Rathaus-Daten tauchten im Darknet auf
Die Hacker machten am Samstag ihre Drohung wahr. Noch wird geprüft, um welche Informationen es sich handelt. Die Stadt hat eine Hotline eingerichtet.
Das Rathaus in Schriesheim. Foto: Reinhard Lask
Schriesheim. (hö) Der Hackerangriff auf das Rathaus war doch offenbar schwerer als zunächst gedacht. Nun tauchten die Daten sogar im Darknet - also dem versteckten Teil des Internets, in dem man sich anonym aufhalten kann - auf. Damit ist exakt das eingetreten, was IT-Sicherheitsexperte Michael Jan Deissner vor einer Woche gegenüber der RNZ prophezeit hatte: Das wirklich Schlimme der Cyber-Attacke ist weniger die Verschlüsselung der Daten als vielmehr ihr Diebstahl – und die Veröffentlichung im Darknet. Dort werden gerade personenbezogene Daten von Kriminellen hoch gehandelt – und für deren Zwecke missbraucht.
Die Stadtverwaltung gab am Samstag eine Zusammenfassung, was seit dem Dienstag nach Ostern passiert ist.
Was ist passiert? Am Abend des Ostermontags, 18. April, gab es zum ersten Mal technische Probleme: Das gesamte Rathaus war weder telefonisch noch per E-Mail erreichbar. Am Tag drauf war klar: Die Daten waren verschlüsselt. Schuld daran war ein Cyber-Angriff.
Was weiß man über den Cyber-Angriff? Es ist derzeit noch nicht bekannt, welches Einfallstor die Hacker nutzten: War es möglicherweise ein mit einer Schadsoftware infizierter Anhang? Zumindest ist das der Standard bei solchen Attacken. Gegenwärtig ermittelt die Kripo, wie die Erpressungssoftware, eine sogenannte "Ransomware", die städtischen Server verschlüsseln konnte. Man geht davon aus, dass es sich um Profis aus der Organisierten Kriminalität handelt. Allerdings gab es wohl keinen gezielten Angriff auf die Stadt.
Gab es eine Lösegeldforderung? Nicht direkt. Jedoch wurde über einen standardisierten Text auf Englisch dazu aufgefordert, Kontakt zu den Angreifern aufzunehmen. Aber die fehlende Anrede legt den Schluss nahe, dass es sich um einen breit gestreuten, nicht zielgerichteten Angriff handelt. Zugleich wurde mit der Veröffentlichung von Daten nach Ablauf eines Ultimatums gedroht. Mit der Kripo und der Cybersicherheitsagentur Baden-Württemberg wurde abgestimmt, keinen Kontakt zu den Angreifern aufzunehmen. Was den drohenden Datenverlust angeht, wurden die Empfehlungen des Landesdatenschutzbeauftragten befolgt.
Warum wurde kein Lösegeld gezahlt? Erstens lag keine konkrete Lösegeldforderung vor. Zweitens ist es für das Rathaus undenkbar, mit Steuergeldern Erpressungsgelder zu zahlen – und damit der Kriminalität, gerade der organisierten, Vorschub zu leisten. Und drittens gibt es ohnehin keine Garantie, dass die Daten nicht trotzdem veröffentlicht werden.
Was wurde nach der Verschlüsselung der Server getan? Die IT-Experten der Stadt und der Kripo arbeiten unter Hochdruck an der Problemursache, -behebung sowie der Prüfung und IT-forensischen Untersuchung der städtischen Server, vor allem um sie sicherer zu machen. Daher wurden diese Stück für Stück vorübergehend abgeschaltet und neu installiert, um ganz auszuschließen, dass sich Schadsoftware auf ihnen befindet. Mit der Neuinstallation der Infrastruktur wird der Sicherheitsstandard erhöht.
