IT-Leiter von Schulbezirken bewerten ihren Umgang mit vergangenen Malware-Angriffen

Cyber Security News

Auburn High School in Rockford, Illinois. (Auburn High School)

Die Schulbezirke von Rockford, Illinois, und Rockingham County, North Carolina, haben einige sehr wertvolle Lektionen in Sachen Transparenz und Kommunikation, rechtzeitige Reaktion auf Vorfälle, Zugriffsmanagement, Datenredundanz und Notfallwiederherstellung gelernt, nachdem sie vor Jahren jeweils einen lähmenden Malware-Angriff erlebt hatten.

Die Informationssicherheitsverantwortlichen dieser beiden Bezirke berichteten letzte Woche auf dem K-12 Cybersecurity Leadership Symposium, das vom K12 Security Information Exchange (K12 SIX) veranstaltet wurde – dem allerersten ISAC, das speziell für lokale Schulbezirke gegründet wurde.

Solche Lektionen sind wichtig, wenn man bedenkt, was auf dem Spiel steht. Als Teil des Symposiums enthüllte Doug Levin, nationaler Direktor von K12 SIX und Präsident von EdTech Strategies und dem K-12 Cybersecurity Resource Center, beunruhigende Ergebnisse aus seinem neu veröffentlichten Bericht “The State of K-12 Cybersecurity: 2020 Year in Review”.

Dem Bericht zufolge gab es im vergangenen Jahr 408 öffentlich bekanntgegebene Cybervorfälle, die Schulbezirke betrafen – 18 % mehr als 2019. Wenn man die unbekannten Angriffe berücksichtigt, die nie gemeldet wurden, ist die wahre Zahl wahrscheinlich 10 bis 20 Mal höher, schätzte Levin.

“2020 ist nicht in einem Vakuum passiert … Es gab einen stetigen und alarmierenden Anstieg nicht nur in der Häufigkeit von K-12-Cyber-Vorfällen, sondern auch in Bezug auf ihre Bedeutung und Auswirkungen auf Schüler und Lehrer und andere Mitglieder der Schulgemeinschaft”, sagte Levin. Tatsächlich gab es im vergangenen Jahr mindestens 15 Schulbezirke in 13 Bundesstaaten, die aufgrund eines Ransomware-Angriffs für Wochen oder Monate geschlossen werden mussten.

Und trotz mindestens eines Berichts, der besagt, dass die Angriffe auf Schulen im Jahr 2021 tendenziell zurückgehen, wird es zweifellos weitere Angriffe geben. Vor diesem Hintergrund könnten Bildungseinrichtungen – und Organisationen in anderen Branchen übrigens auch – das eine oder andere von den Referenten lernen, die bereits ein Angriffsszenario durchlaufen haben.

Landkreis Rockingham, North Carolina

Kacey Sensenich, Chief Technology Officer an den Rockingham County Schools (25 Schulen, 11.691 Schüler im Schuljahr 2019-2020), sah sich im Dezember 2017 mit einer Infektion durch den Trojaner Emotet konfrontiert. Emotet, dessen Infrastruktur Anfang des Jahres in einer Operation der Strafverfolgungsbehörden gestört wurde, ist dafür bekannt, den Banking-Trojaner TrickBot zu verbreiten, und kann sogar eine sekundäre Ransomware-Information liefern.

Am 11. Dezember 2017 begann Sensenich, Anzeichen für abnormales Netzwerkverhalten zu beobachten. Google warnte den Bezirk, dass seine E-Mail-Konten Spam-Nachrichten verschickten. Ein paar Tage später kommunizierten die Computer nicht mehr richtig mit dem Internet.

Schließlich fand Sensenichs Team die beleidigende Quelldatei auf einem kompromittierten Rechner, der über eine geöffnete Phishing-E-Mail infiziert worden war, die eine gefälschte Rechnung als Köder verwendete. Der Bezirk glaubte, das Problem entschärft zu haben, aber Tage später traten dieselben Probleme erneut auf – deshalb wurde das Netzwerk am 19. Dezember für eine umfassende Behebung offline genommen.

