Das IT-System der VG-Hörnergruppe war mit einem Trojaner infiziert - Bürgerdaten waren zu keiner Zeit bedroht

VG Hörnergruppe: Cyber-Erpressung abgewehrt

+

Fischen – Ein falscher Klick und schon war‘s geschehen: Die IT-Systeme der VG Hörnergruppe waren von einem Erpressungs-Trojaner befallen. Auf sensible Daten aus der Bevölkerung hatte der Trojaner keinen Zugriff, versichert Fischens Bürgermeister und Sprecher der Verwaltungsgemeinschaft Edgar Rölz.

Vergangenen Montag wurden die IT-Systeme der Verwaltungsgemeinschaft Hörnergruppe mit einem Erpressungs-Trojaner namens „Zepto“ befallen. Es handelt sich dabei um einen Nachfolge-Trojaner von „Locky“, der im März diesen Jahres sein Unwesen im Internet trieb. „Zepto“ trat vor etwa vier Wochen in Lateinamerika das erste Mal in Erscheinung, die Antivirenprogramme der Verwaltungsgemeinschaft Hörnergruppe erkannten ihn noch nicht und filterten die betreffende E-Mail, in deren Anhang sich der Trojaner befand, nicht heraus. Wie Wolfgang Moch von der IT-Abteilung der Verwaltungsgemeinschaft in einem Pressegespräch erzählte, hätte die Schutzsoftware den Angreifer vier Stunden später erkennen können, da war es jedoch schon zu spät.

Die Infektion, so Fischens Bürgermeister Edgar Rölz, erfolgte durch das Öffnen einer verseuchten E-Mail-Anlage. Der eigentliche Empfänger der E-Mail mit dem Betreff „Freibad Beschwerde“ war im Urlaub, ein anderer Mitarbeiter erhielt die weitergeleitete E-Mail – mit einem für ihn vertrauenswürdigen Absender. Deshalb öffnete er den Anhang im Word-Format trotz einer System-Warnung – und der Trojaner konnte loslegen.

Zunächst unbemerkt begann der Krypto-Trojaner, mit einem bislang nicht entschlüsselbaren Code Dateien zu verschlüsseln und löschte nach erfolgreicher Verschlüsselung die jeweilige Original-Datei. In knapp zwei Stunden verschlüsselte er 43 749 Dateien auf 3 von 19 Servern. Als ein Mitarbeiter bemerkte, dass er ein bestimmtes Programm nicht mehr öffnen konnte, wandte er sich an Wolfgang Moch. Dieser stellte nach kurzer Zeit den „Fehler“ fest und veranlasste, dass sämtliche Rechner der Verwaltungsgemeinschaft vom Netz genommen wurden.

Der Verschlüsselungs-Vorgang konnte so noch vor Anzeige einer Erpresserseite durch einen im Zusammenhang mit der Verschlüsselung entstandenen Programmfehler entdeckt und erfolgreich gestoppt werden. Eine anschließende Analyse der IT-Abteilung ergab, dass der Vorgang von einem einzigen Computer ausging und keine weiteren Computer betroffen waren.

Der Verschlüsselungs-Vorgang war auf jene Verzeichnisse beschränkt, auf die der betreffende Mitarbeiter auf Grund seiner Funktion schreibenden Zugriff hatte. Deshalb waren weder Mail-Systeme, noch Server-Root Verzeichnisse oder Datenbanken betroffen. Die Computersysteme der Verwaltungsgemeinschaft arbeiten datenbankbasiert. Das bedeutet, dass die Mitarbeiter nie direkten Zugriff auf die Server und Datenbanken haben; wenn sie ein Word-Dokument öffnen, geschieht dies nie direkt über die Datenbanken, sondern über Umwege über ein weiteres Programm.

Keine Bürgerdaten betroffen

„Ein Datenabfluß kann sicher ausgeschlossen werden“, bestätigt Wolfgang Moch. Bürgerdaten wurden definitiv nicht angegriffen. Die betroffenen Dateien wurden gelöscht. Durch die Datensicherungssysteme konnte die IT-Abteilung zudem sämtliche von der Verschlüsselung betroffenen Daten vollständig und verlustfrei wieder herstellen. Keine einzige Datei ging somit verloren. Am nächsten Tag um 12.30 Uhr konnte die Verwaltung nach erfolgreichem Test aller System ihre Arbeit wieder aufnehmen.

„Es ist extrem gut gegangen“, betonte Edgar Rölz. Die Verwaltungsgemeinschaft sei gut vorbereitet gewesen auf den „Fall der Fälle“. Die IT-Abteilung habe einen Masterplan und das Szenario eines Virenbefalls im Vorfeld durchgeführt. „Wir haben glücklicherweise eine IT-Abteilung mit großem Know-How, die noch dazu mit Begeisterung bei der Sache ist“, lobte Rölz seine Mitarbeiter, die die Situation rasch in den Griff bekommen haben.

Die Verwaltungsgemeinschaft Hörnergruppe erstattete bei der Kriminalpolizei Kempten, Abteilung Cybercrime, Anzeige. Die Beamten fanden bei einer Untersuchung des Trojaners heraus, dass ein Lösegeld zur Entschlüsselung des Systems in Höhe von 4 Bitcoins, etwa 2 300 Euro, gefordert werden sollte. Wie Rölz erzählte, geht die Staatsanwaltschaft derartigen Erpressungsversuchen stets nach. So seien kürzlich beispielsweise in Deutschland zwei Cyber-Erpresser, die mit besagtem Trojaner gearbeitet hatten, festgenommen worden. Weiter appellierte Rölz an Unternehmen und Privatleute, beim Öffnen von Anhängen unbekannter Absender extrem vorsichtig zu sein.

Die Mitarbeiter der Verwaltungsgemeinschaft Hörnergruppe sind künftig dazu angehalten, selbst beim kleinsten Verdacht Anhänge über ein virtuelles Linux-System zu öffnen, wo dies gefahrlos geschehen kann. Bislang war die „Wahl­freiheit“, ob ein Anhang dort geöffnet wurde, größer, so Rölz.

eva

Meistgelesene Artikel

Dank und Anerkennung

Sonthofen – Die „Bordeauxroten“, Kameradschaft der ABC-Abwehr- und Nebeltruppe e.V., führen alljährlich eine Feier am Ehrenmal in der Sonthofer …
Dank und Anerkennung

An einem Tisch

Allgäu – Der Handwerker-Frühschoppen der HWK Schwaben fand in diesem Jahr bereits zum 15. Mal statt. 23 Politiker waren in den Gromerhof gekommen, an …
An einem Tisch

Riedberger Horn: Ministerrat stimmt für Schutzflächentausch

Balderschwang/Obermaiselstein - Der Ministerrat hat heute eine Änderung des Alpenschutzplanes beschlossen. Für den Bau der umstrittenen Skischaukel …
Riedberger Horn: Ministerrat stimmt für Schutzflächentausch

Kommentare