In den Medien finden sich immer mehr Berichte über Cyberattacken mit Ransomware auf Städte, Gemeinden und deren Verwaltungen. Allerdings: keine Verwaltung zahlt das Lösegeld. Wem nützt also das Ganze? Richard Werner, Business Consultant bei Trend Micro gibt B2B CYBER SECURITY im Interview sehr interessante Antworten.
Die Liste an attackierten Städten und Gemeinden ist inzwischen richtig lang. Erst vor kurzem wurden 12 bayerische Gemeinden lahmgelegt und erpresst. Davor erfolgte eine Cyberattacke mit Ransomware auf den IT-Dienstleister Südwestfalen-IT durch die Akira Ransomware-Gruppe. Der Anbieter versorgt unter anderem 72 Kommunen mit IT-Dienstleistungen. Alle Abläufe innerhalb der Gemeinden sind zum Teil immer noch gestört.
Attackierte Gemeinden zahlen kein Lösegeld – warum das Ganze?
Eines habe alle die Attacken gemeinsam: ein gefordertes Lösegeld wurde natürlich nicht bezahlt, was auch zu erwarten war. Warum greifen dann APT-Gruppen und andere Cybergangster die Gemeinden an, wenn dort nichts zu holen ist? Diese Frage und mehr haben wir Richard Werner, Business Consultant bei Trend Micro gestellt. Der Experte hat einige interessante Antworten.
B2B Cyber Security: „In der letzten Zeit werden immer öfter Stadtverwaltungen angegriffen. Scheint das nur so in den Medien oder können Sie das bestätigen?“
Richard Werner, Trend Micro: Sicherlich ist die öffentliche Wahrnehmung ein Stück weit verzerrt: Die meisten Attacken erfolgen noch immer auf Unternehmen aus der Privatwirtschaft – also potenziell „zahlende Kunden“ für die Cyberkriminellen. Über erfolgreiche Angriffe auf privatwirtschaftliche Unternehmen wird jedoch nur noch selten in den Nachrichten berichtet – wenn überhaupt, dann eigentlich nur bei sehr großen Unternehmen. Liegen kommunale Behörden lahm, hat dies hingegen gravierende Auswirkungen auf die Bevölkerung, weshalb zumindest in der Lokalpresse darüber berichtet wird. Diese Art von Angriffen taucht deshalb häufiger in den Nachrichten auf.
Deutsche Kommunalverwaltungen: Hier lässt sich erkennen, dass es in letzter Zeit tatsächlich verstärkt zu Ransomware-Vorfällen kommt…
Gleichzeitig bedeutet das aber nicht, dass für Kommunen Entwarnung gegeben werden kann. Behörden gehören international zu den am häufigsten angegriffenen Organisationen und sind regelmäßig unter den Top 3 der betroffenen Branchen – Tendenz steigend. Zudem sind die negativen Konsequenzen für die Bevölkerung regelmäßig massiv, wie schon erwähnt.
Einen anschaulichen Überblick über die Lage in Deutschland gibt die Website „Kommunaler Notbetrieb„, welche Berichte über IT-Sicherheitsvorfälle in deutschen Kommunalverwaltungen sammelt. Hier lässt sich auch erkennen, dass es in letzter Zeit tatsächlich verstärkt zu Ransomware-Vorfällen kommt. Die Lage ist also wirklich ernst.
B2B Cyber Security: „Keine Stadt zahlt Lösegeld, sondern stellt die Verwaltung neu auf. Warum sind sie dann Ziele?“
Richard Werner, Trend Micro: Dafür gibt es verschiedene Gründe. Zum einen sind Behörden im Verhältnis „weiche Ziele“. Personalmangel und niedrige Budgets sorgen vielerorts für Herausforderungen, was den Betrieb moderner IT-Architekturen angeht – von entsprechender Sicherheit ganz zu schweigen. Dadurch ist es relativ einfach, diese Ziele zu attackieren, was möglicherweise der Ausbildung neuer „Rekruten“ dient. Häufig sind es allerdings auch automatisch ablaufende Angriffe, die für Kriminelle kaum mit Aufwand verbunden sind.
