Geschichte eines Ransomware-Angriffs: "Landkreis Anhalt-Bitterfeld, you are fucked"

Heute ist Griebsch als Krisenmanagerin tätig – weiterhin auch für Behörden und Verwaltungen. Mit Golem.de hat sie über die Ereignisse in Anhalt-Bitterfeld gesprochen – und gibt seltene Einblicke in den Ablauf und Learnings aus einem Ransomware-Angriff. Viele Unternehmen vermeiden das aus Sorge vor Reputationsverlust.

Um 6:45 klingelt das Telefon ...

Die Aufarbeitung des Angriffs beginnt, wie viele Sicherheitsvorfälle, mit dem Anruf eines Mitarbeiters in der IT-Abteilung. Um 6:45 Uhr am 6. Juli 2021 meldet sich das Amt für Brand, Katastrophenschutz und Rettungswesen, man habe merkwürdige Dateiendungen entdeckt. "Das Gute ist, dass die sehr früh anfangen, weil die 24-Stunden-Schichten betreuen" , erklärt Griebsch.

Es folgt das, "was man immer macht, also ging eine Meldung an die IT raus, dann trennte man nicht nur alle kritischen Systeme, sondern alle Server vom Netz. Die ganze Infrastruktur wurde runtergefahren."

Die Verwaltung des Landkreises verteilt sich auf Standorte in Köthen, Zerbst und Bitterfeld-Wolfen. "Die PCs können zwar aus der Ferne abgeschaltet werden, und wurden sie auch, aber was man nicht erreicht, sind die ganzen Endgeräte." Das heißt: Wenn ein PC aus ist, hindert die Angestellten am entfernten Standort nichts daran, ihn wieder einzuschalten.

"Wir haben irgendwann Zettel ausgeteilt, an alle Monitore geklebt und die Rechner vom Stromnetz getrennt, um erstmal eine Hürde zu schaffen" , sagt Griebsch. Um die kompromittierende Kette zu unterbrechen, werden die Beschäftigten außerdem über die Situation informiert – ganz altmodisch per Haussprechanlage.

Aufarbeitung mit drei Mitarbeitern in der IT

Die Ransomware verbreitet sich zu diesem Zeitpunkt wohl schon seit einigen Stunden im System. "Am Tag vorher gab es noch eine Meldung, dass der Mailserver nicht mehr richtig synchronisiert habe" , sagt Griebsch. Diese Meldung kam kurz vor 23:00 Uhr, der Kollege aus der IT wollte sich am nächsten Tag darum kümmern.

In der IT gibt es zu der Zeit rechnerisch 21 Vollzeitstellen – inklusive der Betreuer für Schul-IT und Fachverfahren. "In der Infrastruktur gab es faktisch drei Leute" , sagt Griebsch. "Die Zahl an Mitarbeitern, die in den ersten Tagen überhaupt eingesetzt werden konnten, war leider wirklich minimal."

Das Ausmaß des Angriffs ist zu diesem Zeitpunkt noch nicht absehbar. So wusste noch niemand, dass Daten gestohlen wurden. Über das Rechtsamt wird dennoch bereits Anzeige gegen Unbekannt gestellt. Schnell sei dann die zentrale Ansprechstelle für Cybercrime der Landespolizei(öffnet im neuen Fenster) vor Ort gewesen.

Zwei Sekunden Stille

"Zu dem Zeitpunkt hatte man auch schon den Stab für außergewöhnliche Ereignisse einberufen" , rekapituliert Sabine Griebsch die Ereignisse. "Das ist alles innerhalb von zwei Tagen passiert." Spätestens jetzt wird auch klar, welche Schadsoftware die Verwaltung getroffen hat. Es handelt sich um eine Ransomware der Gruppe Payorgrief.

