Die oberhessische Stadt Alsfeld ist offenbar Opfer von Cyber-Kriminellen geworden. Das ist von der Polizei bestätigt. Ungewöhnlich ist allerdings die sich momentan abzeichnende Vorgehensweise in diesem Fall, wo mit einer Verschlüsselung der Daten per Ransomware gedroht, wurde. Hier bin ich mir aber nicht sicher, ob dieses Bild nicht Folge bestimmter Äußerungen von Nichtfachleuten in Form eines Bürgermeisters und der lokalen Presse ist. Hier ein paar Informationen, was ich inzwischen herausgefunden habe.
Anzeige
Blog-Leser 1ST hat in diesem Kommentar auf das Thema hingewiesen (und vermutet Emotet – was ich aber so nirgends sonst bestätigt gefunden habe). Am gestrigen Tag berichtete die Hessenschau in diesem Artikel über den merkwürdigen Vorgang (das 'merkwürdig' ist imho aber wohl eher der medialen Berichterstattung geschuldet.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Einfach nur eine Drohung?
Laut Hessenschau drohen Unbekannte die IT-Systeme der Stadt Alsfeld mit Ransomware zu verschlüsseln. Der Stadtverwaltung von Alsfeld ging, laut Medienberichten, am Donnerstag, den 2. Januar 2020, ein anonymes Schreiben zu. Darin wird die Stadt aufgefordert, den Absender über eine E-Mail-Adresse zu kontaktieren, um zu erfahren, wie viel Geld – offenbar in Bitcoins – an die Erpresser zu zahlen sei.
Anzeige
Die Drohung besteht darin, dass bei Nichtzahlung die auf den IT-Systemen der Stadtverwaltung gespeicherten Daten über Ransomware verschlüsselt würden. Die Details sind recht nebulös – ein 'anonymes Schreiben', wie hier angegeben kann alles und nichts bedeuten.
Widersprüchliche Aussagen, unklar, was passiert ist
Die Hessenschau schreibt in diesem Artikel, dass dieses 'Drohschreiben' beim Hochfahren der Computer der Stadtverwaltung erschienen sei – das ist zumindest ein vages Indiz. Hier erfährt man noch, dass es ein Schreiben in englischer Sprache gewesen sei. Ich habe dann noch etwas im Internet gesucht. In der Hessenschau gibt es in diesem Videobeitrag (gelöscht) die Aussage einer Reporterin, die sich auf den Bürgermeister von Alsfeld bezieht. Hier das sinngemäße Transskript:
'Beim Hochfahren der Server sei auf dem Bildschirm plötzlich so eine Art Erpresserschreiben aufgetaucht. Die Forderung war, dass die Stadt Kontakt aufnehmen und Geld überweisen soll. Denn Daten seien verschlüsselt und durch die Zahlung würden diese wieder entschlüsselt …'.
Das lässt nur den klaren Schluss zu, dass auf dem Server eine Ransomware aktiv geworden ist und die Dateien verschlüsselt hat. Allerdings gibt es auch gänzlich konträre Meldungen. Die Süddeutsche Zeitung meldet hier, unter Bezug auf eine DPA-Meldung, dass das Drohschreiben am Donnerstag (2.1.) als E-Mail bei der Stadt eingegangen sei. Dort wird der Fachbereichsleiter der Stadt als Quelle genannt, der den Sachverhalt auf Anfrage bestätigt habe.
Es sind also schlicht widersprüchliche Meldungen und es bleibt unklar, ob es schlicht eine Spam-Mail mit einem Erpressungsversuch war, oder ob Ransomware auf dem Server bereits aktiv war. Der Rest der Informationen der Art 'wir arbeiten mit Hochdruck, um Schäden abzuwenden', der sich in den Medien lesen lässt, ist schlicht politisches und redaktionelles Geschwurbel, was zur Aufklärung des Sachverhalts Null beiträgt.
Zieht man da mal einige logische Schlüsse und lässt man die nebulösen Erklärungen des Bürgermeisters, die von den lokalen Journalisten transportiert wurden, weg, bleiben bezüglich der Aussage des Volksmunds, dass 'beim Hochfahren der Rechner' die Anzeige erfolgte nur folgende zwei Szenarien:
- Es liegt eine Infektion mit Ransomware (auf den Servern und möglicherweise den Clients) vor, die bereits die entsprechenden Meldungen auf den infizierten Rechnern/Servern anzeigt. Dem widerspräche aber die SZ-Aussage, dass es sich um eine E-Mail handelt.
- Es gab eine Spam-Mail mit dem Drohschreiben an die Stadtverwaltung. Ob es da zu einer Ransomware-Infektion kam, ist unklar, die Nachrichtenlage ist zu dünn.
Im Grunde weiß man so gut wie gar nichts und kann nur mutmaßen. Im günstigsten Fall ist man einem breit verteilten Spam-Angriff aufgesessen. Im dümmsten Fall liegt bereits eine Ransomware-Infektion der Server oder ein Hack vor.
Rechner vorsorglich heruntergefahren
In den Medien wird berichtet, dass die Mitarbeiter der Stadtverwaltung die IT-Systeme vorsorglich herunter gefahren haben. Daher ist die Stadt aktuell nur telefonisch zu erreichen, die lokale IT ist heruntergefahren – nur die unabhängig betriebenen Webseiten der Stadt laufen noch. Dort erfährt man nur, dass die Stadtverwaltung nicht erreichbar sei, bis geklärt sei, ob ein Cyber-Angriff erfolgt ist.
Die IT-Mitarbeiter sichern aktuell wohl die Daten von den Rechnern der IT-Systeme (über den Sinn möchte ich an dieser Stelle mangels präziser Informationen nicht spekulieren). Gleichzeitig wurde die Polizei eingeschaltet. Laut Alsfelder Allgemeine arbeiten Polizeibeamte des Präsidiums Osthessen (Fulda) sowie Experten vom Landeskriminalamt (LKA Hessen) den Vorgang auf. Der Fall wurde der Generalstaatsanwaltschaft Frankfurt übergeben, wo die Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT) in Hessen sitzt.
Der Rest der Berichtserstattung in den Medien ist schlicht Geschwurbel. Einzige faktische Information ist, dass die Stadtverwaltung Alsfeld zwei IT-Mitarbeiter hat, die nun mit Unterstützung eines externen Beraters versuchen, das Thema aufzubereiten. Man kann auch folgende Aussage ziehen: Wir wissen im Grund nichts, außer, dass es in Alsfeld in der Stadtverwaltung zu einer Cyber-Erpressung gekommen ist. Weitere Details gibt es möglicherweise am heutigen Freitag.
Ähnliche Artikel
Sicherheitsinformationen (3.1.2020)
Vorweihnachtliche Sicherheitssplitter (23.12.2019)
Sicherheitslücken im deutschen Gesundheitsdatennetz
Sicherheitsrückblick (15. Dez. 2019)
Ransomware legt Uni Maastricht lahm
Ransomware Ryuk legt IT der US-Küstenwache lahm
Trojanerbefall in Stadt Bad Homburg und Hochschule Freiburg
Stadt Frankfurt/Main Opfer eines Cyber-Angriffs (19.12.2019)
Klinikum Fürth im Betrieb zurück, Uni Gießen nutzt Desinfec't
Ryuk-Ransomware wütet: Prosegur, TECNOL, Texas-Klinik …
Google Chrome: Neue Magellan 2.0-Schwachstellen
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheit: Digitale Assistenten unterm Weihnachtsbaum
Anzeige
"Hackerangriff" klingt halt immer besser, als "jemand hat auf einen Link in der E-Mail geklickt"