11

Hackerangriff Stadt Dettelbach Ein Trojaner, 490 Euro Lösegeld und offene Fragen

Nach dem Hackerangriff auf das Computernetzwerk der Stadtverwaltung Dettelbach gibt es nun eine erste Pressemitteilung der Stadt. Diese bestätigt die Zahlung von 490 Euro "Lösegeld". Der Gesamtschaden fällt viel höher aus.

Von: Norbert Steiche

Stand: 03.03.2016

Wie es aus Kreisen des Dettelbacher Stadtrats heißt, könnte der entstandene Schaden im sechsstelligen Bereich liegen. Dettelbachs Bürgermeisterin Christine Konrad (Freie Wähler), die Fragen des BR bislang nur schriftlich beantwortet, hat am Montag (29.02.16) in nicht öffentlicher Sitzung den Stadtrat informiert. Die Diskussion im Stadtrat soll teils ziemlich hitzig verlaufen sein.

Virtueller Eindringling

Der Ärger begann am 08. Februar um 09.40 Uhr. Zu diesem Zeitpunkt aktivierte sich auf einem Arbeitsplatzrechner der Stadt Dettelbach die Schadsoftware, mit deren Folgen die Stadt immer noch zu kämpfen hat. Wie es nun, fast einen Monat später, in einer ersten offiziellen Pressemitteilung heißt, habe ein Virenscanner um 10.30 Uhr den virtuellen Eindringling erkannt. Aber da war es bereits zu spät: Das IT-Netzwerk war infiziert. Große Teile des EDV-Systems fielen aus, ein Datenzugriff war kaum noch möglich.

Lösegeld in Bitcoin-Währung

Was tun? Bei der Stadt Dettelbach entschließen sich die Veranwortlichen, ein Lösegeld zu bezahlen. Wie die Stadt mittlerweile eingeräumt hat und wie auch das Polizeipräsidium Unterfranken bestätigt, führte eine von der Stadtverwaltung beauftragte Fachfirma die Zahlung aus. Der Wert in Internet-Währung: 1,3 Bitcoins, aktuell entspricht das etwa 490 Euro.

Trojaner noch nicht typisiert

Danach war es möglich, zumindest einen Teil der Daten wieder herzustellen. Aber die Stadtwerke Dettelbach bitten ihre Kunden nach wie vor um Kopien der Jahresabrechnungen von Strom und Wasser, um die rekonstruierten Daten abzugleichen. Am Mittwoch (02.03.16) nahmen schließlich "Cyber-Cops" der Kriminalpolizei Würzburg die Ermittlungen vor Ort auf und führten mit dem städtischen Systemadministrator einige Maßnahmen durch. Die genaue Typisierung des Trojaners steht noch aus, wahrscheinlich führte der "Tesla-Crypt 2.0" oder eine Folgeversion zum IT-Ausfall.

Polizei warnt vor Lösegeld-Zahlungen

Die Polizei Unterfranken warnt unterdessen ausdrücklich davor, Zahlungen an virtuelle Erpresser zu leisten. In einer Mitteilung zum Dettelbacher Fall heißt es:

"Aus Sicht der Polizei ist es einerseits nachvollziehbar, dass sich Betroffene aus wirtschaftlichen oder pragmatischen Gesichtspunkten im Einzelfall dazu entschließen, den geforderten Geldbetrag zu bezahlen. Die Polizei Unterfranken kann und wird andererseits dennoch niemals zur Zahlung eines Geldbetrags raten, der auf eine solch erpresserische Weise gefordert wird. Bedacht werden sollte hierbei nicht zuletzt das Risiko, wiederholt Opfer der Straftäter zu werden, wenn man einmal auf deren Forderungen eingegangen ist. Auch gibt es keine Garantie dafür, dass die Daten nach Zahlung des Geldbetrags tatsächlich wieder entschlüsselt werden können."

