Verdacht auf Hackerangriff aufs Rathaus hat sich bestätigt

Die "Hacker" drohten der Stadt mit der Veröffentlichung von Daten und stellten ein Ultimatum, ohne aber explizite Geldforderungen zu stellen.

Schriesheim. (hö) Nach dem Hackerangriff auf das Rathaus wurde, wie von Hauptamtsleiter Dominik Morast angekündigt, die Polizei informiert. Am gestrigen Donnerstag meldete sich ein Sprecher des Polizeipräsidiums Mannheim zu Wort. Und er bestätigt weitgehend die Erkenntnisse der letzten Woche: "Zu einem bislang noch unbekannten Zeitpunkt hatten sich unbekannte Täter Zugang zum IT-System der Stadt Schriesheim verschafft und schließlich durch ein Schadprogramm, die sogenannte Ransomware, deren Server verschlüsselt." Dabei fielen in der letzten Woche insbesondere Telefon und E-Mail aus, was den Verwaltungsbetrieb großteils lahmlegte; erst am Montag konnten die Daten wiederhergestellt werden.

Das Kriminalkommissariat Mannheim nahm mit Unterstützung des Dezernats "Cybercrime" der Kriminalpolizeidirektion Heidelberg die Ermittlungen auf und wird dabei von Experten des Landes unterstützt. Seit dem gestrigen Morgen arbeiten Mitarbeiter der Kriminalpolizei und der Cybersicherheit Baden-Württemberg vom Innenministerium im Rathaus und durchforsten eventuelle Sicherheitslücken. Das ist auch der Grund, weswegen immer wieder die Server heruntergefahren werden müssen – was wiederum zur Folge hat, dass das Rathaus zeitweise nicht per E-Mail zu erreichen ist, wie Morast erklärt. Das kann auch die nächsten Tage noch so sein, denn im Hintergrund wird gerade die neue Serverstruktur aufgebaut.

Was zunächst nur ein Anfangsverdacht war, bestätigte sich aber jetzt. Die Hacker nahmen per E-Mail noch einmal mit dem Rathaus Kontakt auf, drohten mit der Veröffentlichung von Daten und stellten ein Ultimatum – angezeigt mit einer Sanduhr –, ohne aber ausdrückliche Geldforderungen zu stellen. Das ist in gewisser Weise eine Neuigkeit, denn bisher hieß es immer, dass es nur eine Aufforderung der Hacker gab, sich mit ihnen in Verbindung zu setzen.

Ob und in welchem Umfang Daten im Rathaus gestohlen wurden, ist noch Gegenstand der Ermittlungen. Allerdings zeigten ähnliche Fälle bei anderen Behörden und Firmen deutschlandweit, dass Daten gestohlen und bei Nichtbezahlen der geforderten Summe dann auch veröffentlicht wurden. Im Schriesheimer Fall wird noch untersucht, woher die Erpressungssoftware kommt. Meist agieren die Hacker von Osteuropa, besonders von Russland, aus und zählen eindeutig zur Organisierten Kriminalität. Allerdings sind meist die Ermittlungserfolge gegen diese Art von Kriminalität bescheiden.

In der Regel verschicken die Kriminellen in großem Stil, oft sogar weltweit, E-Mails mit Schadsoftware-Anhängen – und hoffen darauf, dass sie jemand öffnet. Es muss nicht unbedingt die Unbedarftheit der Mitarbeiter sein, die dann zu einer Verseuchung des IT-Netzwerks samt nachfolgender Erpressung führt, meist nutzten die Hacker gezielt Schwachstellen von Servern aus, wie ein Polizeisprecher erklärt: "Die sind den Sicherungssystemen, wie beispielsweise einer Firewall, oft einen Schritt voraus." Das Tückische: Der Angriff kann schon vor etlichen Wochen passiert sein, aber dann "schlief" die Schadsoftware erst eine Zeit lang – bis sie wie in Schriesheim am Dienstag nach Ostern aktiviert wurde.

Immer noch nicht ist abschließend geklärt, ob es wirklich eine E-Mail war, die zur Verschlüsselung der Daten führte. Allerdings spricht wenig für einen gezielten Angriff der Hacker auf das Schriesheimer Rathaus – dafür ist das Vorgehen der Hacker zu "standardmäßig". Und doch: Nach Angaben des Polizeisprechers handelt es sich um den ersten derartigen Hackerangriff auf eine Stadtverwaltung in der Region, "in Bayern es aber schon ein paar".

Update: Donnerstag, 28. April 2022, 18.56 Uhr

Schriesheim. (pol/rl) Zu einem bislang noch unbekannten Zeitpunkt hatten sich unbekannte Täter Zugang zum IT-System der Stadt Schriesheim verschafft und schließlich durch ein Schadprogramm, die sogenannte "Ransomware" deren Server verschlüsselt.

Dies bedingte einen zeitweiligen Ausfall des Verwaltungsbetriebes der Stadt Schriesheim, insbesondere bei der Erreichbarkeit per Telefon und per E-Mail.

