Cyberangriff auf eine Schule
Stellen Sie sich vor, Sie sind Leiter einer Schule, kommen morgens zum Dienst und alle Daten auf Ihren Servern wurden von einem unbekannten Angreifer verschlüsselt. Zeugnisdaten, Lehrpläne, das gesamte Unterrichtsmaterial: alles weg. Wenig später fordert ein Erpresser 25. 000 Euro Lösegeld, zahlbar in der Kryptowährung Monero. Was jetzt?
Kriminelle Datenübergriffe nehmen zu. Laut Lagebericht des BKA hat sich die Zahl der Angriffe seit 2015 verdoppelt, Täter gewinnen im Zuge der Digitalisierung an Professionalität. Immer mehr öffentliche Einrichtungen wie Kreis- und Stadtverwaltungen, Landes- und Bundesbehörden oder auch Einrichtungen im Gesundheitswesen werden zum Ziel krimineller Übergriffe.
Der eingangs geschilderte Fall der Schule ist real. Die Forderung nach 25.000 Euro Lösegeld lag auf dem Tisch, Polizei und Kommune – Träger der Schule – waren informiert. Der Bürgermeister erinnert sich an die komCERT-Leistung, die er vor einiger Zeit bei der regio iT eingekauft hat, und greift zum Hörer.
So handelte das komCERT der regio iT
KomCERT ist das einzige rein kommunale CERT deutschlandweit. Kunden mit einem KomCERT-Abo zahlen im Angriffsfall einen reduzierten Stundensatz. Die Experten der regio iT übernehmen die Koordination aller Maßnahmen. Aber was bedeutete das im Fall unserer Schule konkret?
Koordinative Maßnahmen
- Meldung bei der zentralen Kontaktstelle für Cybercrime in Köln/Oberstaatsanwaltschaft Köln
https://www.justiz.nrw.de/JM/schwerpunkte/zac/index.php
- Handlungsempfehlungen mit den erforderlichen Ansprechpartnern im Krisenfall bereitstellen
- Alle Maßnahmen koordinieren, Kontakte zusammenhalten, Informationen in die richtigen Richtungen lenken
- Koordination der Krisenkommunikation: Pressesprecher der Stadtverwaltung einschalten bzw. einen geschulten Medienprofi
- Kommunikation mit der Polizei
Technische Maßnahmen
- Allen technischen Beteiligten die weitere Vorgehensweise erläutern
- Analyse der Server: Was kann noch gerettet werden? Der Admin der Schule hatte während des Verschlüsselungsvorgangs den Stromschalter betätigt. Mit forensischen Maßnahmen konnte daher ein kleiner Teil der Daten wiederhergestellt werden.
- Sammeln vorhandener Kopien von Lehrern und Schulträger, wie USB-Sticks und Festplatten, Überprüfen nach Schadsoftware
- Rekonstruktion der Daten
- Rückkehr in den Regelbetrieb
Die entscheidende Firewall bleibt der Mensch
5 Tage Schockzustand, 4 Wochen offline: Das lässt sich vermeiden. Deshalb kann die regelmäßige Sensibilisierung aller Beteiligten nicht hoch genug eingeschätzt werden. Denn die 1 oder 2 Sekunden bis zur Entscheidung, ob ein Anhang geöffnet wird, können teuer werden.
Unsere Empfehlungen:
– Don´ts
- Die Schule aus unserem Beispiel hatte ein Backup, welches unglücklicherweise permanent angeschlossen war. Es wurde daher mitverschlüsselt. Daher: Kein Backup über eine dauerhaft angeschlossene Festplatte!
- Nicht auf Lösegeldforderungen eingehen bzw. wenn diese diskutiert werden, sich vorher von Firmen beraten lassen, die auf solche Verhandlungen spezialisiert sind. Die regio iT steht im Kontakt mit den führenden Unternehmen in Deutschland.
- Und natürlich: Keine Anhänge in E-Mails von unbekannten Absendern öffnen
- Keine Links in SMS anklicken
+ Dos
- Aufbau eines Sicherheitskonzeptes nach BSI-Standard
- Professioneller IT-Betrieb mit möglichst getrennten Bereichen; Netzwerkseparierung, um zu verhindern, dass es Übersprünge von einem Netzwerk zum anderen gibt
- Hochaktueller Virenschutz auf allen Systemen, auch auf Servern
- Funktionierende Backup-Strategie
- Private Geräte, die beruflich genutzt werden, bestmöglich schützen
- Regelmäßige Schulung & Sensibilisierung zum Umgang mit E-Mails und SMS, idealerweise als Präsenzveranstaltung (Live Demo)
- Netzwerk zum Informationsaustausch mit anderen Schulen oder Kommunen gründen
Auf Lösegeldforderungen eingehen – ja oder nein?
Warum forderten die Erpresser Monero? Beim Einsatz von Kryptowährung entfällt die Prüfinstanz „Bank“. Da Monero einen starken Fokus auf Datenschutz hat, lassen sich bei Transaktionen mit dieser Währung – anders als bei Bitcoin – Zahlungsvorgänge nicht nachvollziehen. In der Kommune aus unserem Beispiel wurde zumindest diskutiert, sich auf eine Verhandlung einzulassen. Die Experten der regio iT raten jedoch davon ab.
Die Vereinigung, die besagte Schule verschlüsselt hat, stand übrigens auf der sogenannten „Sanktionsliste“. Die Finanz-Saktionsliste der EU-Resolution 881/2002 zur Prüfung verdächtiger Personen und Gruppen finden Sie auf dem Justizportal des Bundes und der Länder. Die Schule verlässt sich inzwischen auf den Support der regio iT.
Ergänzende Informationen zu komCERT finden Sie hier.
Unsere KomCERT-Spezialisten rund um Centerleiter Thomas Stasch beraten Sie in allen sicherheitsrelevanten Fragen. Schreiben Sie uns: komcert@regioit.de