{"id":255714,"date":"2021-07-15T00:51:00","date_gmt":"2021-07-14T22:51:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255714"},"modified":"2024-03-14T12:41:07","modified_gmt":"2024-03-14T11:41:07","slug":"notstand-nach-ransomware-bei-landkreisverwaltung-von-anhalt-bitterfeld","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/15\/notstand-nach-ransomware-bei-landkreisverwaltung-von-anhalt-bitterfeld\/","title":{"rendered":"Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld"},"content":{"rendered":"

\"SicherheitVor einer Woche hatte ich im Blog-Beitrag Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld<\/a> von einem Ransomwarefall bei der Landkreisverwaltung von Anhalt-Bitterfeld berichtet. Inzwischen macht der Fall von sich reden, weil der Landrat den Katastrophenfall<\/a> ausgerufen hat – die Info<\/a> liegt mir bereits l\u00e4nger von Blog-Leser Heiko A. vor. Hintergrund ist wohl auch, dass es gerade einen Wechsel des Landrats gab und der neue Landrat jetzt die Folgen aufkehren muss. Nach Medienberichten k\u00f6nnte der Angriff \u00fcber die PrintNightmare-Schwachstelle erfolgt sein. Zudem deutet es sich an, dass es keine Backups gibt oder diese kompromittiert sind. Daher auch einige Gedanken zu diesem Thema.<\/p>\n

<\/p>\n

Der Sachverhalt<\/h2>\n

\"\"Im verlinkten Blog-Beitrag hatte ich den Sachverhalt kurz umrissen: Die IT-Systeme des Landratsamts Anhalt-Bitterfeld sind wohl seit Dienstag, den 6. Juli 2021, durch einen Ransomware-Angriff au\u00dfer Gefecht gesetzt worden. Ein Trojaner hat alle Speichermedien verschl\u00fcsselt, so dass die Systeme nicht mehr arbeitsf\u00e4hig sind. Blog-Leser Heiko A. hat mich per Mail auf diesen MDR-Beitrag<\/a> hingewiesen. Die Au\u00dfenstellen des Landratsamts in Bitterfeld und Zerbst sind genau so betroffen, wie der Hauptsitz in K\u00f6then.<\/p>\n

Nach dem Hackerangriff wurden alle Server und Rechner der betroffenen IT vom Internet getrennt und heruntergefahren, die Landkreisverwaltung ist omplett geschlossen und mindestens 900 Mitarbeiter konnten nicht arbeiten. Das betraf nat\u00fcrlich auch die B\u00fcrger, weil diese keine Dienstleistungen erhalten. Auch Sozialzahlungen wie Harz IV oder Wohngeld k\u00f6nnen nicht angewiesen werden. Die Wiederherstellung der Arbeitsf\u00e4higkeit und der Daten k\u00f6nnten nach Angaben der Verantwortlichen noch Monate dauern. Inzwischen berichtet heise<\/a> unter Bezug auf das LKA, dass die Angreifer L\u00f6segeld verlangt h\u00e4tten. Offenbar wurden die Daten auf den Festplatten der Rechner verschl\u00fcsselt.<\/p>\n

Angriff \u00fcber 0-day \u00fcber die Druckfunktion?<\/h2>\n

So weit so g\u00e4ngig und bereits \u00f6fters vorgekommen, auch wenn es den Landkreis heftig getroffen hat. Bei Spiegel Online lese ich hier<\/a>, dass als Angriffsvektor die PrintNightmare-Schwachstelle<\/a> in Windows vermutet wird. \u00dcber diese Schwachstelle hatte ich ja ausgiebig im Blog berichtet. Inzwischen hat Microsoft diese ja \u00fcber Updates geschlossen.<\/p>\n

Katastrophenfall in Deutschland bisher einzigartig<\/h2>\n

Es war oben ja angerissen: Infolge des Angriffs liegt die Verwaltung des Landkreises mit rund 157.000 Einwohnern f\u00fcr zwei Wochen praktisch still. Unter anderem k\u00f6nnen keine Bescheide erstellt und keine Sozial- und Unterhaltsleistungen mehr ausgezahlt werden. Nach dem schweren Cyberangriff hat der Landkreis Anhalt-Bitterfeld deshalb den Katastrophenfall festgestellt. Ein Katastrophenfall auf Grund eines Cyberangriffs \u2013 ein in Deutschland bislang einzigartiger Vorgang. Diese Ma\u00dfnahme erm\u00f6glicht dem Landrat aber auf verschiedene Hilfestellungen zur\u00fcckzugreifen, ohne den Verwaltungsweg beschreiten zu m\u00fcssen.<\/p>\n

