In Leicester gehen die Lichter nicht mehr aus.
AP

In der Stadtverwaltung von Leicester in Mittelengland herrscht seit Wochen Ausnahmezustand. Cyberkriminelle erbeuteten nicht nur terabyteweise Daten der Stadtverwaltung, seit dem Angriff Anfang März ist auch die Straßenbeleuchtung permanent eingeschaltet. Einen "Ausschalter" für Notfälle gibt es nicht.

Die IT-Systeme der Verwaltung wurden am 7. März von einer Ransomware-Gruppe infiltriert. Die Angreifer erbeuteten unter anderem 1,3 Terabyte an vertraulichen Unterlagen. Darunter waren Mietabrechnungen und Kaufanträge für Sozialwohnungen. Die Daten wurden mittlerweile von den Angreifern online veröffentlicht.

Problem besteht wohl noch länger

Als wäre das nicht schon schlimm genug, kommt laut einem Bericht des Lokalmediums "Leicester Mercury" noch ein ganz anderes Problem hinzu, wie erst jetzt bekannt wurde: Die Straßenlaternen lassen sich nicht mehr abschalten, weil auch die Steuerung der Beleuchtung noch immer von der Attacke lahmgelegt ist.

Öffentlich wurde das Malheur, weil einem 65-jährigen Pensionisten aufgefallen war, dass die Lichter in seiner Wohngegend im Stadtteil Beaumont Leys permanent leuchteten. Er fragte bei der Stadtverwaltung nach und erhielt die doch erstaunliche Antwort, dass der Cyberangriff "das zentrale Managementsystem" betroffen und zu einem – Zitat – "Fehlverhalten" der Beleuchtung geführt habe. Außerdem wurde dem Mann mitgeteilt, dass mit einer "Lösung" des Problems frühestens mit Ende der kommenden Woche zu rechnen sei. Damit wären die Lichter ziemlich genau zwei Monate lang eingeschaltet – sofern die Stadtverwaltung das Problem bis dahin wirklich lösen kann.

Ganz so einfach scheint das nämlich gar nicht so sein, eine Art "Not-Aus" für die Straßenbeleuchtung existiert nicht. Ganz im Gegenteil dürfte es sogar so sein, dass die Straßenbeleuchtung bei einem Ausfall der städtischen IT-Infrastruktur automatisch eingeschaltet wird, damit die Straßen von Leicester auch im Notfall beleuchtet sind.

"Der Standardmodus für Störungen ist, dass die Beleuchtung eingeschaltet bleibt, um sicherzustellen, dass die Straßen nicht völlig unbeleuchtet bleiben und ein Sicherheitsrisiko darstellen," teilte eine Sprecherin der Stadt dem "Leicester Mercury" mit. Man arbeite zwar so schnell wie möglich an einer Lösung des Problems, aber es sei eben schwierig, die Kontrolle über das Managementsystem zurückzuerlangen. Die Computersysteme der Verwaltung wurden im Zuge des Angriff abgeschaltet. "Dies bedeutet, dass wir derzeit nicht in der Lage sind, Fehler im Straßenbeleuchtungssystem aus der Ferne zu erkennen."

Gruppe ist auch in Österreich aktiv

Bei dem Cyberangriff auf die Stadtverwaltung wurden laut einer eigens eingerichteten Informationsseite 1,3 Terabyte Daten gestohlen. Die Angreifer haben dabei unter anderem Mietabrechnungen, Anträge auf Sozialwohnungen und die Reisepassnummern der Bewerberinnen und Bewerber kopiert und veröffentlicht. Mehr wird aber mit dem Verweis auf laufende kriminalpolizeiliche Ermittlungen nicht bekanntgegeben.

Wie "Golem.de" berichtet, bekannte sich eine Ransomware-Gruppe namens INC Ransom zu dem Angriff. Die Angreifer behaupten sogar, insgesamt drei Terabyte an Daten abgegriffen zu haben. Diese Gruppierung ist noch relativ jung und trat erstmals im August 2023 in Erscheinung. Zu den bevorzugten Zielen der Angreifer gehören Privatunternehmen, Regierungsbehörden und Wohltätigkeitsorganisationen. Die Gruppe greift ausschließlich Einrichtungen in westlichen Ländern an. Zu einem der Primärziele der Gruppe gehören neben den USA und Großbritannien auch Behörden in Österreich, wie aus einer Analyse von "Cybereason" hervorgeht.

Die erste öffentlich bekannte Attacke von INC Ransom dürfte auf die IT-Systeme eines Thermenhotels in der Steiermark erfolgt sein, zumindest geht das aus einem Posting der Gruppe auf X, vormals Twitter, hervor. Im August 2023 infiltrierten die Angreifer die Datenbanken des Hotels und verschlüsselten dessen Daten.

Großangelegte Cyberangriff auch auf vergleichsweise kleine Städte sind keine Seltenheit mehr: Erst Anfang Februar wurde die niederösterreichische Bezirkshauptstadt Korneuburg von Hackern angegriffen. Aufgrund der Attacke mussten sogar Begräbnisse verschoben werden, weil Sterbeurkunden nicht ausgestellt werden konnten. Der Angriff wurde am 5. Februar 2024 von der IT-Abteilung entdeckt, mittlerweile laufen die Systeme wieder normal. (pez, 23.4.2024)