IT-Sicherheit: Protokoll eines Angriffs

Fünf vor zwölf

Hacken war gestern. Heute legen professionelle Erpresserbanden ganze Systeme lahm. Protokoll einer Attacke.





/ Wer am 3. Juli dieses Jahres in den Läden der schwedischen Supermarktkette Coop einkaufen wollte, stand vor verschlossenen Türen. Auf eilig angeklebten Zetteln hieß es nur: „Wegen größerer IT-Störungen ist das Geschäft geschlossen. Keine Prognose, wann wir wieder öffnen können.“ Der Grund: In Hunderten von Filialen hatten plötzlich alle Kassen gestreikt. Nicht betroffen war allein eine Handy-App, mit der die Kunden die Ware selbst scannen und direkt bezahlen können, doch die war in vielen Märkten noch nicht eingeführt. Theoretisch hätte man alle Produkte in Akkordarbeit mit alten Etikettierzangen auszeichnen und am Ausgang die Preise mit Block und Bleistift addieren können – aber das ist keine Option in einem Land, in dem Björn und Anni-Frid Normalkonsument längst keine Öre Bares mehr mit sich herumtragen.

Auslöser des Blackouts war das Fernsteuerungsprogramm VSA des amerikanischen Anbieters Kaseya, das viele IT-Dienstleister in Europa einsetzen. Coop war nur das letzte Glied einer Schadenskaskade, die eine vermutlich in Russland ansässige Bande von Cyberkriminellen angestoßen hatte. Die Erpresser hatten eine Schwachstelle in der Software ausgenutzt, um die Ransomware „Sodinokibi“ in ein Update einzuschleusen und 70 Millionen Dollar Lösegeld für den Entschlüsselungscode zu fordern. Beim Installieren des Updates drang das Trojanische Pferd in alle angeschlossenen Systeme ein – zuerst bei den Dienstleistern, dann bei deren Kunden. Auch einige deutsche Firmen waren betroffen.

Nachdem Kaseya sich weigerte, die Rekordsumme zu zahlen, senkten die Gangster ihre Forderung auf 50 Millionen Dollar, doch das Unternehmen gab nicht nach. Dann hatten die Opfer Glück im Unglück: Am 9. Juli sprach US-Präsident Joe Biden mit seinem russischen Kollegen Wladimir Putin – vier Tage später verschwand die Bande, die zuvor schon die US-Tochter des brasilianischen Fleischgiganten JBS und die Handwerkskammer Hannover überfallen hatte, spurlos. Nach drei quälend langen Wochen ging der Albtraum am 23. Juli zu Ende: Kaseya stellte seinen Kunden einen neuen, von Unbekannten zugespielten Generalschlüssel bereit.

Das Abtauchen der als R(ansomware) Evil bekannten Gang bedeutet nicht, dass sich Unternehmen wieder sicher fühlen können. Im Gegenteil: Die Gefahr, die von derartigen Cyberattacken ausgeht, wird immer noch unterschätzt – vielen ist bis heute entgangen, dass digitale Erpressung zu einem weltweiten Massengeschäft für hoch qualifizierte Berufsverbrecher geworden ist, das inzwischen wie der Amazon Marketplace funktioniert. Die namenlosen Köpfe hinter REvil können den Ruhm genießen, Pioniere des Ransomware-as-a-Service-Geschäftsmodells gewesen zu sein: Sie entwickelten Baukästen mit der kompletten Software, die für Erpressungen erforderlich ist, und boten sie gegen Erfolgsbeteiligung im Darknet an. Tun sie das in Zukunft nicht mehr, wird es ein anderer tun.

Die folgende Geschichte mag extrem klingen, beschreibt aber keinen Ausnahmefall. All das kann jedem passieren.

Erzählen lässt sich die Erpressung der Handwerkskammer (HWK) Hannover nicht ab der Infektion durch den Sodinokibi-Virus, sondern erst ab dem Ende der Inkubationszeit, also der Nacht vom 20. auf den 21. Oktober, einem Mittwoch. Obwohl Spezialisten der Kripo Hannover und Forensiker des Landeskriminalamtes (LKA) Niedersachsen die Systeme genau unter die Lupe genommen haben, ist die Zeit davor bis heute eine Blackbox. Moderne Malware ist nicht nur dazu optimiert, für Antivirenprogramme unsichtbar zu bleiben – sie hinterlässt auch kaum Spuren, aus denen sich der exakte Tathergang rekonstruieren ließe. Sicher ist nur, dass es den Gangstern geglückt war, den Mailserver der HWK zum Infektionsherd umzufunktionieren, obwohl er vorschriftsgemäß konfiguriert war. Dafür muss im Vorfeld das System gehackt worden sein – ob Minuten, Stunden, Tage oder Wochen früher, lässt sich bis heute nicht sagen.