\u201eViele B\u00fcrger leiden direkt unter den kurzfristigen Folgen. Doch die mittel- und langfristigen Auswirkungen sind m\u00f6glicherweise noch viel verheerender: Wenn solche elementaren Grundaufgaben nicht mehr erf\u00fcllt werden k\u00f6nnen, stellt dies die grunds\u00e4tzliche Leistungsf\u00e4higkeit des Staates infrage\", meint dazu Dirk Arendt, Head of Government, Public & Healthcare bei Trend Micro Deutschland.<\/p>\n

Kein Backup, kein Mitleid …<\/h2>\n

Das ist der Spruch, den ich von vielen Leuten zu h\u00f6ren bekomme, wenn ich \u00fcber Ransomware-Angriffe berichte. Von dem Anbieter Rubrik, der sich mit Data Security mit dem Schwerpunkt Backup, Recovery und Data Management befasst, liegen mir noch einige Einsch\u00e4tzungen bzw. ein Kommentar vor. Von Roland Rosenau, Manager bei Rubrik, hei\u00dft es:<\/p>\n

Die Verwaltung geht aktuell davon aus, dass bis zu sechs Monate ins Land ziehen werden, bis die Systeme wieder voll einsatzf\u00e4hig sind. Das ist f\u00fcr eine Beh\u00f6rde ein massives Problem und f\u00fcr ein Wirtschaftsunternehmen eigentlich nicht zu \u00fcberleben.<\/p><\/blockquote>\n

Diese Zeitangabe hatte ich die Tage auch in einem ZDF-Beitrag von den Verantwortlichen vernommen. Das deutet darauf hin, dass keine Backups der verschl\u00fcsselten Daten vorlagen und diese nun m\u00fchsam aus Akten rekonstruiert werden m\u00fcssen. Roland Rosenau meint dazu:<\/p>\n

Diese d\u00fcstere Prognose deutet daraufhin, dass funktionierende Backups fehlen. Entweder wurden die vorhandenen Backups, was wahrscheinlich ist, auch kompromittiert, oder es gab gar keine. Entsprechend werden viele Daten in den kommenden Wochen und Monaten neu erstellt bzw. abgetippt werden m\u00fcssen.<\/p><\/blockquote>\n

Rosenau f\u00fchrt dazu aus, dass es f\u00fcr beide Probleme aber L\u00f6sungen gegeben h\u00e4tte. Das reicht von unver\u00e4nderbaren Backups, die gegen Verschl\u00fcsselung immun\u00a0 sind. Und automatisierte Datensicherungen sorgen daf\u00fcr, dass \u00fcberhaupt regelm\u00e4\u00dfig Backups erzeugt werden.<\/p>\n

Wenn kein Backup da ist, m\u00fcssen die Daten neu erzeugt werden. Im Zweifelsfall werden Papierakten genommen und mit Hilfe von Datenerfassern wieder in das EDV-System \u00fcbertragen. Dann ist ein Schritt essentiell:\u00a0 Sobald neue Objekte erstellt werden, kommen diese automatisiert ins Backup ohne dass ein Client bzw. Agent installiert werden muss. Des Weiteren muss sichergestellt sein, dass die Backups, die vorhanden sind, in einem unver\u00e4nderbaren Format abgespeichert sind. Wie sich hier herausstellt, scheint die fehlende Backup-Kopie der Hauptgrund f\u00fcr die enorm lange Zeit zu sein, die f\u00fcr die Wiederherstellung ben\u00f6tigt wird. Eine komplette Wiederherstellung aus Backups sollte innerhalb von wenigen Tagen m\u00f6glich sein. Moderne Recovery-L\u00f6sungen sollten sogar binnen einiger Stunden ein Unternehmen oder eine Beh\u00f6rde wieder startklar machen.\"<\/p>\n

10 Tipps f\u00fcr wirksame Datensicherheit:<\/h3>\n

Der Datensicherungsspezialist Rubrik hat folgende Tipps zur Datensicherheit parat:<\/p>\n

