Baltimore – eine Stadt im Würgegriff der Malware

Wir alle profitieren, wenn eine Stadt mit der Zeit geht. Egal, ob man online nach den Öffnungszeiten von Behörden schauen möchte, vielleicht einen Termin vereinbart, Fragen per Mail stellt oder Formulare als PDF zum Ausdrucken runter lädt, eine moderne Stadtverwaltung hat ihre Vorteile. Mit dieser „Offenheit“ gegenüber den Bewohnern wird eine Stadt aber auch verletzlich. Denn mit dem Kontakt wachsen die Risiken, und manche Mail, die vielleicht ein argloser Angestellter öffnet, könnte verseucht sein. Genau dies geschah wohl am 6. Mai, als sich die Ransomware RobinHood durch zehntausende Computer der Stadt Baltimore fraß und wichtige Daten auf einen Schlag unzugänglich machte. Von der Abteilung für öffentliche Arbeiten aus attackierte die Ransomware danach andere Abteilungen, bis man sämtliche Server und mehrere tausend Computer vom Netz nahm. Zu spät! Nach heutigem Wissensstand hat man nun die Möglichkeit, zu zahlen – oder alle betroffenen Rechner neu aufzusetzen und eventuelle Datenverluste mit allen Folgen zu akzeptieren. Eine Entschlüsselung der Daten scheint aktuell eher unwahrscheinlich.

So steht aktuell zentral auf der Internetseite der Stadt Baltimore, dass momentan keine E-Mails versendet oder empfangen werden können. Der Griff zum guten, alten Telefon ist wieder Standard. Wichtiger: Elektronischer Zahlungsverkehr ist ebenfalls nur sehr eingeschränkt möglich. Was die Stadt an Rechnungen zu begleichen hat (wie z.B. Wasser- oder Stromrechnungen) muss nun wieder manuell erledigt werden, ganz wie in alten Zeiten! Die Erpresser beschränken sich dabei nicht auf die Sperrung der Daten, sondern drohen mit der kompletten Löschung. Bislang will man nicht zahlen, was auch den Empfehlungen des FBIs entspricht. Zu unsicher ist, ob die Erpresser die Daten überhaupt wieder freigeben, ob die Daten danach wieder nutzbar sind – und natürlich, ob die Schadsoftware komplett wieder vom Rechner verschwindet. Wen man bereits erpresst hat, den könnte man auch weitere Male erpressen! Außerdem gibt es die moralische Komponente: Darf man als Staat mit Erpressern verhandeln? Darf man zulassen, dass sich Verbrechen lohnt?

Verstörend ist dabei der fast direkte Kontakt mit den Erpressern. Denn die wollen natürlich ihr Geld, ohne von den Strafverfolgungsbehörden geschnappt zu werden. Also nutzt man den Weg über Kryptowährungen, die anonym den Besitzer wechseln können. Im Falle Baltimores verlangt man 13 Bitcoins, was grob 100.000 US-Dollar entspricht. Das ist im Vergleich mit großen Unternehmen bescheiden, vielleicht hat man sich vorher die Finanzlage Baltimores angeschaut. Vielleicht ist es aber schon mehr, wenn Sie diesen Text lesen. Oft erhöhen die Erpresser mit zunehmender Dauer der Verhandlungen ihre Forderungen und auch hier munkelt man von 10.000 Dollar zusätzlich für jeden Tag Säumnis. Immerhin würde man sich mit mehreren Teilzahlungen zufrieden geben, kulante Erpresser erlebt man auch nicht jeden Tag. Die Unbekannten besitzen durchaus Humor. Mit "We won’t talk more, all we know is MONEY!" (Genug geredet, GELD her!), begann man den Dialog mit den Behörden, dafür verspricht man aber auch, den „Schutz der Daten sehr ernst zu nehmen“. Wäre nicht eine ganze Stadt betroffen, man könnte drüber schmunzeln.

Andere Einrichtungen haben bezahlt und konnten wieder auf die Daten zugreifen. Weitere Opfer, wie die Stadt Greenville in North Carolina, ergriffen die Gelegenheit am Schopfe und bauten die komplette IT-Infrastruktur der Verwaltung neu. Sinnvoll, denn viele Gemeinden haben längst veraltete, schlecht gewartete Infrastrukturen. Nur deshalb konnten die Hacker, die sich selbst übrigens „Shadow Brokers“ nennen, so erfolgreich sein. Wer hier seine Hände im Spiel hatte, ist noch komplett im Dunkeln. Die üblichen Verdächtigen wähnte man natürlich gleich im Iran, Russland, China und Nordkorea, das ließ sich aber nicht bestätigen. Wo die Software allerdings herkommt, ist wohl bekannt. Wie die „New York Times“ recherchierte, wurde die Erpressungssoftware von der National Security Agency (NSA) entwickelt, genauer von der Gruppe "Tailored Access Operations" (T.A.O.). Unter dem schönen Namen „EnternalBlue“ nutzt sie eine Sicherheitslücke von Microsoft aus und erlangt so Kontrolle ober die Systeme. Glatte 5 Jahre nutzte man die Software für eigene Zwecke, bevor sie im April 2017 ins Netz und damit in die Hände der Hacker gelangte. Nun werden die USA von ihrer eigenen Entwicklung erpresst, welche Ironie.

Ist denn gegen EnternalBlue kein Kraut gewachsen? Hier kommt der Moment, wo Sie sich wahrscheinlich beruhigt zurücklehnen können. Vor zwei Jahren veröffentlichte MS bereits einen Patch, der die Lücke schloss, wohl jeder halbwegs verantwortungsbewusste Privatnutzer dürfte ihn installiert haben. Die Behörden hatten Microsoft nach 5 Jahren endlich Bescheid gesagt, dass eine Sicherheitslücke existiert. Welch noble Geste! Alle befallenen Rechner haben also in den letzten zwei Jahren kein Update bekommen. Mit den betroffenen Admins würde ich hier ein sehr ernstes Gespräch führen wollen! Die NSA selbst will übrigens keinen Kommentar abgeben, noch irgendwelche Verantwortung übernehmen. Dabei kosteten die Hacks die Steuerzahler allein 2018 schon viele Millionen, 2019 wird es nicht anders sein.

Wie auch immer die IT-Krise in Baltimore ausgeht, sie sollte einige Diskussionen anstoßen. Wie kann eine staatliche Organisation eine massive Sicherheitslücke, die uns alle gefährdet, fünf Jahre verschweigen? Wieso gibt es auch nach über zwei Jahren keine bindenden Arbeitsanweisungen, diese Lücke in öffentlichen Netzen zu schließen? In den dunklen Ecken des Internets werden weiterhin Sicherheitslücken für viel Geld an die Geheimdienste verkauft, die uns über die Gefahren im Dunklen lassen werden, solange sie davon profitieren. Steht hier der Erkenntnisgewinn der Geheimdienste über der Sicherheit der Allgemeinheit? Schauen wir mal, bis auch diese staatliche Hacker-Software in die falschen Hände gerät!

Was mich interessieren würde: Wie sehen Sie das Vorgehen der NSA? Sind geheimdienstliche Erkenntnisse so wichtig, dass man deshalb massive Sicherheitslücken verschweigen darf?