{"id":691,"date":"2024-10-11T13:48:47","date_gmt":"2024-10-11T13:48:47","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=691"},"modified":"2024-10-11T13:48:47","modified_gmt":"2024-10-11T13:48:47","slug":"der-verschmahte-ransomware-whistleblower","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=691","title":{"rendered":"Der verschm\u00e4hte Ransomware-Whistleblower"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\u00dcber Cybersicherheitsexperte Connor Goodwolf lacht die Sonne\u2026\n

Connor Goodwolf<\/p>\n<\/div>\n

Der\u00a0Ransomware<\/a>-Angriff auf Columbus im US-Bundesstaat Ohio sorgt auch Monate sp\u00e4ter noch f\u00fcr Schlagzeilen. Das liegt vor allem daran, dass die Verantwortlichen im Rathaus der Stadt den Sicherheitsvorfall auf die wohl\u00a0denkbar schlechteste Weise<\/a>\u00a0gemanagt haben. Im Ergebnis haben sie:<\/p>\n

Sammelklagen betroffener B\u00fcrger und Mitarbeiter ausgel\u00f6st \u2013 und m\u00fcssen mit weiteren rechnen.<\/p>\n

das Vertrauen der Stadtgemeinschaft in die Sicherheit ihrer Daten grundlegend ersch\u00fcttert.<\/p>\n

den Unmut der Cybersecurity-Community auf sich gezogen.<\/p>\n

Letztes liegt vor allem daran, dass der Stadtverwaltung von Columbus im Angesicht einer Cyberattacke von katastrophalem Ausma\u00df kein Aufwand zu gro\u00df war. Nur leider nicht, um die Daten seiner B\u00fcrger angemessen zu sch\u00fctzen, sondern um den Cybersecurity-Experten Connor Goodwolf\u00a0gerichtlich zum Schweigen zu bringen<\/a>.<\/p>\n

Sein \u201cVergehen\u201d: Er hatte publik gemacht, dass der anfangs vom Rathaus als \u201cSystem-Anomalie\u201d verkaufte Vorfall ein Ransomware-Angriff war, bei dem pers\u00f6nliche Daten von Mitarbeitern und Einwohnern der Stadt in erheblichem Umfang gestohlen wurden.<\/p>\n

Die Timeline des Ransomware-Debakels<\/h3>\n

Die folgende Zeitachse der Ereignisse rund um den Cyberangriff auf die Stadt Columbus verdeutlicht, wie rasant die Reaktion der Stadtverantwortlichen in eine\u00a0Fuckup<\/a>-Parade ausartete.<\/p>\n

18. Juli 2024<\/strong><\/p>\n

Die Ransomware-Gruppe\u00a0Rhysida<\/a>\u00a0greift die Stadt erfolgreich mit erpresserischer Malware an. Vier Tage sp\u00e4ter gibt das B\u00fcro des B\u00fcrgermeisters von Columbus eine Erkl\u00e4rung ab. Dieser zufolge habe die IT-Abteilung der Stadt \u201cHinweise auf eine Anomalie in ihrem System gefunden\u201d und in der Folge ihre Systeme offline genommen.<\/p>\n

31. Juli 2024<\/strong><\/p>\n

Zwei Polizeibeamte von Columbus melden, dass ihre Bankkonten gehackt wurden. Daraufhin bietet die Stadt am n\u00e4chsten Tag s\u00e4mtlichen Mitarbeitern ein kostenloses Credit Monitoring an.<\/p>\n

1. August 2024<\/strong><\/p>\n

Die Hacker-Gruppe Rhysida verlangt f\u00fcr 6,5 Terabyte gestohlener Daten ein\u00a0L\u00f6segeld<\/a>\u00a0in H\u00f6he von knapp zwei Millionen Dollar. Um ihre Behauptungen zu unterstreichen, ver\u00f6ffentlichen die Cyberkriminellen Samples der Daten auf ihrer Leak-Seite.<\/p>\n