Durch Backup-Sicherungen wurde der Betrieb zunächst wiederhergestellt. Das Kriminalkommissariat Mannheim hat mit Unterstützung des Dezernats "Cybercrime" der Kriminalpolizeidirektion Heidelberg frühzeitig die Ermittlungen aufgenommen und werden dabei von Cybersicherheitsexperten unterstützt.

Was zunächst nur ein Anfangsverdacht war, bestätigte sich aber jetzt. Die "Hacker", die häufig von Osteuropa aus agieren, nahmen über die IT-Systeme noch einmal mit der Stadt Schriesheim Kontakt auf, drohten mit der Veröffentlichung von Daten und stellten ein Ultimatum, ohne aber explizite Geldforderungen zu stellen.

Ob und in welchem Umfang Daten bei der Stadt Schriesheim gestohlen wurden, ist noch Gegenstand der Ermittlungen. Allerdings zeigen zurückblickend ähnlich gelagerte Fälle bei anderen Behörden und Firmen deutschlandweit, dass Daten gestohlen und bei Nichtbezahlen der geforderten Summe, veröffentlicht wurden.

Derzeit sind die Experten der Kriminalpolizeidirektion Heidelberg zusammen mit Cybersicherheitsfirmen damit beschäftigt, die Herkunft der "Ransomware" festzustellen und die Täter zu lokalisieren, um weitere Ermittlungsschritte einleiten zu können. Gleichzeitig wird die Sicherheitsstruktur der IT-Systeme bei der Stadt Schriesheim neu aufgestellt.

Die Täter, die der Organisierten Kriminalität zuzurechnen sind, nutzen die "Ransomware" zu digitalen Erpressungen. Betroffen sind sowohl Unternehmen als auch öffentliche Einrichtungen weltweit. Die "Ransomware" findet in den häufigsten Fällen über den E-Mail-Verkehr Verbreitung. Über welchen Weg die IT-Systeme der Stadt Schriesheim infiziert wurden, ist noch nicht bekannt.

Die Ermittlungen des Kriminalkommissariats Mannheim und des Dezernats "Cybercrime" der Kriminalpolizeidirektion Heidelberg dauern an.

Update: Donnerstag, 28. April 2022, 13.35 Uhr

Es war ein Hackerangriff aufs Rathaus
Das Rathaus ist weiter nicht erreichbar. Das Wiederherstellen der verschlüsselten Daten dauert wohl noch bis Montag. Unklar bleibt, wie das Netzwerk infiziert wurde.
Von Micha Hörnle

Schriesheim. Am Tag zwei des lahmgelegten Rathauses (siehe unten) weiß man etwas mehr, was zur Verschlüsselung der Daten führte: Ja, es war ein Cyberangriff, und der wird auch noch ein paar Tage dafür sorgen, dass die Stadtverwaltung (und mit ihr die Kindergärten und Schulen) nicht zu erreichen sind: Im Moment, so berichtet Hauptamtsleiter Dominik Morast, gehe man davon aus, dass "wir ab Montag unsere Dienstleistungen wie gewohnt erbringen können". Arbeitsfähig ist das Rathaus durchaus – zumindest dort, wo man nicht auf den städtischen Server angewiesen ist.

Wahrscheinlich gab es gar keinen gezielten Hackerangriff auf das Rathaus, man wurde eher das Opfer eines großflächigen auf andere Institutionen oder Privatpersonen, wie die erste Analyse des städtischen IT-Dienstleisters ergab. Mittlerweile fand sich auf dem Server auch ein englischer Text, in dem aufgefordert wurde, Kontakt zum Angreifer aufzunehmen – wohl um dann eine Lösegeldforderung zum Entschlüsseln der Daten zu erhalten. Einen Kontakt zu den Angreifern werde man aber ganz sicher nicht suchen, so Morast.

Stattdessen arbeitet nun der IT-Dienstleister an der Behebung der Störung. Nach und nach werden die gesicherten Daten, der sogenannte "Back-up", wiederhergestellt, dann auf Schadsoftware überprüft, um den Stadt-Server wieder in Betrieb zu nehmen: "Das ist ein umfangreiches Prozedere", so Morast – und deswegen werden die "Reparaturarbeiten" auch voraussichtlich die gesamte Woche andauern. Erst am Montag werde das Rathaus wohl wieder wie gewohnt arbeiten können.

Über diesen Hackerangriff wurde der Landesdatenschutzbeauftragte informiert, mittlerweile wurde auch ganz formell Anzeige bei der Polizei erstattet. Wie genau die Schadsoftware, auch "Trojaner" genannt, in das Stadtverwaltungsnetzwerk eingedrungen ist, konnte Morast nicht sagen: Das könnte ein E-Mail-Anhang gewesen sein, vielleicht klickte ein Mitarbeiter auch einen Link im Internet, oder ein "verseuchter" USB-Stick kann die Ursache gewesen sein, "vielleicht werden wir das auch nie herausbekommen". Ebenso unklar ist, wann genau der Angriff erfolgt ist – entweder tatsächlich am Dienstag, oder vielleicht wurde erst dann die längst installierte Schadsoftware aktiviert.

