Ransomware-Angriffe auf den öffentlichen Sektor sind in den letzten Jahren immer häufiger geworden, wobei Regierungsbehörden, Gesundheitsorganisationen und Bildungseinrichtungen häufige Ziele sind. Der öffentliche Sektor war jedoch schon immer ein Ziel für Cyberkriminelle, die auf Datendiebstahl und kriminellen Schaden aus sind. Dies wird von Verizon in seinem Data Breach Investigations Report 2020 (DBIR) bestätigt, wobei die öffentliche Verwaltung eine der am häufigsten angegriffenen Branchen ist und Ransomware die häufigste Angriffsart darstellt. Ein Bericht von Darktrace stimmt dem zu und stellt fest, dass im Jahr 2020 "lokale Regierungen das größte Ziel von Ransomware-Angriffen waren".
Ransomware ist ein gefährlicher und heimtückischer Malware-Typ, der in allen Branchen immer häufiger vorkommt. Die ruchlosen Akteure hinter der Malware werden auch immer geschickter darin, Lösegeld zu erpressen, indem sie nicht nur Daten verschlüsseln, sondern diese auch stehlen. Im Folgenden wird untersucht, welche Auswirkungen Ransomware auf den öffentlichen Sektor hat und was getan werden kann, um diese Auswirkungen abzuschwächen.
Warum der öffentliche Sektor von Ransomware-Angriffen bedroht ist
Es kann schwierig sein, Informationen über das wahre Ausmaß von Cyberangriffen in öffentlichen Einrichtungen zu erhalten. Im Jahr 2019 führte der Sicherheitsanbieter SolarWinds jedoch eine Anfrage zur Informationsfreiheit durch. Die zurückgesandten Daten enthielten einige interessante Erkenntnisse: Während etwa ein Drittel der Befragten keine Cyberangriffe erlebt hatte, erlebte eine zunehmende Zahl mehr als 1000 gezielte Angriffe.
Die meisten dieser Angriffe erfolgten in Form von Phishing und Malware. Und das, obwohl herkömmliche Cybersicherheitsmaßnahmen wie Firewalls und Antivirensoftware vorhanden sind. Die Untersuchung zeigt deutlich, dass der öffentliche Sektor im Visier von Cyberkriminellen steht und dass Ransomware, eine derzeit beliebte Malware, eine ernsthafte Bedrohung für den Sektor darstellt.
Jüngste öffentlichkeitswirksame Angriffe wie der Ransomware-Angriff auf das Versorgungsunternehmen Colonial Pipeline in den USA zeigen, wie weit Ransomware-Banden gehen. Bei diesem Cyberangriff wurden die Daten nicht nur durch Verschlüsselung unzugänglich gemacht und damit der Betrieb gestört, sondern auch gestohlen und als Druckmittel für die Zahlung des Lösegelds verwendet.
Einem Bericht von IBM X-Force zufolge wurden bei 59 % der Ransomware-Vorfälle Daten vor dem Verschlüsselungsereignis exfiltriert. Colonial Pipeline war ein gutes Ziel für Ransomware, da es eine kritische Infrastruktur darstellt. Auch der öffentliche Dienst ist eine kritische Infrastruktur, die wichtige, datenabhängige Dienstleistungen für die Bürger erbringt: Dieser Punkt geht den Ransomware-Banden nicht verloren.
Öffentliche Dienste wie Schulbezirke, Gesundheitseinrichtungen und sogar Kommunalverwaltungen sind allesamt Ziele von Ransomware-Angreifern. Ein kürzlich erfolgter Angriff betraf das irische Gesundheitssystem. Der Angriff, der vermutlich von einer als "Wizard Spider" bekannten Hackergruppe durchgeführt wurde, führte dazu, dass Krankenhäuser über eine Woche lang ohne Computer waren.
Ähnlich wie beim Angriff auf die Colonial Pipeline verschlüsselten die Hacker Daten und stahlen große Mengen an Informationen, um den Druck zu erhöhen, das Lösegeld in Höhe von 20 Millionen Dollar (14 Millionen Pfund) zu zahlen. Im Jahr 2020 kostete ein Ransomware-Angriff auf die Stadtverwaltung von Redcar und Cleveland schätzungsweise 10 Millionen Pfund: Zu den entstandenen Kosten gehörten Ausfallzeiten und Mindereinnahmen bei der Strafverfolgung.
