Cyberkriminalität in Schleswig-Holstein
SCHLESWIG-HOLSTEINISCHER LANDTAG Drucksache 19/1278 19. Wahlperiode 2019-03-04 Kleine Anfrage des Abgeordneten Stefan Weber (SPD) und Antwort der Landesregierung - Minister für Inneres, ländliche Räume und Integration Cyberkriminalität in Schleswig-Holstein Vorbemerkung des Fragestellers: Die Zahl von Cyberattacken auf Unternehmen, Verwaltungen und Privatleute wächst. In einem Zeitungsartikel der Lübecker Nachrichten (25.01.19, S.5) wurde darüber berichtet, dass Firmen in Schleswig-Holstein Lösegelder an Hacker für ihre freige- kauften Daten zahlen sollen, sowie dass der Verfassungsschutz mehrmals gegen Cyberkriminelle vorgegangen sein soll. Vorbemerkung der Landesregierung: In seiner Vorbemerkung bezieht sich der Fragesteller auf einen Artikel der Lübecker Nachrichten vom 25.01.2019 (http://www.ln- online.de/Nachrichten/Norddeutschland/Hacker-starten-immer-mehr-Cyberattacken- auf-Unternehmen-im-Norden-jetzt-kaempft-auch-der-Verfassungsschutz-gegen-die- Hacker), demzufolge der Verfassungsschutz mehrmals gegen Cyberkriminelle vor- gegangen sei. Dies entspricht nicht den Tatsachen. Der Verfassungsschutz hat ge- genüber der Zeitung lediglich mitgeteilt, dass er Firmen sensibilisiert habe. Dies tut er im Rahmen seines gesetzlichen Auftrages. Für ein Vorgehen gegen Cyberkriminelle
Drucksache 19/1278 Schleswig-Holsteinischer Landtag - 19. Wahlperiode ist der Verfassungsschutz nicht zuständig und er beabsichtigt nicht, in die Kompe- tenzen der Polizei einzugreifen. 1. Wie viele Firmen sind in den Jahren 2017-2018 in Schleswig-Holstein Opfer von Schadsoftware (Malware) oder eines Hackerangriffes geworden? Bitte nach Kreisen und kreisfreien Städten auflisten. Antwort: Dem Verfassungsschutz Schleswig-Holstein sind im Jahr 2017 sechs und im Jahr 2018 zwölf mutmaßliche Angriffe auf schleswig-holsteinische Firmen im Rahmen von Cyberkampagnen bekannt geworden. Diese verteilen sich wie folgt: 2017: Lübeck 1 Herzogtum Lauenburg 1 Ostholstein 1 Rendsburg-Eckernförde 1 Segeberg 2 2018: Flensburg 1 Kiel 1 Lübeck 2 Dithmarschen 1 Nordfriesland 1 Ostholstein 1 Pinneberg 1 Rendsburg-Eckernförde 1 Segeberg 1 Steinburg 1 Stormarn 1 Dem Landeskriminalamt wurden im Rahmen des Sondermeldedienstes Cybercrime 161 Fälle im Jahr 2017 und 128 Fälle im Jahr 2018 gemeldet, in denen Unternehmen 2
Schleswig-Holsteinischer Landtag - 19. Wahlperiode Drucksache 19/1278 als Geschädigte erfasst worden sind. Bei dem Großteil dieser 161 Fälle handelt es sich um von der Fragestellung nicht erfasste Betrugsdelikte. Die für die Fragestellung relevanten Fälle lassen sich für 2017 wie folgt differenzie- ren: 28 Fälle von Ransomware 11 Fälle durch Versand von Spam-Mails mit Link zu einer Schadsoftware 7 Fälle von Account-Übernahmen 4 Fälle von DDoS-Angriffen mit Erpressung 2 Fälle von DDoS-Angriffen als bloße Computersabotage 2 Fälle von Schadsoftware für das Mining von Kryptowährungen 2 Fälle von Schadsoftware unbekannten Typs 1 Fall von Webseiten-Defacement. Die für die Fragestellung relevanten Fälle lassen sich für 2018 wie folgt differenzie- ren: 20 Fälle von Ransomware 7 Fälle von Account-Übernahmen 3 Fälle von Webseiten-Defacement 4 Fälle von um Telefonanlagen-Hacking 1 Fall von einem DDoS-Angriff 8 Fälle von Datenerpressung nach Hacking 1 Fall von unberechtigten Systemzugriffen Da die Falldaten nicht statistisch aufbereitet vorliegen, kann die gewünschte Auf- schlüsselung nach Kreisen und Kreisfreien Städten lediglich für die unmittelbar beim Landeskriminalamt bearbeiteten Fälle erfolgen. Für eine vollständige Aufschlüsse- lung aller Fälle wäre eine Einzelauswertung in Form einer Einsichtnahme und voll- ständigen Durchsicht eines jeden betroffenen Ermittlungsvorgangs erforderlich. Bei den im Landeskriminalamt bearbeiteten Fällen stellt sich die Verteilung differen- ziert nach Modus Operandi und Firmensitz wie folgt dar: 3