Welche Daten sind betroffen, was wurde veröffentlicht und wie wird weiter verfahren? In der Nacht zum Samstag, 7. Mai wurden, wie von den Cyberkriminellen angedroht, Daten im Darknet veröffentlicht. Diese werden bereits durch die Stadt und die Kripo im Detail gesichtet, und es wird geprüft, ob es sich dabei um sensible und/oder personenbezogene Daten handelt. Genauere Angaben dazu will das Rathaus noch nicht machen, zumal die Prüfung nicht abgeschlossen ist. Erst dann wird informiert. Unabhängig von Umfang und Art der veröffentlichten Daten wird sich das Rathaus dann erneut mit dem Landesdatenschutzbeauftragten über das weitere Vorgehen beraten.
Werden Bürger bei der Veröffentlichung von sensiblen Daten kontaktiert? Sollte im Rahmen der Prüfung festgestellt werden, dass sensible Daten von Einzelpersonen veröffentlicht wurden, so tritt das Rathaus mit ihnen in Kontakt. Wer Fragen hat, kann sich unter Telefon 0 62 03 / 602 110 melden. Bereits am Wochenende wurde eine Hotline eingerichtet.
Update: Sonntag, 8. Mai 2022, 20.15 Uhr
Verdacht auf Hackerangriff aufs Rathaus hat sich bestätigt
Die "Hacker" drohten der Stadt mit der Veröffentlichung von Daten und stellten ein Ultimatum, ohne aber explizite Geldforderungen zu stellen.
Schriesheim. (hö) Nach dem Hackerangriff auf das Rathaus wurde, wie von Hauptamtsleiter Dominik Morast angekündigt, die Polizei informiert. Am gestrigen Donnerstag meldete sich ein Sprecher des Polizeipräsidiums Mannheim zu Wort. Und er bestätigt weitgehend die Erkenntnisse der letzten Woche: "Zu einem bislang noch unbekannten Zeitpunkt hatten sich unbekannte Täter Zugang zum IT-System der Stadt Schriesheim verschafft und schließlich durch ein Schadprogramm, die sogenannte Ransomware, deren Server verschlüsselt." Dabei fielen in der letzten Woche insbesondere Telefon und E-Mail aus, was den Verwaltungsbetrieb großteils lahmlegte; erst am Montag konnten die Daten wiederhergestellt werden.
Das Kriminalkommissariat Mannheim nahm mit Unterstützung des Dezernats "Cybercrime" der Kriminalpolizeidirektion Heidelberg die Ermittlungen auf und wird dabei von Experten des Landes unterstützt. Seit dem gestrigen Morgen arbeiten Mitarbeiter der Kriminalpolizei und der Cybersicherheit Baden-Württemberg vom Innenministerium im Rathaus und durchforsten eventuelle Sicherheitslücken. Das ist auch der Grund, weswegen immer wieder die Server heruntergefahren werden müssen – was wiederum zur Folge hat, dass das Rathaus zeitweise nicht per E-Mail zu erreichen ist, wie Morast erklärt. Das kann auch die nächsten Tage noch so sein, denn im Hintergrund wird gerade die neue Serverstruktur aufgebaut.
Was zunächst nur ein Anfangsverdacht war, bestätigte sich aber jetzt. Die Hacker nahmen per E-Mail noch einmal mit dem Rathaus Kontakt auf, drohten mit der Veröffentlichung von Daten und stellten ein Ultimatum – angezeigt mit einer Sanduhr –, ohne aber ausdrückliche Geldforderungen zu stellen. Das ist in gewisser Weise eine Neuigkeit, denn bisher hieß es immer, dass es nur eine Aufforderung der Hacker gab, sich mit ihnen in Verbindung zu setzen.
Ob und in welchem Umfang Daten im Rathaus gestohlen wurden, ist noch Gegenstand der Ermittlungen. Allerdings zeigten ähnliche Fälle bei anderen Behörden und Firmen deutschlandweit, dass Daten gestohlen und bei Nichtbezahlen der geforderten Summe dann auch veröffentlicht wurden. Im Schriesheimer Fall wird noch untersucht, woher die Erpressungssoftware kommt. Meist agieren die Hacker von Osteuropa, besonders von Russland, aus und zählen eindeutig zur Organisierten Kriminalität. Allerdings sind meist die Ermittlungserfolge gegen diese Art von Kriminalität bescheiden.
