Vor einer Woche hatte ich im Blog-Beitrag Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld von einem Ransomwarefall bei der Landkreisverwaltung von Anhalt-Bitterfeld berichtet. Inzwischen macht der Fall von sich reden, weil der Landrat den Katastrophenfall ausgerufen hat – die Info liegt mir bereits länger von Blog-Leser Heiko A. vor. Hintergrund ist wohl auch, dass es gerade einen Wechsel des Landrats gab und der neue Landrat jetzt die Folgen aufkehren muss. Nach Medienberichten könnte der Angriff über die PrintNightmare-Schwachstelle erfolgt sein. Zudem deutet es sich an, dass es keine Backups gibt oder diese kompromittiert sind. Daher auch einige Gedanken zu diesem Thema.
Anzeige
Der Sachverhalt
Im verlinkten Blog-Beitrag hatte ich den Sachverhalt kurz umrissen: Die IT-Systeme des Landratsamts Anhalt-Bitterfeld sind wohl seit Dienstag, den 6. Juli 2021, durch einen Ransomware-Angriff außer Gefecht gesetzt worden. Ein Trojaner hat alle Speichermedien verschlüsselt, so dass die Systeme nicht mehr arbeitsfähig sind. Blog-Leser Heiko A. hat mich per Mail auf diesen MDR-Beitrag hingewiesen. Die Außenstellen des Landratsamts in Bitterfeld und Zerbst sind genau so betroffen, wie der Hauptsitz in Köthen.
Nach dem Hackerangriff wurden alle Server und Rechner der betroffenen IT vom Internet getrennt und heruntergefahren, die Landkreisverwaltung ist omplett geschlossen und mindestens 900 Mitarbeiter konnten nicht arbeiten. Das betraf natürlich auch die Bürger, weil diese keine Dienstleistungen erhalten. Auch Sozialzahlungen wie Harz IV oder Wohngeld können nicht angewiesen werden. Die Wiederherstellung der Arbeitsfähigkeit und der Daten könnten nach Angaben der Verantwortlichen noch Monate dauern. Inzwischen berichtet heise unter Bezug auf das LKA, dass die Angreifer Lösegeld verlangt hätten. Offenbar wurden die Daten auf den Festplatten der Rechner verschlüsselt.
Angriff über 0-day über die Druckfunktion?
So weit so gängig und bereits öfters vorgekommen, auch wenn es den Landkreis heftig getroffen hat. Bei Spiegel Online lese ich hier, dass als Angriffsvektor die PrintNightmare-Schwachstelle in Windows vermutet wird. Über diese Schwachstelle hatte ich ja ausgiebig im Blog berichtet. Inzwischen hat Microsoft diese ja über Updates geschlossen.
Katastrophenfall in Deutschland bisher einzigartig
Es war oben ja angerissen: Infolge des Angriffs liegt die Verwaltung des Landkreises mit rund 157.000 Einwohnern für zwei Wochen praktisch still. Unter anderem können keine Bescheide erstellt und keine Sozial- und Unterhaltsleistungen mehr ausgezahlt werden. Nach dem schweren Cyberangriff hat der Landkreis Anhalt-Bitterfeld deshalb den Katastrophenfall festgestellt. Ein Katastrophenfall auf Grund eines Cyberangriffs – ein in Deutschland bislang einzigartiger Vorgang. Diese Maßnahme ermöglicht dem Landrat aber auf verschiedene Hilfestellungen zurückzugreifen, ohne den Verwaltungsweg beschreiten zu müssen.
„Viele Bürger leiden direkt unter den kurzfristigen Folgen. Doch die mittel- und langfristigen Auswirkungen sind möglicherweise noch viel verheerender: Wenn solche elementaren Grundaufgaben nicht mehr erfüllt werden können, stellt dies die grundsätzliche Leistungsfähigkeit des Staates infrage", meint dazu Dirk Arendt, Head of Government, Public & Healthcare bei Trend Micro Deutschland.
