Als die Mitarbeiterinnen und Mitarbeiter der Internationalen Jugendbibliothek (IJB) in München an einem Montag im Februar 2025 in ihre Büros kamen war ihnen schnell klar, das würde keine Woche wie jede andere werden: Zahlreiche interne IT-Dienste funktionierten nicht und die Datenbestände auf den Dateiservern waren nicht lesbar. Eine gemeinsam mit dem IT-Dienstleister durchgeführte Störungsanalyse brachte rasch Gewissheit: Es handelte sich um einen Cyber-Angriff - Ransomware!
Die Internationale Jugendbibliothek ist eine vom Bund getragene Spezialbibliothek für Kinder- und Jugendliteratur aus der ganzen Welt. Mit ihren etwa 45 Mitarbeiterinnen und Mitarbeitern betreibt die Stiftung im ehemaligen Jagdschloss Blutenburg in München Museen, die den Werken einflussreicher deutschsprachiger Kinderbuchautoren gewidmet sind und verwaltet unter anderem die Nachlässe von Hans Baumann, Michael Ende, James Krüss, Josef Guggenmos, Mirjam Pressler und Erich Kästner.
Rasch entschied die Stiftungsleiterin, Dr. Christiane Raabe, den Betrieb erst einmal anzuhalten und die Situation besonnen zu analysieren. Den Mitarbeiterinnen und Mitarbeitern aus den Bereichen abseits der IT wurde der Tag freigegeben und der Museums-, Bibliotheks- und Veranstaltungsbetrieb eingestellt. Die Internetseite der Stiftung lief auf einem externen System und war von der Störung nicht betroffen, so dass potenzielle Besucherinnen und Besucher über die Schließungen informiert werden konnten. „Für uns war klar: Wir brauchen professionelle Hilfe, wir wussten nicht mehr weiter“, beschreibt Dr. Christiane Raabe die ersten Stunden nach dem Cyber-Angriff.
Über einen gemeinsamen Kontakt kam die Stiftungsleitung mit den Spezialistinnen und Spezialisten von der BDO Cyber Security GmbH ins Gespräch.
„Wir merkten schnell, dass wir auf uns allein gestellt waren und setzen einen Art Notruf über die privaten Kanäle des Bibliotheksteams ab. Mit dem Erfolg, dass sich die BDO Cyber Security GmbH, die unsere Notlage gut verstand, meldete und Hilfe anbot. Das war für uns der Rettungsring, der uns Sicherheit und Halt gab.“
Dr. Christiane Raabe, Stiftungsleiterin IJB
Ein Projektteam aus mehreren Incident Respondern von der BDO Cyber Security GmbH nahm zügig die Arbeit auf. Die IT-Abteilung der IJB stellte dem Team auf einem eigens dafür angelegten Datenspeicher wichtige Daten zur Verfügung, wie beispielsweise Netzwerkdokumentation, Screenshots, Logdateien, Kopien von virtuellen Maschinen, Konfigurationsabzüge von Netzwerkkomponenten und Kopien von E-Mails.
Durch die Untersuchung wurde der Verlauf des Angriffs rasch klar. Bereits am Donnerstag der Vorwoche hatten Angreifer unter Nutzung eines Administratorenkontos Zugriff auf mehrere Systeme im internen Netzwerk der IJB genommen und sich dort umgesehen. Sie haben eine kommerzielle Fernsteuersoftware installiert und Projektdaten vom Fileserver kopiert. Am späten Freitagabend starteten sie eine Verschlüsselungsroutine, die innerhalb weniger Stunden die Backups und Inhalte der Fileserver unbrauchbar machte. Danach wiederholten sie die Verschlüsselung auf einem Hostserver für virtuelle Maschinen (VM), wodurch die meisten Systeme unbrauchbar gemacht wurden.
Eine der wichtigsten Fragen in jeder IT-forensischen Untersuchung ist die Frage nach dem verwendeten Einfallstor, nach dem sogenannten „Patient Zero“. Nur wenn diese geklärt ist, können zukünftige Angriffe nach dem gleichen Schema wirksam verhindert werden. Um die Frage zu beantworten, betrachtete das Team die potenziellen Angriffsflächen und begann, diese systematisch einzugrenzen. Es wurden Wartungszugänge, VPN-Zugänge und Standortverbindungen, aber auch mögliche Konfigurationsfehler in Firewalls betrachtet, aber auch Softwareschwachstellen und nicht zuletzt auch die mögliche Beteiligung von PCs im Netz der IJB, z.B. bei Phishing.
