in Unternehmen massiv und macht die Abwehr von Bedrohungen für die Cyber Security immer herausfordernder. Eine erfolgreiche Verteidigung gegen solche Cyberbedrohungen beginnt mit der Prävention. Dafür ist es notwendig, die Angriffsmuster der Hacker zu verstehen. Genau an diesem Punkt setzt das Cyber Threat-Modeling bzw. -Hunting an.
Weiterlesen … Cyber Threat Modeling und Cyber Threat Hunting - Denken Sie wie ein Angreifer!
Phishing, Ransomware, Datenspionage – die Liste der Cyberbedrohungen ist lang. Gleichzeitig gehen Cyberkriminelle immer raffinierter und professioneller vor. Folglich nimmt das Risiko, Opfer einer Cyberattacke zu werden, in Deutschland und auf der ganzen Welt weiter zu. Vor allem kleine und mittlere Unternehmen verfügen gewöhnlich nicht über die nötigen Ressourcen, um Cyberangriffe selbst rechtzeitig zu erkennen und so abwehren zu können. Die Nachfrage nach Managed Security Service Providern (MSSP) und deren vielfältigen Leistungsangeboten ist daher ungebrochen hoch. Wir verraten Ihnen, worauf Sie bei der Wahl eines externen Dienstleisters achten sollten.
Weiterlesen … Managed Security Services: So gefragt wie nie zuvor