NRW-Kommunen erleiden maßgeblichen Datenverlust durch Ransomware-Hacker

Immer wieder werden weltweit agierende und bekannte Unternehmen von massiven Cyberattacken betroffen – wie zuletzt Boeing oder der Radkomponenten-Hersteller Shimano. In beiden Fällen waren die Unternehmen trotz ihrer Größe den Aktivitäten der Hacker gegenüber nahezu hilflos.

Sogenannte Ransomware-Hacker erpressen „Lösegeld“ für wertvolle Datensätze, die sonst der Öffentlichkeit zugänglich gemacht werden – und damit der Konkurrenz. Auch deutsche Kommunen werden immer wieder Ziel dieser Cyberkriminellen, Millionen personenbezogene Datensätze können so zum Spielball von Erpressern werden.

Nordrhein-Westfalen scheint im Fokus zu stehen

Normalerweise werden die IT-Systeme von Kommunen durch regionale Anbieter betrieben, wie beispielsweise „Südwestfalen IT“, den über 100 Gemeinden in Westfalen beauftragt haben. Doch gegenwärtig geht in den städtischen Behörden nichts mehr: Ausweisstellen, Kfz-Meldestellen, Standesämter, Bürgerbüros und viele weitere Einrichtungen sind von Hackerattacken auf den IT-Systembetreiber lahmgelegt worden. Besonders hart traf es die Verwaltungen in den Kreisen Siegen-Wittgenstein und Olpe. In Deutschland hatte es im Oktober zuerst das Kaufhaus KaDeWe und das Naturkundemuseum in Berlin erwischt. Für Hackergruppe sind diese Ziele vermutlich leichter zu schädigen als Unternehmen oder Bundesbehörden mit starker Sicherheitstechnologie – wenngleich die Fälle Boeing und Shimano dem zu widersprechen scheinen. Das Einfallstor für die Cyberkriminellen war zuletzt eine Schwachstelle einer viel genutzten Software von Cisco. Auch wenn inzwischen die Sicherheitslücke geschlossen worden ist, bleibt zu befürchten, dass immer noch alte Versionen des betroffenen Programms auf einzelnen Rechnern schlummern und wieder genutzt werden könnten.

Immer wieder dieselbe Masche

Cyberkriminelle beherrschen die Identifikation von Sicherheitslücken. In diese dringen sie gnadenlos ein, machen sich breit und leiten so den umfänglichen Datendiebstahl ein. Zuerst werden umfangreiche Datensätze heruntergeladen, anschließend Daten auf den Servern verschlüsselt oder gar gelöscht. Das Erpressungsmodell folgt dem Ransomware-as-a-Service-Prinzip, weshalb diese Art der Cybergangster als Ransomware-Hacker bezeichnet werden. Dabei gehen zwei spezialisierte Tätergruppen mit krimineller Energie gemeinsam vor. Das eine Team kümmert sich um die Erpressersoftware – die sogenannte Ransomeware – und spürt IT-Schwachstellen auf. Deren Kenntnis kann zum Teil aber auch käuflich von anderen Hackern erworben werden. Diese Hackergruppe besteht aus spezialisierten, hoch talentierten Mitgliedern. Sie verkauft oder vermietet ihre Software und ihr Wissen um mögliche Server-Zugänge an eine weitere Hackergruppe, die über geringere technologische Fähigkeiten verfügt, aber die Ransomeware einzusetzen versteht.

Hackergruppe zwei führt dann aktiv den Diebstahl durch und setzt die Erpressung in Gang. Die erpressten Summen werden dann unter den zwielichtigen Akteuren aufgeteilt. Das Hacker-Tandem tritt aktuell unter dem Namen „Lockbit“ auf und betreibt unter dieser Marke sogar einen gemeinsamen, öffentlich einsehbaren Internetauftritt. Wie schon oftmals zuvor weisen die wenigen Spuren, die die Hacker hinterlassen, darauf hin, dass es sich um russische Kriminelle handelt.

Horrorszenario: personenbezogene Daten im Darknet

Die Masche der Verbrecher ist immer dieselbe: Zahlt die erpresste öffentliche Stelle kein Geld, wird damit gedroht, die Daten der betroffenen Bürger im Darknet zu veröffentlichen. Auf der Lockbit-Webseite ist der neuste Stand der Opferliste einzusehen. Uhren zählen einen Countdown, ab dessen Ablauf das Daten-Diebesgut mit Mausklick im Online-Archiv der Hacker frei einsehbar ist. Das können Kalkulationen, geheime Konstruktionszeichnungen, Testergebnisse oder Daten von Mitarbeitern sein – der Super-Gau für ein Unternehmen. Sowohl Boeing als auch Shimano haben sich dennoch auf den Deal nicht eingelassen und müssen nun hilflos zuschauen, wie kritische Konzerndaten in erheblichen Größenordnungen online gestellt werden. Im Fall der NRW-Kommunen stehen personenbezogene Daten von Bürgern zur Disposition. Derzeit ist das Ausmaß des Datenklaus noch nicht bekannt. Vorsorglich werden Bürger der betroffenen Regionen dazu aufgerufen, „seltsame Konto-Abbuchungen“ zu beobachten und der Polizei zu melden. Ein Krisenstab kontrolliert gegenwärtig das Darknet nach auftauchenden Daten aus Deutschland. Es ist noch nicht abzusehen, wie lange es noch dauern wird, bis die attackierten Gemeinden wieder wie gewohnt handlungsfähig sein werden. Das Beispiel Westfalen zeigt jedoch auf eindrückliche Weise, dass Kommunen und Gemeinden künftig ihre Sicherheitsmaßnahmen drastisch erhöhen sollten, wenn sie handlungsfähig bleiben wollen.