B2B Cyber Security: „Versprechen sich die Angreifer vielleicht etwas anderes als Lösegeld?“
Richard Werner, Trend Micro: Weltweit ist die „Zahlungsmoral“ von Opfern zurück gegangen. Cyberangreifer stellen deshalb ihr Geschäftsmodell um. Eine wichtige Einnahmequelle ist der Handel mit erbeuteten Daten. Personenbezogene Daten lassen sich im digitalen Untergrund gut verkaufen und gerade Behörden haben davon in der Regel viele. Kommt es heutzutage zu einer Verschlüsselung durch Angreifer, muss davon ausgegangen werden, dass im Vorfeld bereits Daten abgeflossen sind. Die Verschlüsselung wird, wenn möglich, dennoch durchgeführt. Sie dient dann als zusätzliche Einnahmequelle, aber auch dem Verwischen von Spuren.
Diese Daten werden aber nicht nur verkauft, sondern können auch selbst für weitere Angriffe genutzt werden. Wenn man an Business E-Mail Compromise und andere Social-Engineering-Angriffe denkt, können Daten aus öffentlichen Registern von großem Wert sein. Die Nutzung von generativer Künstlicher Intelligenz – Stichwort „Deepfakes“ – macht solche Angriffe immer einfacher.
Viele Täter haben auch eine politische Motivation und wollen bewusst Behörden und öffentliche Einrichtungen schädigen…
Darüber hinaus darf auch angenommen werden, dass viele Täter eine politische Motivation haben und bewusst Behörden und öffentliche Einrichtungen schädigen wollen. Es ist nicht immer einfach, klar zwischen finanziellen und politischen Motiven zu trennen – speziell, wenn es den Tätern nicht besonders schwer gemacht wird.
Und letztendlich sind auch Cyberkriminelle nur Menschen, die sich gerne mit ihren Leistungen schmücken. Wird über Opfer berichtet, erfolgt auch meist eine Attribution. In Darknet-Untergrundforen werden erfolgreiche Angriffe regelmäßig diskutiert und kommentiert. Hat eine kriminelle Gruppe eine ganze Stadt lahmgelegt, bekommt sie dafür unter ihresgleichen enorme „Street Credibility“. Diese Bekanntheit dient auch dazu, weitere „Affiliates“ also „Subunternehmer“ einer Ransomware-Gruppe zu akquirieren. Findet eine solche Attribution zusätzlich öffentlich in den Medien statt, hat dies zudem den Effekt, die Drohkulisse bei anderen Opfern zu maximieren.
B2B Cyber Security: „Bei manchen Angriffen sieht es eher nach Störfeuer als nach Angriffen aus – sehen sie das auch so?“
Richard Werner, Trend Micro: Wie schon gesagt: Die Motivationen der Täter sind vielfältig und nicht immer voneinander zu trennen. Das Verursachen von Störungen ist sicherlich auch ein wesentlicher Aspekt von Ransomware-Angriffen. Wir sehen, dass kriminelle Gruppen im Auftrag von Nationalstaaten agieren oder von diesen zumindest toleriert werden, solange sie nur „die richtigen“ Opfer angreifen – gerade im osteuropäischen Raum. In Nah- und Fernost sind zudem vermutlich nationalstaatliche Akteure am Werk, die Ransomware für rein destruktive Angriffe einsetzen. Sie verschlüsseln Daten, ohne jemals das Opfer zu kontaktieren, ein Lösegeld zu verlangen oder Entschlüsselung zu ermöglichen.
Doch ich möchte noch einmal betonen: Unabhängig von der Motivation der Angreifer sind die Schäden enorm und die Auswirkungen für die Bevölkerung häufig gravierend. Es ist deshalb essenziell, gerade auf der kommunalen Seite das Hauptaugenmerk auf die Datensicherheit und die Sicherheit der digitalen Infrastrukturen zu legen. Bei allen Digitalisierungsprozessen in der Verwaltung muss Sicherheit von Anfang an mitgedacht werden.
Red./sel
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..