In der Regel verschicken die Kriminellen in großem Stil, oft sogar weltweit, E-Mails mit Schadsoftware-Anhängen – und hoffen darauf, dass sie jemand öffnet. Es muss nicht unbedingt die Unbedarftheit der Mitarbeiter sein, die dann zu einer Verseuchung des IT-Netzwerks samt nachfolgender Erpressung führt, meist nutzten die Hacker gezielt Schwachstellen von Servern aus, wie ein Polizeisprecher erklärt: "Die sind den Sicherungssystemen, wie beispielsweise einer Firewall, oft einen Schritt voraus." Das Tückische: Der Angriff kann schon vor etlichen Wochen passiert sein, aber dann "schlief" die Schadsoftware erst eine Zeit lang – bis sie wie in Schriesheim am Dienstag nach Ostern aktiviert wurde.
Immer noch nicht ist abschließend geklärt, ob es wirklich eine E-Mail war, die zur Verschlüsselung der Daten führte. Allerdings spricht wenig für einen gezielten Angriff der Hacker auf das Schriesheimer Rathaus – dafür ist das Vorgehen der Hacker zu "standardmäßig". Und doch: Nach Angaben des Polizeisprechers handelt es sich um den ersten derartigen Hackerangriff auf eine Stadtverwaltung in der Region, "in Bayern es aber schon ein paar".
Update: Donnerstag, 28. April 2022, 18.56 Uhr
Schriesheim. (pol/rl) Zu einem bislang noch unbekannten Zeitpunkt hatten sich unbekannte Täter Zugang zum IT-System der Stadt Schriesheim verschafft und schließlich durch ein Schadprogramm, die sogenannte "Ransomware" deren Server verschlüsselt.
Dies bedingte einen zeitweiligen Ausfall des Verwaltungsbetriebes der Stadt Schriesheim, insbesondere bei der Erreichbarkeit per Telefon und per E-Mail.
Durch Backup-Sicherungen wurde der Betrieb zunächst wiederhergestellt. Das Kriminalkommissariat Mannheim hat mit Unterstützung des Dezernats "Cybercrime" der Kriminalpolizeidirektion Heidelberg frühzeitig die Ermittlungen aufgenommen und werden dabei von Cybersicherheitsexperten unterstützt.
Was zunächst nur ein Anfangsverdacht war, bestätigte sich aber jetzt. Die "Hacker", die häufig von Osteuropa aus agieren, nahmen über die IT-Systeme noch einmal mit der Stadt Schriesheim Kontakt auf, drohten mit der Veröffentlichung von Daten und stellten ein Ultimatum, ohne aber explizite Geldforderungen zu stellen.
Ob und in welchem Umfang Daten bei der Stadt Schriesheim gestohlen wurden, ist noch Gegenstand der Ermittlungen. Allerdings zeigen zurückblickend ähnlich gelagerte Fälle bei anderen Behörden und Firmen deutschlandweit, dass Daten gestohlen und bei Nichtbezahlen der geforderten Summe, veröffentlicht wurden.
Derzeit sind die Experten der Kriminalpolizeidirektion Heidelberg zusammen mit Cybersicherheitsfirmen damit beschäftigt, die Herkunft der "Ransomware" festzustellen und die Täter zu lokalisieren, um weitere Ermittlungsschritte einleiten zu können. Gleichzeitig wird die Sicherheitsstruktur der IT-Systeme bei der Stadt Schriesheim neu aufgestellt.
Die Täter, die der Organisierten Kriminalität zuzurechnen sind, nutzen die "Ransomware" zu digitalen Erpressungen. Betroffen sind sowohl Unternehmen als auch öffentliche Einrichtungen weltweit. Die "Ransomware" findet in den häufigsten Fällen über den E-Mail-Verkehr Verbreitung. Über welchen Weg die IT-Systeme der Stadt Schriesheim infiziert wurden, ist noch nicht bekannt.
