Weiteres Erfolgsjahr für Cyberkriminelle
„Im Jahr 2019 wurden die USA mit einem beispiellos unerbittlichen Schwall von Ransomware-Angriffen überschwemmt.“
Das waren die Einleitungsworte unseres letzten Statusberichts über Ransomware in den USA. Leider hat dieser Schwall auch 2020 nicht nachgelassen und mindestens 2 354 Regierungsinstitutionen, Gesundheitseinrichtungen und Schulen getroffen. Zu den Opfern gehören:
- 113 Regierungen und Behörden auf staatlicher, bundesstaatlicher und kommunaler Ebene
- 560 Gesundheitseinrichtungen
- 1 681 Schulen, Colleges und Universitäten
Die Angriffe sorgten für schwerwiegende und mitunter lebensbedrohliche Störungen: Rettungswagen mit Notfallpatienten mussten umgeleitet werden, Krebsbehandlungen wurden verzögert, es war kein Zugriff auf Testergebnisse möglich, Krankenhauspersonal wurde beurlaubt und Notrufdienste waren unterbrochen.
„Dass es im vergangenen Jahr in den USA keine Todesfälle aufgrund von Ransomware gab, ist schieres Glück. Doch dieses sollte nicht länger herausgefordert und unbedingt die Sicherheit im gesamten öffentlichen Sektor gestärkt werden, bevor es zum Schlimmsten kommt.“ – Fabian Wosar, CTO, Emsisoft
Im Verlauf des Jahres gingen immer mehr Gruppen dazu über, Daten zu exfiltrieren und dann mit deren Veröffentlichung zu drohen, um zur Zahlung des Lösegeldes noch mehr Druck auszuüben. Anfang 2020 nutzte lediglich die Gruppe Maze diese Taktik. Zum Ende des Jahres hatten bereits 17 weitere dieses Vorgehen übernommen und gestohlene Daten auf sogenannten Leak-Seiten veröffentlicht.
Es sind insgesamt 58 öffentliche Einrichtungen bekannt, von denen im Jahr 2020 Daten gestohlen wurden. Die tatsächliche Anzahl ist jedoch mit ziemlicher Sicherheit höher. Von diesen 58 Vorfällen ereigneten sich lediglich zwei im ersten Halbjahr. Zu den veröffentlichten Daten gehörten geschützte Gesundheitsinformationen, vertrauliche Daten von Schulkindern sowie Polizeiunterlagen zu laufenden Untersuchungen. Zusätzlich zu diesen 58 Fällen wurden die Daten einer unbekannten Anzahl von öffentlichen Einrichtungen aufgrund von Angriffen auf Zulieferer und andere Dritte gefährdet. Der Angriff auf den cloudbasierten Software-Anbieter Blackbaud im Mai betraf Berichten zufolge mehr als 170 Organisationen, viele davon aus dem Gesundheits- und Bildungssektor. Dabei wurden Aufzeichnungen zu über 2,5 Millionen Personen gestohlen.
Auch der private Sektor wurde schwer getroffen. Weltweit wurden bei mehr als 1 300 Unternehmen, von denen viele ihren Sitz in den USA haben, Daten gestohlen, wozu auch geistiges Eigentum und andere vertrauliche Informationen gehörten. Das ist jedoch lediglich die Anzahl der Unternehmen, deren Daten auf Leak-Seiten veröffentlicht wurden. Unternehmen, die das Lösegeld bezahlten, um deren Veröffentlichung zu vermeiden, sind hier nicht enthalten. Zu den Opfern gehören auch mehrere Unternehmen, die in der US-Verteidigungsindustrie aktiv sind, etwa ein Zulieferer, der am Atomraketenprogramm Minuteman III beteiligt ist.
Wir gehen davon aus, dass einige Daten wahrscheinlich an Konkurrenzunternehmen verkauft oder andere Regierungen übergeben wurden. Etliche Angreifer sind dafür bekannt, Daten zu versteigern oder interessierte Dritte dazu einzuladen, Angebote dafür abzugeben. Andere wiederum haben möglicherweise Verträge mit Regierungen oder sind direkt bei diesen angestellt.