Drucksache 19/1278 Schleswig-Holsteinischer Landtag - 19. Wahlperiode Delikt Modus Operandi Firmensitz Firmennetzwerk gehackt, Beziehungstat, TV: Ausspähen von Daten Kiel entlassener Systemadministrator Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Segeberg Computersabotage Entschlüsselung fordern Firmennetzwerk gehackt, Beziehungstat, TV: Ausspähen von Daten Kiel entlassener Systemadministrator Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Segeberg 2017 Computersabotage Entschlüsselung fordern Datenveränderung Firmenserver wird für Bitcoinmining unter Einbringung Lübeck Ausspähen von Daten entsprechender Malware missbraucht Computersabotage DDoS-Angriff auf Webserver Lübeck unberechtigter Zugriff auf Email-Postfach einer Firma; Ausspähen von Daten Löschung von Emails, Einrichtung von Email-Regeln; Kiel Beziehungstat, TV: entlassener Systemadministrator Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Schleswig-Flensburg Computersabotage Entschlüsselung fordern, Lösegeld gezahlt Kreis Rendsburg- Computersabotage DDoS-Angriff auf Rechenzentrum Eckernförde Ausspähen von Daten Hacking eines Webshops, Veränderung der Kiel Zahlungsinformationen Computerbetrug Ausspähen von Daten Telefonanlagen-Hacking Kiel Computerbetrug Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Pinneberg Computersabotage Entschlüsselung fordern Ausspähen von Daten, SIP-Fraud, VoIP-Kennungen missbrauchen Kiel Computerbetrug Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kiel Computersabotage Entschlüsselung fordern Ausspähen von Daten, SIP-Fraud, VoIP-Kennungen missbrauchen Kiel Computerbetrug Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für 2018 Kreis Pinneberg Computersabotage Entschlüsselung fordern Ausspähen von Daten, SIP-Fraud, VoIP-Kennungen missbrauchen Flensburg Computerbetrug Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Segeberg Computersabotage Entschlüsselung fordern, Lösegeld gezahlt Ausspähen von Daten, SIP-Fraud, VoIP-Kennungen missbrauchen Flensburg Computerbetrug Ausspähen von Daten, SIP-Fraud, VoIP-Kennungen missbrauchen Flensburg Computerbetrug Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Itzehoe Computersabotage Entschlüsselung fordern Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Rendsburg- Computersabotage Entschlüsselung fordern Eckernförde Kiel, Flensburg, Kreis Datenerpressung nach „Datendiebstahl“ durch sog. Dithmarschen, Kreis Erpressung, Ausspähen SQL-Injections, bundesweites Sammelverfahren mit Stormarn, Kreis Rendsburg- von Daten (derzeit) 31 Einzeltaten, davon 6 Taten in S.-H. Eckernförde, Kreis Schleswig- Flensburg Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Pinneberg, Radiologie Computersabotage Entschlüsselung fordern Elmshorn Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Segeberg Computersabotage Entschlüsselung fordern, Lösegeld gezahlt Erpressung, Ransomware, Systeme verschlüsseln, Lösegeld für Kreis Pinneberg, Stadtwerke Computersabotage Entschlüsselung fordern Barmstedt 4
Schleswig-Holsteinischer Landtag - 19. Wahlperiode Drucksache 19/1278 2. Wie viele Fälle aus den Jahren 2017-2018 sind der Landesregierung bekannt, in denen durch Schadsoftware oder Hackerangriffe der Betriebsablauf von Firmen be- einträchtigt wurde? Bitte die jeweilige Beeinträchtigung beschreiben. Antwort: Bei den dem Verfassungsschutz Schleswig-Holstein bekannt gewordenen Angriffen ist es nach Informationen des Verfassungsschutzes nicht zu Beeinträchtigungen ge- kommen. Nach Erkenntnissen des Landeskriminalamtes reicht die Palette der Betroffenheit von einem geringen zeitlichen Aufwand in der „Verwaltung“ beim Erkennen einer Schadsoftware-E-Mail bis hin zu einem kompletten, tagelangen Stillstand des Betrie- bes. Anhand der beim Landeskriminalamt geführten Verfahren können die (maßgebli- chen) Beeinträchtigungen wie folgt konkretisiert werden: Delikt Modus Operandi Firmensitz Beeinträchtigung Ransomware, Systeme