22. April 2022
Autor:
Birgit Hofmann
Informationen über neue Virusvarianten, die unsere Gesundheit gefährden, bekamen wir bis vor kurzem täglich zu hören und zu lesen (ob wir wollten oder nicht). Eine der Gefahrenlage angemessene Informationspolitik für sicherheitsbewussteres Verhalten im Cyberraum wäre ebenfalls dringend angebracht, nur: kaum jemand spricht darüber. Natürlich stürzen sich Medien auf spektakuläre Hacks, die für Schlagzeilen gut sind. Und dann? Ist das Thema wieder vom Tisch. Will man als normaler Mensch (IT-Insider klammere ich einmal aus) auf dem Laufenden bleiben, wie es um die Gesundheit unserer IT-Infrastruktur bestellt ist, muss man sich die Informationen mühsam selbst zusammenklauben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Stellen geben regelmäßig Warnungen über aktuelle Bedrohungen und Sicherheitsempfehlungen heraus, doch erreichen sie nur relativ wenige Anwender, obwohl diese das primäre Ziel der meisten Angriffe sind und – bestens informiert und geschult – auch deren Ende darstellen könnten. Angesichts dessen müssten die Warnungen und Informationen auf breiter Front und vor allem auf verständliche Weise in die Bevölkerung hinausposaunt werden. Zumal nicht weniger auf dem Spiel steht als unsere Jobs, unsere gesellschaftliche Infrastruktur, unsere medizinische und Energieversorgung. Sie glauben, das ist übertrieben? Schön wär’s.
Die Lage ist „angespannt bis kritisch“
Arne Schönbohm, Präsident des BSI, formuliert es im Vorwort des Berichts „Die Lage der IT-Sicherheit in Deutschland 2021“ so: „… es muss auch den Anwenderinnen und Anwendern bewusst sein, dass sie ihre Netzwerke und Systeme jeden Tag aktiv schützen müssen. Wer dies nicht tut, geht enorme Risiken ein: Produktionsausfälle können für Unternehmen existenzbedrohend sein. Blockierte digitale Bürgerdienste erschweren die Arbeit für Kommunen und Landkreise. Bürgerinnen und Bürger können Verwaltungsdienstleistungen nicht wie gewohnt in Anspruch nehmen. Krankenhäuser müssen sich von der Notfallversorgung abmelden und reihenweise OPs absagen. Dadurch werden Leben gefährdet, zudem leidet die hohe Qualität der medizinischen Versorgung in Deutschland insgesamt.“
Die Digitalisierung nahezu aller Lebens-, Arbeits-, Verwaltungs- und Bildungsbereiche verläuft in Deutschland zwar an vielen Stellen wie gehabt schleppend, schreitet aber dennoch stetig voran. Dies schafft immer größere und auch neue Angriffsflächen und Schwachstellen, die so sicher wie das Amen in der Kirche ausgenutzt werden.
Zum einen durch immer effizientere Attacken mit dem Ziel, Schutzgeld, Lösegeld oder Schweigegeld zu erpressen, und zum anderen durch ein Bombardement an Malware, die eine kaum vorstellbare Masse erreicht hat. Laut BSI wurde im Berichtszeitraum 2021 die Produktion neuer Malwarevarianten auf ein neues Höchstmaß angekurbelt: der Tagesindikator lag bei durchschnittlich 394.000 Varianten. Pro Tag, wohlgemerkt! Das entspricht gegenüber dem Vorjahr einer Produktivitätssteigerung von 22 Prozent.
Im Aufwärtstrend sind laut BSI-Bericht auch Attacken, deren „Auswirkungen über die Schädigung der Opfer hinausgingen“. Was ist damit gemeint? Es sind Attacken auf Einrichtungen der Verwaltung und Energieversorgung, Bildungs- und Forschungsinstitute, Krankenhäuser, Landesministerien.
Journalisten des Bayerischen Rundfunks und Zeit Online haben recherchiert, dass in den vergangenen sechs Jahren über 100 Behörden erfolgreich angegriffen und per Datenverschlüsselung erpresst wurden. Da es jedoch keine Meldepflicht für Ransomware-Angriffe gibt, hat die Bundesregierung keinen Überblick über die Fälle, und es könnten auch locker doppelt oder zehnmal so viele sein. Auf Anfrage der Journalisten teilte das Bundesinnenministerium mit, „… sofern Länder Behörden des Bundes über Ransomware-Vorfälle in ihrer Zuständigkeit informieren wollen, steht ihnen das frei.“
Erschwerend hinzu kommt, dass es laut Dr. Sven Herpig, Experte für Internationale Cyber-Sicherheitspolitik, kein Zentralregister gibt, in dem sämtliche in der Bundesverwaltung eingesetzte Soft- und Hardware aufgelistet ist. Somit kann auch nicht sicher nachvollzogen werden, wo bekanntermaßen kompromittierte und von Malware infizierte Software installiert ist. Wie beispielsweise Orion von SolarWinds, eine Attacke, die Anfang 2021 als „größter Hack seit Jahren“ bezeichnet wurde.