Die Ermittlungen des Kriminalkommissariats Mannheim und des Dezernats "Cybercrime" der Kriminalpolizeidirektion Heidelberg dauern an.
Update: Donnerstag, 28. April 2022, 13.35 Uhr
Es war ein Hackerangriff aufs Rathaus
Das Rathaus ist weiter nicht erreichbar. Das Wiederherstellen der verschlüsselten Daten dauert wohl noch bis Montag. Unklar bleibt, wie das Netzwerk infiziert wurde.
Von Micha Hörnle
Schriesheim. Am Tag zwei des lahmgelegten Rathauses (siehe unten) weiß man etwas mehr, was zur Verschlüsselung der Daten führte: Ja, es war ein Cyberangriff, und der wird auch noch ein paar Tage dafür sorgen, dass die Stadtverwaltung (und mit ihr die Kindergärten und Schulen) nicht zu erreichen sind: Im Moment, so berichtet Hauptamtsleiter Dominik Morast, gehe man davon aus, dass "wir ab Montag unsere Dienstleistungen wie gewohnt erbringen können". Arbeitsfähig ist das Rathaus durchaus – zumindest dort, wo man nicht auf den städtischen Server angewiesen ist.
Wahrscheinlich gab es gar keinen gezielten Hackerangriff auf das Rathaus, man wurde eher das Opfer eines großflächigen auf andere Institutionen oder Privatpersonen, wie die erste Analyse des städtischen IT-Dienstleisters ergab. Mittlerweile fand sich auf dem Server auch ein englischer Text, in dem aufgefordert wurde, Kontakt zum Angreifer aufzunehmen – wohl um dann eine Lösegeldforderung zum Entschlüsseln der Daten zu erhalten. Einen Kontakt zu den Angreifern werde man aber ganz sicher nicht suchen, so Morast.
Stattdessen arbeitet nun der IT-Dienstleister an der Behebung der Störung. Nach und nach werden die gesicherten Daten, der sogenannte "Back-up", wiederhergestellt, dann auf Schadsoftware überprüft, um den Stadt-Server wieder in Betrieb zu nehmen: "Das ist ein umfangreiches Prozedere", so Morast – und deswegen werden die "Reparaturarbeiten" auch voraussichtlich die gesamte Woche andauern. Erst am Montag werde das Rathaus wohl wieder wie gewohnt arbeiten können.
Über diesen Hackerangriff wurde der Landesdatenschutzbeauftragte informiert, mittlerweile wurde auch ganz formell Anzeige bei der Polizei erstattet. Wie genau die Schadsoftware, auch "Trojaner" genannt, in das Stadtverwaltungsnetzwerk eingedrungen ist, konnte Morast nicht sagen: Das könnte ein E-Mail-Anhang gewesen sein, vielleicht klickte ein Mitarbeiter auch einen Link im Internet, oder ein "verseuchter" USB-Stick kann die Ursache gewesen sein, "vielleicht werden wir das auch nie herausbekommen". Ebenso unklar ist, wann genau der Angriff erfolgt ist – entweder tatsächlich am Dienstag, oder vielleicht wurde erst dann die längst installierte Schadsoftware aktiviert.
Wie bereits gestern berichtet, werden immer wieder Behörden Opfer von Trojanern: Am schlimmsten war ein Angriff auf den Landkreis Anhalt-Bitterfeld vom letzten Juli: Auch hier wurden alle Daten verschlüsselt und dann ein Lösegeld gefordert. Wie in Schriesheim ließ sich auch in Sachsen-Anhalt nicht nachvollziehen, wie das Computernetzwerk infiziert wurde. Nach dem Angriff wurden alle Server heruntergefahren (weswegen man beispielsweise sein Auto nicht mehr zulassen konnte) – und der erste Cyber-Katastrophenfall in ganz Deutschland ausgerufen. Die Arbeiten zur Wiederherstellung der Daten zogen sich über ein halbes Jahr hin, dabei wurde sogar die Bundeswehr eingesetzt.