Glücklicherweise konnte eine versuchte zweite Ransomware-Infektion aufgrund von Firewall- und AV-Schutzmaßnahmen nicht greifen. “Wir haben also keine offiziellen Daten verloren, aber wir [decided] als Bezirk die beste Lösung war, alles zu löschen und von Grund auf neu aufzubauen”, sagte Sensenich.

Das Team nutzte die Tatsache, dass Weihnachtspause war, um etwas Zeit zu gewinnen. “Am 2. Januar war alles wieder aufgebaut”, so Sensenich. “Bevor unsere Studenten wieder zur Tür hereinkamen, hatten wir die Internetverbindung und den Voice-over-Phone-Service wiederhergestellt.”

Dennoch erforderte die Entschärfung und Reparatur 42 aufeinanderfolgende Arbeitstage, einschließlich der Weihnachts- und Neujahrsfeiertage. Einige Mitglieder des IT-Teams erschienen sogar im Pyjama. “Wir arbeiteten in 12- bis 18-Stunden-Schichten – die gesamte Belegschaft -, um das System wieder in Gang zu bringen, so dass, wenn [the students] zurückkam, waren schließlich alle Dienste wiederhergestellt”, so Sensenich weiter.

Rückblickend identifizierte Sensenich einige wichtige Lücken in den Richtlinien und bei der Reaktion auf Vorfälle, die den Bezirk wahrscheinlich einem unnötigen Risiko aussetzten.

Vor der Infektion agierten die Mitarbeiter des Bezirks beispielsweise als Administratoren ihrer eigenen Computer. Im Nachhinein betrachtet, war dies ein zu großes Privileg. “Es gab so viele Programme…, die die Lehrer verwalten können mussten, dass wir das einfach nicht alles unterstützen konnten”, sagte sie. “Wir ließen sie die Administratoren ihrer Maschinen sein. Ich werde sagen, dass sie in Zukunft niemals Administratoren ihrer Maschinen sein werden, solange ich hier sitze.”

Außerdem bedauert Sensenich, dass er das Netzwerk nicht früher heruntergefahren hat, als es erste Anzeichen von Problemen gab. “Wir wussten nicht, was wir hatten, bis wir es identifiziert hatten”, erklärt sie.

Außerdem erkannte Sensenich, dass ihr Bezirk robustere Backups benötigte, um eine bessere Datenredundanz zu gewährleisten. Im Rahmen der neuen und verbesserten Einrichtung setzt Rockingham einen primären Backup-Server ein, der sich selbst in Netzwerkspeicherboxen an mehreren externen Standorten sichert. “Er hält unsere Daten je nach Auslastung zwei bis vier Wochen vor, aber wir nehmen dieses Backup und senden es an zwei verschiedene Standorte in Google”, sagt Sensenich. Wenn wir jetzt wieder angegriffen werden, können wir einen Tag auswählen – einen Tag vor dem Angriff, eine Woche, einen Monat, ein Jahr – und auf dieses Backup zurückgreifen. Wir nutzen die Vorteile der unbegrenzten Backups von Google for Education.”

Sensenich sagte, dass Rockingham jetzt Zehntausende von verfügbaren Backups hat, “weil wir nach dem Malware-Angriff gesagt haben, dass wir nie wieder löschen werden. Und solange Google sie aufbewahren will, warum nicht?”

Während des Angriffs traf der Bezirk auch einige kluge Entscheidungen, die den Schulen halfen, die Krise zu überstehen und ihre Systeme besser gegen zukünftige digitale Angriffe zu schützen.

Für den Anfang waren Transparenz und Kommunikation mit Schülern und Eltern der Schlüssel. Als das Netzwerk am 19. Dezember heruntergefahren wurde, nahm der Superintendent eine Videobotschaft auf, die Bewohner des Bezirks erhielten einen aufgezeichneten Anruf mit den wichtigsten Details und die Schulen hielten auch eine Pressekonferenz ab.