Es scheint, als manövriere sich Deutschland auch durch dieses potenziell fatale Infektionsgeschehen „auf Sicht“.
Neben dem wirtschaftlichen Schaden (jeweils 223 Milliarden Euro in den Jahren 2020 und 2021) können Cyberangriffe auf öffentliche Einrichtungen immensen gesellschaftliche Schaden anrichten und sogar lebensbedrohliche Ausmaße annehmen.
Machen wir uns nichts vor: Angriffe auf kritische Strukturen finden schon seit längerem statt, und jeder von uns – ob mit oder ohne IT-Kenntnisse – sollte sich dafür mitverantwortlich fühlen, diese Angriffe abzuwehren. Auch wenn die Informationslage von offizieller Seite katastrophal mager ist. Haben Sie gewusst, dass 2021 in Deutschland der allererste Katastrophenfall aufgrund einer Cyberattacke ausgerufen wurde?
Deutschlands erster Cyber-Katastrophenfall
Im Juli 2021 verschlüsselte Ransomware die Daten des Landkreises Anhalt-Bitterfeld, der sich weigerte, das geforderte Lösegeld zu zahlen. Die Verwaltung war daraufhin de facto arbeitsunfähig und löste den ersten durch einen Cyberangriff verursachten Katastrophenfall in Deutschland aus. Zu den gravierenden Auswirkungen für die Bürger gehörte unter anderem der komplette Ausfall von Sozial- und Unterhaltsleistungen sowie der Kraftfahrtzulassung.
Das BSI entsandte ein „Emergency Response Team“, das die Verwaltung unterstützte. Zum einem mit der Einrichtung einer neuen IT-Infrastruktur für rund 1.000 Verwaltungsangestellte, zum anderen mit der Wiederherstellung der verschlüsselten Daten, soweit möglich, und natürlich der Aufbereitung der Attacke, um daraus wichtige Lektionen zu lernen.
Gelernt hat der Landkreis Anhalt-Bitterfeld auf alle Fälle und will nun in punkto Cybersicherheit eine Vorreiterrolle übernehmen. Das Lehrgeld betrug rund zwei Millionen Euro, die persönlichen Beeinträchtigungen und Nachteile der betroffenen Bürger lassen sich nicht beziffern.
Im Februar 2022 hat der Landkreis den Katastrophenfall wieder aufgehoben, da die Verwaltungsabläufe wieder funktionieren. Bis alle Schäden behoben sind und tatsächlich Normalität in der Verwaltung herrscht, wird es voraussichtlich Juni werden. Das heißt, ein knappes Jahr lang war die Kreisverwaltung nicht oder nur eingeschränkt arbeitsfähig!
Klinik-IT lahmgelegt – aus Versehen!?
Im September 2020 fiel die Uniklinik Düsseldorf einer Ransomware-Attacke zum Opfer. Dreißig Server wurden infiziert und die Daten verschlüsselt. Auf einem der Server fand sich ein Erpresserschreiben, das allerdings an die Universität und nicht das Klinikum gerichtet war. Als die Polizei mit den Erpressern Kontakt aufnahm und sie darauf hinwies, händigten die Cyberkriminellen einen digitalen Schlüssel zur Entschlüsselung der Daten aus und zogen die Erpressung zurück. Ups, war ein Versehen!
Dennoch war der Klinikbetrieb aufgrund des Ausfalls zentraler Systeme stark eingeschränkt. Planbare und ambulante Behandlungen mussten abgesagt, neue Patienten konnten nicht aufgenommen werden. Die Erreichbarkeit der Klinik war sowohl per E-Mail als auch per Telefon nur eingeschränkt möglich. Zudem musste sich die Uniklinik Düsseldorf für knapp zwei Wochen von der Notfallversorgung abmelden. In diesem Zeitraum starb eine Patientin, weil sie der Rettungsdienst nicht zur sofortigen Behandlung in der Uniklinik Düsseldorf einliefern konnte. Allgemein hat sich die Cyber-Bedrohungslage für Krankenhäuser gravierend verschärft, sagt Markus Holzbrecher-Morys, der Geschäftsführer für IT, Datenaustausch und eHealth bei der Deutschen Krankenhausgesellschaft. Das BKA erklärt dies damit, dass sich Cyberkriminelle gesellschaftlichen Notlagen anpassen und diese ausnutzen. Ziele mit hohem gesellschaftlichem Wert rücken in ihr Visier, und in Zeiten der Pandemie passen Kliniken und medizinische Einrichtungen in genau dieses Beuteschema.