Mitteilung des Polizeipräsidiums Unterfranken

Stadt Dettelbach verteidigt Zahlung

Die Stadtverwaltung Dettelbach hat unterdessen ihre Entscheidung verteidigt. In der - nach wie vor nur schriftlichen - Pressemitteilung heißt es, die Stadt habe "zugunsten ihrer Bürger" die Prioritäten auf eine schnelle Wiederherstellung ihrer Arbeitsfähigkeit und die Korrektur des EDV-Systems gelegt. Da das Einwohnermeldeamt ohne die Möglichkeit eines qualifizierten Datenaustauschs seine Aufgaben nur sehr eingeschränkt ausüben könne, sei es geschlossen worden. Die Stadtverwaltung Dettelbach sei ab Montag (07.03.16) wieder einschränkungslos geöffnet, nur in den Stadtwerken müsse noch mit kleineren Einschränkungen gerechnet werden.

Kein Anschluss an Bayerisches Behördennetz

Trotz des schriftlichen Statements aus Dettelbach bleiben Fragen offen. So hat das Landesamt für Digitalisierung, Breitband und Vermessung dem BR mitgeteilt, dass das Bayerische Behördennetz über das CERT 99,99 Prozent aller Angriffsversuche abwehren könne. Die Stadt Dettelbach sei aber nicht an dieses Behördennetz angeschlossen, sondern habe nur einen mittelbaren Zugang über ein kommunales Behördennetz, das der Landkreis Kitzingen betreibe. Die Warnmeldungen des Bayern-CERT seien dem Landkreis Kitzingen zugänglich. Unter anderem die Anfrage des BR, ob die Stadt diese Warnmeldungen erhalten hat, blieb unbeantwortet - ebenso die Frage, warum die Stadt Dettelbach nicht an das Bayerische Behördennetz angeschlossen ist.

Programmhinweis

  • zur Sendungshomepage Regionalnachrichten aus Mainfranken von 6.00 bis 18.00 Uhr, jeweils zur vollen und halben Stunde, Bayern 1

Alle Regionen

Regionen Bayerns Region Unterfranken auswählen Region Mittelfranken auswählen Region Oberfranken auswählen Region Oberpfalz auswählen Region Niederbayern auswählen Region Oberbayern auswählen Region Schwaben auswählen

11

Keine Kommentare mehr möglich. Hinweise zum Kommentieren finden Sie in den Kommentar-Spielregeln.)

Christof Knittel, Samstag, 12.März, 16:27 Uhr

8. Welches Geldinstitut arbeitet den offen mit den Verbrechern zusammen?

Mich würde einfach interessieren, welches Geldinstitut sich dafür hergibt, diese Verbrechen zu unterstützen...

Üblicherweise wird bei solchen Erpressungen ja das "Lösegeld" nicht irgendwo nachts im Wald in einem Koffer übergeben...

Sondern überwiesen.

Also gibt es ein kriminelles Geldinstitut, das sich doch sicher leicht ermitteln lässt und ja ganz offensichtlich diese Formen der Erpressung begünstigt.

Okay. Banken sind heilige Kühe und dürfen im Prinzip alles. Wenn sie Gewinne erwirtschaften, dürfen sie ihren Chefs Millionengehälter zahlen. Falls nicht, werden sie auf Kosten der Steuerzahler subventioniert und dürfen ihren Chefs ebenfalls Millionengehälter zahlen.

Dürfen sie auch ganz offen gewerbsmäßigen Betrug unterstützen?

Ich denke, Dettelbach sollte unbedingt das am Verbrechen beteiligte Geldinstitut auf Schadensersatz verklagen. Schon um ein Zeichen zu setzen.

Mit freundlichem Gruß,
Christof Knittel

Hentinger, Freitag, 04.März, 14:11 Uhr

7. Macht endlich Schluss mit der Märchenstunde!

Wer noch immer ernsthaft glaubt, dass man sich vor Angriffen dadurch schützen kann, dass man regelmäßig Betriebssystem-Updates installiert und den neuesten (womöglich auch noch teuersten) Virenscanner installiert hat, braucht sich nicht zu wundern, wenn er das nächste Opfer ist.

