Malware in den Medien - Einmal gebissen, zweimal schüchtern oder doppelt dumm?
Der historische Gipfel zwischen Nord- und Südkorea ist natürlich die wichtigste sicherheitsrelevante Nachricht im April 2018. Diese vielversprechenden Sicherheitsnachrichten wurden durch tragisch-komische IT-Sicherheitsnachrichten konterkariert. Dabei geht es nicht um die Probleme mit dem Datenschutz (Facebook) oder der Sicherheit (Google Play) in den sozialen Medien, sondern um eine Großstadt, die zweimal von Malware betroffen war.
Im April 2017 und März 2018 wurde die Stadt Atlanta von Ransomware heimgesucht. Nach Angaben eines Sicherheitsunternehmens wurde bei der Malware-Infektion 2017 möglicherweise eine ungepatchte SMB-Schwachstelle (die NSA-Hintertür Double Pulsar) genutzt. Im März 2018 wurde die Stadt erneut von Ransomware heimgesucht. Die SamSam-Ransomware nutzt bekanntermaßen eine alte (2016) JBoss/Java-Schwachstelle.
Die Bürgermeisterin Keisha Lance gab am 22. März eine Pressekonferenz, in der sie erklärte, der Systemausfall habe "Anwendungen betroffen, die Kunden zum Bezahlen von Rechnungen verwenden" und "gerichtsbezogene Informationen" seien verschlüsselt worden. Die SamSam-Gruppe hatte ein Lösegeld in Höhe von 51.000 Dollar gefordert, das innerhalb von fünf Tagen gezahlt werden sollte.
Am 27. März wurde eine Pressemitteilung der Stadt veröffentlicht, in der den Mitarbeitern empfohlen wurde, "Computer und Drucker zum ersten Mal seit dem Cyberangriff vom 22. März wieder einzuschalten". Man kann davon ausgehen, dass der interne Produktivitätsverlust durch die Anweisung an die städtischen Bediensteten, Computer und Drucker nicht zu benutzen, viel größer gewesen sein muss als das geforderte Lösegeld.
Es stellt sich die Frage: Warum hatten sie nicht aus dem ersten Angriff gelernt? Hatte ihre IT-Abteilung nicht die Ursache des ersten Angriffs untersucht, um Sicherheitsrichtlinien einzuführen? Die Antwort auf diese Frage ist ein überwältigendes JA. Sie hatten ein Audit durchgeführt, aber die Schlussfolgerungen dieses Audits ignoriert.
Unter Prüfberichte der Stadt Atlanta werden zur Transparenz der öffentlichen Politik veröffentlicht. Sie verweist auf den vollständigen Auditbericht, in dem untersucht wird, ob "das Informationssicherheitsmanagementsystem der Stadt bereit ist, die Zertifizierungsanforderungen nach ISO/IEC 27001:2013, der international anerkannten Norm für Informationssicherheitsmanagement, zu erfüllen".
Der Abschluss dieser Januar 2018 Prüfung ist: "Das derzeitige Managementsystem für die Informationssicherheit weist Lücken auf, die ein Bestehen eines Zertifizierungsaudits verhindern würden, darunter: fehlende oder veraltete Richtlinien, fehlende formale Prozesse zur Identifizierung, Bewertung und Minderung von Risiken und unvollständige Messung, Berichterstattung und Kommunikation in Bezug auf Risiken".
Nachdem die Stadt an die Öffentlichkeit gegangen war, berichtete CSO, dass die SamSam-Gruppe den Kontaktserver (zur Zahlung des Lösegelds) vom Netz genommen hatte. Die Zahlung des Lösegelds, um sich von dem Angriff zu erholen, schien also keine praktikable Option mehr zu sein. Können wir die Ausgaben der Stadt Atlanta für IT-Support und Abhilfemaßnahmen im Zusammenhang mit diesem Ransomware-Angriff beurteilen?
Die Kaufverträge der Stadt Atlanta werden ebenfalls veröffentlicht. Wenn wir die Einkäufe der Abteilung für Informationsmanagement von Atlanta herausfiltern, scheinen sich die Kosten, die direkt mit dem Ransomware-Angriff zusammenhängen, auf weit über eine Million Dollar zu summieren (wie die folgende Liste zeigt)!
Zur Verteidigung von Major Keisha Lance müssen wir ausdrücklich erwähnen, dass sie ihr Amt im Januar 2018 angetreten hat. Die Käufe zeigen auch, dass weitere zwei Millionen Dollar investiert wurden, um zukünftige Ausfälle zu verhindern. So oft scheint Sicherheit erst dann zur Priorität zu werden, wenn der Schaden bereits entstanden ist.
Die Tragikomödie von Atlanta ist nicht beispielhaft. Nach Ansicht von Steven Wilson, Leiter der Das Europäische Zentrum für Cyberkriminalität von Europol "Ein großer Teil der der Polizei gemeldeten Angriffe ist weder ausgeklügelt noch fortgeschritten. Viele von ihnen funktionieren aufgrund mangelnder digitaler Hygiene, mangelnder Sicherheit durch Design und mangelndem Bewusstsein der Nutzer".