Regierungen auf staatlicher, bundesstaatlicher und kommunaler Ebene
2020 wurden 113 Regierungen und Behörden auf staatlicher, bundesstaatlicher und kommunaler Ebene Opfer von Ransomware, was zufälligerweise genauso viele sind wie 2019. Angesichts der Prognose, dass es aufgrund von Covid-19 und Fernarbeit Sicherheitslücken geben würde, mag das positiv klingen. Es zeigt jedoch, dass Regierungen offensichtlich ihre Sicherheit auch nicht weiter verbessert haben und so angreifbar sind wie zuvor, was überaus beunruhigend ist.
„Die gleich bleibenden Zahlen könnte man in gewisser Weise als Erfolg verbuchen, wenn man bedenkt, wie abhängig wir in diesem Jahr von unseren Netzwerken und unserer Anbindung waren. Alles in allem lässt sich keinerlei Fortschritt jedoch nicht wirklich als Gewinn bezeichnen. Meine Hoffnung ist, dass die allgemeine Abhängigkeit von Remotearbeit und Online-Konnektivität während der Pandemie für mehr Aufmerksamkeit sorgt und künftig mehr Ressourcen in die Behebung dieses Problems investiert werden.“ – Josephine Wolff, Dozentin für Cybersicherheitspolitik, The Fletcher School, Tufts University
Zu den bedeutendsten Vorfällen 2020 gehörten die Angriffe auf die Städte Knoxville und Torrance, das Büro der Gerichtsverwaltung von Texas, das Verkehrsministerium von Texas und ein Gericht in Louisiana. Delaware County (Pennsylvania) zahlte ein Lösegeld in Höhe von 500 000 USD und Tillamook County (Oregon) in Höhe von 300 000 USD. Ein Angriff auf Hall County (Georgia) im Oktober deaktivierte eine Datenbank, die zur Überprüfung von Wählerunterschriften eingesetzt wurde. Der Angriff war von der Gruppe DoppelPaymer durchgeführt worden, die für das Stehlen von Daten bekannt ist.
Bei den 60 Vorfällen, die sich im ersten und zweiten Quartal ereigneten, waren nur in einem Fall Daten gestohlen und veröffentlicht worden. Im dritten und vierten Quartal geschah dies jedoch bereits bei 23 von 53 Vorfällen.
Die bei diesen Vorfällen veröffentlichten Daten waren häufig von höchster Vertraulichkeit, wie Gehaltsinformationen, Gerichtsunterlagen oder Unterlagen zu laufenden Polizeiermittlungen.
Der Gesundheitssektor
Der bereits durch die Pandemie angespannte und überlastete Gesundheitssektor wurde auch 2020 massiv angegriffen. In 80 Einzelfällen waren mindestens 560 Einrichtungen betroffen, da ein Angriff auf das Gesundheitssystem häufig mehrere Institutionen treffen kann.
Am einschneidendsten war sicher der Angriff auf die Verwaltungsgesellschaft Universal Health Services, die ungefähr 400 Krankenhäuser und andere Gesundheitseinrichtungen betreibt. Weitere gravierende Angriffe erfolgten auf die Kinderklinik von Boston, das Crozer-Keystone-Gesundheitssystem sowie die Kliniken University of Vermont Health Network und Lake Region Healthcare.
Die Auswirkungen der Angriffe waren dramatisch: Rettungswagen mussten umgeleitet werden, Strahlenbehandlungen von Krebspatienten wurden verzögert und es war vorübergehend kein Zugriff auf medizinische Aufzeichnungen möglich, wobei einige sogar dauerhaft verloren gingen. Gleichzeitig mussten aufgrund der Störungen hunderte Angestellte beurlaubt werden. University of Vermont Health Network musste 300 Mitarbeiterinnen und Mitarbeiter beurlauben und beziffert die Kosten des Angriffs auf 1,5 Millionen USD pro Tag.
Es gab etliche Vorfälle, bei denen geschützte Gesundheitsinformationen und andere vertrauliche Daten gestohlen wurden. In mindestens zwölf Fällen, die sich alle im zweiten Halbjahr ereigneten, wurden diese online veröffentlicht.
Der Bildungssektor
Mindestens 1 681 Schulen, Colleges und Universitäten wurden durch 84 Vorfälle getroffen, da sich Angriffe auf einen Schulbezirk auf mehrere Schulen auswirken können. 26 von diesen 84 Vorfällen betrafen Colleges und Universitäten. Die anderen 58 bezogen sich auf Schulbezirke.
Einige der größten Bezirke des Landes wurden Opfer, wie die öffentlichen Schulen von Clark County, Fairfax County und Baltimore County. Zu den betroffenen Hochschuleinrichtungen gehören die UCSF, die MSU und die Universität von Utah.
