Ransomware-Hacker: Persönliche Daten in unbekanntem Ausmaß von NRW-Kommunen entwendet

Boeing hat es getroffen, auch Shimano. Beide Weltkonzerne sind Opfer von Cyberattacken geworden, denen sie nichts entgegenzusetzen hatten. Sogenannte Ransomware-Hacker erpressen „Lösegeld“ für wertvolle Datensätze, die sonst der Öffentlichkeit zugänglich gemacht werden – und damit der Konkurrenz.

Was hat das mit Deutschland zu tun? Deutsche Gemeinden und Institutionen erleben in diesen Tagen massive Hackerangriffe, die Fragen nach der Sicherheit von persönlichen Daten aufwerfen.

Dutzende Kommunen in Westfalen betroffen

Südwestfalen IT ist ein kommunaler Dienstleister für IT-Systeme. Bis zu 103 westfälische Kommunen nutzen dessen Dienste. Doch gegenwärtig geht in den städtischen Behörden nichts mehr: Ausweisstellen, Kfz-Meldestellen, Standesämter, Bürgerbüros und viele weitere Einrichtungen sind von Hackerattacken auf den IT-Systembetreiber lahmgelegt worden. Besonders hart traf es die Verwaltungen in den Kreisen Siegen-Wittgenstein und Olpe. In Deutschland hatte es im Oktober zuerst das Kaufhaus KaDeWe und das Naturkundemuseum in Berlin erwischt. Für Hackergruppe sind diese Ziele vermutlich leichter zu schädigen als Unternehmen oder Bundesbehörden mit starker Sicherheitstechnologie – wenngleich die Fälle Boeing und Shimano dem zu widersprechen scheinen. Das Einfallstor für die Cyberkriminellen war zuletzt eine Schwachstelle einer viel genutzten Software von Cisco. Das Problem wurde zwar mit einem Update längst behoben, doch dürften zahlreich Anwender dieses Programms noch die alte unsichere Version nutzen.

So gehen die Cyberkriminellen vor

Die Hacker identifizierten Sicherheitslücken und dringen in die Datenbanken auf den Servern ihrer Opfer ein. Dann erfolgte der Datenklau: Zuerst werden umfangreiche Datensätze heruntergeladen, anschließend Daten auf den Servern verschlüsselt oder gar gelöscht. Das Erpressungsmodell folgt dem Ransomware-as-a-Service-Prinzip, weshalb diese Art der Cybergangster als Ransomware-Hacker bezeichnet werden. Dabei gehen zwei spezialisierte Tätergruppen mit krimineller Energie gemeinsam vor. Das eine Team kümmert sich um die Erpressersoftware – die sogenannte Ransomeware – und spürt IT-Schwachstellen auf. Deren Kenntnis kann zum Teil aber auch käuflich von anderen Hackern erworben werden. Diese Hackergruppe besteht aus spezialisierten, hoch talentierten Mitgliedern. Sie verkauft oder vermietet ihre Software und ihr Wissen um mögliche Server-Zugänge an eine weitere Hackergruppe, die über geringere technologische Fähigkeiten verfügt, aber die Ransomeware einzusetzen versteht. Das zweite Team stiehlt dann die Daten, führt erpresserische Verhandlungen und streicht das Geld der Opfer ein, das dann in beiden Teams verteilt wird. Das Hacker-Tandem tritt aktuell unter dem Namen „Lockbit“ auf und betreibt unter dieser Marke einen gemeinsamen Internetauftritt. Alle Spuren dieses kriminellen Netzwerks führen nach Russland.

Persönliche Daten von Bürgern entwendet

Lockbit verlangt von seinen Opfern eine Geldzahlung gegen Entsperrung der Serverdaten. Bleibt diese aus, wird eine Schritt-für-Schritt-Veröffentlichung der entwendeten Daten im Darknet angedroht. Auf der Lockbit-Website ist der neuste Stand der Opferliste einzusehen. Uhren zählen einen Countdown, ab dessen Ablauf das Daten-Diebesgut mit Mausklick im Online-Archiv der Hacker frei einsehbar ist. Das können Kalkulationen, geheime Konstruktionszeichnungen, Testergebnisse oder Daten von Mitarbeitern sein – der Super-Gau für ein Unternehmen. Sowohl Boeing als auch Shimano haben sich dennoch auf den Deal nicht eingelassen und müssen nun hilflos zuschauen, wie kritische Konzerndaten in erheblichen Größenordnungen online gestellt werden. Im Fall der NRW-Kommunen stehen personenbezogene Daten von Bürgern zur Disposition. Derzeit ist das Ausmaß des Datenklaus noch nicht bekannt. Vorsorglich werden Bürger der betroffenen Regionen dazu aufgerufen, „seltsame Konto-Abbuchungen“ zu beobachten und der Polizei zu melden. Ein Krisenstab kontrolliert gegenwärtig das Darknet nach auftauchenden Daten aus Deutschland. Ob und wann die Opfer-Kommunen wieder ihren normalen Betrieb aufnehmen können, ist zu diesem Zeitpunkt noch nicht abzusehen. Dies gilt auch für die konkreten Hintergründe und Auswirkungen dieser in Deutschland bislang einzigartigen Cyberattacke.