Die reden Klartext: "Landkreis Anhalt-Bitterfeld, you are fucked" , heißt es in der Nachricht an die Behörde. Die Gruppe fordert ein Lösegeld in Höhe von 500.000 Euro in der Kryptowährung Monero. Ernsthafte Überlegungen, dieser Forderung nachzukommen, habe es laut Griebsch nicht gegeben. "Die zwei Sekunden Stille, die dann entstanden, waren einfach nur dem Schreck geschuldet."

Dass die öffentliche Hand dieser Forderung nicht nachkommt, ist sofort klar. Bald tauchen Daten der Verwaltung im Netz auf , noch vor Ablauf der Frist. Die Angreifer wollen ihrer Drohung wohl Nachdruck verleihen. "Von 62 Gigabyte waren das nur wenige Kilo- oder Megabyte" , sagt Griebsch. Zwar sind darunter personenbezogene Daten von Mandatsträgern. Soweit bekannt, landen aber keine Daten von Bürgerinnen und Bürgen im Internet.

Wiederaufbau mit Datenvolumen aus der Tankstelle

Am 9. Juli 2021 um 11:00 Uhr wird dann der Katastrophenfall ausgerufen. Es ist klar, dass das gesamte Active Directory betroffen ist. "Das betrifft alle Rollen, alle Nutzeraccounts" , sagt Griebsch. "Wenn man sieht, dass die Infrastruktur kompromittiert ist, muss das alles neu aufgebaut werden."

"Gott sei Dank hatten wir zu dem Zeitpunkt 40 Rechner im Keller, die noch nie in irgendeinem Netz waren" , sagt Griebsch. "Die waren komplett isoliert." Um das Netzwerk in den Verwaltungsgebäuden zu meiden, werden sie über einen Mobilfunk-Hotspot mit dem Internet verbunden.

Es folgt eine weitere Schrecksekunde: Nach dem Hochfahren sind die Geräte sofort wieder offline. Dabei werden lediglich Windows-Updates heruntergeladen – die das Datenvolumen des Hotspots aufbrauchen. "Also fährt man schlimmstenfalls noch mal zur Tankstelle und holt neues Guthaben" , so Griebsch.

Ausnahmezustand mit ungewissem Ende

Beim Katastrophenfall geht es um das Ersuchen von Amtshilfe – nicht nur beim Wiederaufbau der Technik, sondern auch zur Unterstützung bei all den behördlichen Vorgängen, die ohne funktionsfähige Verwaltungs-IT zum Stillstand kommen.

Seien es Elterngeld, Kfz-Zulassungen oder die Lohnzahlungen der Beschäftigten der Verwaltung – alles war eingeschränkt, überall musste ausgeholfen werden. Der Infektionsschutz während der Coronapandemie wurde zeitweise in die benachbarte kreisfreie Stadt Dessau-Rosslau verlagert, das Bafög in das Studentenwerk nach Köthen. "Man sieht, wie fragil die Gesellschaft eigentlich ist, wenn eine Verwaltung nicht mehr funktioniert" , sagt Griebsch.

Wie lange der Aufbau noch dauern wird, wissen die Beteiligten zu diesem Zeitpunkt noch immer nicht. "Im besten Fall können wir alsbald wieder anfangen, im schlimmsten Fall reden wir von Wochen" , so Kreissprecher Udo Pawelczyk am 7. Juli 2021 in einer ersten Pressemitteilung .

Gleichzeitig wird der Druck von außen immer höher. "In der Wirtschaft kann ich in so einer Situation als Kunde zum Konkurrenzunternehmen wechseln, bei der Verwaltung geht das nicht" , sagt Griebsch. "Wenn ich einen Reisepass brauche, weil mein Urlaub geplant ist und die Verwaltung meinen Reisepass nicht ausstellen kann, weil sie nicht funktionsfähig ist, habe ich Pech gehabt."

Viele Rückmeldungen aus der Bevölkerung kommen auch über soziale Medien wie Facebook. Griebsch schottet die IT-Abteilung in dieser Phase von eingehenden Mitteilungen ab, negativen wie positiven. Auch die habe es nämlich gegeben, erzählt Griebsch: "Es gab auch viele Unterstützungsangebote, die total lieb gemeint waren, aber absolut nichts mit der Realität zu tun hatten."

