Was ist das Ziel bei Ransomware-Angriffen auf Städte und Gemeinden?

Was ist das Ziel bei Ransomware-Angriffen auf Städte und Gemeinden?

Beitrag teilen

In den Medien finden sich immer mehr Berichte über Cyberattacken mit Ransomware auf Städte, Gemeinden und deren Verwaltungen. Allerdings: keine Verwaltung zahlt das Lösegeld. Wem nützt also das Ganze? Richard Werner, Business Consultant bei Trend Micro gibt B2B CYBER SECURITY im Interview sehr interessante Antworten.

Die Liste an attackierten Städten und Gemeinden ist inzwischen richtig lang. Erst vor kurzem wurden 12 bayerische Gemeinden lahmgelegt und erpresst. Davor erfolgte eine Cyberattacke mit Ransomware auf den IT-Dienstleister Südwestfalen-IT durch die Akira Ransomware-Gruppe. Der Anbieter versorgt unter anderem 72 Kommunen mit IT-Dienstleistungen. Alle Abläufe innerhalb der Gemeinden sind zum Teil immer noch gestört.

Attackierte Gemeinden zahlen kein Lösegeld – warum das Ganze?

Eines habe alle die Attacken gemeinsam: ein gefordertes Lösegeld wurde natürlich nicht bezahlt, was auch zu erwarten war. Warum greifen dann APT-Gruppen und andere Cybergangster die Gemeinden an, wenn dort nichts zu holen ist? Diese Frage und mehr haben wir Richard Werner, Business Consultant bei Trend Micro gestellt. Der Experte hat einige interessante Antworten.

B2B Cyber Security: „In der letzten Zeit werden immer öfter Stadtverwaltungen angegriffen. Scheint das nur so in den Medien oder können Sie das bestätigen?“

Experte im Interview: Richard Werner, Business Consultant bei Trend Micro

Richard Werner, Trend Micro: Sicherlich ist die öffentliche Wahrnehmung ein Stück weit verzerrt: Die meisten Attacken erfolgen noch immer auf Unternehmen aus der Privatwirtschaft – also potenziell „zahlende Kunden“ für die Cyberkriminellen. Über erfolgreiche Angriffe auf privatwirtschaftliche Unternehmen wird jedoch nur noch selten in den Nachrichten berichtet – wenn überhaupt, dann eigentlich nur bei sehr großen Unternehmen. Liegen kommunale Behörden lahm, hat dies hingegen gravierende Auswirkungen auf die Bevölkerung, weshalb zumindest in der Lokalpresse darüber berichtet wird. Diese Art von Angriffen taucht deshalb häufiger in den Nachrichten auf.

Deutsche Kommunalverwaltungen: Hier lässt sich erkennen, dass es in letzter Zeit tatsächlich verstärkt zu Ransomware-Vorfällen kommt…

Gleichzeitig bedeutet das aber nicht, dass für Kommunen Entwarnung gegeben werden kann. Behörden gehören international zu den am häufigsten angegriffenen Organisationen und sind regelmäßig unter den Top 3 der betroffenen Branchen – Tendenz steigend. Zudem sind die negativen Konsequenzen für die Bevölkerung regelmäßig massiv, wie schon erwähnt.

Einen anschaulichen Überblick über die Lage in Deutschland gibt die Website „Kommunaler Notbetrieb„, welche Berichte über IT-Sicherheitsvorfälle in deutschen Kommunalverwaltungen sammelt. Hier lässt sich auch erkennen, dass es in letzter Zeit tatsächlich verstärkt zu Ransomware-Vorfällen kommt. Die Lage ist also wirklich ernst.

B2B Cyber Security: „Keine Stadt zahlt Lösegeld, sondern stellt die Verwaltung neu auf. Warum sind sie dann Ziele?“

Richard Werner, Trend Micro: Dafür gibt es verschiedene Gründe. Zum einen sind Behörden im Verhältnis „weiche Ziele“. Personalmangel und niedrige Budgets sorgen vielerorts für Herausforderungen, was den Betrieb moderner IT-Architekturen angeht – von entsprechender Sicherheit ganz zu schweigen. Dadurch ist es relativ einfach, diese Ziele zu attackieren, was möglicherweise der Ausbildung neuer „Rekruten“ dient. Häufig sind es allerdings auch automatisch ablaufende Angriffe, die für Kriminelle kaum mit Aufwand verbunden sind.