7. August 2024<\/strong><\/p>\n

Rhysida gibt bekannt, circa 45 Prozent der erbeuteten Daten ver\u00f6ffentlicht zu haben und droht mit weiteren Leaks, falls die Stadt das L\u00f6segeld weiterhin nicht bezahlt. In der Zwischenzeit erkl\u00e4rt das B\u00fcro von B\u00fcrgermeister Andrew Ginther, es g\u00e4be keine Hinweise darauf, dass Daten ver\u00f6ffentlicht worden seien. Davon abgesehen habe die Stadtverwaltung auch keine L\u00f6segeldforderung erhalten.<\/p>\n

13. August 2024<\/strong><\/p>\n

Im Rahmen einer Pressekonferenz legt Ginther nach und behauptet in einem \u201cFact Sheet\u201d, die von den Cyberkriminellen ver\u00f6ffentlichten, gestohlenen Daten seien verschl\u00fcsselt oder besch\u00e4digt und daher\u00a0nicht zu gebrauchen<\/a>.<\/p>\n

Dem widerspricht ein in Columbus beheimateter Cybersicherheitsexperte \u2013 Connor Goodwolf (der mit b\u00fcrgerlichem Namen David Leroy Ross hei\u00dft). Seinen Informationen zufolge seien die von Rhysida geleakten Daten leicht lesbar und betr\u00e4fen einen betr\u00e4chtlichen Teil der Einwohner von Columbus. N\u00e4mlich s\u00e4mtliche B\u00fcrger, die in den letzten zehn Jahren mit der Stadtverwaltung oder der Staatsanwaltschaft von Columbus interagiert haben.<\/p>\n

16. August 2024<\/strong><\/p>\n

Die Stadt weitet das kostenlose Credit-Monitoring-Angebot auf alle von dem\u00a0Cyberangriff<\/a>\u00a0betroffenen Einwohner aus.<\/p>\n

17. August 2024<\/strong><\/p>\n

Ginther best\u00e4tigt, dass \u201cpersonenbezogene Daten\u201d im Darknet geleakt wurden, darunter Informationen \u00fcber Kriminelle, Opfer von Straftaten und Zeugen der Staatsanwaltschaft. Der B\u00fcrgermeister gibt dar\u00fcber hinaus zu, dass m\u00f6glicherweise auf weitere, personenbezogene Daten zugegriffen wurde und diese potenziell im\u00a0Darknet<\/a>\u00a0ver\u00f6ffentlicht werden k\u00f6nnten.<\/p>\n

19. August 2024<\/strong><\/p>\n

Goodwolf informiert die Presse dar\u00fcber, dass Rhysida eine weitere st\u00e4dtische Datenbank gehackt hat, die Tausende von Einsatzberichten der Feuerwehr von Columbus und Informationen \u00fcber Personen enth\u00e4lt, die seit 2006 st\u00e4dtische Geb\u00e4ude aufgesucht haben.<\/p>\n

20. August 2024<\/strong><\/p>\n

Eine Sammelklage gegen die Stadt wird eingereicht \u2013\u00a0auf Betreiben<\/a>\u00a0der Polizei- und Feuerwehr-Beh\u00f6rden der Stadt.<\/p>\n

28. August 2024<\/strong><\/p>\n

Goodwolf informiert die Presse dar\u00fcber, dass Informationen aus der Datenbank der Polizei von Columbus im Darknet verf\u00fcgbar sind. Diese enth\u00e4lt Informationen \u00fcber Zeugen, Opfer und Verd\u00e4chtige aus s\u00e4mtlichen Polizeiberichten der letzten zehn Jahre \u2013 inklusive der Namen von verdeckten Ermittlern. Die Stadt reicht daraufhin\u00a0eine Zivilklage gegen Goodwolf ein<\/a>\u00a0(PDF) und beschuldigt ihn, illegal Daten heruntergeladen und verbreitet zu haben. Dabei nimmt die Stadtverwaltung besonderen Ansto\u00df daran, dass Goodwolf Ausz\u00fcge der gestohlenen Daten \u2013 die er von der Rhysida Leak-Seite geladen hatte \u2013 an die Medien weitergeleitet hat.<\/p>\n

