Unsere Behörde bleibt wegen Cyberangriffs leider geschlossen

Autor / Redakteur: Moritz Tremmel / Julia Schmidt

Heute kein neuer Pass und kein Elterngeld: Die Schadsoftware Emotet hat in den vergangenen Monaten etliche Behörden in Deutschland lahmgelegt. Doch woher kommt dieser Fokus auf die Behörden, ist die Sicherheit so desaströs?

Firma zum Thema

(Bild: BenediktGeyer / Pixabay )

„Heute wegen Cyberangriff geschlossen“ könnte auf vielen Behördenwebseiten stehen. In den vergangenen Monaten fielen immer wieder Städte, Kommunen, Universitäten und andere Behörden der Schadsoftware Emotet zum Opfer. Die Auswirkungen schränkten teils die Dienste bis an die Behördentheke ein, Pässe konnten nicht mehr beantragt, Sozialleistungen wie Elterngeld nicht mehr ausgezahlt werden. Die 500 Richter des Berliner Kammergerichts arbeiten seit fünf Monaten im Notbetrieb. Dabei nutzt Emotet zur initialen Infektion zwei seit langem bekannte Sicherheitslücken: Makros in Microsoft-Office-Dokumenten und die Schwachstelle Mensch, der dazu gebracht wird, das Dokument zu öffnen und die Makros zu erlauben.

Golem.de hat mit Experten aus der Sicherheitsbranche und der IT gesprochen, um herauszufinden, woher der plötzliche Fokus der Angreifer auf deutsche Behörden kommt und wie sich diese besser schützen können. Im Gespräch wird klar, die deutschen Behörden haben in den vergangenen Jahren vieles digitalisiert, dabei aber viel zu wenig auf die Sicherheit geachtet - das rächt sich spätestens mit Emotet.

„Die Angriffe werden immer komplexer und ähneln immer mehr Advanced Persistant Threats (APT)“, erklärt Torsten Lange im Gespräch mit Golem.de. Er leitet das Cyber Defence Center Landesverwaltung des IT-Dienstleistungszentrums Berlin (ITDZ Berlin). Das ITDZ Berlin ist für den Betrieb des Berliner Landesnetzes mitsamt mehreren Rechenzentren zuständig. Entsprechend schwer sei es, die Angriffe überhaupt zu erkennen, teils wüssten die infizierten Behörden und Unternehmen gar nicht, dass die Schadsoftware auf ihren Rechnern lauere und durch einen Trigger aktiviert werden könne, erklärt Lange.

Das deckt sich auch mit den Erfahrungen von Internetwache.org-Gründer Tim Philipp Schäfers, der Unternehmen nach einem Befall unterstützt (Incident Response). Er sagt: „Oft bekommen die Unternehmen oder die Behörden einen Hinweis vom BSI oder LKA, dass sie Teil eines Botnetzwerkes sind oder Emotet verbreiten.“ Auch das Berliner Kammergericht bemerkte den Emotet-Befall nicht selbst. „Am Übergang zum Landesnetz haben wir E-Mails mit Emotet-Anhang festgestellt, die wir dem Netzbereich des Kammergerichts zuordnen konnten. Wir haben das Kammergericht dann auf den Befall seines IT-Systems hingewiesen“, erklärt Lange.

Legt Emotet gezielt Behörden lahm?

„Staatliche Behörden werden in der Regel nicht gezielt angegriffen, sondern sind eher Beifang“, sagt Diana Dasch, stellvertretende Pressesprecherin des ITDZ Berlin. „Sie fallen aber in der Öffentlichkeit besonders auf.“ Das liege zum einen an den Informations- und Meldepflichten der Behörden, zum anderen aber auch an den sensiblen und validen Daten, die dort häufig verarbeitet werden, erklärt Lange. „Auch große Unternehmen fallen auf, kleine fallen aber eher unter den Tisch."

Das sieht Schäfers anders: „Die Angreifer haben gemerkt, dass sich die Wirtschaft zunehmend schützt.“ Selbst Mittelständler setzen immer häufiger auf Hybride-Cloud-Systeme, die insbesondere im Bereich E-Mail durch ausgefeilte Erkennungssysteme mehr Sicherheit bieten würden. „Man kann von Unternehmen wie Google halten, was man möchte, aber die Sache mit der E-Mail-Sicherheit bekommen sie einfach gut hin“, sagt Schäfers. „Die Kommunen und Behörden hinken hier teils weit dem Stand der Technik hinterher.“ Das mache sie zu einem attraktiven Ziel.

Deutschland steht im Fokus

Deutschland stehe mit dem schlechten Schutz vor diesen Angriffen nicht allein da, sagt Pieter Arntz, Malware Intelligence Researcher bei der Sicherheitsfirma Malwarebytes. Der Großteil der westlichen Welt habe mit Emotet-Infektionen zu kämpfen. Allerdings liegt „Deutschland 2019 bei den entdeckten Emotet-Angriffen im europäischen Vergleich auf dem zweiten Platz hinter Großbritannien“, sagt Arntz. Die deutsche IT-Infrastruktur liege im Fokus.

Dazu kommt, dass jedes infizierte System als Ausgangspunkt für weitere Angriffe genutzt wird, um Geräte im lokalen Netzwerk anzugreifen oder Schadsoftware an die E-Mail-Kontakte zu versenden, teils sogar als Antwort auf bestehende E-Mail-Konversationen. Das führe zu einer exponentiellen Verbreitung von Emotet, erklärt Arntz.

Die deutschen Behörden seien ein Meister in der Paperwork-Security, betont Schäfers, deutlich schlechter sieht es jedoch mit der wirklichen Sicherheit aus. Dort haben die deutschen Behörden auf vielen Ebenen Probleme.

Behörden entscheiden sich immer wieder für Unsicherheit

„Ein IT-Projekt ist nicht fertig, wenn es funktioniert oder die Arbeit erleichtert“, erklärt Lange. Dann gehe es weiter mit IT-Sicherheit und Datenschutz, die ein kontinuierlicher Prozess seien. „Da fehlt jedoch oft das Bewusstsein und das Geld“, sagt Lange. Es fehle an Schulungen, an Personal, beispielsweise sei Personal für IT-Sicherheitstests oder Notfallmanagement oft nicht im Haus.

Ein weiteres Problem sei das fehlende Bewusstsein auf allen Ebenen: Wenn der Oberarzt unbedingt die Patientendaten auf dem Tablet verwalten wolle, werde ihm das ermöglicht. So werde immer wieder die politische Entscheidung für Unsicherheit gefällt, denn letztlich definiere das unsicherste Gerät die Gesamtsicherheit, erklärt Lange.

Im Kammergericht hatten die Mitarbeiter zudem Daten auf USB-Sticks mit nach Hause genommen, um mit ihnen an ihren privaten Rechnern zu arbeiten. Aus einer Datenschutz- und Sicherheitsperspektive ein Desaster.

Zertifizierte Sicherheit

„Es fehlt an einer ganzheitlichen Sicherheitsstrategie“, sagt Schäfers. Durch die föderale Struktur habe jede Kommune eine eigene IT-Infrastruktur und einen eigenen IT-Dienstleister. Festgelegte Standards gebe es erst ab 500.000 Betroffenen, dann handle es sich nach dem IT-Sicherheitsgesetz um kritische Infrastruktur (Kritis).

„Erst dann müssen Zertifizierungen erfüllt werden und muss dem Stand der Technik entsprochen werden“, erklärt Schäfers. Letzteres sei allerdings Definitionssache und werde vom jeweiligen Branchenverband festgelegt, der häufig eher leicht erfüllbare Basisanforderung festlegt. Im Falle der Wasser- und Abwasserversorgung sei dies die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA). Die Sicherheit von kleinen Wasserwerken und Kläranlagen bleibt jedoch desaströs.

Meister in der „Paperwork Security“, schlecht bei der Netzwerksicherheit

„Behörden sind vor allem gut in der Paperwork Security, beispielsweise im Rahmen von Business-Impact-Analysen“, sagt Schäfers. Dabei würden Auswirkungen und Wahrscheinlichkeit eines Szenarios, beispielsweise eines Emotet-Angriffs, bewertet und anschließend ein Maßnahmenkatalog erstellt. Dokumentiere eine Behörde, dass sie einen Emotet-Angriff für unwahrscheinlich halte und daher keine Maßnahmen erlasse, habe sie die Anforderungen erfüllt und auch ein Prüfer sei zufrieden - die Frage sei ja abgehakt worden, erklärt Schäfers. Für reale Sicherheit sorge dies aber nicht.

Oft würden dafür zentrale Sicherheitsmechanismen in den lokalen Netzwerken von Behörden nicht umgesetzt, sagt Schäfers. Beispielsweise würden die Microsoft-Patchdays bei Servern im lokalen Netzwerk ignoriert. Da diese nicht mit dem Internet verbunden seien, würden sie als nicht gefährdet angesehen. Dabei übersehen die Admins, dass diese über andere Geräte im Netzwerk angreifbar sind, die wiederum eine Internetverbindung haben. Deutlich vereinfacht würden solche Angriffe zudem durch mangelnde Netzwerksegmentierung, erklärt Schäfers. So kann sich Emotet leicht von Rechner zu Rechner ausbreiten. Das Problem attestierte kürzlich ein Gutachten dem Berliner Kammergericht.