B2B Cyber Security: „Versprechen sich die Angreifer vielleicht etwas anderes als Lösegeld?“

Richard Werner, Trend Micro: Weltweit ist die „Zahlungsmoral“ von Opfern zurück gegangen. Cyberangreifer stellen deshalb ihr Geschäftsmodell um. Eine wichtige Einnahmequelle ist der Handel mit erbeuteten Daten. Personenbezogene Daten lassen sich im digitalen Untergrund gut verkaufen und gerade Behörden haben davon in der Regel viele. Kommt es heutzutage zu einer Verschlüsselung durch Angreifer, muss davon ausgegangen werden, dass im Vorfeld bereits Daten abgeflossen sind. Die Verschlüsselung wird, wenn möglich, dennoch durchgeführt. Sie dient dann als zusätzliche Einnahmequelle, aber auch dem Verwischen von Spuren.

Diese Daten werden aber nicht nur verkauft, sondern können auch selbst für weitere Angriffe genutzt werden. Wenn man an Business E-Mail Compromise und andere Social-Engineering-Angriffe denkt, können Daten aus öffentlichen Registern von großem Wert sein. Die Nutzung von generativer Künstlicher Intelligenz – Stichwort „Deepfakes“ – macht solche Angriffe immer einfacher.

Viele Täter haben auch eine politische Motivation und wollen bewusst Behörden und öffentliche Einrichtungen schädigen…

Darüber hinaus darf auch angenommen werden, dass viele Täter eine politische Motivation haben und bewusst Behörden und öffentliche Einrichtungen schädigen wollen. Es ist nicht immer einfach, klar zwischen finanziellen und politischen Motiven zu trennen – speziell, wenn es den Tätern nicht besonders schwer gemacht wird.

Und letztendlich sind auch Cyberkriminelle nur Menschen, die sich gerne mit ihren Leistungen schmücken. Wird über Opfer berichtet, erfolgt auch meist eine Attribution. In Darknet-Untergrundforen werden erfolgreiche Angriffe regelmäßig diskutiert und kommentiert. Hat eine kriminelle Gruppe eine ganze Stadt lahmgelegt, bekommt sie dafür unter ihresgleichen enorme „Street Credibility“. Diese Bekanntheit dient auch dazu, weitere „Affiliates“ also „Subunternehmer“ einer Ransomware-Gruppe zu akquirieren. Findet eine solche Attribution zusätzlich öffentlich in den Medien statt, hat dies zudem den Effekt, die Drohkulisse bei anderen Opfern zu maximieren.

B2B Cyber Security: „Bei manchen Angriffen sieht es eher nach Störfeuer als nach Angriffen aus – sehen sie das auch so?“

Richard Werner, Trend Micro: Wie schon gesagt: Die Motivationen der Täter sind vielfältig und nicht immer voneinander zu trennen. Das Verursachen von Störungen ist sicherlich auch ein wesentlicher Aspekt von Ransomware-Angriffen. Wir sehen, dass kriminelle Gruppen im Auftrag von Nationalstaaten agieren oder von diesen zumindest toleriert werden, solange sie nur „die richtigen“ Opfer angreifen – gerade im osteuropäischen Raum. In Nah- und Fernost sind zudem vermutlich nationalstaatliche Akteure am Werk, die Ransomware für rein destruktive Angriffe einsetzen. Sie verschlüsseln Daten, ohne jemals das Opfer zu kontaktieren, ein Lösegeld zu verlangen oder Entschlüsselung zu ermöglichen.

Doch ich möchte noch einmal betonen: Unabhängig von der Motivation der Angreifer sind die Schäden enorm und die Auswirkungen für die Bevölkerung häufig gravierend. Es ist deshalb essenziell, gerade auf der kommunalen Seite das Hauptaugenmerk auf die Datensicherheit und die Sicherheit der digitalen Infrastrukturen zu legen. Bei allen Digitalisierungsprozessen in der Verwaltung muss Sicherheit von Anfang an mitgedacht werden.

Red./sel

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen