Angriff auf Stadtverwaltung – Bürgerdienste im Notbetrieb
Branche: Öffentlicher Sektor / Mitarbeitende: 900
Eine mittelgroße Stadtverwaltung betreibt eine komplexe IT-Landschaft für Einwohnermeldewesen, Kfz-Zulassung, Standesamt und interne Verwaltungsprozesse. An einem Montagmorgen kommt es zu massiven Störungen: Fachverfahren starten nicht mehr, Dokumentenmanagementsysteme sind nicht erreichbar. Wenige Stunden später bestätigt sich der Verdacht: Zahlreiche Server wurden verschlüsselt.
Ausnahmezustand am Montagmorgen
Zunächst melden einzelne Fachbereiche, dass sie sich nicht mehr an ihren Arbeitsplätzen anmelden können. Kurz darauf erreicht die IT-Abteilung eine Flut an Störungsmeldungen. Im Rechenzentrum fallen Ausfälle in der Virtualisierungsumgebung auf, mehrere zentrale Datenbanken reagieren nicht mehr.
Als auf diversen Servern typische Ransomware-Hinweise erscheinen und eine Lösegeldforderung eintrifft, ist klar, dass es sich um einen koordinierten Angriff handelt. Betroffen sind unter anderem Systeme für das Einwohnermeldewesen, die Kfz-Zulassung, das Dokumentenmanagement und Teile der E-Mail-Infrastruktur. Die Stadtspitze wird informiert, ein Krisenstab eingerichtet. Schnell wird deutlich: Ein längerfristiger Komplettausfall der Bürgerdienste wäre für Verwaltung, Politik und Bevölkerung kaum hinnehmbar.
Notbetrieb für kritische Bürgerdienste: Incident Response in der Praxis
Die Verwaltung ruft unsere 24/7-Notfallnummer an. Unser Incident-Response-Team stimmt gemeinsam mit der internen IT und der Verwaltungsleitung das weitere Vorgehen ab. Einerseits muss der Angriff eingedämmt und sorgfältig untersucht werden, andererseits sollen zentrale Dienstleistungen für Bürgerinnen und Bürger möglichst aufrechterhalten bleiben.
Zunächst werden betroffene Netzsegmente vom restlichen Verwaltungsnetz getrennt und noch funktionsfähige Systeme vorsorglich isoliert, um eine weitere Verbreitung der Schadsoftware zu verhindern. Parallel beginnt die forensische Sicherung der wichtigsten Server, insbesondere jener, die als möglicher Einstiegspunkt infrage kommen.
Gleichzeitig wird ein Notbetriebskonzept aktiviert. Für das Einwohnermeldeamt richten die Technikerinnen und Techniker behelfsmäßige Arbeitsplätze mit minimaler, geprüfter Infrastruktur ein, an denen zumindest dringende Anliegen bearbeitet werden können – etwa Ausweisdokumente für zeitkritische Reisen. In der Kfz-Zulassung werden vorübergehend nur priorisierte Vorgänge angenommen und viele Informationen zunächst analog erfasst, um sie später in die Systeme nachzutragen.
Im Hintergrund analysieren unsere IT-Forensiker exponierte Server, Logdaten, und VPN-Zugänge, um den Einfallsvektor zu identifizieren. Die Spuren deuten darauf hin, dass ein kompromittiertes Benutzerkonto mit erweiterten Rechten über einen Homeoffice-Zugang missbraucht wurde. Von dort aus konnten sich die Angreifer horizontal im Netz bewegen und nach und nach weitere Systeme verschlüsseln.
Wie ist der Fall ausgegangen?
Durch die schnelle Reaktion und die konsequente Netzsegmentierung konnten die Auswirkungen des Angriffs begrenzt werden. Zwar kam es zu deutlich längeren Wartezeiten und eingeschränkten Öffnungszeiten, doch zentrale Bürgerdienste blieben erreichbar. Ein vollständiger Stillstand der Verwaltung konnte vermieden werden.
Die Wiederherstellung erfolgte schrittweise. Zuerst wurden die für Bürgerdienste kritischen Anwendungen aus sauberen Backups neu aufgesetzt und in einer kontrollierten Umgebung getestet. Erst danach gingen sie nacheinander wieder in den Produktivbetrieb. Jede Systemrückkehr wurde von unseren Incident Respondern begleitet, um versteckte Reste der Schadsoftware und Anzeichen für weiteres lateral movement auszuschließen.
In der Nachbereitung wurden die Lehren aus dem Angriff konsequent umgesetzt: Die Stadt führte flächendeckend eine Multifaktor-Authentifizierung ein, segmentierte ihre Netzwerke deutlich feiner und etablierte ein erweitertes Backup-Konzept mit klar definierten Wiederanlaufplänen. Zudem entstand ein dauerhaft verankerter Krisenstab, der regelmäßig Übungen durchführt und Verantwortlichkeiten im Ernstfall klar regelt.
„Der Angriff hat uns gezeigt, wie verletzlich Verwaltungsprozesse sind – und wie wichtig es ist, Notfallkonzepte nicht nur auf dem Papier zu haben, sondern sie regelmäßig zu testen.“
CIO der betroffenen Stadtverwaltung
Ihr Unternehmen wird durch eine Cyberattacke bedroht?
Weitere spannende Beiträge
-
- Cybercrime Storys
Kompromittierte Cloud-Speicher: Datenleck bei Logistikdienstleister
Zum BeitragEin europaweit tätiger Logistikdienstleister nutzt Cloud-Speicher, um Sendungsdaten und mehr zentral zu verwalten. Was niemand erwartet: Durch eine fehlerhafte Konfiguration werden sensible Daten öffentlich erreichbar.
-
- Cybercrime Storys
Phishing & Business Email Compromise bei regionalem Energieversorger
Zum BeitragEin regionaler Energieversorger betreibt zahlreiche Umspannwerke und Fernwärmenetze. Plötzlich kommt es in einer Abteilung intern zu Auffälligkeiten.
-
- Cybercrime Storys
Ransomware-Angriff auf 4 Standorte: ESX Hosts gerettet, Produktion gesichert
Zum BeitragEin großflächiger Ransomware-Angriff traf gleich vier Werke eines Maschinenbauers – mit verheerender Wirkung.
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
Immer up to date:
unser IT-Forensik-Newsletter.