„Ein ähnliches Problem sind Backups, die kaum noch vom Netzwerk getrennt werden“, sagt Schäfers. Doch wenn ein Rechner im Netzwerk an die Backups komme, könne auch die Ransomware auf die Backups zugreifen.

Emotet infiziert schnell weitere Systeme

Insbesondere der Angriffsvektor Mensch trage zu dem Erfolg von Emotet bei, erklärt Arntz. Erst wird ein Mitarbeiter per Social Engineering dazu gebracht, eine Microsoft-Office-Datei zu öffnen, die als Anhang oder Link in einer E-Mail an das potenzielle Opfer geschickt wird. Über Makros werden dann Powershell-Befehle ausgeführt, die die eigentliche Schadsoftware nachladen und installieren.

Emotet sammelt Informationen über den Rechner und das Netzwerk und versucht, sich weiter auszubreiten. Zudem wird die nächste Schadsoftware Trickbot nachgeladen, die es auf Zugangsdaten, beispielsweise zum Onlinebanking, abgesehen hat. Erst nach einer manuellen Sichtung der Informationen durch die Angreifer, was oft 72 Stunden dauern kann, wird eine Ransomware wie Ryuk nachgeladen, die damit beginnt, die befallenen Systeme zu verschlüsseln und ein für die befallene Organisation spezifisches Lösegeld zu fordern.

An all diesen Infektionsschritten kann eine Behörde oder ein Unternehmen ansetzen, um ihre Infrastruktur zu schützen. Die Gesprächspartner von Golem.de empfehlen verschiedene Herangehensweisen.

Wie sich Behörden und Unternehmen vor Emotet schützen können

Wie die Emotet-Angriffe auf verschiedenen Ebenen ablaufen, muss auch die Verteidigung auf einen Mix aus verschiedenen Maßnahmen setzen. Der etwas verpönte Klassiker ist Antivirensoftware mit Signaturerkennung. Die E-Mails oder Dateien eines Computers werden mit einer Datenbank abgeglichen, in der Analysten zuvor Signaturen von bereits bekannter Schadsoftware abgelegt haben. Diese sei jedoch machtlos gegen eine Schadsoftware wie Emotet, die nach dem Baukastensystem funktionierte und sich ständig verändere, erklärt Lange. Die Signaturen sind bei der Veröffentlichung längst nicht mehr aktuell. „Innerhalb einer Woche ändert sich das Sicherheitslagebild komplett“, sagt Lange.

„Auf die Geschwindigkeit der Hersteller kann man sich nicht mehr verlassen.“ Klassische AV-Software sei daher nur noch ein Grundschutz, mit dem rund 20 Prozent der Angriffe erkannt würden, sagt Lange. Um es mit der schnellen Entwicklung von Emotet aufzunehmen, brauche es eine Anomalieerkennung. „Das ITDZ Berlin setzt auf ein mehrstufiges Filterverfahren“, erklärt Lange. Dabei solle nicht nur auf ein Tool oder einen Anbieter gesetzt werden. Zudem sollten sich die Admins die Anbieter genau anschauen, denn viele kaufen die gleichen Filterlisten auf dem Markt ein. Ein mehrstufiges Verfahren mit den gleichen Filterlisten sei aber kein mehrstufiges Verfahren mehr, betont Lange. „Wir trauen den Werbeversprechen der Anbieter nicht mehr und testen die Dienste intensiv."

Letztlich müssten alle Ebenen miteinbezogen werden, vom Server über das Netzwerk, den Endpunkt, bis zum Mitarbeiter, sagt Lange. Dabei dürfe nichts als sicher angesehen werden. Das Motto müsse Zero Trust (kein Vertrauen) sein. Das ITDZ Berlin betreibe zudem selbst Forschung und beobachte die sozialen Medien. Beispielsweise habe die Citrix-Sicherheitslücke auf Twitter große Wellen geschlagen, nachdem sie aktiv ausgenutzt worden sei - so könne man schnell auf aktuelle Gefahren aufmerksam gemacht werden.

Cloud oder Sandboxing

Auch Schäfers sieht Filter und signaturbasierte Ansätze alleine als nicht mehr zeitgemäß an. Moderne Cloud-Infrastrukturen würden beispielsweise Anhänge testen oder schauen, was sich hinter einem Link in einer E-Mail verbirgt. Bei großen Cloudanbietern würden täglich Milliarden E-Mails aufschlagen, entsprechend hätten diese einen besseren Überblick über die aktuellen Gefahren und bessere Filter, erklärt Schäfers. „Aus Datenschutzperspektive ist die Cloud eher fragwürdig“, betont Schäfers. Das gelte gleich zweimal für Behörden, die die Daten der Bürger schützen müssten und nicht bei US-Anbietern ablegen könnten. Die deutschen Cloudpläne Gaia-X könnten dieses Problem jedoch lösen, meint Schäfers. Eine Alternative zur Cloud sei eine Sandbox-basierte Schadsoftwareerkennung auf dem eigenen Mailserver. Das gebe es mit Cuckoo auch in Open Source.