Erpressung, Kreis Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Computersabotage Segeberg der Daten über Backups Entschlüsselung fordern Systemausfall über mehrere Tage; Ransomware, Systeme Erpressung, Kreis verschlüsselte Daten konnten nicht wieder 2017 verschlüsseln, Lösegeld für Computersabotage Segeberg hergestellt werden; schwerwiegende, Entschlüsselung fordern existenzbedrohende Beeinträchtigung Datenveränderung Firmenserver wird für Bitcoinmining unter Einbringung entsprechender Lübeck Leistungsminderung des Servers Ausspähen von Daten Malware missbraucht Webserver / Internetpräsens mehrere Stunden Computersabotage DDoS-Angriff auf Webserver Lübeck nicht erreichbar 5
Drucksache 19/1278 Schleswig-Holsteinischer Landtag - 19. Wahlperiode Delikt Modus Operandi Firmensitz Beeinträchtigung Ransomware, Systeme Kreis Erpressung, verschlüsseln, Lösegeld für Systemausfall, Aufwand durch Zurückspielen Schleswig- Computersabotage Entschlüsselung fordern, Lösegeld der Daten über Backups Flensburg gezahlt Kreis 31 komplette Systemausfälle von 4 – 97 Computersabotage DDoS-Angriff auf Rechenzentrum Rendsburg- Minuten verteilt auf 12 Tage, 2.800 Arbeitsplätze Eckernförde betroffen Ransomware, Systeme Erpressung, Kreis Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Computersabotage Pinneberg der Daten über Backups Entschlüsselung fordern Ransomware, Systeme Erpressung, Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Kiel Computersabotage der Daten über Backups Entschlüsselung fordern Ransomware, Systeme Erpressung, Kreis Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Computersabotage Pinneberg der Daten über Backups Entschlüsselung fordern Ransomware, Systeme Erpressung, verschlüsseln, Lösegeld für Kreis Systemausfall, Aufwand durch Zurückspielen Computersabotage Entschlüsselung fordern, Lösegeld Segeberg der Daten über Backups 2018 gezahlt Ransomware, Systeme Erpressung, Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Itzehoe Computersabotage der Daten über Backups Entschlüsselung fordern Ransomware, Systeme Kreis Erpressung, Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Rendsburg- Computersabotage der Daten über Backups Entschlüsselung fordern Eckernförde Systemausfall, Aufwand durch Zurückspielen Ransomware, Systeme der Daten über Backups, Radiologie einer Klinik Erpressung, Kreis verschlüsseln, Lösegeld für betroffen, entsprechende medizinische Computersabotage Pinneberg Entschlüsselung fordern Untersuchungen konnten über 2 Tage nicht erfolgen mindestens 1 Woche durch kompletten Ausfall Ransomware, Systeme aller Systeme betroffen, mehrere Wochen zur Kreis Erpressung, verschlüsseln, Lösegeld für Entschlüsselung der Daten notwendig, Segeberg Computersabotage Entschlüsselung fordern, Lösegeld währenddessen nur eingeschränkte Nutzbarkeit gezahlt der IT, schwerwiegende, existenzbedrohende Beeinträchtigung Ransomware, Systeme Erpressung, Kreis Systemausfall, Aufwand durch Zurückspielen verschlüsseln, Lösegeld für Computersabotage Pinneberg der Daten über Backups Entschlüsselung fordern 3. Trifft der Bericht der LN vom 25.01.2019 S.5 zu, dass es selbst Spezialisten von BKA, LKA und einer Versicherung nicht gelungen sein soll, eine Attacke von nordko- reanischer Hacker-Software zu stoppen? Ist dieser Fall der Landesregierung bekannt und falls ja, sind der Landesregierung bekannt aus welchen Ländern die meisten Cy- berattacken stammen? Wenn Ja bitte auflisten. Antwort: Mutmaßlich dürfte hier ein Fall von November 2018 aus dem Kreis Segeberg ge- meint sein, der bei dem für Cybercrime zuständigen Dezernat des Landeskriminal- amtes bearbeitet wird. Strafverfolgungsbehörden erhalten erst nach Vollendung eines Angriffs Kenntnis, insofern kann der Angriff nicht mehr gestoppt werden. Hier hätte, wenn überhaupt, nur die Firma selbst durch sofortiges Erkennen der Ransomware und Treffen von 6