Aufgrund der Angriffe mussten Schulen sowohl Präsenz- als auch virtuellen Unterricht absagen, wodurch der bereits erheblich beeinträchtigte Schulplan weiter gestört wurde. Die UCSF zahlte ein Lösegeld in Höhe von 1,4 Millionen USD, die Universität von Utah knapp 500 000 USD und der Schulbezirk Sheldon Independent School District etwas über 200 000 USD.
Während es im zweiten Quartal acht Vorfälle im Bildungssektor gab, waren es im dritten Quartal bereits 31. Das ist ein Anstieg von 388 Prozent. 2019 war es sogar ein Zuwachs um 1 020 Prozent, als die Vorfälle zwischen dem zweiten und dritten Quartal von fünf auf 51 anstiegen. Dieser wiederholte Anstieg lässt sich höchstwahrscheinlich damit erklären, dass die Netzwerke zwar im zweiten Quartal kompromittiert wurden, die Verschlüsselung jedoch erst im dritten Quartal stattfand, damit die Schulen nicht die Gelegenheit haben, Daten während der Sommermonate wiederherzustellen. Die Cyberkriminellen haben also mit der Bereitstellung der Ransomware gewartet, bis die Schulen wieder geöffnet waren, weil die Schulbezirke dann mehr unter Druck sind, das Problem schnellstmöglich zu lösen, und folglich eher zu einer Zahlung des Lösegeldes bereit sind. Sollte diese Annahme richtig sein, eröffnet das jedoch auch eine Gelegenheit: Indem die Schulen die Infizierung aufspüren und neutralisieren, können sie auch den anderenfalls folgenden Ransomware-Angriff abwehren.
In mindestens 22 Vorfällen wurden Informationen sowohl zum Personal als auch zu den Schülerinnen und Schülern gestohlen, wobei sich bis auf einen alle im dritten und vierten Quartal ereigneten. Hierzu gehörten auch überaus vertrauliche Informationen, etwa Einzelheiten zu angeblichen sexuellen Übergriffen samt Namensnennung der Beteiligten.
Welche Kosten ergaben sich?
„Statistiken zufolge kostet ein durchschnittlicher Ransomware-Angriff 8,1 Millionen USD und dessen Behebung dauert 287 Tage.“ – Gus Genter, CIO, Winnebago County
Diese Aussage aus dem Jahr 2019 gibt den wahrscheinlich besten Anhaltspunkt, wie viel Ransomware-Angriffe die Regierungen kosten. Sollte sie richtig sein, würden sich die Kosten der 113 Angriffe 2020 auf 915 Millionen USD belaufen.
Bisher haben wir versucht, die Kosten des öffentlichen Sektors als Ganzes abzuschätzen. Das ist dieses Jahr jedoch aufgrund mangelnder Daten und unterschiedlicher Angaben nicht möglich. Man kann jedoch davon ausgehen, dass die Gesamtkosten bei mehreren Milliarden liegen.
Prognose und Empfehlungen
Sofern sich nicht wirklich etwas ändert, wird auch 2021 wieder ein erfolgreiches Jahr für Cyberkriminelle.
Angriffe auf den öffentlichen Sektor haben Anfang 2019 stark zugenommen und es ist seither kein Rückgang zu verzeichnen. Doch obwohl bekannt ist, dass es Ransomware-Gruppen gezielt auf diesen Sektor abgesehen haben, zeigen Statistiken, dass es hinsichtlich einer allgemeinen Verbesserung der Sicherheit hier nur wenig bis gar keinen Fortschritt gibt. Angriffe sind also so erfolgreich wie immer, schlicht weil der öffentliche Sektor so unsicher ist wie immer.
Wir erwarten, dass es 2021 mehr Fälle von Datendiebstahl geben wird als 2020, wahrscheinlich etwa doppelt so viel. Wie herkömmliche Unternehmen machen sich kriminelle Organisationen bewährte Strategien zu Nutze und Datendiebstahl ist eine davon. Einige Unternehmen, die ihre Daten zwar aus Sicherungen wiederherstellen konnten, bezahlten dennoch das Lösegeld, allein aus dem Grund deren Veröffentlichung zu verhindern. Folglich waren mehr Angriffe finanziell erfolgreich und die Cyberkriminellen erzielten höhere Gewinne.
