# taz.de -- Cyber-Erpressungen nehmen zu: Geld oder Daten!
       
       > Kriminelle wollen eine halbe Million Euro in der Kryptowährung Monero vom
       > Landkreis Anhalt-Bitterfeld erpressen. Das ist kein Einzelfall.
       
 (IMG) Bild: Computer werden gehackt, die Daten verschlüsselt – und die Behörden erpresst
       
       Was macht man, wenn eine Behörde von einem massiven Cyberangriff lahmgelegt
       wird? Wenn die Mitarbeitenden dringend darauf hingewiesen werden müssen,
       dass sie ihre Rechner herunterfahren sollen, damit das schon im System
       befindliche Virus nicht noch mehr Schaden anrichten kann? Wenn das aber aus
       gegebenem Anlass natürlich nicht per E-Mail geht? Dann kann sich glücklich
       schätzen, wer noch über eine Lautsprecheranlage verfügt.
       
       Der Landkreis Anhalt-Bitterfeld – 8 Standorte, 20 Ämter, rund 1.000
       Mitarbeiter:innen –, der am 6. Juli vergangenen Jahres von einer
       solchen Attacke getroffen wurde, hatte so zumindest ein Werkzeug, um im
       allerersten Moment nach der Entdeckung des Angriffs Notfallmaßnahmen
       einleiten zu können. [1][Es war nicht der erste Angriff dieser Art auf eine
       Institution der öffentlichen Hand,] aber einer, der besonders viel
       Aufmerksamkeit erlangte. Denn der Landkreis entschloss sich schnell, den
       Katastrophenfall auszurufen. Das ist eine Maßnahme, die sonst etwa bei
       extremen Wetterereignissen vorkommt – aber bislang nicht bei einem
       Cyberangriff.
       
       Die Angreifer:innen kamen vermutlich über eine Phishing-Mail ins
       System. Die Forderung der Gruppe „Pay or Grief“ (Zahle oder trauere): eine
       halbe Million Euro, zu zahlen in der Kryptowährung Monero. Im Vergleich zu
       Angriffen auf Wirtschaftsunternehmen eine überschaubare Summe. Dass sie es
       dennoch ernst meinten mit der Drohung, machten die Angreifer:innen bald
       nach der Attacke deutlich: Sie veröffentlichten einen Teil der erbeuteten
       Daten, darunter Handynummern und Bankverbindungen von Kreistagsabgeordneten
       sowie Sitzungsprotokolle.
       
       Attacken mit Erpressersoftware – Ransomware genannt – sind einer der großen
       Cybercrime-Trends der vergangenen Jahre. Das Prinzip: Kriminelle
       verschaffen sich Zugang zum IT-System ihres Opfers und verschlüsseln
       und/oder kopieren die Daten. Anschließend setzen die Angreifer:innen
       die Opfer unter Druck. Sie sollen ein Lösegeld zahlen, andernfalls blieben
       die Daten verschlüsselt, würden veröffentlicht oder Dritte wie
       Geschäftspartner:innen oder Patient:innen über den Angriff
       informiert und so die Reputation infrage gestellt.
       
       ## Kryptowährung als übliches Zahlungsmittel
       
       Das Vorgehen ist so beliebt, dass sich eine eigene Branche in der Branche
       entwickelt hat: Ransomware as a Service. Dabei vermieten
       Ransomware-Entwickler:innen ihre Software. Auch wer selbst keine Ahnung von
       entsprechender Programmierung hat, kann so Angriffe fahren. Die Zahlung
       läuft auch hier typischerweise per Kryptowährung.
       
       „Cyber-Erpressungen entwickeln sich zur größten Bedrohung“, schreibt das
       Bundesamt für Sicherheit in der Informationstechnik (BSI) [2][in seinem
       Jahresbericht 2021]. Die Folgen „können tage- oder wochenlange
       Netzwerkausfälle bedeuten, in denen Produktion oder Dienstleistungsangebote
       nur eingeschränkt oder gar nicht mehr zur Verfügung stehen“.
       
       Dabei sind Online-Erpressungen kein neues Phänomen. Sehr wohl aber die
       Summen, [3][die die Angreifer:innen verlangen] – und die teilweise
       gezahlt werden. So brachten 2021 einzelne US-amerikanische Unternehmen
       jeweils Summen im zweistelligen Millionenbereich auf. Bis ein Angriff
       bemerkt wird, kann einige Zeit vergehen. Zeit, in der die
       Angreifer:innen ihre Schadsoftware im System verteilen und sich weitere
       Zugriffe verschaffen können. Auch in Anhalt-Bitterfeld lag etwa ein Monat
       zwischen Infektions- und Ausbruchszeitpunkt.
       
       „Die Situation ist beschissen, aber nicht hoffnungslos“, sagt der damalige
       Landrat Anhalt-Bitterfelds Uwe Schulze (CDU) kurz nach dem Angriff. Die
       Kreisverwaltung war in weiten Bereichen nicht mehr arbeitsfähig – ob das
       nun eine Bafög-Zahlung oder eine Kfz-Anmeldung betraf. Für
       Angreifer:innen sind Verwaltung und öffentliche Einrichtungen daher ein
       attraktives Ziel. Zwar sind sie in der Regel weniger finanzkräftig als
       Unternehmen – doch die sensiblen Daten der Bürger:innen machen sie
       erpressbar.
       
       ## Lösegeld wurde nicht gezahlt
       
       Anhalt-Bitterfeld entschied sich trotz allem früh gegen eine
       Lösegeldzahlung. „Die Frage stand ungefähr zehn Sekunden im Raum, dann hat
       man sich tief in die Augen geguckt und gesagt: Die öffentliche Hand wird
       keine Lösegeldforderungen bedienen“, berichtet Sabine Griebsch, Chief
       Digital Officer der Landkreisverwaltung und technische Einsatzleiterin beim
       Umgang mit dem Angriff, bei einer Veranstaltung im Dezember.
       
