Wie der Gewer­be­verband St. Gallen gehackt wurde

Die Ransomware Mr. Dec verbreitete sich im Wartemodus als Wurm und erlangte Admin-Rechte auch für das Backup. Der IT-Verantwortliche erläutert die Hintergründe.
 
Am Donnerstag, dem 20. Juni, gab es ein böses Erwachen für den Kantonale Gewerbeverband St. Gallen (KGV). Mitten in der Verarbeitung der Noten der Lehrabschlussprüfungen (LAP) verschlüsselte eine Ransomware die Systeme des Ostschweizer Verbandes: Die Buchhaltung, sämtliche Word- und Office-Dokumente sowie die Adressverwaltung waren nicht mehr zugänglich.
 
Schliesslich tauchten happige Lösegeldforderungen der Kriminellen auf. Und sie starteten einen Countdown von drei Tagen, drei Stunden, 33 Minuten und 33 Sekunden. So lange hatte die Geschäftsstelle Zeit, um auf die Forderungen der Hacker einzugehen und ihre Daten zurückzuerhalten. Danach würden die Schlüssel vernichtet, drohten die Kriminellen. Dies erklärte Udo Szabo, Chef der mit der IT betrauten Paus AG, gegenüber inside-it.ch.
 
Man sei per Mail mit den Kriminellen in Verhandlung getreten, dabei hätten die Hacker auch zwei verschlüsselte Files erhalten und diese zum Beweis unverschlüsselt zurückgeschickt. Parallel dazu seien die befallenen Systeme isoliert und zurückgesetzt worden. Für die Verarbeitung der LAP-Noten habe man zudem bis am Mittag des betreffenden Tages ein Parallel-Netz aufgebaut. Die Daten der rund 8500 LAPs seien nicht kompromittiert worden.
 
Der Kostenpunkt: 15 Schlüssel à 1 Bitcoin
Bei der Ransomware handelt es sich um Mr. Dec, die Mitte 2018 erstmals entdeckt wurde. Die berüchtigte Malware sei mutmasslich vor einigen Tagen mittels eines Phishing-Mails ins System gelangt, glaubt Szabo. Danach sei sie einige Tage im "Wartemodus" geblieben und habe sich als Wurm im System verteilt. Am 20. Juni um etwa drei Uhr Morgens habe sie dann den Prozess der Verschlüsselung gestartet.
 
Insgesamt seien 15 Verschlüsselungen zum Einsatz gekommen, so Szabo. Für jeden einzelnen notwendigen Schlüssel wollten die Erpresser einen Bitcoin. Dies ergibt nach aktuellem Kurs rund 172'500 Franken. Auf die Forderung ging der Gewerbeverband aber nicht ein, sondern erstattete Anzeige gegen Unbekannt. Derzeit ermittelt die Cyber-Abteilung der St. Galler Kantonspolizei.
 
Die Malware erwischte auch einen Teil des Backups. Im Ruhemodus habe sie sich Adminrechte erworben, um im Backup schreiben zu können, so Szabo. Man habe aber ein vierstufiges Backupsystem, wovon zwei Teile nicht betroffen waren: So konnte man das System auf Anfang Juni zurücksetzen und verlor die Tages-Backups, die später erstellt wurden. Die verlorenen Daten müssen nun händisch wieder eingegeben werden. Sie seien aber in Papierform vorhanden, so dass keine Daten endgültig verschwunden seien.
 
Der Schadensfall: Rund 50'000 Franken
Das wird teuer für den St. Galler Gewerbeverband. Felix Keller, der Geschäftsführer, erklärte gegenüber inside-it.ch: "Alleine der Schadensfall dürfte sich auf rund 50'000 Franken belaufen". Der Betriebsökonom relativiert aber, dass man die gesamten Kosten noch nicht genauer abschätzen könne.
 
Die Sicherheitsmassnahmen seien schon vor dem Angriff auf sehr hohem Niveau gewesen und würden laufend aktualisiert, so Keller. Und man habe nun bereits reagiert, ergänzt Szabo: Zum einen seien die Mitarbeitenden – besonders im Umgang mit verdächtigen Mails – geschult worden. Denn auch derzeit beobachte man wieder eine Konzentration von Spammails. Auch technisch habe man Massnahmen ergriffen und setze nun zusätzlich auf Sophos Intercept X sowie SpyHunter, so der IT-Verantwortliche. (Thomas Schwendener)