“Wir hatten nicht das Gefühl, dass es das Richtige ist, sich hinter irgendetwas zu verstecken”, sagte Sensenich. “Wir sind herausgetreten und haben gesagt: ‘Hier ist das, wovon wir das Opfer waren, hier ist das, was es uns angetan hat, und hier ist das, was wir tun werden, um uns zurückzubekommen.'”

Eine weitere Entscheidung, die Sensenich als richtig bezeichnete, war der Neuaufbau des Netzwerks von Grund auf während des Disaster Recovery-Prozesses. Im Wesentlichen sah ihr Team den Angriff als eine Möglichkeit, einige Fehler zu beheben, die schon lange bestanden hatten.

“Es kommt sehr selten vor, dass man sagt: ‘Ich kann mein Netzwerk für zwei Wochen abschalten'”, sagte Senenich. “Und in diesen zwei Wochen haben wir alles aktualisiert. Wenn es eine Software war, die nicht aktuell war, wurde sie aktualisiert. Wenn es ein Server war, der eine neue Installation oder eine neue Verbindung brauchte, haben wir das alles eingerichtet.”

Die Budgetierung für Cyber ist im öffentlichen Sektor nie einfach, aber der Angriff war für die lokale Schulbehörde ein klarer Motivator, das Cyber-Budget zu erhöhen und einen Netzwerksicherheitsingenieur einzustellen.

“Wir haben am Ende viel Geld in die Wiederherstellung investiert, aber wir sind besser dran; wir hatten die Möglichkeit, uns wieder auf den Stand zu bringen, auf dem wir sein müssen”, so Sensenich. “Und … unser langfristiges Ziel ist es, sicherzustellen, dass wir weiterhin diese neue Finanzierungslinie haben, die wir vor diesem Ereignis nicht hatten.”

Abschließend sagte Sensenich, dass der Vorfall die Wichtigkeit von Teamwork während eines Krisenereignisses demonstriert hat. Und das beginnt damit, mit gutem Beispiel voranzugehen, um den Respekt der Mitarbeiter zu gewinnen.

“Als ich ihnen sagte, dass sie in der Weihnachtspause arbeiten müssten, und dass sie nicht in den Urlaub fahren würden, und dass wir dies tun müssten, kamen einfach alle und machten es”, sagte Sensenich, auch sie selbst. “Es ging nur um ‘alle Mann an Deck’. Es ist wichtig, dass man das bereits etabliert hat, damit man, wenn die Krise kommt, weiß, wer seine Leute sind.”

Rockford Public Schools, Illinois

Während Rockingham von einem Ransomware-Verschlüsselungsangriff verschont blieb, war Rockford nicht betroffen.

Jason Barthel, Chief Information Officer der Rockford Public Schools (42 Schulen, ca. 27.000 Schüler), beschrieb den Symposiumsteilnehmern, was geschah, nachdem der Bezirk von einer zweistufigen Infektion mit einer Kombination aus dem Banking-Trojaner TrickBot und der Ransomware Ryuk getroffen wurde. Letztere schlug am Abend des 5. September 2019 zu, kurz bevor das neue Schuljahr beginnen sollte.

Der Angriff legte die virtuellen Server der Schulen lahm. “Und wenn wir einen Tag vor diesem Ereignis zurückgehen, hatten wir tatsächlich einen Core-Switch, der die maximale Auslastung und CPU-Auslastung erreichte”, sagte Barthel. “Wir fanden heraus, dass der Bedrohungsakteur tatsächlich unser Netzwerk abbildete, um die Verbreitung dieses Virus zu planen.”

Die anfängliche Infektion stammte aus einer erfolgreichen E-Mail-Phishing-Kampagne, die “es dem Bedrohungsakteur ermöglichte, unsere Anmeldedaten zu sammeln und diese Informationen herunterzuladen und [gain] einige zusätzliche Befehls- und Kontrollfunktionen”, so Barthel weiter. Aufgrund der Ransomware-Infektion “verloren wir den Zugriff auf etwa 85 unserer 400 Server im gesamten Netzwerk”, und sowohl Dateien als auch bestimmte Backups wurden verschlüsselt.

