Die Stadtverwaltung Magdeburg ist Opfer eines schweren Cyberangriffs geworden, bei dem Unbekannte in der Nacht zum Mittwoch zahlreiche Server mit einer Ransomware verschlüsselten und eine Lösegeldforderung hinterließen. Die IT-Verantwortlichen bemerkten den Angriff beim morgendlichen Systemstart, als zentrale Dienste wie Bürgeramt, Standesamt und Teile der Finanzverwaltung nicht mehr erreichbar waren. Die Täter nutzten offenbar eine zuvor unbekannte Sicherheitslücke in der verwendeten Virtualisierungssoftware und infiltrierten das Netzwerk, ohne dass die bestehenden Firewalls und Endpoint-Protection-Systeme anschlagen konnten. Die Verwaltung leitete sofort den Notfallplan ein und trennte sämtliche Server vom Internet, um eine weitere Ausbreitung der Schadsoftware zu verhindern.
Werbung
Die Auswirkungen auf die Bürgerinnen und Bürger waren immens. Sämtliche Termine in den Bürgerämtern mussten abgesagt werden, die Homepage der Stadt war nur noch in einer rudimentären Notversion erreichbar. Auch die Kfz-Zulassungsstelle, das Ordnungsamt und die Ausländerbehörde waren nicht arbeitsfähig, weil die Fachverfahren auf den nun verschlüsselten Datenbanken basierten. Das führte dazu, dass keine An- und Ummeldungen, keine Ausweise und keine Genehmigungen ausgestellt werden konnten. Der städtische Zahlungsverkehr wurde eingestellt, was bedeutete, dass weder Gehälter noch Rechnungen automatisch angewiesen wurden, und auch die Auszahlung von Sozialleistungen stockte. Ein Bürgertelefon wurde eingerichtet, das jedoch schnell überlastet war und kaum konkrete Hilfe anbieten konnte.
Ein eilig zusammengestelltes Krisenteam aus IT-Forensikern, dem Landeskriminalamt und externen Sicherheitsexperten begann mit der Analyse des Schadcodes und der Suche nach Wiederherstellungsmöglichkeiten. Erste Untersuchungen ergaben, dass die Angreifer mindestens drei Wochen im Netzwerk verbracht hatten, bevor sie die Verschlüsselung auslösten, und in dieser Zeit umfangreiche Daten exfiltriert haben könnten. Die Lösegeldforderung belief sich laut Insidern auf einen unteren siebenstelligen Betrag in Bitcoin, doch die Stadt folgte der Empfehlung des Landeskriminalamts, nicht auf die Erpressung einzugehen und stattdessen auf Backups zu setzen. Die Wiederherstellung aus den inkrementellen Sicherungen erwies sich jedoch als kompliziert, weil einige Backup-Zielspeicher ebenfalls betroffen waren.