Kein Backup, kein Mitleid …
Das ist der Spruch, den ich von vielen Leuten zu hören bekomme, wenn ich über Ransomware-Angriffe berichte. Von dem Anbieter Rubrik, der sich mit Data Security mit dem Schwerpunkt Backup, Recovery und Data Management befasst, liegen mir noch einige Einschätzungen bzw. ein Kommentar vor. Von Roland Rosenau, Manager bei Rubrik, heißt es:
Die Verwaltung geht aktuell davon aus, dass bis zu sechs Monate ins Land ziehen werden, bis die Systeme wieder voll einsatzfähig sind. Das ist für eine Behörde ein massives Problem und für ein Wirtschaftsunternehmen eigentlich nicht zu überleben.
Diese Zeitangabe hatte ich die Tage auch in einem ZDF-Beitrag von den Verantwortlichen vernommen. Das deutet darauf hin, dass keine Backups der verschlüsselten Daten vorlagen und diese nun mühsam aus Akten rekonstruiert werden müssen. Roland Rosenau meint dazu:
Diese düstere Prognose deutet daraufhin, dass funktionierende Backups fehlen. Entweder wurden die vorhandenen Backups, was wahrscheinlich ist, auch kompromittiert, oder es gab gar keine. Entsprechend werden viele Daten in den kommenden Wochen und Monaten neu erstellt bzw. abgetippt werden müssen.
Rosenau führt dazu aus, dass es für beide Probleme aber Lösungen gegeben hätte. Das reicht von unveränderbaren Backups, die gegen Verschlüsselung immun sind. Und automatisierte Datensicherungen sorgen dafür, dass überhaupt regelmäßig Backups erzeugt werden.
Anzeige
Wenn kein Backup da ist, müssen die Daten neu erzeugt werden. Im Zweifelsfall werden Papierakten genommen und mit Hilfe von Datenerfassern wieder in das EDV-System übertragen. Dann ist ein Schritt essentiell: Sobald neue Objekte erstellt werden, kommen diese automatisiert ins Backup ohne dass ein Client bzw. Agent installiert werden muss. Des Weiteren muss sichergestellt sein, dass die Backups, die vorhanden sind, in einem unveränderbaren Format abgespeichert sind. Wie sich hier herausstellt, scheint die fehlende Backup-Kopie der Hauptgrund für die enorm lange Zeit zu sein, die für die Wiederherstellung benötigt wird. Eine komplette Wiederherstellung aus Backups sollte innerhalb von wenigen Tagen möglich sein. Moderne Recovery-Lösungen sollten sogar binnen einiger Stunden ein Unternehmen oder eine Behörde wieder startklar machen."
10 Tipps für wirksame Datensicherheit:
Der Datensicherungsspezialist Rubrik hat folgende Tipps zur Datensicherheit parat:
- Unveränderliche Backup-Plattform, nicht nur unveränderlicher Speicher, sodass Backups nicht geändert / gelöscht werden können; Backup-Katalog und Plattform immun gegen Angriffe konzipieren. Setzen Sie Ihre Backup-Plattform oder Ihren Speicher keinen Open-Access-Protokollen wie NFS aus; damit die Aufführung von Dateifreigaben im Ryuk-Stil nicht in der Lage ist, Backup-Daten zu entdecken und zu kompromittieren.
- 321 Backup-Regel: 3 Kopien Ihrer Daten auf mindestens 2 verschiedenen Medien und 1 Kopie extern / offline (z. B. Cloud).
- Backup-Abdeckung – Stellen Sie sicher, dass Sie keine Daten verpassen, insbesondere in File-Share-Umgebungen. Automatisieren Sie den Schutz neuer Systeme und Daten, damit Sie nicht auf manuelle Abdeckung angewiesen sind. Unterscheiden Sie zwischen Backups und Replikation auf Speicherebene, damit Sie in einer neuen (speicherunabhängigen) Umgebung wiederherstellen können
- RBAC-Autorisierung mit geringsten Berechtigungen, sodass Benutzer, die eine Self-Service-Wiederherstellung benötigen, keine unnötigen vollständigen Administratorrechte haben, um die Aufbewahrung zu ändern oder Backups zu löschen.