Wir erwarten außerdem, dass Cyberkriminelle die gestohlenen Daten darüber hinaus für Angriffe auf Einzelpersonen einsetzen werden, auf die sich diese Daten beziehen, um die Unternehmen, von denen sie ursprünglich gestohlen wurden, zusätzlich unter Druck zu setzen.
Das Ransomware-Problem wird nicht einfach zu lösen sein. Sowohl akademische Studien als auch Audits haben wiederholt gezeigt, welche ernsten und tief greifenden Sicherheitslücken es im öffentlichen Sektor gibt. Dennoch gilt es, Lösungen zu finden. Unser Bericht für 2019 hat mehrere mögliche Strategien aufgezeigt. Ein Bericht für 2018 von Third Way erörterte politische Lösungen, um die „frappierende Vollzugslücke“, wie sie von der Organisation bezeichnet wird (in den USA wird die wirksame Vollstreckungsrate für Cyberkriminalität auf lediglich 0,05 % geschätzt), zu schließen.
„Information ist Macht – und hinsichtlich Cybersicherheit ist sie die Macht, um ähnliche Vorfälle zu vermeiden.“ – Algirde Pipikaite, World Economic Forum, und Marc Barrachin, S&P
Es sind nur wenige Informationen bezüglich Ransomware-Vorfällen verfügbar und das ist eine problematische Wissenslücke. Einrichtungen des öffentlichen Sektors in den USA sind in der Regel nicht dazu verpflichtet, Angriffe zu melden, und folglich weiß niemand, auch die politisch Verantwortlichen nicht, wie viele Vorfälle es tatsächlich gibt. Darüber hinaus ist nicht bekannt, wieso Angriffe erfolgreich sind, wie viele Lösegelder bezahlt werden oder was die Ransomware-Angriffe den öffentlichen Sektor insgesamt kosten. Ohne diese Informationen lassen sich folglich auch keine auf Fakten gestützten Antworten auf dieses Problem finden.
Als ein Beispiel dafür, weshalb das Sammeln und Austauschen von Informationen so wichtig ist, lässt sich der Anstieg von Vorfällen im Bildungssektor jeweils zwischen dem zweiten und dritten Quartal der vergangenen zwei Jahre nennen. Hierbei handelt es sich um überaus nützliche Erkenntnisse. Zu wissen, wann Schulen höchstwahrscheinlich angegriffen werden, ist ein erster Schritt, um diese Angriffe aufzuhalten.
Um diese Wissenslücke zu schließen, muss eine Meldepflicht eingeführt und dafür gesorgt werden, dass die gesammelten Daten zugänglich sind. Cyberkriminelle lernen voneinander, arbeiten zusammen und tauschen Informationen und Strategien aus. Ein ähnlich kooperativer und informationsbasierter Ansatz muss auch im öffentlichen Sektor und im Bildungssektor verfolgt werden.
Zum Schluss möchten wir noch darauf hinweisen, dass Ransomware-Angriffe im Allgemeinen abgewehrt oder ihre Auswirkungen zumindest gemindert werden können. Menschliches Versagen lässt sich nie völlig ausschließen, aber Netzwerke können so ausgelegt werden, dass sie im Falle des Falles nicht wie ein Kartenhaus einstürzen. Um es noch einmal mit den – aktualisierten – Worten unseres CTO aus dem Bericht des Vorjahres zu sagen:
„2021 muss keine Wiederholung von 2020 sein. Mit angemessenen Investitionen in Personal, Prozesse und IT würde es wesentlich weniger Ransomware-Vorfälle geben und diese würden zudem nicht so schwerwiegend, störend und kostspielig ausfallen.“ – Fabian Wosar, CTO, Emsisoft
Danksagung und Anmerkung
Wir danken allen Wissenschaftlerinnen und Wissenschaftlern, Journalistinnen und Journalisten, Sicherheitsforscherinnen und -forschern sowie allen anderen Personen, die im vergangen Jahr Informationen mit uns geteilt haben.
Dieser Bericht basiert auf Daten aus mehreren Quellen, etwa Presseberichten, und die hier angegebenen Zahlen sind mit hoher Wahrscheinlichkeit niedriger als die tatsächliche Anzahl an Vorfällen. Der Bericht enthält keine Zahlen zu Angriffen auf private Unternehmen, da diese zu selten gemeldet werden, um aussagekräftige Statistiken erstellen zu können.
Übersetzung: Doreen Schäfer