Auch der "gesunde Menschenverstand" hilft längst nicht mehr weiter, wenn E-Mails in ordentlichem Deutsch verfasst sind, korrekten Daten von bekannten Absendern enthalten und zudem den Empfänger beim richtigen Namen ansprechen (indem die Daten zuvor z.B. aus dem Adressbuch eines Bekannten gefischt wurden).

Das einzige, was wirklich hilft, ist die physikalische Trennung von sensiblen Daten und dem Zugriff auf das "normale" Internet (Webseiten, E-Mail u.ä.). Wenn durch eine manipulierte E-Mail sogar hochsensible Daten betroffen werden können, dann ist in diesem Laden etwas grundsätzliches faul. Es wird Zeit, dass die Verantwortlichen ihre unglaubliche Naivität bei diesem Thema ablegen!

Andrea, Freitag, 04.März, 13:01 Uhr

6. In Sachen Locky: es gibt ein Blocker-Tool!! Runterladen und installieren!

Außerdem an alle Verwaltungen, Zeitungsverlage, Krankenhäuser, Flughäfen, usw:

es gibt inzwischen von der Security-Firma Malwarebytes ein Locky-Blocker Tool.

Weiterhin warnt heise.de eindringlich davor, eine aktuelle BKA-Mail zu öffnen, die vorgibt vor Locky zu warnen. Diese Mail IST der Trojaner!! (...)

Also: diese Mail sofort ungelesen in den Papierkorb verschieben und den Papierkorb ausleeren!! Dieser Kommentar wurde von der BR-Redaktion entsprechend unseren
Kommentar-Richtlinien bearbeitet.

Andrea, Freitag, 04.März, 11:17 Uhr

5. Es gibt neue Verbreitungswege von TeslaCrypt

Weiterh in ist dazu zu sagen, dass -

4. laut zdnet - bereits ein neuer Verteilungsweg fuer dieses TeslaCrypt identifziert wurde:

zdnet.de: TeslaCrypt-Ransomware verbreitet sich über Joomla-Domains (23. Februar 2016, 07:44 Uhr)

Aber wie gesagt: auch Microsoft hat sich schon in den Kampf eingeschaltet und bietet besseren Schutz an (kostenpflichtig):

zdnet.de: Microsoft kündigt erweiterten Bedrohungsschutz für Windows 10 an (1. März 2016, 14:09 Uhr)

Zusätzlich ist zu sagen, dass auch Linux dieses Mal keinen ausreichenden Schutz bietet, weil auch Linux-Dateien befallen werden können.

Andrea, Freitag, 04.März, 10:53 Uhr

4. Hier mal ein paar gute Tutorials zur Entfernung von TeslaCrypt 2 und 3

Uebrigens: auch Microsoft hat inzwischen auf diese Attacke reagiert und hat sich in den Kampf gegen diese Typen eingeschaltet:

zdnet: Microsoft kündigt erweiterten Bedrohungsschutz für Windows 10 an (1. März 2016, 14:09 Uhr)

Dann hier noch ein paar gute Entfernungs-Tutorials aus dem Internet gegen TeslaCrypt:

sicherpc.de: Entfernung des TeslaCrypt

Hier kann man das Entfernungstool kostenpflichtig kaufen.

Ein zweites sehr gutes Tutorial gibt es hier:

pc-zu-hause.de: TeslaCrypt 3 Trojaner entfernen und Dateien wiederherstellen (14. Februar 2016)

Von daher an alle, ganz egal ob Zeitungsverlage, Verwaltung, Krankenhaus, Airport oder sonstiges: NIEMALS ZAHLUNGEN LEISTEN!! NIE, NIE, NIE!!