Die IT-Mitarbeiter eilten an diesem Abend herbei, um die Internetverbindung zu trennen und den Verschlüsselungsschaden zu isolieren und zu bewerten. Wichtige Entscheidungsträger im gesamten Distrikt kamen zu dem Schluss, dass das Schuljahr sicher beginnen konnte, aber einige Arbeiten würden mit Stift und Papier erledigt werden müssen. Letztendlich dauerte es Wochen, bis die Systeme wieder online waren, und mehrere Monate, um eine vollständige Wiederherstellung zu erreichen.

Wie Sensenich berichtete auch Barthel von den Lehren, die er aus dieser Erfahrung gezogen hat.

Einer der größten Rückschläge des Angriffs war die Verschlüsselung der Backups, und ein Grund dafür war, dass diese nicht mit einem Air-Gap versehen waren. Ein Grund dafür war, dass die Backups nicht verschlüsselt waren. “Die Angreifer nutzten Domänen-Zugangsdaten für den Zugriff auf die Backups, deshalb haben wir uns darauf konzentriert, diese Backups an unserem Disaster-Recovery-Standort zu sichern”, so Barthel.

Barthel sagte, dass der Bezirk sogar “ein wenig altmodisch” wurde und sich selbst weiter schützte, indem er die Verwendung von bandbasierten Backups zurückbrachte, die jeden Monat in ein Bankschließfach gelegt werden.

Rückblickend wünscht sich Barthel auch, dass die Mitarbeiter besser geschult worden wären, um Bedrohungen wie Phishing-E-Mails zu erkennen und zu vermeiden. Nach dem Vorfall implementierte Rockford eine Software für Sicherheitsschulungen, um die rund 5.000 Mitarbeiter zu schulen.

Es scheint, dass das Training effektiv gewesen ist. Kurz nach dem Ransomware-Angriff führte der Bezirk eine Phishing-Simulationsübung durch, die zu einer Klickrate von 48 % unter den Mitarbeitern führte. Aber nach der Implementierung der Schulung führte der Bezirk einen weiteren Phishing-Test durch, der nur eine Klickrate von 2 % ergab.

Barthels Team implementierte außerdem eine Multi-Faktor-Authentifizierung als weitere Verteidigungsschicht. “Es war eine Herausforderung, weil es eine gewisse Komplexität mit sich bringt, ein bisschen zusätzliche Zeit für die Mitarbeiter, um sich einzuloggen und zu ihren Unterrichtsmaterialien zu gelangen und solche Dinge”, sagte er. “Aber das war ein Lebensretter für uns.”

Was die Bemühungen zur Schadensbegrenzung nach dem Angriff angeht, lobte Barthel die Reaktion des Distrikts. Nachdem sein Team feststellen konnte, dass die Schüler sicher am Unterricht teilnehmen konnten, bestand der nächste Schritt darin, funktionierende Technik wieder in die Hände der Schüler zu bekommen. So setzte der Bezirk stark auf Chromebooks, die nicht von der Windows-basierten Malware betroffen sind.

Als Teil seiner längerfristigen Reaktion unternahm der Bezirk auch Schritte, um sicherzustellen, dass sein Cybersicherheitsrahmenwerk besser mit dem NIST Cybersecurity Framework und seinen fünf Funktionen übereinstimmt: identifizieren, schützen, erkennen, reagieren und wiederherstellen.

“Wir haben gerade eine Bewertung abgeschlossen … und es ist einfach ziemlich beeindruckend zu sehen, wie weit wir gekommen sind”, sagte Barthel. Darüber hinaus hat der Distrikt einen Business-Continuity-Plan entwickelt und sich darauf konzentriert, “unseren Schutz rund um die Erkennung und den Umfang präventiver Ressourcen und Tools zu stärken, um uns auch in Zukunft sicher zu machen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com