Angriffe auf Bildungseinrichtungen
Aus demselben Grund bieten sich auch Bildungseinrichtungen als potenziell attraktive Erpressungsopfer an. Erst im November 2021 wurde die TH Nürnberg Ziel eines erpresserischen Angriffs. Dieser wurde jedoch rechtzeitig bemerkt. Zum Glück für die Hochschule waren regelmäßig Backups erstellt worden, sodass die Serverstände auf einen Stand vor dem Angriff zurückgesetzt werden konnten, auch wenn der Hochschulbetrieb für einige Tage stark beeinträchtigt war.
Wesentlich schlimmer traf es die TU Berlin, die noch ein halbes Jahr nach der ersten Attacke im April 2021 mit den Folgen zu kämpfen hatte. Leidtragende waren vor allem die Erstsemester. Beim Bewerbungsverfahren kam es zu Verzögerungen, sodass die Zusagen für einen Studienplatz verspätet gesendet wurden. Zu Semesterbeginn waren viele Studierende noch nicht immatrikuliert. Dies war vor allem für die jungen Menschen ein echtes Problem, die für das Präsenz-Herbstsemester in Berlin auf Wohnungs- oder Zimmersuche waren. Ohne Immatrikulationsbescheinigung geht da gar nichts. Auch Bescheinigungen und Anmeldungen zu Prüfungen waren längere Zeit nicht möglich, da Verwaltungssysteme und Self-Services nicht verfügbar waren.
Auch auf die Uni Leipzig erfolgte Ende September ein Hackerangriff mit Erpressungssoftware, betroffen war das Institut für Medizinische Informatik, Statistik und Epidemiologie, das sich mit der Corona-Pandemie beschäftigt. Zufall?
Kritisch: Strom-, Gas-, Wasser- und Wärmeversorgung
Im Oktober 2021 wurden die Stadtwerke Wismar von Cyberkriminellen angegriffen. Mitarbeiter schöpften Verdacht, als sie nicht mehr auf interne Daten zugreifen konnten. Relativ schnell wurde klar, dass es sich um einen Hackerangriff handelte, im Zuge dessen sämtliche Daten verschlüsselt worden waren. Sofort wurden alle Verbindungen zu technischen Anlagen getrennt, um Manipulationen an der Energie- und Wasserversorgung zu verhindern. Dies ist geglückt. Die Stadtwerksmitarbeiter konnten jedoch nicht auf Service-, Kunden- und kaufmännische Daten zugreifen. Das bedeutete, dass Neu- und Ummeldungen sowie Störungsmeldungen nicht bearbeitet werden konnten. Nur um einmal klarzumachen, was bei einem erfolgreichen Angriff auf ein Wasserwerk passieren kann: Im US-Bundestaat Florida haben Hacker im September 2021 kurzzeitig die Kontrolle über die Trinkwasseraufbereitung übernommen und versucht, das Wasser mit einer Chemikalie zu verseuchen. Der Angriff konnte zum Glück abgewehrt werden.
Krieg im Cyberspace
Während der Recherchen zu Angriffen auf kritische Infrastrukturen in Deutschland überschlugen sich die weltpolitischen Ereignisse, auf die ich hier nicht weiter eingehen will. Bemerkenswert im Zusammenhang mit dem hier besprochenen Thema ist aber, in welcher Geschwindigkeit, Raffinesse, Skrupellosigkeit und Vehemenz der Krieg von verschiedenen Gruppierungen auch im Cyberspace ausgetragen wird. In unserer digital vernetzten Welt gerät damit die Online-Sicherheit von Organisationen weltweit ins Fadenkreuz. Das BSI stuft die Lage in Deutschland als „geschäftskritisch“ ein, und auch die Cybersecurity-Behörden anderer Länder raten dazu, schützende Maßnahmen einzuleiten.
Was wir für Sie tun können
Gern führen wir eine tiefgehende Analyse Ihrer eingesetzten Software und Dienste durch und leiten daraus Handlungsempfehlungen für Sie ab.
Wenn Sie mehr über unsere Analyse oder das Thema Cybersicherheit erfahren möchten, freuen wir uns über Ihre Kontaktaufnahme.
Quellen
BSI: Die Lage der IT-Sicherheit in Deutschland 2021
Hacker verschlüsseln Daten: Mehr als 100 Behörden erpresst | tagesschau.de
SolarWinds: Ein Hackerangriff, der um die Welt geht – Spektrum der Wissenschaft
Nach Cyberangriff: Landkreis Anhalt Bitterfeld hofft auf Geld vom Land | MDR.DE
Immer mehr Cyberangriffe: Kliniken im Visier der Hacker | tagesschau.de
Hacker-Angriff auf die Technische Hochschule Nürnberg | BR24
Stadtwerke Wismar: Ermittlungen nach Cyberattacke laufen | NDR.de – Nachrichten – Mecklenburg-VorpommernHuman Risk Review 2022 | SoSafe (sosafe-awareness.com)