       Auch Expert:innen, etwa des BSI, raten von Lösegeldzahlungen ab. Zum einen,
       weil die Täter:innen das Geld [4][in Infrastruktur und Personal neuer
       Angriffe stecken können]. Und zum anderen, weil auch eine Zahlung keine
       Garantie dafür ist, die Daten wiederzubekommen.
       
       Doch auch ohne Lösegeldzahlung sind die Kosten für den Landkreis nicht
       ohne. Zwei Millionen Euro seien bislang geflossen, die Systeme wieder
       aufzubauen. Und fertig ist man immer noch nicht. „Wir rechnen aktuell mit
       einem Abschluss der Arbeiten Ende 2. Quartal 2022“, sagte Griebsch im
       Februar der taz. Eines der grundsätzlichen Probleme: Es fehle an
       qualifiziertem Personal. Die Leitung des neuen IT-Amtes ist weiterhin
       unbesetzt, in der ersten Runde seien nur zwei Bewerbungen eingegangen und
       der geeignetere Kandidat abgesprungen. In der zweiten Runde dann: null
       Bewerbungen. Das Problem kennen auch andere Behörden. In der freien
       Wirtschaft lässt sich mit IT-Kenntnissen schlichtweg ein Vielfaches an Geld
       verdienen.
       
       Unabhängig davon bekommen die Verwaltungen des Landkreises ein neues Niveau
       an IT-Sicherheit verordnet. Die Mindestpasswortlänge wurde erhöht, lokale
       Administrator-Accounts abgeschafft, das Bewusstsein der
       Mitarbeiter:innen für IT-Sicherheit und Angriffe gestärkt. Doch zu
       sehr in die Karten schauen lassen möchte sich Sabine Griebsch nicht. Sie
       geht davon aus, dass Angreifer:innen sehr genau hinschauen werden, wenn
       die Systeme in Anhalt-Bitterfeld wieder komplett am Netz sind – und
       ausloten, wie gut das Abdichten funktioniert hat.
       
       Bislang sind im Internet nicht noch weitere persönliche Daten aufgetaucht,
       die von den Erpresser:innen in Anhalt-Bitterfeld erbeutet sein könnten.
       Es ist allerdings nicht ausgeschlossen, dass es noch dazu kommt – oder
       dass, bislang unentdeckt, Datensätze bereits im Darknet gehandelt werden.
       Sabine Griebsch rät anderen Kommunen dringend, „einen Plan B oder überhaupt
       einen Plan in der Tasche“ zu haben, für den Fall eines Angriffs. Ihre
       Vermutung: „Die paar Vorfälle, die jetzt in die Öffentlichkeit getreten
       sind, sind wirklich nur die Spitze des Eisberges.“
       
       3 Mar 2022
       
       ## LINKS
       
 (DIR) [1] /Cyberangriffe-im-Ukraine-Krieg/!5837578
 (DIR) [2] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
 (DIR) [3] /Cybercrime-und-Wirtschaftsschutz/!5784542
 (DIR) [4] /Experte-ueber-Cyberangriffe/!5773148
       
       ## AUTOREN
       
 (DIR) Svenja Bergt
       
       ## TAGS
       
 (DIR) Cyberkriminalität
 (DIR) Kriminalität
 (DIR) Erpressung
 (DIR) Behörden
 (DIR) Bitterfeld
 (DIR) Ransomware
 (DIR) Kryptowährung
 (DIR) GNS
 (DIR) Cybersicherheit
 (DIR) Schwerpunkt Krieg in der Ukraine
 (DIR) Cyberkriminalität
 (DIR) Cybersicherheit
 (DIR) Datenschutz
 (DIR) Supermarkt
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Faesers neue Cybersicherheitsstrategie: Neuaufstellung oder Placebo?
       
       Die Innenministerin präsentiert Ideen für mehr Cybersicherheit. Vor allem
       kritische Sicherheitsstrukturen sollen besser geschützt werden.
       
 (DIR) Blockchain-Experte über Kryptospenden: „Das Geld ist sofort da“​
       
       Auch Kryptowährungen lassen sich an die ukrainische Regierung spenden.
       Ökonom Philipp Sandner über die Chancen und Risiken dieser neuen Art des
       Spendens.
       
 (DIR) Kryptowährungen und Cybercrime: Virtuelle Geldwäsche
       
       Kryptowährungen spielen bei der Abwicklung von Cyber-Kriminalität eine
       bedeutende Rolle. Die EU-Kommission will das eindämmen. Ein Überblick.
       
 (DIR) Kriminaliät im Internet: „Alarmstufe rot“ bei IT-Sicherheit
       
       Noch nie war die deutsche Cybersicherheit so gefährdet wie 2021, zeigt der
       aktuelle BSI-Lagebericht. Viele Cyberkriminelle professionalisieren sich.
       
 (DIR) Cybercrime und Wirtschaftsschutz: Generalschlüssel? 70 Millionen!
       
       Immer öfter erpressen Kriminelle mit Software hohe Summen. Der deutschen
       Wirtschaft entsteht damit jährlich ein Schaden von 223 Milliarden Euro.
       
 (DIR) Knapp 800 Supermärkte in Schweden zu: Cyberangriff legt Läden lahm
       
       Der Angriff auf einen US-Dienstleister hat Auswirkungen über die USA
       hinaus. Besonders in Schweden, wo Teile des Handels die Dienste nutzen.