Die Analyse der Bewegungen der Angreifer im zeitlichen Verlauf ergab, dass sie wahrscheinlich als erstes Zugriff auf den Microsoft Exchange E-Mail-Server erlangt hatten. Nachdem sie über ihre Fernsteuersoftware einen zweiten Weg in das Netzwerk hinein erlangt hatten, haben sie das E-Mail-System allerdings sorgfältig zerstört, so dass dort keine IT-forensische Auswertung mehr möglich war. In vergleichbaren Szenarien haben Ransomware-Akteure Schwachstellen in bestimmten Versionen von Microsoft Exchange genutzt, um sich Zugriff auf E-Mail-Server zu verschaffen und dann dort durch systematische Ausnutzung von weiteren Schwachstellen Administratorenrechte über die Domäne erlangt. Mit diesen Rechten kann sich ein Angreifer im Netzwerk praktisch ungehindert bewegen, genau wie es im vorliegenden Fall beobachtet wurde.
Im Fall der IJB kam leider jegliche Hilfe zu spät. Im Zuge des gezielten Ransomware-Angriffs zerstörten die Angreifer sämtliche Daten und überschrieben vorhandene Sicherungen. Unsere forensische Untersuchung lieferte jedoch wertvolle Erkenntnisse, die nun direkt in den strukturierten, resilienteren Neuaufbau der Infrastruktur einfließen.
„Zunächst wollte ich es nicht glauben, grübelte darüber nach, ob wir nicht irgendwo noch alte Bandsicherungen hätten. Als immer klarer wurde, dass tatsächlich ein Großteil der Daten, darunter die komplette Fotodokumentation der letzten 30 Jahre, unwiederbringlich verloren war, stellt sich eine Mischung aus Schock und Wut, Ungläubigkeit und Ohnmacht ein. Gleichzeitig löste das aber auch den Impuls aus, sich von den Angreifern nicht in die Knie zwingen zu lassen.
Das Ausmaß des Schadens zeigt sich bis heute, wenn wichtige Dokumente, Aufzeichnungen, Reden, Vorträge nicht mehr zu finden sind. Das kostet nicht nur sehr viel Zeit, sondern schmerzt immer wieder.“
Dr. Christiane Raabe, Stiftungsleiterin IJB
Die Komplexität von modernen IT-Systemen macht es praktisch unmöglich, Angriffe dieser Art komplett zu verhindern.
Was Sie aber tun können ist, mit gewissenhaftem Patchmanagement und konsequenter Risikobetrachtung die potenziellen Angriffsvektoren zu minimieren. Ihr umfassendes integriertes Monitoring von Systemen und Netzwerkkomponenten, sowie Ihre Detektions- und Reaktionsfähigkeiten, ggf. auch mit Unterstützung eines spezialisierten Partners, erledigen den Rest.
Unsere Erfahrung zeigt, dass mangelhafter Einblick in die Aktivitäten im eigenen Netzwerk wohl der wichtigste begünstigende Faktor bei Cyber-Angriffen auf kleine und mittlere Unternehmen ist. Moderne Systeme zur Angriffserkennung können dabei eine Hilfe sein. Sie liefern bereits eine Vielzahl von vorbereiteten Erkennungsmustern mit, mit denen Sie verdächtige Aktivitäten im Netzwerk erkennen und abwehren können.
„Cyber-Angriffe nehmen in den letzten Jahren immer mehr zu, doch die Gefahren und das zerstörerische Potential, das von solchen Angriffen auf unsere Gesellschaft, Wirtschaft und innere Sicherheit ausgehen, werden m. E. noch weit unterschätzt. Niemand kann sich in Sicherheit wiegen, es kann jede und jeden treffen, auch vermeintlich wirtschaftlich unattraktive Ziele wie Kultur- und Bildungseinrichtungen oder Vereine und Stiftungen. Denn es geht den Angreifern nicht nur darum, Geld zu erpressen, sondern auch darum, die Gesellschaft zu destabilisieren. Daher sollten sich auch Einrichtungen der kulturellen oder sozialen Daseinsversorgung wie Stadtbibliotheken, Theater, Museen, Gemeindezentren, Kirchen etc. auf Angriffe mit einem guten Datensicherungskonzept, Schulungen und einem Notfallplan vorbereiten.
Ich bin Prof. Alexander Schinner und seinem engagierten Team bis heute dankbar, dass sie uns nicht nur durch ihre professionellen Dienste, sondern auch emotional in der schwierigen Situation geholfen haben. Denn uns traf der Angriff vollkommen unvorbereitet.“
Dr. Christiane Raabe, Stiftungsleiterin IJB
Wir sind für Sie da! Die erfahrenen Incident Response-, IT-Forensik- und Kommunikationsspezialistinnen und -spezialisten der BDO Cyber Security GmbH stehen Ihnen in Notsituationen mit Rat und Tat zur Seite.
Sie erreichen unser Incident Response Team unter circc@bdosecurity.de,
oder über das Notfalltelefon: ☎ +49 40 328 90 6530
