Weshalb werden in den USA so viele öffentliche Einrichtungen Opfer von Ransomware?

Why are so many US public entities being hit by ransomware?

Im Juni 2019 fielen innerhalb einer Woche gleich zwei Städte in Florida Ransomware zum Opfer. Sie bezahlten über 1 Million USD an die Hacker, um ihre Daten und die Kontrolle über ihre Server zurückzuerlangen.

„Ich hätte mir nie vorstellen können, dass so etwas passiert – vor allem nicht in einer kleinen Stadt wie dieser hier“, äußerte sich der Bürgermeister von Lake City, einer der zwei betroffenen Städte.

Der öffentliche Sektor im Fokus von Hackern

Die Städte in Florida sind nur die letzten Opfer in einer Reihe von Ransomware-Angriffen auf US-Regierungsstellen. Angaben des Bedrohungsanalyse-Anbieters Recorded Future zufolge gab es seit 2013 in den USA 169 erfolgreiche Ransomware-Angriffe auf staatliche und kommunale Verwaltungsbehörden.

2018 wurde die Stadt Atlanta im Bundesstaat Georgia schwer von der Ransomware SamSam getroffen. Diese setzte damals eine Reihe wichtiger öffentlicher Dienste außer Gefecht, wie Wasseranmeldungen, Zahlungen von Gerichtskosten und Onlinerechnungen sowie das Ausstellen von Haftbefehlen. Im April 2019 infizierte dann die Ransomware Ryuk mehrere Gemeinden in der gesamten USA, wodurch es zu Störungen im Telefonnetz der Behörden von Imperial County (Kalifornien) kam und in Stuart (Florida) die Systeme ganz abgeschaltet werden mussten. Auch einige kommunale Polizeireviere blieben in den vergangenen Jahren nicht von Ransomware-Angriffen verschont, wie beispielsweise die Büros der Sheriffs von Maine, Arkansas und Lauderdale.

Am 7. Mai 2019 nutzten Hacker eine neue Version der RobinHood-Ransomware, um 10.000 Computer der Behörden von Baltimore zu befallen. Die Hacker drohten mit der Löschung der Daten, sofern die Stadt nicht ein Bitcoin-Lösegeld im Wert von 75.000 USD zahlt.

Baltimore weigerte sich. Daraufhin wurden die E-Mail Systeme und Zahlungsplattformen für Wochen vom Netz getrennt, wodurch den Bürgern der Zugriff auf zahlreiche wichtige Dienstleistungen verwehrt wurde. Insgesamt kostete der Angriff die Stadt 18 Millionen USD. Mit dieser Summe hätte das ursprüngliche Lösegeld 240 Mal beglichen werden können.

Diese Vorfälle führten zu Spekulationen, ob die Angriffe von Gelegenheitstätern durchgeführt werden, die auf schnelles Geld aus sind, oder von staatlich finanzierten Cyberterroristen, die das Wirtschaftsgeschehen schwerwiegend stören sollen.

Weshalb stehen öffentliche Einrichtungen unter Beschuss?

Ransomware zielt im Wesentlichen darauf ab, Geld zu machen. Viele Abteilungen im öffentlichen Sektor sind für die Bereitstellung von Diensten verantwortlich, ohne die eine Stadt oder Gemeinde nicht funktionieren kann. Sind diese Dienste für längere Zeit nicht nutzbar, kann das weitreichende Konsequenzen für die Bewohner haben.

Viele Cyberkriminelle vertrauen daher darauf, dass öffentliche Einrichtungen im Vergleich zu Unternehmen im privaten Sektor schneller reagieren und eher dazu bereit sind, das Lösegeld zu bezahlen, um die Störung so kurzfristig wie möglich zu beheben und ihre Systeme am Laufen zu halten. Ransomware-Angriffe auf öffentliche Einrichtungen erregen außerdem mehr Aufmerksamkeit bei den Medien. Das wiederum bestärkt die Überlegung, dass diese Angriffe überaus profitabel sind.

Untersuchungen zufolge ist dem jedoch nicht unbedingt so. Laut Recorded Future zahlen lediglich 17 Prozent der betroffenen staatlichen und kommunalen Einrichtungen das Lösegeld. Angaben von CyberEdge nach kauft sich hingegen fast die Hälfte (45 Prozent) der privaten Unternehmen frei.

