Nach Abschluss der Revision der IT-Abteilung der Stadt Baltimore stand fest: Die hatte Abteilung mehr schlecht als recht gearbeitet. Baltimore war im Mai dieses Jahres von Ransomware schwer getroffen worden. Dabei waren viele wichtige Daten verloren gegangen, die nicht wiederhergestellt werden konnten. Die Stadt hat bis dato bereits über 18,2 Millionen US-Dollar an Kosten zur Wiederherstellung ausgegeben.

Laut dem Revisionsbericht lag die Hauptschuld an dem Desaster in der unzureichenden Arbeit der städtischen IT-Abteilung. Zum einen, weil sie keine grundlegenden Richtlinien zur Sicherung der Mitarbeitersysteme installiert hatte. Und zum anderen, weil die Mitarbeiter in ihrer Not, Dateien auf den Festplatten ihrer Desktops und nicht in einer Cloud abgespeichert hatten. Die Revision konnte, zur Beurteilung von Arbeitsumfang und Leistungszielen, auf keine Informationen über die Arbeit der IT-Abteilung zurückgreifen. Insbesondere fehlten Unterlagen zu vier wichtigen Bereichen der Berichterstattung für die Geschäftsjahre 2017 und 2018. Die Revision war erstaunt, dass die IT-Abteilung der Stadt keinerlei Speicherlösungen für Backups nutzte oder Mechanismen zur Wiederherstellung von Daten zur Verfügung hatte.

Unter Amerikas Städte war Baltimore nicht das erste Opfer von derartigen Ransomware-Angriffen. Alle Angriffe zeigten ganz klar, wie wichtig eine ordentliche Datensicherung und Notfallplanung ist. Wieso diese Angriffe die IT-Abteilung nicht alarmiert hatte, ist mittlerweile nicht nur den Revisoren ein Rätsel. Mark Chaplin, Direktor des Information Security Forums, sagte, dass eine formelle Datenwiederherstellung heutzutage eine der grundlegenden Vorsichtsmaßnahmen für Unternehmen sei.

„Bei so vielen Ransomware Angriffen kein Backup zu haben, ist ein Problem, das leicht vermieden werden kann“,

sagt Chaplin.

„Backups, Patch-Management und Zugriffskontrollen, sind grundlegende Sicherheitsmaßnahmen für eine gute Cybersicherheitshygiene.“

Chaplin ist auch klar, dass große Backups eine Herausforderung darstellen, aber als grundlegende Sicherheitsmaßnahme sollten sie trotzdem immer ganz oben auf der Taskliste stehen.

Thycotic CISO Terence Jackson, erwähnte, dass

„ein guter IT-Notfall- und Kontinuitätsplan klar definierte Richtlinien und Verfahren beinhalten sollte. Unternehmen müssten mindestens einmal jährlich „Belastungstests“ durchführen, um sicherzustellen, dass ihr Plan effektiv ist. Gleichzeitig sollten dabei auch gute Beziehungen zu Anbietern, Versicherungs- und forensischen Unternehmen sowie zu Polizeibehörden aufgebaut werden“,

ergänzte er.

Frank Johnson, der Leiter der IT-Abteilung in Baltimore, der unbezahlten Urlaub nehmen musste, erklärte einige Wochen nach dem Ransomware Angriff: Die IT-Abteilung habe keinen Notfallplan gehabt, um mit einem Cyberangriff in der Größenordnung des Vorfalls vom 7. Mai fertig zu werden. Er erläuterte dazu, dass es seiner Meinung nach neun Monate gedauert hätte, um einen solchen zu entwerfen.

In einem Kommentar sprach IT-Sicherheitsexperte Lee Neely davon, dass solche Angriffe unterstreichen wie wichtig es ist, nicht nur die Orte zu identifizieren, an denen Unternehmensdaten gespeichert sind. Geeignete Back-up-Lösungen müssten ebenfalls eingeführt werden. Insbesondere für mobile Nutzer funktioniert ein Cloud-basiertes Back-up besser als eines, das nur dann funktioniert, wenn ein Gerät mit dem Unternehmensnetzwerk verbunden wird. Darüber hinaus müssten, so Neely,

„Datei-Synchronisierungs- und Speicheroptionen, die lokale Dateien transparent in und aus dem Unternehmensspeicher verschieben und so das Risiko verteilter Unternehmensdaten reduzieren, unabhängig vom Standort funktionieren“.

SANS Sicherheitsexperte William Hugh Murray sagte dazu, dass Backups sicherlich keine simple Sache seien. Allerdings, so Murray,

„sei es andererseits die einzige Sicherheitsmaßnahme, die funktioniert, wenn alles andere scheitert.“

Murray sieht Ransomware und andere Risiken zur Datenveränderung als neue Anforderungen an die Sicherheit und Geschwindigkeit der Wiederherstellung der Back-up-Strategien. In einer zunehmend feindlichen Umgebung sei die Modernisierung des Back-ups dringend erforderlich, sagte er.

Siehe auch:

• Ransomware: US-Stadt Baltimore kämpft seit Mai mit den Nachwirkungen
• Bundesstaat Florida kämpft mit Ransomware-Attacken
• Ransomware überall und kein Ende in Sicht – jedoch Texas Angreifer mit langen Gesichtern
• Ransomware BitPaymer trifft deutsches Unternehmen für Automatisierungstechnik
• IfMachen Lösegeldzahlungen bei Ransomware betriebswirtschaftlich Sinn?
• NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf

Artikel von darkreading.com, 30.09.2019: Baltimore Reportedly Had No Data Backup Process for Many Systems
Artikel von statescoop.com, 27.09.2019: Before cyberattack, Baltimore saved data only on local hard drives

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0