Ransomware-as-a-Service im öffentlichen Sektor
Der öffentliche Sektor umfasst ein breites Spektrum von Organisationen, vom Gesundheitswesen über Kommunalverwaltungen bis hin zu politischen Entscheidungsträgern und Schulen. Der öffentliche Sektor bietet daher Bedrohungsakteuren eine Vielzahl von Möglichkeiten, nicht nur zu stören und zu erpressen, sondern auch Daten zu stehlen.
Lindy Cameron, CEO des britischen National Cyber Security Centre (NCSC), sagte kürzlich in einer Rede auf der jährlichen Sicherheitsvorlesung des Royal United Services Institute (RUSI), dass die Zunahme von Ransomware auf einen "kumulativen Effekt" zurückzuführen sei, da Unternehmen nicht in der Lage seien, mit den immer ausgefeilteren Ransomware-Angriffen umzugehen.
Organisationen des öffentlichen Sektors sind durch diese ausgefeilteren Angriffe gefährdet, zu denen auch "Ransomware-as-a-Service (RaaS)" gehört. Diese Ransomware-"Kits" machen das Erstellen von Ransomware-Kampagnen viel einfacher. Jeder, der in die Ransomware-Aktion einsteigen will, kann dies zum Preis einer monatlichen Gebühr und eines Anteils am Lösegeld tun.
In ihrer Rede stellt Cameron fest, dass RaaS die Zunahme von Ransomware-Angriffen anheizt. Einige dieser RaaS-Kits sind speziell auf den staatlichen und öffentlichen Sektor ausgerichtet. Ein Beispiel dafür ist Eking RaaS, das von Darktrace als Angriff auf Regierungsdienste in der APAC-Region identifiziert wurde.
Wie der öffentliche Sektor vor Ransomware-Angriffen geschützt werden kann
Der DBIR weist darauf hin, dass bei 85 % der Datenschutzverletzungen ein Mensch beteiligt ist. Der menschliche Faktor ist bei vielen Arten von Cyberangriffen, einschließlich Ransomware, offensichtlich; ein versehentlicher Klick in einer bösartigen E-Mail ist oft der Anfang des Ransomware-Alptraums.
Da sich Ransomware-Angreifer sowohl auf Datendiebstahl als auch auf Verschlüsselung konzentrieren, wird der "Mensch in der Maschine" als Weg in ein Unternehmen immer wichtiger. Phishing ist ein beliebter Angriffsvektor von Hackern, weil es funktioniert. Im neuesten DBIR für 2021 weist Verizon darauf hin, dass Phishing und Ransomware erneut weit verbreitet waren; bei Angriffen auf die öffentliche Verwaltung ist Social Engineering die bevorzugte Methode, die bei 69 % der Verstöße eingesetzt wurde.
Die Verbreitung und Infektion von Ransomware erfolgt über verschiedene Wege, aber wie bereits erwähnt, ist Phishing einer der häufigsten. Eine Umfrage unter Verwendung von Managed-Service-Daten ergab, dass 54 % der Ransomware-Angriffe mit einer Phishing-E-Mail begannen: Schlechte Benutzerpraktiken (27 %) und mangelnde Sicherheitsschulung (26 %) waren die nächsthäufigsten Probleme, die zu einer Ransomware-Infektion führten.
Verhinderung von Ransomware-Angriffen im öffentlichen Sektor
Bei der Verhinderung von Ransomware im öffentlichen Sektor geht es um Risikominderung. Das Sicherheitsrisiko wird durch einen sozio-technischen Ansatz verringert, ähnlich wie Hacker den öffentlichen Sektor und andere Branchen durch Social Engineering und technische Schwachstellen angreifen.
Die Beseitigung der Hauptvektoren für Ransomware-Infektionen beginnt mit einer außergewöhnlichen Sicherheitskultur. Dies wird durch eine effektive Schulung aller Mitarbeiter zum Thema Sicherheit erreicht. Ergänzt wird dies durch den Einsatz der besten Sicherheitstools, die die Anforderungen von Sicherheitsstandards und -vorschriften wie ISO27001 erfüllen.
Ransomware-Angriffe im öffentlichen Sektor werden so lange andauern, bis Organisationen nicht mehr infiziert werden und kein Lösegeld mehr zahlen. In datenabhängigen Sektoren wie dem öffentlichen Sektor und der Regierung kann letzteres eine schwierige Entscheidung sein. Dies bedeutet, dass Strukturen geschaffen werden müssen, um die Chancen einer erfolgreichen Ransomware-Infektion zu verringern.
