Cyber-Angriffe auf öffentliche Einrichtungen

Die letzten Tage gab es bei mir in der Region gleich 3 große Cyber-Angriffe auf öffentliche Einrichtungen. Wobei das nur die marktschreierischen Beschreibungen der Medien sind, denn vermutlich waren das einfach breit gestreute Viren oder Trojaner, die rein zufällig drei öffentliche Einrichtungen erwischt haben.

Zumindest bei dem „Angriff“ auf die Stadt Frankfurt ist klar, dass ein Anwender einen subversiven E-Mail-Anhang geöffnet hat. Sowas wird in der Regel als Massenmails rausgejagt. Dabei will ich auch nicht in das naheliegende Bashing von DAUs und Beamten etc. abgleiten, denn (leider) passen auch gut ausgebildete Anwender nicht immer auf. Oder anders ausgedrückt – eine Cyber-Attacke respektive ein Virus oder Trojaner kann im Grunde jeden erwischen. Selbst IT-Experten. Aber dann ist es entscheidend, welche Auswirkungen das hat und wie die Reaktionen erfolgen.

Die Stadt Frankfurt hat m.E. gar nicht schlecht reagiert. Zwar vermutlich weit überzogen, weil nach dem Bemerken von dem Makro (denn nicht mehr war das wohl) wurden alle Rechner und Server der Stadtverwaltung runtergefahren. Aber auch wenn da wahrscheinlich übertragen wegen eines Schnupfenvirus das komplette Seuchenbeseitigungsprogramm durchgezogen wurde, sind die FFM-Rechner heute wieder online und die Schäden sind damit kalkulierbar und relativ gering.

Ganz anders sieht es bei der kurz zuvor angegriffenen Uni Giessen aus. Da müssen sich nach der Säuberung der Rechner mehrere Zehntausend (!) Anwender wieder neue Zugangsdaten besorgen. Mit persönlicher Anwesenheit und Legitimation. Die Schlangen, die im Fernsehen zu sehen waren, waren ewig lang. Da ist rein der Schaden gerechnet in Arbeitszeit im Millionenbereich angesiedelt. Und man rechnet mit Monaten, bis alles Systeme und Daten wieder ok sind. Wenn nicht sogar wichtige Daten verloren gegangen sind.

Ich frage mich wirklich, warum man nach dem Bemerken des Angriffs nicht alles zurückgesetzt und einfach Backups von den Stunden vor dem Angriff eingespielt hat?

Und mir ist klar, dass ich damit provoziere. Denn natürlich ist ein System mit vielleicht 40.000 Anwendern und zig Systemen und Servern nicht so einfach zu sichern und zurückzusetzen wie ein PC oder ein kleines Netzwerk mit ein paar Rechnern. Was nichts an der Frage und deren Beantwortung ändert.

Denn genau das muss eigentlich dennoch möglich sein – in wenigen Augenblicken ein System zurücksetzen und wiederherstellen. Man kann und adarf einfach in der derzeiten Bedrohungslage keine Systeme mehr fahren, die mit einem infizierten Rechner bereits komplett offline gesetzt werden.

Man muss zwingend absichern, kapseln (am besten über VMs), Anwender in den Rechten beschränken und eben permanent komplette Sicherungen und Snapshots aller Betriebssysteme fahren. Dabei ist „permanent“ m.E. mehrfach am Tag. Das ist ohne Weiteres möglich – es kostet halt nur Geld. Viel Geld. Aber wer in derzeitigen Zeiten daran sparen will, spielt Russisches Roulette und bezahlt das teuer.

Mal sehen, was bei dem dritten aktuellen Angriff auf die Stadt Bad Homburg rauskommt.