Die HWK Hannover ist so problembewusst, dass sie ihre IT rund um die Uhr von geschultem Fachpersonal überwachen lässt. Viele Behörden und Unternehmen leisten sich das noch nicht – die Verantwortlichen halten das Bezahlen hoch qualifizierter Fachkräfte für einen Nachtwächterjob bis heute für Luxus. Doch erfahrene Täter wissen das und greifen deshalb gern außerhalb der Bürozeiten an – so wie konventionelle Einbrecher lieber nachts ein Juweliergeschäft ausräumen.

Als die IT-Nachtwache die ersten verdächtigen Aktivitäten auf dem Server entdeckt, ist nur noch einer der 250 PCs der Verwaltung eingeschaltet. Handelte es sich um einen frischen Phishing-Angriff auf dieses Gerät, wäre anzunehmen, dass die Malware noch nicht auf andere Computer übergesprungen ist. Doch der Fall scheint anders zu liegen: Auf dem gekaperten Mailserver befindet sich eine Nachricht, die keinem konkreten Adressaten zuzuordnen ist. Und über die Blindkopie-Funktion (BCC) könnte die Mail an viele Empfänger gegangen sein. Zur schnellen Schadensbegrenzung bleibt nur eines: alles sofort herunterzufahren.

Später werden die Ermittlungen ergeben, dass niemand auf ein dubioses Attachment einer seltsamen Mail geklickt hat. Technisch gibt dieser Fall der Polizei bis heute Rätsel auf. Auch in einschlägigen Foren ist über ähnliche Angriffe nichts zu finden.

Mögliche Schäden durch Ransomware:
– tage- bis wochenlange Betriebsunterbrechung
– Verlust oder aufwendige Rekonstruktion der Daten
– Lösegeldforderungen
– Betriebsspionage
– Abfluss geschützter oder vertraulicher Daten, Drohung sie zu verkaufen oder zu veröffentlichen
– Reputationsschaden / Vertrauensverlust bei Kunden
– prophylaktischer Austausch betroffener Hardware

In der HWK-Verwaltung nimmt in den Morgenstunden das vorgeschriebene Procedere seinen Lauf. Als sich der Hauptgeschäftsführer Peter Karst um acht Uhr mit einem eilig zusammengetrommelten Krisenstab trifft und dessen Leitung übernimmt, sind gemäß Notfallplan längst alle Computer vom Netz getrennt. Auch ein Login aus dem Homeoffice ist nicht mehr möglich.

Leider ist der Hack zu spät aufgefallen, um auch nur bei einem Teil der Geräte eine Infektion sicher ausschließen zu können. Unter digitaler Quarantäne stehen deshalb außer der Verwaltung auch die Tochterfirma Projekt- und Servicegesellschaft mbH und das Fortbildungszentrum Campus in Garbsen mit 600 Computerarbeitsplätzen. Der Krisenstab berät sich mit dem Datenschutzbeauftragten, meldet den Vorfall der Rechtsaufsicht und der Landesdatenschutzbeauftragten und schaltet das LKA wie auch das Bundeskriminalamt ein.

Mittlerweile liegt auch die Forderung der Erpresser vor. Ihre Höhe wird nicht veröffentlicht. Die Zahlung soll in Bitcoin erfolgen, der globalen Leitwährung des organisierten Verbrechens. Inzwischen ist sie manchen Tätern allerdings zu unsicher – sie bevorzugen Monero, eine noch geldwäschefreundlichere Alternative.

Die Kammer folgt dem Rat der Polizei und beschließt, lieber Lehrgeld zu bezahlen als Lösegeld. Nicht allen Betroffenen fällt so eine Entscheidung leicht, denn wenn sich eine Blockade der Büroarbeit oder gar der Produktion durch den Kauf des Entsperrcodes schnell beenden lässt, kann das die billigere Lösung sein. So bezahlte JBS im Mai 2021 umgerechnet elf Millionen Dollar an REvil, um seine Schlachthöfe in den USA wieder öffnen zu können. Im selben Monat gab der Pipeline-Betreiber Colonial der Erpressung nach, als an der Ostküste der Sprit knapp wurde.

Es gibt sogar Versicherungen für solche Fälle. Deshalb recherchieren ausgebuffte Profis als Erstes, ob und wie hoch ihr Opfer versichert ist, um passgenau eine Forderung hart an der Schmerzgrenze zu stellen. „Täter sind (…) motiviert, Institutionen anzugreifen, die Netze mit vielen Rechnern besitzen, wenig oder mangelhaft ausgebildetes IT-Personal haben, homogene Strukturen verwenden, wertvolle Daten verwalten und möglichst noch versichert sind, um hohe Lösegelder fordern zu können“, erklärt das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer neuen Broschüre zu Ransomware.

Über Facebook, Twitter, Instagram und die Website erfährt die Öffentlichkeit erst einmal nur die halbe Wahrheit: Die HWK kämpft mit technischen Problemen. Mitten in die Aufregung platzt am Nachmittag eine Botschaft der Erpresser an die PR-Abteilung der Kammer: Im Facebook Messenger poppen Screenshots auf, die beweisen, dass die Behauptung der Täter, sie hätten sich Zugang zum Fileserver verschafft, kein Bluff ist. Und wer im System so weit drin ist, kann natürlich auch Dateien herunterladen.

Tatsächlich wissen viele Ransomware-Angreifer, wenn sie in eine Firma eindringen, noch nicht genau, in welcher Form sie die Erpressung durchziehen. Der Grund ist einfach: Dafür müssen sie sich erst einmal im Netz ihres Opfers umschauen.

Wie schmerzhaft die Verschlüsselung von Daten ist, hängt in erster Linie von der Back-up-Strategie des Attackierten ab. Ein stärkeres Druckmittel kann deshalb im Abschöpfen von Informationen liegen, die nicht an die Öffentlichkeit gelangen dürfen, wie beispielsweise Korrespondenz, Kundenadressen, Kreditkartendaten, Kalkulationen oder Konstruktionspläne.

Manche Erpresser fangen mit einer Verschlüsselung an und drohen erst mit dem Verkauf oder der Veröffentlichung von Geschäftsgeheimnissen, wenn das Opfer nicht zahlt. Geht es auf die Forderung ein, ist freilich nicht sicher, dass der Täter die Daten nicht trotzdem verhökert.

Inzwischen weiß der Krisenstab in Hannover genug, um die Öffentlichkeit ausführlich zu unterrichten. Hauptgeschäftsführer Peter Karst warnt vor einer möglichen Datenausspähung: „Nach aktuellem Kenntnisstand müssen wir davon ausgehen, dass alle Daten aus lokalen Netzwerken abgefischt wurden.“

Es gibt aber auch eine beruhigende Nachricht: Alle rechtlich relevanten Dokumente, die mit den hoheitlichen Aufgaben der Kammer zu tun haben, lagern sicher auf einem Cloud-Server in Bayern. Das Straubinger Service-Rechenzentrum Odav, ein auf die Kammern spezialisierter Anbieter, ist von dem Hack nicht betroffen.

Der Krisenstab hat die Woche genutzt, um eine provisorische Kern-IT auf die Beine zu stellen. Da die Experten sagen, es gebe keine Antiviren-Software, die alle Spuren von Sodinokibi garantiert restlos beseitige, läuft sie vorerst als geschlossenes System. So können einige Beschäftigte schon mal dringende Arbeiten erledigen, für die sie keinen Zugriff auf die 1,5 Millionen Datensätze benötigen, die auf der kompromittierten Hardware liegen.

„Anfangs saßen die Kollegen vor komplett leeren Rechnern“, erzählt der stellvertretende Hauptgeschäftsführer Carl-Michael Vogt, „und durften jede Dokumentvorlage, etwa für Einladungen zu Prüfungen, neu erstellen.“ Die HWK zieht einen externen IT-Dienstleister hinzu, um einen Weg zu finden, noch benötigte alte Dateien gefahrlos zu sichten und zu nutzen. Das Problem: Viele Dokumente liegen nicht in simplen Formaten vor, sondern enthalten beispielsweise Makros – und die gelten nach einem Hackerangriff als Sicherheitsrisiko.

Kein Lösegeld zu bezahlen, hat sich als richtige Entscheidung erwiesen. Offenbar haben die Angreifer keine Dokumente gefunden, die brisant genug wären, um als Druckmittel zu taugen oder sich anderweitig zu Geld machen ließen. Ihr Versuch der doppelten Erpressung läuft ins Leere.

Damit die Kammer wieder arbeitsfähig wird, müssen nicht nur ein paar Computer funktionieren, sondern alle. „Wir wussten nicht, wie hoch der Verseuchungsgrad der Bestandsdateien war“, sagt Vogt. Hunderte von Geräten, auf denen kompromittierte Dateien liegen könnten, einzeln gründlich zu untersuchen, ist in vertretbarer Zeit nicht zu bewältigen. Theoretisch können die IT-Leute die Festplatten formatieren, alle Software neu installieren und die Daten aus einem Back-up aufspielen. Das muss aber aus der Zeit vor der Infektion stammen, sonst schlummert der Virus auch in der Sicherungskopie. Definitiv ausschließen lässt sich das nur bei einem Back-up, das gezogen wurde, als es den entdeckten Virus noch nicht gab.

Die HWK Hannover wählt eine radikalere Methode: Sie ersetzt in der ersten Novemberhälfte alle Festplatten. Bei Windows fällt diese Investition im Vergleich zu den Kosten des Arbeitsausfalls kaum ins Gewicht. In Unternehmen, die mit Apple arbeiten, dürfte die Kosten-Nutzen-Rechnung anders ausfallen: Apple-Geräte speichern Daten in teuren SSD-Chipblöcken, die fest auf der Hauptplatine kleben, dem teuersten Bauteil der Rechner. Wer fürchtet, dass eine Formatierung nicht alle Reste der Malware tilgt, bekommt ein echtes Kostenproblem.

Angriffsmethoden:– Exploits, Zero-Day Exploits (Ausnutzen nicht behobener Sicherheitslücken in gängiger Software)
– Phishing (Mail-Massenrundschreiben mit gefälschtem Absender und Schadsoftware im Anhang)
– Spear-Phishing (personalisiertes Phishing mit gefälschtem Absender, den der Empfänger kennt und dem er vertraut, häufig sind das Kollegen oder die Personalabteilung)
– Social Engineering (gezieltes Ansprechen von Schlüssel-personen im Unternehmen, etwa in der Vorstandsassistenz oder Buchhaltung, auch telefonisch, unter einem Vorwand)
– Manipulation von Suchmaschinen (Locken von Websurfern auf betrügerische Websites, bei deren Besuch automatisch Malware heruntergeladen wird)
– Hacking vertrauenswürdiger Websites (Austausch von dort angebotenen seriösen Downloads durch Malware)
– gefälschte Warnungen vor Malware dienen selbst der Verbreitung von Ransomware und anderer Schadsoftware

Schutzvorkehrungen:– IT-Sicherheit als Chefsache behandeln
– mehrstufiges Sicherheitskonzept zur Abwehr und Früherkennung von Angriffen; allein die Verwendung von Virenscannern und Firewalls genügt nicht
– Awareness-Training / Schulung der Belegschaft
– Quantitativ und qualitativ gute Personalausstattung der IT-Abteilung, ausreichendes Budget für Sicherheits-Hardware und -Software
– vorrangige Besetzung von Nacht-, Wochenend- und Feiertagsschichten mit geschulten Sicherheitsfachleuten
– Outsourcing der Überwachung und Sicherung des gesamten Internetverkehrs an einen Dienstleister
– Umstellung der Back-ups auf eine Lösung nach dem Muster Back-up & Disaster Recovery (BDR), die das Ransomware-Risiko explizit berücksichtigt
– Aufteilung der Unternehmens-IT in mehrere separate Einheiten zur Schadensbegrenzung
– keine Hektik am PC: Vor dem Betätigen der Maus- oder Entertaste immer nachdenken!

Nach drei Wochen Arbeit sind alle Computer neu aufgesetzt und sauber. Die Beschäftigten aller Standorte einschließlich der Projekt- und Servicegesellschaft sind über ein provisorisches Netz miteinander verbunden. Ein für Anfang 2021 geplantes IT-Projekt wird vorgezogen, die Verantwortung für die IT in einer Stabsstelle gebündelt, die dem Hauptgeschäftsführer untersteht. Dabei werden auch die bisher getrennten Internetdomänen zusammengelegt. In den Folgewochen prüft die Kammer mit einem Sachverständigen ihre IT-Prozesse in Sachen Cybersicherheit. Hatte die Aufmerksamkeit der Chefs vor dem Angriff vor allem dem Datenschutz gegolten, engagieren sie nun auch einen unabhängigen Beauftragten für Informationssicherheit, der den IT-Leuten auf die Finger schaut.

Sukzessive werden immer mehr Bestandsdaten rekonstruiert. Dateien, die Sodinokibi verschlüsselt hat, erkennt man sofort an ihren Namensanhängen. „brief.docx“ heißt dann zum Beispiel „brief.docx.796t1hbn91“. Allerdings können Dateiformate wie Word oder PDF gefährliche Makros oder Scripts enthalten. Solange der Infektionsweg unklar ist, lässt sich nicht hundertprozentig ausschließen, dass der erste Angriff über eine äußerlich unverdächtige Datei lief. Das macht alles sehr arbeitsintensiv.