Schleswig-Holsteinischer Landtag - 19. Wahlperiode Drucksache 19/1278 unverzüglichen Maßnahmen die Fortsetzung der Verschlüsselung verhindern kön- nen. Viel wichtiger sind in diesem Kontext aber präventive IT-Sicherheitsmaßnahmen in den Unternehmen, um entsprechende Szenarien von vornherein zu unterbinden. Das Landeskriminalamt verfügt über keine verifizierten Erkenntnisse, dass es sich in diesem Fall um eine „nordkoreanische“ Hacker-Software gehandelt hat, zumal primär ein Ransomware-Angriff vorlag. Eine Statistik über den staatlichen Ursprung von Cyberangriffen bzw. zu einer ent- sprechenden globalen Verteilung liegt dem Landeskriminalamt nicht vor. Dem schleswig-holsteinischen Verfassungsschutz ist der in dem Zeitungsartikel ge- nannte Angriff nicht bekannt. Die meisten ausländischen Angriffe mit Spionage-/Sabotagehintergrund stammen aus der Russischen Föderation, der Volksrepublik China sowie der Islamischen Re- publik Iran (Quelle: Verfassungsschutzbericht 2017 des Bundes, S. 269 ff.). 4. Wie viele Fälle von Lösegeldzahlungen an Hacker zwecks Freikauf gesperrter Firmendaten sind der Landesregierung insgesamt bekannt? Antwort: Die Anzahl der insgesamt geleisteten Lösegeldzahlungen ist der Landesregierung nicht bekannt. In den bei dem für Cybercrime zuständigen Dezernat des Landeskri- minalamtes bearbeiteten Strafverfahren ist in drei Fällen eine Lösegeldzahlung er- folgt, lediglich in einem Fall war anschließend eine Entschlüsselung möglich bzw. erfolgreich. In diesem Phänomenbereich ist von einem hohen Dunkelfeld auszuge- hen. 5. Sind der Landesregierung Vorkommnisse bekannt, durch welche Krankenhäuser, Anlagen der öffentliche Wasser- oder Energieversorgung oder öffentlichen Zwecken dienenden Telekommunikationsanlagen in Schleswig-Holstein durch Schadsoftware oder Hackerangriffe im Betriebsablauf beeinträchtigt wurden? Bitte nach Kreisen, kreisfreien Städten, Betreibern und jeweiliger Beeinträchtigung auflisten. 7
Drucksache 19/1278 Schleswig-Holsteinischer Landtag - 19. Wahlperiode Antwort: Die der Frage zugrunde liegenden Geschäftsbereiche sind nicht automatisch Betrei- ber kritischer Infrastrukturen gemäß KRITIS-VO, was zu einer grundsätzlichen Zu- ständigkeit im LKA führen würde. In anderen Fällen besteht keine Meldepflicht ge- genüber der Polizei. Das für Cybercrime zuständige Dezernat des Landeskriminalamtes hat folgende Fäl- le bearbeitet, die der Fragestellung entsprechen. Dabei handelte es sich in keinem Fall bei den betroffenen Firmen um ein KRITIS-Unternehmen im Sinne der KRITIS- VO. Tatzeit Delikt Modus Operandi Firmensitz Beeinträchtigung Ransomware, Systeme Systemausfall, Aufwand durch Zurückspielen der Daten über Kreis Erpressung, verschlüsseln, Backups, uneingeschränkte Arbeitsfähigkeit erst nach 6 Tagen 17.02.2016 Stormarn, Computersabotage Lösegeld für wieder erlangt, Betrieb der Klinik nicht gefährdet, keine Krankenhaus Entschlüsselung Patientengefährdung 2 Monate lang erhebliche Störungen in der IT-Infrastruktur der Löschen von IT- Kreis Firma, wiederholt unterschiedlichste Systemausfälle durch 12.07.2016 Computersabotage Systemen und Segeberg, Sabotagehandlungen eines Innentäters, Patientengefährdung Patientendaten Krankenhaus und Existenzbedrohung der Klinik lag zweifelsfrei vor Ransomware, Systeme nur Radiologie innerhalb der Klinik betroffen, Systemausfall, Kreis Erpressung, verschlüsseln, Aufwand durch Zurückspielen der Daten über Backups, 20.10.2018 Pinneberg, Computersabotage Lösegeld für entsprechende medizinische Untersuchungen konnten über 2 Krankenhaus Entschlüsselung Tage nicht erfolgen, keine Patientengefährdung Kreis Ransomware, Systeme Pinneberg, verschlüsseln, öffentliche (kurzfristiger) Systemausfall nur im IT-Bereich, Energiesektor Erpressung, 30.12.2018 Lösegeld für Wasser- selbst war nicht betroffen, Aufwand durch Zurückspielen der Computersabotage Entschlüsselung oder Daten über Backups fordern Energiever- sorgung 8
