Der böse Hacker war es? Über IT Sicherheit im Landkreis Anhalt-Bitterfeld

12.07.2021

Der Katastrophenfall wurde im Landkreis Anhalt-Bitterfeld ausgerufen, doch kam es so überraschend? Für IT-Experten ist der jetzige Fall keine böse Überraschung und zeigt im Grunde nur eins: Der Ernstfall wurde ignoriert und Backups sind doch nicht so wichtig.

Was war passiert?

Der Kreis hat wegen eines schweren Befalls mit Schadsoftware (Ransomware) den Katastrophenfall ausgerufen. Das Netzwerk des Landkreises ist praktisch lahmgelegt und zeigt typische Fehler auf. Freitagnachmittag hieß es von Seiten des Landkreises: "Dieser Angriff hat auf alle Bereiche des Leistungsspektrums des Landkreises unmittelbare Auswirkungen und betrifft somit auch die Anliegen der Bürgerinnen und Bürger, die zurzeit nicht bearbeitet werden können".

Die Ausrufung des Katastrophenfalls soll dem Landrat die Möglichkeit eröffnen schneller zu entscheiden, erklärte ein Sprecher des Kreises Anhalt-Bitterfeld. Man suche nach wie vor wohl immer noch die Quelle der Infektion. Expert*innen und Speziallist*innen aus Bundes- und Landesbehörden, wie etwa Mitarbeiter*innen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), seien eingebunden worden.

Am Dienstag soll sich ein schweren Angriff auf das Netzwerk des Landkreises ereignet haben. Mehrere Server sollen infiziert worden sein. Eine größere Anzahl von Dateien seien verschlüsselt. Um den Datenabfluss zu stoppen wurden alle kritischen System vom Netz getrennt.

Immer diese bösen Hacker?

Auffällig ist bei solchen Einsätzen von Ransomware (englisch: ransom „Lösegeld“ und Software) die immergleiche Schwäche von den IT-Systemen und das immergleiche agieren der Verantwortlichen.

Anlässlich des Angriffs auf den IT-Dienstleister Kaseya warnte BSI-Präsident Arne Schönbohm Anfang Juli 2021: "Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind daher oftmals enorm."

Windows, Outlook und Active Directory (Verzeichnisdienst von Microsoft Windows Server) spielen eine große Rolle. Wenn immer Organisationen von diesen "Angriffen" betroffen sind, lässt sich genau dies vorfinden. Vor allem will man mit der Bezeichnung Angriff eine gut eingeübte Ablenkungsstrategie nutzen: "Der Hack ist SCHULD, wir können nichts dafür!", doch ist das wirklich so?

Um das zu beantworten muss man im Grunde nur fragen: "Warum werden die betroffenen Geräte nicht "gereinigt" und anschließend mit einem Backup versorgt?"
Ein Befall mit dieser Erpressersoftware ist nicht wahrlich nicht neu. Neben Landkreisen und Krankhäusern soll es auch schon so manche Firma getroffen haben. Diesmal soll eine Windows-Sicherheitslücke bei den Druckern bestanden haben. Im Grunde sind oft E-Mails oder Makros das Einfallstor, weil irgendwelche Mitarbeiter*innen was dummes gemacht haben: Anhänge in E-Mails können vergiftet sein oder in einem Dokument lädt ein Makro etwas hinterher. All das sind bekannte Lücken und normale Mitarbeiter*innen sollten sowas am BESTEN gar nicht ausführen dürfen, aber naja. Was genau in Anhalt-Bitterfeld zur Infektion führte ist bisher nicht bekannt. Nur die Anzeige ist raus.

Dieser Fall ist wie Fefe es immer so schön beschreibt : Ein Fall von ""wir haben jahrelang inkompetent alles schleifen lassen und jetzt regnet es rein"-Ransomware".
Im Grunde reine Sandartkost. Nur die Frage nach Lösegeld wurde vom bisherigen Landrat Uwe Schulze (CDU) nicht beantwortet, zumindest geht dies aus einem Bericht des MDR so hervor. Der neue Landrat Andy Grabner (CDU) muss sich nun weiter um eine Lösung bemühen.

Aber warum sorgte man nicht vor?

Zu den IT-Grundsätzen gehört seit Jahrzehnten: Legt Backups an!
Die Datensicherung bleibt das A und O, es ist eine der wichtigsten Grundlagen. Wenn nämlich gar nichts mehr geht und Dateien oder gar ganze Server verschlüsselt wurden, kann man so sein System sehr schnell zum Laufen bringen.
So wären die Zahlungen von Sozialleistungen und ähnliches nicht gefährdet.

Selbst wenn man auf den infizierten Server verzichten will, würde sich das System so auf einen neuen Server ohne Probleme spiegeln lassen. Der Kreis wäre fast sofort einsatzbereit und niemand müsste lange auf Antwort des Kreises warten.