Grund für die geringere Zahlungsbereitschaft öffentlicher Stellen sind protokollarische Vorgaben. Sowohl auf bundesstaatlicher als auch kommunaler Ebene raten die meisten Verwaltungen ihren Abteilungen davon ab, Lösegelder zu bezahlen. Wie viele Länder beispielsweise Verhandlungen mit Terroristen ablehnen, so gibt es auch in vielen öffentlichen Einrichtungen Vorschriften, die eine Zahlung von Lösegeldern ausschließen. Auf diese Weise soll vor weiteren Ransomware-Angriffen abgeschreckt werden.

Hier muss jedoch angemerkt werden, dass Geld nicht immer das eigentliche Ziel ist. In einigen Fällen suchen sich die Cyberkriminellen einzelne öffentliche Einrichtungen heraus, um auf sich aufmerksam zu machen und zukünftigen Angriffen durch die damit erlangte Bekanntheit mehr Gewicht zu verleihen. In anderen Fällen sind Ransomware-Angriffe politisch motiviert und sollen in einer bestimmten Region oder Institution für größtmögliche Störungen sorgen. Wieder andere werden als raffinierte Tarnung für Cyberspionage eingesetzt.

Weshalb sind öffentliche Einrichtungen so anfällig für Ransomware?

Wann immer es bekannt wird, dass eine Verwaltungsbehörde Opfer von Ransomware wurde, stellt sich der Öffentlichkeit meistens ein und dieselbe Frage: Wie konnte das passieren? Geht man davon aus, dass öffentliche Einrichtungen unverzichtbare Dienste bereitstellen und für den Schutz tausender privater Daten verantwortlich sind, sollten deren Systeme doch eigentlich am besten vor Ransomware geschützt sein.

In einer perfekten Welt würden sie natürlich verstärkt in Cybersicherheit investieren und starke Strategien implementieren, um die Risiken und Auswirkungen von Ransomware zu minimieren. Leider leben wir nicht in einer perfekten Welt und öffentliche Einrichtungen sind häufig anfälliger für Ransomware als private Unternehmen. Das hat zwei wesentliche Gründe:

1. Veraltete Technologie

Malware entwickelt sich rasch weiter, weshalb insbesondere ältere Technologien einem erhöhten Infektionsrisiko ausgesetzt sind. Viele öffentliche Einrichtungen der Kommunen haben jedoch nicht das Budget, um ihre Infrastruktur hinsichtlich Cybersicherheit auf den neuesten Stand zu halten, oder sie werden aufgrund bürokratischer Hürden daran gehindert.

Laut einem Bericht der International Capital Markets Association (ICMA) arbeiten 29,3 Prozent der Kommunalverwaltungen mit Cybersicherheitstechnologie, die aktuellen Entwicklungen eine Generation hinterher ist. Ganze 8,7 Prozent nutzen sogar noch ältere Technologie. Das ist überaus besorgniserregend, da veraltete Cybersicherheitslösungen die öffentlichen Stellen zum leichten Ziel für Angriffe machen.

2. Große Angriffsfläche

Wie der Name schon sagt, sollen öffentliche Stellen der Öffentlichkeit dienen. Daher haben sie auch viele öffentlich zugängliche Onlineangebote und folglich viele mögliche Schwachstellen, die sich von Ransomware-Angreifern ausnutzen lassen.

Darüber hinaus benötigen viele Beschäftigte in diesen Einrichtungen Zugriff auf die Server. Dadurch vergrößern sich die Angriffsfläche und das Risiko menschlichen Versagens erheblich, was wiederum zu Ransomware-Infektionen führen kann.

Ransomware und kommunale Verwaltungen

Die aktuellen Angriffe auf die Behörden in Florida, Baltimore und Atlanta zeigen erneut, dass auch der öffentliche Sektor nicht vor Ransomware immun ist.

Zweifellos haben die betroffenen Städte hierbei einige wichtige Lektionen in Sachen Cybersicherheit gelernt. Es ist jedoch unwahrscheinlich, dass sie die letzten Opfer derartiger Angriffe sind. Sofern in den Kommunen nicht generell ein radikales Umdenken hinsichtlich Ransomware und Cybersicherheit erfolgt, werden wir höchstwahrscheinlich auch in Zukunft Meldungen über Ransomware-Angriffe im öffentlichen Sektor erhalten.

 

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel

Newsletter

Malware kennt keine Pausen. Bleiben Sie immer über die neuesten Bedrohungen auf dem Laufenden.

Emsisoft > Blog > Schutztipps > Kommentare > Weshalb werden in den USA so viele öffentliche Einrichtungen Opfer von Ransomware?