Schäfers hofft darauf, dass die Behörden und Kommunen ihre IT bündeln und so von Synergieeffekten profitieren könnten. Beispielsweise könnte ein gemeinsames IT-Security-Team aufgebaut werden. Denn jede Kommune könne das schon allein deshalb nicht leisten, weil der Markt an IT-Security-Leuten begrenzt sei.

Angriffe mit Word-Makros funktionieren seit 20 Jahren

„Solche Angriffe mit Word-Makros funktionieren seit 1999. Damals war das Melissa-Virus die große Nummer“, sagte der Diplompsychologe und CCC-Pressesprecher Linus Neumann auf dem Chaos Communication Congress. „Jeden Bug und jedes Problem, das wir haben, lösen wir sofort, aber dieses halten wir einfach nur aus und tun überhaupt nichts."

Beim ITDZ Berlin ist das jedoch nicht der Fall: „Wenn wir die Systeme eines Kunden sicher betreuen sollen, müssen die Makros digital signiert oder, wenn dies nicht möglich ist, deaktiviert werden“, erklärt Lange. Die einzige Möglichkeit, unsignierte Makros zu benutzen, sei eine befristete Ausnahmegenehmigung der Berliner Senatsverwaltung für Inneres und Sport. „Makrobasierte Kleinstanwendungen müssen aus Sicherheitsgründen ersetzt werden“, betont Lange. Manche Behörden nehmen einfach keine Mails mehr mit Office-Dokumenten im Anhang oder Links in der Mail mehr an. Auch das bietet einen gewissen Schutz, solange die Dokumente nicht anderweitig eingeschleppt werden, beispielsweise per USB-Stick.

Auch Neumann und Schäfers betonen, dass Makros per Gruppenrichtlinie komplett deaktiviert werden müssten. Alternativ müssten die Makros vorher von der IT abgesegnet und signiert werden, sagt Schäfers. Das klappe selbst mit Externen, wenn deren Zertifikate akzeptiert würden. Damit könnten viele Unternehmen, Behörden und Nichtregierungsorganisationen, bei denen Makros weiterhin zum Einsatz kommen, ein seit 20 Jahre bestehendes Sicherheitsproblem lösen. Die Mitarbeiter können schlicht nicht mehr dazu gebracht werden, die Schadmakros auszuführen. Dennoch müssen auch die Mitarbeiter in die IT-Sicherheit einbezogen werden.

Fehler passieren

„Schulungen sind sehr wichtig“, betont Lange. Es ist wichtig, dass die Mitarbeiter wissen wie die Tools funktionieren, mit denen sie arbeiten. Das führe auch zu besseren Fehlermeldungen, weil die Nutzer verstehen, was da passiert. Das wiederum vereinfache die Arbeit des Sicherheitsteams immens. Dazu gehöre auch eine vernünftige Fehlerkultur, sagt Lange. Menschen machen Fehler, besser sie werden ermutigt, diese zu melden und zuzugeben, anstatt sie zu verheimlichen. Nur dann kann man mit ihnen arbeiten und Schlimmeres verhindern.

„Die Herausforderung ist letztlich, Usability und Security unter einen Hut zu bringen“, sagt Lange. „Wenn wir die Mitarbeiter zu einem 20-stelligen Passwort zwingen, klebt am Ende wieder ein Post-it mit dem Passwort am Bildschirm.“ Ein Authentifizierungs-Dongle, das man einfach abziehen könne, sei deutlich einfacher zu handhaben. „In diese Richtung müssen wir mehr machen“, sagt Lange.

Originalveröffentlichung auf Golem.de am 4. 3.2020.

* Moritz Tremmel ist seit 2018 Redakteur für IT-Security bei Golem.de. Er beschäftigt sich auch mit Datenschutz, Überwachung, Digitaler Selbstverteidigung und Netzpolitik. Im Rahmen seines Studiums der Politikwissenschaften, Soziologie und Rechtswissenschaften forschte er zu den Auswirkungen von Technik auf das menschliche Zusammenleben. Er ist Mitglied beim Digitalen Gesellschaft e. V., dem Forschernetzwerk Surveillance Studies.org und dem Chaos Computer Club. Früher schrieb er bei Netzpolitik.org.

(ID:46397194)