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, häufen sich die Fälle von "Erpressersoftware" (auch "Ransomware" genannt), die gezielt Schwachstellen in der IT-Struktur ausnutzen und dann die Daten verschlüsseln. Das BSI rät dringend dazu, auf Lösegeldforderungen nicht einzugehen und die Polizei einzuschalten. Der beste Schutz gegen solche Erpressungsversuche seien regelmäßige Sicherheitskopien, ständige Aktualisierungen der Betriebssysteme und eine Überprüfung der Systemschwachstellen.
Update: Mittwoch, 20. April 2022, 18.15 Uhr
Störung? Hackerangriff? Nichts ging mehr im Rathaus
Alles Daten waren auf einmal verschlüsselt. Auch Schulen und Kindergärten sind nicht zu erreichen.
Schriesheim. (hö) Am Dienstag ging nach der Osterpause im Schriesheimer Rathaus nichts mehr: kein Telefon, kein Internet, kein E-Mail und kein Abruf von Daten vom Stadt-Server. Denn alle Daten waren auf einmal verschlüsselt, erklärte Hauptamtsleiter Dominik Morast. Ob es sich dabei um eine Cyber-Attacke gegen die Stadtverwaltung handelt, steht noch nicht fest: "Jetzt sind gerade Fachfirmen am Werk", sagt Morast. Wie lange diese "Störung" anhält, konnte Morast am Dienstagmorgen noch nicht sagen: "Wir hoffen, dass wir am Nachmittag wieder arbeiten können." Doch am Nachmittag war klar: Frühestens am Mittwoch könnte das System wieder laufen.
Auch die Kindergärten und Schulen, also alle städtischen Einrichtungen, sind von der Datenverschlüsselung betroffen. Der Betrieb in Schulen und Kindergärten gehe normal weiter, auch ist die Rathauspforte besetzt, und die Mitarbeiter der Stadtverwaltung nehmen Termine wahr. Aber auch hier gebe es Einschränkungen, wenn dabei auf Daten des Stadt-Servers zugegriffen werden musste. Glück hat im Rathaus, wer mit seinem Handy von einem externen Hotspot arbeiten kann.
Die genaue Ursache für diesen Totalausfall ist noch nicht klar: Es kann alles sein, von einer großflächigen Störung bis hin zu einem Hackerangriff. Vielleicht hat auch ein Rathausmitarbeiter eine Schadsoftware geöffnet, die zum Verschlüsseln der Dateien führte. Eine Lösegeldforderung sei bisher im Rathaus auf dem Postweg noch nicht eingegangen, so Morast: "E-Mails können wir ja gerade nicht lesen." Insofern "kann es schon sein, dass da noch etwas kommt". Die Computer seien am Dienstagmorgen ganz normal hochgefahren, man meldete sich an, doch dann wurde die Meldung angezeigt, dass es keine Internet-Verbindung gäbe. Später fand der IT-Dienstleister der Stadtverwaltung heraus, dass die Daten verschlüsselt sind.
Im letzten Juli gab es einen Hackerangriff auf die Kreisverwaltung von Dessau-Roßlau (Sachsen-Anhalt), bei dem alle Daten verschlüsselt wurden und zur Entschlüsselung ein Lösegeld gefordert wurde – was die Kreisverwaltung ablehnte. Auch mit Unterstützung der Bundeswehr dauerte es ein halbes Jahr, bis alles wieder halbwegs lief. So schlimm muss die Situation in Schriesheim nicht werden, denn noch gibt es keine Lösegeldforderung. In jedem Fall tat Bürgermeister Christoph Oeldorf das, was das Bundesamt für Sicherheit in der Informationstechnik empfiehlt: Er informierte den Schriesheimer Polizeiposten über den Vorfall, dazu musste er noch nicht mal aus dem Haus gehen.
Update: Dienstag, 19. April 2022, 15.47 Uhr
