Wenn für Daten plötzlich Lösegeld gefordert wird…

Immer häufiger sind Kommunen und öffentliche Einrichtungen Bedrohungen im kommunalen Cyberspace ausgesetzt

In den vergangenen Jahren ist die polizeiliche Lage im Bereich Cybercrime von einigen besonders häufig auftretenden Phänomenen geprägt. Privatpersonen, Wirtschaftsunternehmen aber auch Kommunen und andere öffentliche Stellen sind verstärkt von sogenannter Crypto-Ransomware betroffen.

Ransomware (engl. ransom = Lösegeld) ist eine Form von Schadsoftware, die seit Jahren von Cyber-Kriminellen als Geschäftsmodell eingesetzt wird. Sie infiziert ein System, verschlüsselt Daten und verlangt dann Lösegeld um wieder Zugriff auf die Daten zu erhalten. Es gibt mehrere Möglichkeiten wie Ransomware auf einen Rechner gelangen kann. Der häufigste Infektionsweg ist über E-Mail-Anhänge. Der Benutzer öffnet einen maliziösen Anhang, wodurch die Schadsoftware meist nachgeladen und ausgeführt wird.

Ebenfalls ist über sogenannte Exploit-Kits eine Infektion denkbar. Das Exploit-Kit ist in der Regel auf einer Webseite eingebettet. Durch den Aufruf der manipulierten Seite wird es aktiviert. Es sucht nach Schwachstellen im System. Wird eine Lücke gefunden, so wird diese genutzt, um die Ransomware zu installieren. Oftmals werden Schwachstellen von veralteten Softwareprodukten ausgenutzt. Es ist daher ratsam, regelmäßig die eingesetzte Software zu aktualisieren.

In der Vergangenheit wurde die Ransomware unter anderem in vorgetäuschten Bewerbungs-E-Mails verschickt als Reaktion auf ernst gemeinte Stellengesuche.

In einem Fall suchte eine Gemeinde dringend neue Mitarbeiter und veröffentlichte eine Stellenanzeige im Internet sowie bei verschiedenen Printmedien mit folgendem Wortlaut:

Pädagogische Fachkräfte für Kindertageseinrichtungen

Die Gemeinde Astadt sucht zum nächstmöglichen Zeitpunkt eine pädagogische Fachkraft (m/w) in Voll- und Teilzeit für den Kindergarten- bzw. Krippenbereich.

Ihre aussagekräftigen Bewerbungsunterlagen senden Sie bitte an das Bürgermeisteramt.

Bürgermeisteramt Astadt
Musterweg 8, 99999 Astadt
Gerne auch per E-Mail an M.Müller@astadt.de

Wir freuen uns auf Ihre Bewerbung!

Zahlreiche Bewerbermails erreichten die Personalabteilung. Ein Bewerber sendete zusätzlich zum Anschreiben mit korrekter Anrede ein Excel-Dokument. Das Anschreiben des angeblichen Bewerbers klang vielversprechend und war auf die ausgeschriebene Stelle angepasst.

Beim Öffnen des beigefügten Dokuments wurde der Sachbearbeiter Müller gebeten, die Ausführung von Makros zu erlauben, da andernfalls der Inhalt nicht angezeigt werden kann. Müller aktivierte die Ausführung, wodurch der eigentliche Schadcode nachgeladen werden konnte. Müllers Rechner ist nun mit der Ransomware infiziert, diese beginnt im Hintergrund Daten zu verschlüsseln.

Auf dem Computer erscheint eine Nachricht, dass seine Daten verschlüsselt wurden. Der Täter fordert ein Lösegeld für ein Entschlüsselungstool, welches in Form von Bitcoins bezahlt werden soll.

Die Polizei empfiehlt, grundsätzlich nicht auf die Forderung einzugehen und kein Lösegeld zu zahlen.

Herr Müller kontaktierte seinen IT-Sicherheitsverantwortlichen. Idealerweise verfügt ein solcher bereits über ein erprobtes Notfallkonzept.

Das Ausmaß des Schadens ist davon abhängig, wie gut die betroffene Institution auf diesen Fall sowohl organisatorisch als auch technisch vorbereitet ist. Eine gute Bewältigungsstrategie kann den Schaden erheblich begrenzen.

Folgende Maßnahmen können dazu beitragen, den Schaden zu minimieren:

• Trennen Sie unverzüglich die Netzwerkverbindung von infizierten Rechnern.
• Schalten Sie betroffene Geräte umgehend aus, um die Verschlüsselung weiterer Daten zu verhindern.
• Isolieren Sie Backups, damit diese nicht ebenfalls verschlüsselt werden.
• Sichern Sie relevante Dateien, die Aufschluss über denInfektionshergang geben können. Hierzu zählen beispielsweise Log-Dateien oder E-Mails.
• Ändern Sie sämtliche Benutzer- und Netzwerkkennwörter, sofern diese durch den Vorfall betroffen oder auch kompromittiert sein könnten.

Die Polizei lässt Behörden und Unternehmen im Kampf gegen Cyberkriminalität nicht alleine und hat deshalb die zentrale Ansprechstelle Cybercrime (ZAC) ins Leben gerufen.

Die Ansprechstelle ist beim Landeskriminalamt Baden-Württemberg rund um die Uhr erreichbar. Alle Bundesländer verfügen inzwischen über eine solche Einrichtung.

Die dort tätigen Mitarbeiter nehmen Hinweise auf IT-Sicherheitsvorfälle entgegen und veranlassen zeitnah polizeiliche Erstmaßnahmen.

Die ZAC in Baden-Württemberg gehört zur Abteilung Cybercrime und Digitale Spuren. Hier erfolgt in verschiedenen Inspektionen die interdisziplinäre Zusammenarbeit zwischen Vollzugsbeamten, Verwaltungsbeamten und Experten in diversen IT-Fachrichtungen.

Die ZAC sensibilisiert durch Awareness-Vorträge Unternehmen und Behörden zu aktuellen Cyber-Bedrohungen. Sie veröffentlicht zudem Warnmeldungen und Handlungsempfehlung zu herausragenden Kriminalitätsphänomenen.

Kontaktdaten der ZAC:

cybercrime@polizei.bwl.de  und via 24-Stunden-Hotline:  0711 / 5401-2444