Eine halbe Million kann man besser investieren

Anhalt-Bitterfeld ist kein Einzelfall. Immer wieder kommt es auch in der öffentlichen Verwaltung zu Sicherheitsvorfällen. Im März 2022 gibt es einen Angriff auf die Stadtverwaltung Suhl , die Stadtverwaltung ist daraufhin vorerst "nur sehr eingeschränkt arbeitsfähig" . Im Mai 2022 informiert die Stadt Schriesheim ihre Bürger über einen Abfluss von Daten . 170 Gigabyte sollen die Angreifer erbeutet haben, so das Innenministerium .

Im Landkreis Anhalt-Bitterfeld war der Vorfall "ein Katalysator für die Implementierung von Sicherheitsmaßnahmen, die längst hätten umgesetzt werden müssen – wenn man sich in Haushaltsdiskussionen hätte durchsetzen können" , sagt Griebsch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, 20 Prozent des IT-Budgets für Security aufzuwenden. Das sei aber nicht so einfach, wenn das IT-Budget ohnehin schon klein ist.

Umso mehr sollte man auf den Ernstfall vorbereitet sein. Nach Hinzuziehen der Landespolizei "war die IT-Abteilung natürlich damit beschäftigt, sich deren Informationsbedarf zu stellen. Das bedeutet aber auch, dass die eigentliche Arbeit erstmal zurückgestellt wird." Griebsch empfiehlt daher umso mehr, alle notwendigen Informationen, die im Falle des Falles benötigt werden, bereits im Vorfeld parat zu haben.

Und: Man sollte kein Ransomware-Lösegeld bezahlen. Experten raten immer wieder davon ab, den Forderungen der Erpresser nachzukommen. Jede Zahlung halte das Geschäftsmodell der Angreifer am Laufen, mahnen IT-Sicherheitsforscher . "Also, mal abgesehen davon, dass man Investitionen in den Neuaufbau ja ohnehin tätigen muss" , ergänzt Griebsch. "Da kann man die 500.000 Euro auch besser investieren." Diese Erkenntnis scheint sich langsam durchzusetzen: 2022 zahlten weniger Unternehmen die geforderten Lösegelder.

"Im Endeffekt wird damit der nächste Angriff bezahlt" , sagt Griebsch. "Das ist nicht zielführend. Der Angreifer ist ja dennoch im System und hat sich Hintertüren eingebaut."

Nach der Krise ist vor der Krise

Im Februar 2022 wird der Katastrophenfall offiziell aufgehoben . Wer in der Verwaltung die katastrophale Kettenreaktion mit einem einzigen Klick ausgelöst hat, ist für Sabine Griebsch unerheblich. "Ich bin der Ansicht, dass der Mensch nicht schuld ist" , sagt sie. "Es kann nicht sein, dass ein Klick hunderttausende Euro für aktive Sicherheitssystemen ad absurdum führt."

Auf Seiten der Angreifer ist die Schuldfrage mittlerweile geklärt. Im März 2023 wird Haftbefehl gegen drei Verdächtige(öffnet im neuen Fenster) erlassen, die neben Angriffen auf das Universitätsklinikum Düsseldorf und die Funke-Mediengruppe auch für den Vorfall in Anhalt-Bitterfeld verantwortlich sein sollen.

Für Sabine Griebsch geht es nach dem Katastrophenfall direkt mit der nächsten Krise weiter. "Ich dachte, ich würde meine Arbeit an die Nachfolgerin übergeben und dann zwei Wochen Urlaub machen" , erzählt sie – bis sie drei Tage später ein Anruf von der Landeshauptstadt Potsdam erhält. Denn kurz vor dem Jahreswechsel wird auch deren Verwaltung erneut durch einen Cyberangriff lahmgelegt – schon zum zweiten Mal in drei Jahren .

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.