Wie Ransomware eine Stadtverwaltung Tage lang lahmlegte

Ein Ransomware-Angriff mit gravierenden Folgen für eine Stadt stand im Mittelpunkt des Panels “Cybererpressungen von Unternehmen – Es kann jeden treffen!” auf der 4. Jahrestagung Cybersecurity der Zeit. Die Teilnehmer schilderten den Verlauf und die schweren Auswirkungen und zogen die Lehren für künftige Betroffene einer groß angelegten Attacke.

Am 6. September 2019 bemerkte ein IT-Mitarbeiter der niedersächsischen Stadtverwaltung Neustadt am Rübenberge eine extreme Server-Auslastung im städtischen Rechenzentrum. Bereits ein halbes Jahr zuvor hatte der Trojaner Trickbot das IT-System befallen und sich allmählich auf verschiedene Ebenen hochgearbeitet und Signale ausgesendet. Eine Ransomware verschlüsselte auf allen Ebenen, sodass die Server voll ausgelastet wurden.

“In der ersten Phase war es noch relativ entspannt, nachdem wir kontrolliert hatten, dass alle Back-ups gelaufen sind. Wir stellten dann aber fest, dass auch dort verschiedene Bereiche verschlüsselt waren. Wir haben uns entschieden, alle Konten zu sperren, alle Externen zu informieren und uns vom gesamten Netz zu trennen. Danach riefen wir die Cybercrime-Spezialisten vom LKA an, die auch sehr schnell da waren”, berichtete Maic Schillack, Erster Stadtrat und IT-Leiter von Neustadt.

Typische Einfallstore

“Das LKA hat beraten, wie forensische Maßnahmen durchgeführt werden sollen. Sie erfolgten so, dass der Dienstbetrieb der Stadtwerke nicht noch weiter in die Knie ging. Die frühzeitige Kontaktaufnahme zum LKA ermöglichte es, einen schnellen Lageüberblick zu gewinnen”, sagte Heiko Löhr, Gruppenleiter Strategie und Service in der Abteilung Cybercrime im Bundeskriminalamt.

Stadtrat Schillack schilderte die weiteren Schritte der Verwaltung. Zunächst habe sie geprüft, ob lebensnotwendige Systeme wie Abwasser, Klärwerke, Verkehrs- und Schließsysteme zum Beispiel für Schulen betroffen waren. Das war nicht der Fall. Danach sei es darum gegangen, ob Sozialhilfe und Gehälter von der Stadt weiter ausgezahlt werden können.

“Wir haben uns schnell entschlossen, das gesamte Netzwerk neu aufzubauen. Das ist ein riesiges Thema, wofür viel Personal nötig ist. Wir hatten zwischenzeitlich bis zu 40 IT-Spezialisten hier, die sich um die Hardware des neuen Netzes und das Hochfahren der einzelnen Arbeitsplätze gekümmert haben”, sagte er.

In der Zwischenzeit wurden die Arbeitsplätze der Verwaltung outgesourct an die Nachbarkommunen und an das Rechenzentrum der Stadt. “Viele Dinge sind gehostet. Das hat ganz gut funktioniert. Letztlich waren wir relativ schnell wieder zurück mit den grundlegenden Tätigkeiten. Das dauerte fünf Tage, weil nach meiner Kenntnis bei relativ neuen Viren auch Spezialisten diese Zeit benötigen, um den Virus zu erkennen und die Gegenprogrammierung einzuleiten. Schneller kann es nach meiner Erfahrung nicht gehen.”