- MFA / SSO / TOTP – Stellen Sie sicher, dass der Verlust von Anmeldeinformationen keine Backups beeinträchtigt. Backup-Administratorkonten sollten sich in einem separaten Authentifizierungsverzeichnis für den Rest der IT/Benutzer befinden.
- Always-on-Verschlüsselung für Backups, Metadaten und Archive (Rest / Inflight) verhindert Datenverlust. Die Verschlüsselung sollte keine abschaltbare Funktion sein.
- Aufbewahrung: Sperren Sie kritische Systeme und Daten, damit nicht autorisierte Admins keine Änderungen vornehmen können – die Dual-Admin-Autorisierung schützt auch vor Admin-Fehlern.
- Testen Sie Ihre Backup-Wiederherstellungen regelmäßig und in großem Umfang, sowohl aktuelle (letzte Woche) als auch ältere Backups. RTA (Recovery Time Actual) sollte für Massenwiederherstellungen überprüft werden und prioritätsbasierte DR-Pläne sollten automatisiert werden, um Fehlerquellen zu begrenzen.
- Integrieren Sie Ihr Backup und Ihre Sicherheit z.B. SIEM- und SOAR-Tools über authentifizierte APIs zur Erkennung und Reaktion auf verdächtige Ereignisse von Backup-Sicherheitsinformationen.
- Bauen Sie ein Incident-Response-Team auf, das Infra-/Secops-/IG-Teams umfasst, die Ransomware-Angriffe simulieren, um Ihre Erkennung, Wiederherstellung und Reporting zu testen, einschließlich der Exfiltration sensibler Daten.
Ergänzung: Die Kollegen von Golem berichten hier, dass die Politik pragmatische Lösungen für ihre Bürger anstrebt.
2015
In den letzten Jahren hat sich aber das Problem verlagert, die "Bösewichte" kennen natürlich auch den Spruch "kein Backup, kein Mitleid", weshalb man dazu übergeht möglichst lang und verdeckt in einem System zu schlummern um möglichst viele Backups auch zu infizieren bevor man dann schließlich zuschlägt. Wie zuverlässig dann noch ein Backup ist, darf sich jeder selbst ausmalen.
Ein Backup muss nicht zwingend für eine Komplettwiederherstellung genommen werden, es kann sich reichen nur bestimmte Daten damit wiederherzustellen. Man könnte z.B die Sever neu Aufsetzen und entsprechende Datenbanken und Dateien aus dem Backup wiederherstellen wenn man sich nicht sicher ist seit wann das System kompromentiert ist.
Hab mir vor einigen Wochen das 4-Bundle von Macrium Reflect gekauft und mache seitdem auf allen Geräten, wenigsten einmal die Woche ein inkrementelles Backup, eher häufiger. Die Software macht es einem aber auch einfach. Sorry, sollte nicht in Werbung ausarten aber als Empfehlung sie sich mal anzusehen auf jeden Fall.
Egal wie, egal was: Kein Lösegeld bezahlen. Früher hat man sich durch Terror nicht erpressen lassen.
Fließt kein Geld mehr wird das auch abebben.
Und wenn man das als terroristische Angriffe einstuft kommen auch andere Organisationen zur Aufklärung zum Einsatz.
Aua, da hat es aber richtig rein geknallt. Zum Einen keine passende Backup/DR Strategie, dann noch die Schadsoftware und sicherlich noch einige andere Dinge. Und das bei einer Behörde, welche imho besonders zu schützen ist. Na, der IT Leiter möchte ich nicht sein.
Kein Backup, nur Mitleid für die Betroffenen.
Gerade in dem Landkreis ist H4 essenziell wichtig.
Dazu ein sehr armer Landkreis mit schlechter Bezahlung. Vermutlich gab es keine Backup da die entsprechenden Fachkräfte nicht existieren.