Angriff auf Baltimore Hacker hält eine Stadt als Geisel – das Lösegeld ist für ihn nur der Anfang

Seit vier Wochen legt ein Hacker die US-Großstadt Baltimore komplett lahm. Von der Wasserrechnung bis zum Hauskauf - nichts geht mehr. Das verlangte Lösegeld wäre eigentlich kein Problem. Doch für den Angreifer könnte es noch um viel mehr gehen.

Immer wieder legen Hacker-Angriffe die Rechner von Privatleuten oder Firmen lahm. So schlimm wie im Falle von Baltimore ist es aber selten: Seit Anfang Mai liegen nahezu alle Computer-Systeme der Stadt still, selbst E-Mails und Telefon sind tot. Die Verwaltung muss sich mit Notlösungen und Papier behelfen. Jetzt hat der Hacker eine letzte Frist gesetzt. Vermutlich geht es ihm aber ohnehin um etwas anderes als das Lösegeld.

Zu Anfang war das irre Ausmaß des Falls noch nicht abzusehen. "Wir ignorieren Sie nicht. Unser E-Mail-Dienst funktioniert nicht. Wir arbeiten daran" - so erfuhr die Öffentlichkeit am 7. Mai bei Twitter erstmals von den Folgen des Angriffs. Mitarbeitern der Stadt im US-Bundesstaat Maryland war aufgefallen, dass sich einige Systeme merkwürdig verhielten. Die IT-Sicherheitsleute entdeckten schnell, dass Dutzende Server der Stadt von einem Trojaner verschlüsselt worden waren - und nahmen das System vom Netz. Seitdem geht in der Verwaltung der Stadt fast nichts mehr.

Lahmgelegte Stadt

Ob die Bezahlung der Wasserrechnung, eines Parktickets oder auch die Übertragung eines Hauses auf einen neuen Eigentümer: Alles lag brach, wochenlang. Keinerlei E-Mails kamen mehr durch, selbst die Telefonanlagen waren zum Teil außer Dienst. Um irgendwie arbeiten zu können, legten sich die Mitarbeiter private Arbeits-Mail-Adressen an, die Verwaltung stellte nach Jahren wieder auf den Papierbetrieb um, um irgendwie weitermachen zu können. Die Polizei, Feuerwehr und das Gesundheitssystem sind zum Glück nicht betroffen.

Die Folgen dürften noch eine Weile anhalten. Auch wenn es mittlerweile gelungen ist, einen Teil des Behördenalltags wieder aufzunehmen, plant Baltimore weiter hohe Kosten ein. Rund fünf Millionen Euro dürfte die Rettung des übrigen Systems kosten, weitere fünf Millionen Euro rechne man für das Ende des Jahres ein. Hinzu kommen weitere zehn Millionen Euro durch den Ausfall fehlender Einnahmen, berichtet die "Baltimore Sun".

Bürgermeister will nicht zahlen

Dass es soweit kam, liegt auch an einer Entscheidung des Bürgermeisters: Bernard C. Young, genannt "Jack", war gerade erst einige Tage im Amt, als die Lösegeldforderung eintrudelte: 13 Bitcoin verlangte der Angreifer, das entspricht etwa 90.000 Euro. Einzelne Systeme würde man für drei Bitcoin freigeben. Doch Young wollte nicht. "Wir bezahlen Kriminelle nicht für ihre bösen Taten", erklärte der Bürgermeister der "Baltimore Sun". Schließlich wisse man ohnehin nicht, ob die Systeme nach der Zahlung überhaupt wieder freigegeben würden.

Stattdessen alarmierte Young mit dem NSA und dem FBI zwei Bundesbehörden, holte zur Lösung der Probleme externe Berater ins Boot. Schnell war klar: Die Hacker benutzten das Angriffs-Werkzeug "Robbinhood", das auch schon bei anderen hochkarätigen Fällen zum Einsatz kam. Der Verdacht, dass auch eine gestohlene NSA-Cyberwaffe verwendet worden sei, konnte von den Experten Eric Sifford und Joe Stewart nicht bestätigt werden. Es hätten sich keine Hinweise darauf in den untersuchten Programmteilen finden lassen, erklärten sie in einem Blogpost.

Der Hacker wütet bei Twitter

Und noch jemand leugnet die Nutzung der NSA-Werkzeuge: der Hacker selbst. Anscheinend frustriert von der Nichtzahlung, forderte er vor wenigen Tagen bei Twitter Young und mehrere Stadträte auf, die Summe endlich zu bezahlen. "Hey, hört mal zu. Die erste Regel von Erpressungstrojanern ist, den Opfern eine gute Grundlage zur Rettung anzubieten. Leute sind nicht dumm. Sie hätten sehr einfach Dateien und Server mit einer geringen Zahlung retten können. Sie haben NICHTS getan", wetterte der Hacker bei Twitter.

Er würde sogar kostenlos einige der Server freischalten, bot der Hacker an. So wolle er zeigen, dass die Rettung der Daten wirklich möglich sei. Dass es sich tatsächlich um den Täter handelt, konnte er mit internen Dokumenten der Stadtverwaltung belegen, die von den Experten für echt gehalten werden. Mittlerweile wurde der Account aber gesperrt: Der vermeintliche Hacker hatte am Ende Young mit wüsten, teil rassistischen Beschimpfungen attackiert, Twitter hat den Account deshalb gelöscht.

Der Ansatz des Hackers sei ungewöhnlich, betonen die Experten laut "Ars Technica". Normalerweise würden solche Angreifer es vermeiden, Beweise für das Eindringen in das System zu liefern und sich gar öffentlich dazu zu äußern. Ihr Verdacht: Dem Hacker sei es um etwas viel Größeres gegangen. Er sehe, so ihre Vermutung, den Hack der Stadt als Werbe-Aktion, die die Macht seines Erpressungswerkzeuges zeigen soll - um es als illegale Dienstleistung an Dritte vermieten zu können.

Quellen: Baltimore Sun, Ars Technica, armor.com, New York Times, Washington Post