Mehr als ein halbes Jahr nach dem Erpressungsversuch sind alle Dokumente aus den Jahren 2020 und 2019 vollständig. Was älter ist, bleibt in einem Archiv, aus dem die Angestellten bei Bedarf Dateien anfordern können. Aus Gründen der Arbeitsökonomie werden sie von den IT-Spezialisten erst auf ihre Unbedenklichkeit untersucht, wenn sie tatsächlich benötigt werden.

Die Nachrichten rund ums Thema Cyber- kriminalität reißen nicht ab. Zu den Angriffszielen im Frühjahr gehören zum Beispiel Microsofts Cloud-Dienst, der PC-Hersteller Acer, das Evangelische Krankenhaus Lippstadt, der Pipeline-Betreiber Colonial und die deutsche Supermarktkette Tegut.

Anfang Juli macht der Fall Kaseya international Furore. Doch als die Klinik-Kette Asklepios das Sicherheitsbewusstsein ihrer Mitarbeiter mit einer fingierten Phishing-Mail auf die Probe stellt, die als Köder einen Amazon-Gutschein enthält, stellt die BILD-Zeitung das Management an den Pranger: „Klinik-Konzern legt Mitarbeiter rein: Asklepios verteilt Fake-Gutscheine an Corona-Helden.“ Wer zu wenig tut, riskiert viel – aber wer etwas tut, riskiert Ärger.

Ob fahrlässiger Umgang mit Mails oder Dokumenten bei der HWK-Erpressung eine Rolle gespielt hat, können weder die Polizei noch die Geschäftsführung sagen. In den Köpfen hat das Verbrechen dennoch Spuren hinterlassen. „Der Angriff hat uns ins Mark getroffen“, resümiert Vize-Chef Vogt. „Wir wissen jetzt, dass es keine absolute Sicherheit gibt. Das ist einfach so.“ Wie hoch war der Schaden? „Wir sind immer noch nicht ganz fertig mit dem Rechnen.“ Letztlich ist die Kammer wohl glimpflich davongekommen. Zudem ist die IT in der Folge moderner geworden. Neben dem Datenschutz ist nun auch die Datensicherheit Chefsache.

Wer Peter Karst und Carl-Michael Vogt für übervorsichtig hält, muss nur zwei Cyberangriffe miteinander vergleichen, die sich Anfang Juli in Deutschland ereignen.

Fall 1: Im Städtischen Klinikum Wolfenbüttel gelingt es nächtlichen Angreifern zwar, Ransomware ins IT-System zu schleusen, doch die Sicherheitsvorkehrungen funktionieren. Die Attacke wird live bemerkt, die IT-Nachtschichtler legen ihr Netz vorsorglich selbst lahm. Einen Tag nach dem Shutdown laufen alle wichtigen Systeme wieder. Patienten kommen nicht in Gefahr, es landen keine Daten im Darknet.

21
Anteil der Unternehmen in Deutschland, die Office- Pakete von Microsoft nutzen, für die keine Sicherheits-Updates mehr angeboten werden, in Prozent

Fall 2: Die Kreisverwaltung des Landkreises Anhalt-Bitterfeld hat keine Nachtwache. Am Morgen streiken alle Programme – kein Word, kein Outlook, kein Excel, keine Behördenanwendung. Ob Sozialamt, Ausländerbehörde oder Kfz-Zulassungsstelle: Alle Beamten sitzen vor dunklen Bildschirmen. Das LKA kommt, das BSI schickt ein Mobile Incident Response Team, das bei Angriffen auf kritische Infrastrukturen hilft. Der Landrat muss den Katastrophenfall ausrufen. „Das war ein hochprofessioneller Angriff“, sagt Pressesprecher Udo Pawelczyk, „der kam aus der Champions League.“

Weil der Landrat kein Lösegeld zahlt, werden Adressen, Handynummern und Bank- verbindungen von 42 Kreistagsabgeordneten und 50 weiteren Bürgern ins Darknet gestellt. Ende Juli kann das Amt – das inzwischen von einem Experten der Bundeswehr unterstützt wird – zumindest die dringendsten Pflichten wie die Auszahlung der Sozialhilfe wieder erfüllen. Doch bis zum Normalbetrieb wird es dauern.

Bei Redaktionsschluss rechnet man mit einem halben Jahr. //

Der Geschäftsführer der Handwerkskammer Hannover musste sich gegen einen Erpressungsversuch wehren. Ransomware hatte die IT der gesamten Institution lahmgelegt.

Zum Podcast