Bis zu dem Absatz, der mit Achtung beginnt, fand ich den Text schwungvoll geschrieben und einleuchtend. Mir war weder das heutzutage aus der Zeit gefallene Ausrufezeichen nach „Sehr geehrte Damen und Herren“ aufgefallen, und ich hatte auch den fehlenden Buchstaben bei „untersützen“ bemerkt. Der letzte Absatz indes zeigte deutlich, dass die Angreifer keine Deutschen sein können. Sonst wüssten sie, wie zurückhaltend wir auf Drohungen reagieren. Spätestens bei „Aufwandsgebühr“ fällt das Kartenhaus zusammen. Die Sparkasse würde so etwas niemals schreiben.
Am PC würde ich – trotz der Versuchung – niemals auf den angebotenen Button klicken. Am iPhone bin ich ein klein wenig resoluter. Jedenfalls drückte ich länger auf den roten Homepagebutton, um die wahre url herauszubekommen. Sie lautet: https://airmarrealtors.com/wp-activate.php. Diese Seite hat sicherlich nichts mit der Sparkasse zu tun. Hier wird aber die Login-Seite der Sparkasse nachgebildet. Aber eben auch nicht so, wie ich es gewohnt bin. Also: Finger weg, Mail löschen und sich bei jemandem rückversichern, der sich mit so etwas auskennt.
Trotz aller Vorsicht habe ich angeblich den Quakbot-Virus auf dem iPhone, der da – in eine pdf eingebettet – herumgeistern soll. Die pdf-Datei ist nicht auffindbar, also kann ich sie auch nicht aus Versehen öffnen, also ist die Gefahr gebannt. Der Apple-Support konnte mir auch nicht helfen. Er war sogar der Meinung, das könne alles gar nicht sein. Was soll man da machen?
Weil die Angriffe auf Firmen und Behörden überhandnehmen, habe ich mich bei www.csoonline.com für deren Newsletter angemeldet. Für IT-Bewanderte ist die Plattform sehr empfehlenswert. Es schärft die Sinne. Dort wurde zum Beispiel auch der Sache mit dem Akira-Ransomware-Angriff auf die sit (Süd-Westfalen-IT) nachgegangen. Die Firma ist verantwortlich für die die IT von mehr als 70 Kommunen. Alle Server innerhalb einer bestimmten Domäne wurde durch den Angriff Ende Oktober lahmgelegt. Der Mainstream spricht zwar darüber, aber viel zu allgemein. Wenn man ein wenig hinter die Kulissen schaut und sich den IT-Forensik-Bericht durchliest, dann muss man der cso-Plattform in ihrer Bewertung zustimmen, dass es schwere Sicherheitslücken gab. Der Abschlussbericht bringt einiges zu Tage. Man muss ein paar Sekunden warten, bis der Bericht lädt. Die Gründe für den erfolgreichen Angriff waren wohl ein schwacher VPN-Zugang und ein nicht gesichertes Domain-Admin-Passwort. Wir sind wieder beim altbekannten Passwort-Problem. Wir sollten alle höllisch aufpassen, sichere Passwörter zu benutzen. Wo immer es geht, muss die Zweifaktorauthentifizierung aktiviert werden. Backups der eigenen Daten sind eine heilige Pflicht. Zwei Stunden pro Monat muss man sich mit seiner privaten IT-Umgebung befassen. Wem die Kompetenzen fehlen, der muss sich helfen lassen.
Zurück zum Angriff. Typische Folge: Daten wurden verschlüsselt und mit der Dateiendung .akira versehen. Die Lösegeldforderung – in Bitcoins natürlich – wurde praktischerweise auf irgendeinem Server hinterlegt. Die Verschlüsselung ist so stark, dass sie durch Experten nicht rückgängig gemacht werden kann. Weil sich das Bezahlen von allein verbietet, bleibt nur der steinige Weg, die IT-Umgebung komplett neu aufzusetzen und die Daten von einem Backup zurückzuholen. Wenn man sich überlegt, welche Masse an Server für 70 Kommunen notwendig ist, dann wollte ich nicht Teil der IT-Truppe sein, die jetzt Tag und Nacht an der Problemlösung mitwirken muss.
Bis Ende März möchte die SIT die wichtigsten Verwaltungsfunktionen wieder herstellen. Das sind fünf Monate. Jede normale Firma wäre bei einem solch langen Ausfall der IT-Umgebung pleite. Ich kann mir nicht erklären, warum das Restoring von den Backups – die es zweifellos geben muss – so lange dauert. Jede Firma braucht einen erprobten „Fahrplan“ für den Fall der Fälle. Ein neuer Geschäftsführer ist seit Anfang Februar am Start. Mit Gender-Studies hat er schon mal nichts zu tun – Pluspunkt für ihn. Ein studierter ITler ist er aber eben auch nicht. Ob Diplom-Kaufmann wirklich etwas nutzt?