Sicherheitslücken sind seit Jahren bekannt und dennoch scheint man auch heute noch die IT gegen die Wand zu fahren. Probleme in öffentlicher IT-Infrastruktur sind wahrlich nicht NEU. Selbst als ich noch Berufsschüler war und mich in meiner IT-Ausbildung befand, waren die Probleme offensichtlich. Der Verantwortliche für die IT hatte vor allem keine Ahnung von OPSEC und die Serverstruktur war eher ein Graus. Oder was halten sie von Windows 98 und XP im Jahre 2013? Der gesamte Kreis war von der Berufsschule aus erreichbar und wenn wir damals gewollt hätten: Wären die Festplatten sehr schnell verschlüsselt gewesen, aber wir beschränkten uns darauf mit den Drucken "Hallo" an alle Schulen des Kreises zu senden. Backups kannten man damals schon kaum und wenn waren es die Lehrer, welche private Lösungen mitbrachten. Ein Trauerspiel in mehren Akten.

Auch wenn ich schon einige Jahre keine Berufsschule mehr von innen sah, weiß ich doch: Viel geändert hat sich nicht. Ein damaliger Mitschüler betätigt sich heute selbst als Lehrkraft. Nach einigen Jahren in der Wirtschaft wollte er was neues ausprobieren. Das IT-Umfeld beschrieb er mir als fast genauso schlimm. Nur setz man heute "wenigsten auf Windows 7"... Veraltete Software, kaum Backups und mangelnde Kenntnisse.

Mehr OPSEC braucht das LAND!

Der ursprünglich aus dem Militär kommende Begriff sollte im IT-Umfeld keine Neuerung mehr sein. Operations Security beinhaltet dabei alle Prozesse und Maßnahmen, sowie die Planung und Durchführung, damit Daten geheim und sicher bleiben.
OPSEC ist eine wesentlicher Baustein zum Schutz der Daten und bildet die Grundlage für IT- und Datensicherheit. Mögliche Risiken sollen so eingeschätzt werden. Um Gefahren besser bewerten zu können teilt sich OPSEC in fünf Prozesses auf:
1. Kritische oder schützenswerte Daten identifizieren
2. Bedrohungsszenarien analysieren
3. Schwachstellen (mögliche) finden und betrachten
4. Risikoeinschätzung
5. Gegenmaßnahmen ergreifen

Um Daten oder auch Vermögenswerte zu schützen gilt es diese zu ermitteln und alle damit in Verbindung stehende Daten zu erkennen. Wenn man diese kritischen Informationen gefunden hat, geht man im zweiten Schritt dazu über mögliche Bedrohungen zu identifizieren. Mit welcher Methode oder Technik könnten Angreifer an Daten gelangen? Man versucht aus der  Sicht eines möglichen Angreifers vorzugehen. Anschließend schaut man sich die Systeme und Anwendungen genauer an. Mögliche Sicherheitslücken oder Schwachstellen sollen so erkannt werden. Neben den Lücken in Software gehören dazu auch Zugänglichkeiten von Hardware. Eine der größten Schwachstellen sind meistens die Menschen selber. Zugang zur Hardware oder ein schwaches Passwort sind nur zwei der einfachsten Bausteine. Wie oben erwähnt machen User oft nicht so schlaue Sachen und dazugehört weiterhin: Das Anklicken von Dingen, welche man besser nicht anklicken sollte. Makros oder Dateien können eben Schäden anrichten.
Bei der Risikoeinschätzung geht es nicht nur darum: Wie wahrscheinlich ein Angriff ist, sondern auch wie hoch das Bedrohungslevel ist. Ein einfacher Grundsatz: Hohe Risiken = geeignete Gegenmaßnahmen.
Im fünften Schritt geht es dabei immer um geeignete Gegenmaßnahmen. Einige dieser Maßnahmen müssen proaktiv sein. Risiken gehören minimiert: Das könnte durch Hard- oder Software erreicht werden, Schulung der Mitarbeiter, Einführung einer Security-Policies

Und am Ende muss dort immer das Backup stehen. Die Wiederherstellung von Backups sorgt für die Aufrechterhaltung des Systems, auch wenn dies die Ultima Ratio sein sollte. Im Idealfall war die Sicherung so gut, dass die Backups gar nicht benutzt werden müssten. Doch im Fall von Anhalt-Bitterfeld hat bisher alles versagt. Ein Schutzkonzept dürfte mindestens mangelhaft gewesen sein, doch die Vernachlässigung der goldenen Grundregel ist kaum zu erklären.

Was sagt der Kreis?

Aufgrund der polizeilichen Ermittlungen, wollte sich der Kreis leider nicht weiter äußern.

#euerOBIausHV

Du Willst mir Informationen oder Daten senden? Wie du das möglichst anonym machst, erfährst du hier (klicken)

Euer OBIausHV

Ihr findet mich bei Twitter/Instagram

Über Kommentare, Anregungen oder Nachfragen würde ich mich persönlich freuen. Kontaktiert mich gerne über Twitter, dort sind die DMs offen.

Für anderweitige Anfragen, Informationen oder für anonymen Kontakt nutzt einfach https://threema.id/DET3CV2C