Die Stadt argumentiert in ihrer Klage, dass nur Experten mit fortgeschrittenen F\u00e4higkeiten in der Lage seien, sich im Darknet zurechtzufinden und mit Cyberkriminellen zu interagieren. Dar\u00fcber hinaus bewertet die Stadt Goodwolfs Plan, eine Datenbank nach dem Vorbild von \u201cHave I Been Pwned\u201d zu schaffen (\u00fcber die die Einwohner von Columbus \u00fcberpr\u00fcfen sollen, ob ihre Daten von dem Angriff betroffen sind), als \u201cDrohung, gestohlene Daten offenlegen und an die lokale Bev\u00f6lkerung verbreiten\u201d zu wollen.<\/p>\n

Als Wiedergutmachung f\u00fcr den \u201cirreparablen Schaden\u201d sowie die \u201cVerunsicherung in der gesamten Region\u201d verlangt die Stadt Columbus von Goodwolf Schadenersatz in H\u00f6he von mehr als 25.000 Dollar. Dar\u00fcber hinaus erwirkt sie auch mit Erfolg eine\u00a0einstweilige Verf\u00fcgung<\/a>\u00a0gegen den Cybersicherheitsspezialisten, um ihn daran zu hindern, weiterhin auf \u201cdie gestohlenen Daten zuzugreifen, sie herunterzuladen oder zu verbreiten.\u201d<\/p>\n

9. September 2024<\/strong><\/p>\n

Fast zwei Monate nach dem Ransomware-Angriff wird der Stadtrat von Columbus in einem Briefing erstmals \u00fcber den Vorfall informiert.\u00a0Zu diesem Anlass<\/a>\u00a0teilt der CTO der Stadt, Sam Orth, mit, dass zu diesem Zeitpunkt noch 23 Prozent der st\u00e4dtischen IT-Systeme lahmgelegt sind \u2013 und weitere sieben Prozent bis dato nur teilweise wiederhergestellt werden konnten.<\/p>\n

Der st\u00e4dtische Tech-Manager gibt bei dieser Gelegenheit auch zu, dass die Cyberkriminellen personenbezogene Daten von Hunderttausenden von Einwohnern gestohlen haben \u2013 zu viele, um sie alle einzeln benachrichtigen zu k\u00f6nnen. Um den Medien zu entfliehen, verl\u00e4sst der CTO die Stadtratssitzung \u00fcber einen Notausgang.<\/p>\n

11. September 2024<\/strong><\/p>\n

Die Stadt erzielt mit Blick auf die einstweilige Verf\u00fcgung\u00a0eine Einigung<\/a>\u00a0(PDF) mit Connor Goodwolf. Nach dieser bleibt es dem Sicherheitsexperten untersagt, die gestohlenen Daten an Dritte weiterzugeben \u2013 au\u00dfer, es handelt sich dabei um Vertreter der Stadtverwaltung. Insbesondere ist es Goodwolf auch untersagt, Informationen aus den genannten Polizeidatenbanken weiterzugeben.<\/p>\n

\u201cDieses verdammte Fact Sheet\u201d<\/h3>\n

Von seiner Heimatstadt gerichtlich verfolgt zu werden, hat Goodwolf \u00fcberrascht, wie er zugibt: \u201cSie haben zu keinem Zeitpunkt versucht, Kontakt mit mir aufzunehmen, bevor sie ihre Klage eingereicht und eine einstweilige Verf\u00fcgung beantragt haben.\u201d<\/p>\n

Laut dem Staatsanwalt von Columbus, Zach Klein, waren es insbesondere die an Medienvertreter weitergegebenen Daten aus den Polizeidatenbanken, die die Stadtverwaltung\u00a0zu diesem Schritt bewogen hat<\/a>: \u201cWer wei\u00df, an wen er diese Informationen sonst noch weitergibt. An Freunde? Familie? Es handelt sich um pers\u00f6nliche, vertrauliche Informationen und Ermittlungsakten. Wir haben die einstweilige Verf\u00fcgung beantragt, um die Opfer und Zeugen von Verbrechen sowie unsere Polizeibeamten zu sch\u00fctzen.\u201d<\/p>\n