    \n
  1. Unver\u00e4nderliche Backup-Plattform, nicht nur unver\u00e4nderlicher Speicher, sodass Backups nicht ge\u00e4ndert \/ gel\u00f6scht werden k\u00f6nnen; Backup-Katalog und Plattform immun gegen Angriffe konzipieren. Setzen Sie Ihre Backup-Plattform oder Ihren Speicher keinen Open-Access-Protokollen wie NFS aus; damit die Auff\u00fchrung von Dateifreigaben im Ryuk-Stil nicht in der Lage ist, Backup-Daten zu entdecken und zu kompromittieren.<\/li>\n<\/ol>\n
      \n
    1. 321 Backup-Regel: 3 Kopien Ihrer Daten auf mindestens 2 verschiedenen Medien und 1 Kopie extern \/ offline (z. B. Cloud).<\/li>\n<\/ol>\n
        \n
      1. Backup-Abdeckung – Stellen Sie sicher, dass Sie keine Daten verpassen, insbesondere in File-Share-Umgebungen. Automatisieren Sie den Schutz neuer Systeme und Daten, damit Sie nicht auf manuelle Abdeckung angewiesen sind. Unterscheiden Sie zwischen Backups und Replikation auf Speicherebene, damit Sie in einer neuen (speicherunabh\u00e4ngigen) Umgebung wiederherstellen k\u00f6nnen<\/li>\n<\/ol>\n
          \n
        1. RBAC-Autorisierung mit geringsten Berechtigungen, sodass Benutzer, die eine Self-Service-Wiederherstellung ben\u00f6tigen, keine unn\u00f6tigen vollst\u00e4ndigen Administratorrechte haben, um die Aufbewahrung zu \u00e4ndern oder Backups zu l\u00f6schen.<\/li>\n<\/ol>\n
            \n
          1. MFA \/ SSO \/ TOTP – Stellen Sie sicher, dass der Verlust von Anmeldeinformationen keine Backups beeintr\u00e4chtigt. Backup-Administratorkonten sollten sich in einem separaten Authentifizierungsverzeichnis f\u00fcr den Rest der IT\/Benutzer befinden.<\/li>\n<\/ol>\n
              \n
            1. Always-on-Verschl\u00fcsselung f\u00fcr Backups, Metadaten und Archive (Rest \/ Inflight) verhindert Datenverlust. Die Verschl\u00fcsselung sollte keine abschaltbare Funktion sein.<\/li>\n<\/ol>\n
                \n
              1. Aufbewahrung: Sperren Sie kritische Systeme und Daten, damit nicht autorisierte Admins keine \u00c4nderungen vornehmen k\u00f6nnen \u2013 die Dual-Admin-Autorisierung sch\u00fctzt auch vor Admin-Fehlern.<\/li>\n<\/ol>\n
                  \n
                1. Testen Sie Ihre Backup-Wiederherstellungen regelm\u00e4\u00dfig und in gro\u00dfem Umfang, sowohl aktuelle (letzte Woche) als auch \u00e4ltere Backups. RTA (Recovery Time Actual) sollte f\u00fcr Massenwiederherstellungen \u00fcberpr\u00fcft werden und priorit\u00e4tsbasierte DR-Pl\u00e4ne sollten automatisiert werden, um Fehlerquellen zu begrenzen.<\/li>\n<\/ol>\n
                    \n
                  1. Integrieren Sie Ihr Backup und Ihre Sicherheit z.B. SIEM- und SOAR-Tools \u00fcber authentifizierte APIs zur Erkennung und Reaktion auf verd\u00e4chtige Ereignisse von Backup-Sicherheitsinformationen.<\/li>\n<\/ol>\n
                      \n
                    1. Bauen Sie ein Incident-Response-Team auf, das Infra-\/Secops-\/IG-Teams umfasst, die Ransomware-Angriffe simulieren, um Ihre Erkennung, Wiederherstellung und Reporting zu testen, einschlie\u00dflich der Exfiltration sensibler Daten.<\/li>\n<\/ol>\n

                      Erg\u00e4nzung:<\/strong> Die Kollegen von Golem berichten hier<\/a>, dass die Politik pragmatische L\u00f6sungen f\u00fcr ihre B\u00fcrger anstrebt.<\/p>\n","protected":false},"excerpt":{"rendered":"

                      Vor einer Woche hatte ich im Blog-Beitrag Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld von einem Ransomwarefall bei der Landkreisverwaltung von Anhalt-Bitterfeld berichtet. Inzwischen macht der Fall von sich reden, weil der Landrat den Katastrophenfall ausgerufen hat – die Info liegt mir … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328],"class_list":["post-255714","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255714"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255714\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}