Die Stadt Sparks (100.000 Einwohner) im amerikanischen Bundesstaat Nevada kämpfte im August 2015 mit einem Ransomware-Angriff. Alle kommunalen IT-Systeme waren damals lahmgelegt worden. Obwohl die Stadt ihr Backup außer Haus auf Band gesichert hatte, dauerte es immer volle zwei Wochen, bis alles wieder hergestellt war. Die Verantwortlichen der Stadt entschieden sich nach dem Vorfall, für zukünftige Sicherheitsfälle noch besser gerüstet zu sein. Fortan nutzten sie die Dienste eines IT-Sicherheitszentrums. Es sollte die Erkennung von Sicherheitsvorfällen verwalten und darauf reagieren. Außerdem sollten Backup-Vorgänge beschleunigt werden wofür Magnetbänder mit höherer Speicherkapazität und cloudbasierte Sicherungen nötig waren.

Vermutlich wird sich diese Vorgehensweise auszahlen, denn das Ende von Ransomware-Angriffen ist noch nicht abzusehen. In den USA wurden bis September dieses Jahres etwa 100 solcher Angriffe offiziell gemeldet. Manche Betroffene zahlen die Lösegeldsumme, manche nicht – und kämpfen wochenlang mit der Wiederherstellung. Die Attacke auf die Stadt Sparks 2015 wurde über die offizielle Webseite der örtlichen Polizei eingeleitet. Eines der dort verfügbaren Trainingsvideos war von Unbekannten so bearbeitet worden, dass es bösartigen Code enthielt. Das Anklicken des Videos durch einen Polizeibeamten löste den Angriff aus und verschlüsselte seinen Rechner sofort. Von dort aus verbreitete er sich schnell über das verbundene Netzwerk zu allen anderen Geräten. Kollegen bemerkten es erst, als sie Dateien kopieren oder öffnen wollten – alle waren verschlüsselt. Sogar die Luftbilder des geografischen Informationssystems der Stadt waren nicht mehr nutzbar. Diese Luftbilder waren für die Stadt besonders wichtig und sie wiederherzustellen, dauerte am längsten.

Die IT-Verantwortlichen in Sparks reagierten recht schnell. Sie nahmen die infizierten Rechner vom Netzwerk und versuchten alle Dienste wieder herzustellen. Glücklicherweise konnten sie auf umfangreiche Daten Backups zurückgreifen. Innerhalb weniger Stunden waren kritische Systeme wieder online. Manches dauerte jedoch sehr viel länger. Das lag daran, dass man in Sparks die gesamte Backup-Bibliothek auf sogenannten LT03 Magnetbändern abgespeichert hatte. Je nach Ausführung, kann ein Magnetband von 100 bis zu komprimierten 480.000 GB an Daten abspeichern. Die Stadt Sparks nutzte LT03 mit bis zu 700 GB Kapazität, die außer Haus aufbewahrt wurden. Jedes Magnetband musste einzeln eingeführt und ausgelesen werden. Man kann sich vorstellen, wie langsam und zeitraubend diese Aufgabe war. Die Luftbilder waren erst zwei Wochen später online, da es sich um Bilder mit großvolumigem Datenformat handelte. Dafür waren die Magnetbänder einfach eine zu langsame Lösung. Hier setzten die Verantwortlichen an, bei der Suche nach einer besseren Lösung.

Der Vorteil der Backups über LT03 ist, dass die Bänder und Dateien extern lagern. Damit ist sicher gestellt, dass Angreifer nicht auch Backups verschlüsseln können. Gelingt dies, hat eine Institution fast keine Chancen mehr, an die Daten zu gelangen.

Auch das Thema Überwachung- und Alarmierung wurde infrage gestellt. Mehrere Lösungsansätze, die das kommunale Budget und die Personalressourcen sprengten, fielen von vornherein weg. Nach reiflicher Überlegung entschied man sich für eine Sicherheitslösung durch einen Dienstleister. Managed Services zur Bedrohungserkennung und -abwehr, kurz MDR, war die beste Lösung und benötigte kein zusätzliches Personal. Derartige Cybersicherheitslösungen werden mittlerweile von vielen Unternehmen in unterschiedlichen operativen Varianten angeboten. Zur Auswahl steht eine interne oder eine externe Überwachung. Sparks IT-Abteilung entschied sich für die externe Variante. Per Fernüberwachung wird dabei ständig nach Anomalien gescannt, insbesondere nach solchen, die Maßnahmen erfordern. Wenn etwas Auffälliges entdeckt wird, erfolgt die Alarmierung innerhalb von fünf Minuten mit Empfehlung über entsprechende Maßnahmen. Das MDR-System ist in der Lage, das gesamt Netzwerk und alle verbundenen Dienste zu überwachen. Obwohl die Stadt damit die Verantwortung für die Überwachung der Cybersicherheit auf Dritte delegiert, behalten sie dennoch die volle Verantwortung für Sicherheit und Strategie.

Man entschied sich auch, das Backup auf Cloud und Magnetbänder aufzuteilen. Vor allem virtuelle Rechner werden über Cloudbasierte Backups gesichert. Magnetbänder werden weiterhin als Speichermedium verwendet, allerdings mit viel höherer Kapazität. Unterm Strich kann die Stadt Sparks ihre kritische Serverinfrastruktur jetzt innerhalb von 60 Minuten wieder herstellen.

Die IT-Verantwortlich in Sparks bestätigen, dass Firewalls und Anti-Virus-Software zwar wichtig seien, aber nicht ausreichend sind gegen solche Angriffe. Man würde nun ständig die gesamte Internet-Technologie und die Protokolle hinsichtlich ihrer Aktualität überprüfen. Zudem habe man nun einen guten Incident Response Plan (Vorfallplan), der alle Bereiche von der IT über die Rechtsabteilung bis hin zur Pressearbeit abdeckt.

IT-Sicherheitsexperte William Hugh Murray blies in einem Kommentar ins gleiche Horn. Er sagte:

„Ransomware stellt neue Anforderungen an Back-up-Strategien. Anstatt nur ein paar Dateien wiederherzustellen, muss man möglicherweise viele Systeme und Anwendungen gleichzeitig wiederherstellen. Angesichts solcher neuen Anforderungen sollte man vor einem Ransomware-Angriff die eigene Backup-Strategie überprüfen.“

Gleichzeitig habe jedoch die Verfügbarkeit eines sicheren Backups Priorität gegenüber der Geschwindigkeit der Wiederherstellung, so Murray.

Artikel von statescoop.com, 26.09.2020: How Sparks, Nevada, is rethinking security after ransomware

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0