Goodwolf allerdings hat nach eigener Aussage die gestohlenen Daten nur deshalb an die Medien weitergegeben, damit diese deren Echtheit best\u00e4tigen k\u00f6nnen. \u201cIch h\u00e4tte mich gar nicht erst an die Medien wenden m\u00fcssen, wenn ich die M\u00f6glichkeit bekommen h\u00e4tte, mit einem Verantwortlichen der Stadtverwaltung zu sprechen. Das h\u00e4tte alles nicht so kommen m\u00fcssen\u201d, konstatiert der Sicherheitsexperte und beteuert, mehrmals versucht zu haben, die Verantwortlichen im Rathaus von Columbus \u00fcber die Ransomware-Attacke\u00a0zu informieren<\/a>. Goodwolf erkl\u00e4rt, was ihn veranlasst hat, sich \u00fcberhaupt erst an die Medien zu wenden: \u201cEs war dieses verdammte Fact Sheet, das vom B\u00fcrgermeister ausgegeben wurde und ausschlie\u00dflich aus L\u00fcgen bestand. Insbesondere die Behauptung, dass die gestohlenen Daten verschl\u00fcsselt oder besch\u00e4digt gewesen seien.\u201d<\/p>\n

Von der Infosec-Community wird Goodwolf gefeiert \u2013 und in Schutz genommen. Das verdeutlicht unter anderem ein\u00a0offener Brief<\/a>\u00a0(PDF) an Staatsanwalt Klein, der von diversen Sicherheitsexperten unterzeichnet wurde. In dem Brief prangern diese die Klage der Stadt als \u201cfalsch\u201d und \u201ckontraproduktiv\u201d an. Die tats\u00e4chlichen Kriminellen, so hei\u00dft es in dem Schreiben, seien die Cyberakteure von Rhysida. Deswegen empfehlen die Cyberexperten der Stadtverwaltung bei dieser Gelegenheit, ihre Bem\u00fchungen lieber darauf zu fokussieren, den B\u00fcrgern reinen Wein einzuschenken und das eigene IT-Sicherheitsniveau zu optimieren.<\/p>\n

\u201cDie Stadt Columbus steht im Moment wirklich dumm da\u201d, h\u00e4lt Michael Hamilton, Gr\u00fcnder und CISO von Critical Insight und ehemaliger CISO der Stadt Seattle, fest und f\u00fcgt hinzu: \u201cEs sieht ganz danach aus, als h\u00e4tten sie versucht, jegliche Transparenz zunichtezumachen. Nun versuchen sie auch noch zu implizieren, dass Goodwolf in diesem Fall der B\u00f6sewicht ist. Das soll wohl von den eigenen Verfehlungen ablenken.\u201d<\/p>\n

Richard Forno, stellvertretender Direktor des Cybersecurity Institute an der University of Maryland, sieht das \u00e4hnlich: \u201cDie Stadt Columbus ist extrem ungeschickt und plump vorgegangen. Sie haben sich selbst ein Bein gestellt und einen ohnehin verheerenden Vorfall noch schlimmer gemacht.\u201d<\/p>\n

\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

\u00dcber Cybersicherheitsexperte Connor Goodwolf lacht die Sonne\u2026 Connor Goodwolf Der\u00a0Ransomware-Angriff auf Columbus im US-Bundesstaat Ohio sorgt auch Monate sp\u00e4ter noch f\u00fcr Schlagzeilen. Das liegt vor allem daran, dass die Verantwortlichen im Rathaus der Stadt den Sicherheitsvorfall auf die wohl\u00a0denkbar schlechteste Weise\u00a0gemanagt haben. Im Ergebnis haben sie: Sammelklagen betroffener B\u00fcrger und Mitarbeiter ausgel\u00f6st \u2013 und m\u00fcssen […]<\/p>\n","protected":false},"author":0,"featured_media":692,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-691","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/691"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=691"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/691\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/692"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=691"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=691"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=691"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}