Wie bereits gestern berichtet, werden immer wieder Behörden Opfer von Trojanern: Am schlimmsten war ein Angriff auf den Landkreis Anhalt-Bitterfeld vom letzten Juli: Auch hier wurden alle Daten verschlüsselt und dann ein Lösegeld gefordert. Wie in Schriesheim ließ sich auch in Sachsen-Anhalt nicht nachvollziehen, wie das Computernetzwerk infiziert wurde. Nach dem Angriff wurden alle Server heruntergefahren (weswegen man beispielsweise sein Auto nicht mehr zulassen konnte) – und der erste Cyber-Katastrophenfall in ganz Deutschland ausgerufen. Die Arbeiten zur Wiederherstellung der Daten zogen sich über ein halbes Jahr hin, dabei wurde sogar die Bundeswehr eingesetzt.

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, häufen sich die Fälle von "Erpressersoftware" (auch "Ransomware" genannt), die gezielt Schwachstellen in der IT-Struktur ausnutzen und dann die Daten verschlüsseln. Das BSI rät dringend dazu, auf Lösegeldforderungen nicht einzugehen und die Polizei einzuschalten. Der beste Schutz gegen solche Erpressungsversuche seien regelmäßige Sicherheitskopien, ständige Aktualisierungen der Betriebssysteme und eine Überprüfung der Systemschwachstellen.

Update: Mittwoch, 20. April 2022, 18.15 Uhr

Störung? Hackerangriff? Nichts ging mehr im Rathaus
Alles Daten waren auf einmal verschlüsselt. Auch Schulen und Kindergärten sind nicht zu erreichen.
Schriesheim. (hö) Am Dienstag ging nach der Osterpause im Schriesheimer Rathaus nichts mehr: kein Telefon, kein Internet, kein E-Mail und kein Abruf von Daten vom Stadt-Server. Denn alle Daten waren auf einmal verschlüsselt, erklärte Hauptamtsleiter Dominik Morast. Ob es sich dabei um eine Cyber-Attacke gegen die Stadtverwaltung handelt, steht noch nicht fest: "Jetzt sind gerade Fachfirmen am Werk", sagt Morast. Wie lange diese "Störung" anhält, konnte Morast am Dienstagmorgen noch nicht sagen: "Wir hoffen, dass wir am Nachmittag wieder arbeiten können." Doch am Nachmittag war klar: Frühestens am Mittwoch könnte das System wieder laufen.

Auch die Kindergärten und Schulen, also alle städtischen Einrichtungen, sind von der Datenverschlüsselung betroffen. Der Betrieb in Schulen und Kindergärten gehe normal weiter, auch ist die Rathauspforte besetzt, und die Mitarbeiter der Stadtverwaltung nehmen Termine wahr. Aber auch hier gebe es Einschränkungen, wenn dabei auf Daten des Stadt-Servers zugegriffen werden musste. Glück hat im Rathaus, wer mit seinem Handy von einem externen Hotspot arbeiten kann.

Die genaue Ursache für diesen Totalausfall ist noch nicht klar: Es kann alles sein, von einer großflächigen Störung bis hin zu einem Hackerangriff. Vielleicht hat auch ein Rathausmitarbeiter eine Schadsoftware geöffnet, die zum Verschlüsseln der Dateien führte. Eine Lösegeldforderung sei bisher im Rathaus auf dem Postweg noch nicht eingegangen, so Morast: "E-Mails können wir ja gerade nicht lesen." Insofern "kann es schon sein, dass da noch etwas kommt". Die Computer seien am Dienstagmorgen ganz normal hochgefahren, man meldete sich an, doch dann wurde die Meldung angezeigt, dass es keine Internet-Verbindung gäbe. Später fand der IT-Dienstleister der Stadtverwaltung heraus, dass die Daten verschlüsselt sind.

Im letzten Juli gab es einen Hackerangriff auf die Kreisverwaltung von Dessau-Roßlau (Sachsen-Anhalt), bei dem alle Daten verschlüsselt wurden und zur Entschlüsselung ein Lösegeld gefordert wurde – was die Kreisverwaltung ablehnte. Auch mit Unterstützung der Bundeswehr dauerte es ein halbes Jahr, bis alles wieder halbwegs lief. So schlimm muss die Situation in Schriesheim nicht werden, denn noch gibt es keine Lösegeldforderung. In jedem Fall tat Bürgermeister Christoph Oeldorf das, was das Bundesamt für Sicherheit in der Informationstechnik empfiehlt: Er informierte den Schriesheimer Polizeiposten über den Vorfall, dazu musste er noch nicht mal aus dem Haus gehen.

Update: Dienstag, 19. April 2022, 15.47 Uhr

Copyright (c) rnz-online

Autor: Rhein-Neckar-Zeitung