Notrufzentralen nehmen 911-Anrufe von Hand entgegen und sind nicht in der Lage, ihre Geolokalisierungstechnologie für Anrufer zu nutzen. Polizeibeamte funken Einzelheiten zum Tatort, anstatt Berichte per E-Mail an das Hauptquartier zu senden. Büroangestellte, die auf Faxgeräte zurückgreifen.
Wochenlang wurde die Regierung von Suffolk County in die 1990er Jahre zurückversetzt, nachdem ein böswilliger Ransomware-Angriff sie weitgehend offline geschaltet hatte. Ein verzweifelter Versuch, der Bedrohung entgegenzuwirken, brachte den Landkreis ins Wanken, als Beamte die E-Mail für alle 10.000 Angestellten des öffentlichen Dienstes deaktivierten und infizierte Hardware löschten, um die Folgen kompromittierter Computersysteme einzudämmen.
Mehr als zwei Monate nach dem Angriff sind einige der Getriebe, die einen Großteil von Long Island betreiben, immer noch hartnäckig in einem Cyber-Morast versunken. Es ist eine Situation, von der Experten sagen, dass sie nicht nur die Verwundbarkeit des Landkreises aufzeigt, sondern auch eine bedrohliche Warnung für eine Nation darstellt, die nicht auf lähmende Online-Bedrohungen vorbereitet ist.
Das volle Ausmaß des Schadens zeichnet sich noch ab: Erst letzte Woche gab der Landkreis bekannt, dass zusätzlich zu den bereits als gestohlen geglaubten Daten möglicherweise weitere persönliche Informationen, einschließlich Führerscheinnummern, die mit 470.000 Verstößen gegen den Umzug in Verbindung stehen, offengelegt wurden.
Die Krise begann am Morgen des 8. September, als die Antivirensoftware des Landkreises – die Systeme, die vor Cybersicherheitsbedrohungen warnen – zu „pingen“ begann, sagte Lisa Black, die stellvertretende Leiterin des Landkreises. Dies deutete darauf hin, dass die Online-Systeme, die sich durch mehr als 20 Bezirksbehörden ziehen, von der Polizeibehörde über das Ministerium für Sozialdienste bis hin zur Abteilung für Boden- und Wasserschutz, angegriffen wurden. Die Einfälle setzten eine Abschaltung in Gang, um alles zu vereiteln, was sich seinen Weg durch das Betriebssystem des Bezirks bahnte.
„Wir trainieren für diese Veranstaltungen, genauso wie wir für die Pandemie trainieren“, sagte Frau Black. „Bis 16 Uhr an diesem Tag haben wir eine Entscheidung getroffen: Wir würden einfach das Internet ausschalten, um dies weiter einzudämmen.“
2017 wurden laut dem Multi-State Information Sharing and Analysis Center, einer Organisation, die die Cybersicherheit der Vereinigten Staaten verbessern will, mehr als 3.600 lokale, indigene und staatliche Personen im ganzen Land von Ransomware-Hackern heimgesucht.
Die Maßnahmen, die ergriffen wurden, um den Angriff in Suffolk County einzudämmen, brachten die wichtigsten Funktionen der Regierung durcheinander. Überweisungen an einige seiner Tausenden von Auftragnehmern wurden vorübergehend ausgesetzt, sodass Finanzinformationen nicht abgekupfert werden konnten, während sie durch die Computer des Landkreises flossen. Ordner mit Telefonnummern der Mitarbeiter, Festnetztelefonen und alten Faxgeräten wurden abgestaubt.
„Wir werden zu 1990 zurückkehren“, sagte Frau Black und beschrieb die damalige Denkweise. „Wir werden Millennials beibringen, was ein Faxgerät war.“
Fast jede Ecke der Bezirksregierung musste umschwenken, und zwar auf eine Weise, die sowohl umständlich als auch retro ist:
-
Die Polizei wandte sich wieder der kniffligen Funkübertragung zu, um Vorfälle zu melden, anstatt Berichte von Tablets am Tatort per E-Mail zu versenden, sagte Noel DiGerolamo, Präsident der Benevolent Association der Polizei von Suffolk County, die Beamte der Polizeibehörde von Suffolk County vertritt.
-
Zahlungen an Auftragnehmer erfolgten mit Papierschecks, die jeweils persönlich vom Rechnungsprüfer und seinen leitenden Angestellten unterzeichnet wurden.
-
Titelsuchen, die kürzlich während der Pandemie online zugänglich gemacht wurden, wurden wieder offline genommen. Sie blieben fast einen Monat lang unzugänglich, wodurch einige Immobilientransaktionen ohne Zugang zu wesentlichen Aufzeichnungen zum Erliegen kamen. Auf Ersuchen des Bezirks schickte Gov. Kathy Hochul, eine ehemalige Angestellte des Erie County, 125 Computerterminals an das Büro des Verwaltungsbeamten in Riverhead. Dort wurde in einer Ecke der Mitarbeiterkantine ein sicheres System zur Titelsuche eingerichtet.
-
Aus Angst, dass die Reaktionszeiten bei 911 verzögern würden, da die Disponenten keine computergestützten Dispatchsysteme verwenden könnten, die Anrufer automatisch lokalisieren und aufzeichnen, wandte sich der Landkreis an das zentrale Notrufzentrum des Staates. New York City schickte 10 seiner Disponenten zum County Call Center in Yaphank, um einzugreifen, bis das System wiederhergestellt werden konnte. Es war am 22. September wieder online.
Laut Steve Bellone, dem Geschäftsführer von Suffolk County, wurden die Angriffe von BlackCat durchgeführt, einer professionellen Hacking-Gruppe, auch bekannt als ALPHV, die sensible Daten stiehlt und damit droht, sie freizugeben, wenn kein Lösegeld gezahlt wird. Die Organisation wütet weltweit und durchdringt eine Vielzahl von Zielen, von Italiens staatlichem Elektrizitätswerk über eine Universität in Florida bis hin zu einem Rüstungsunternehmen der Vereinigten Staaten.
Beamte sagten, es sei kein Lösegeld gezahlt worden, würden aber keine weiteren Details über den Fall preisgeben, teilweise wegen der laufenden strafrechtlichen Ermittlungen durch den Bezirksstaatsanwalt von Suffolk County und das Federal Bureau of Investigation.
Kurz nach dem Hack posteten die Angreifer laut DataBreaches, einer Website, die solche Vorfälle überwacht, ihre Beute aus Suffolk im Dark Web. „Extrahierte Dateien umfassen Gerichtsunterlagen von Suffolk County, Akten des Sheriffs, Verträge mit dem Staat New York und andere persönliche Daten von Bürgern von Suffolk County“, schrieb DataBreaches auf einem Poster, das angeblich von BlackCat stammt.
Obwohl die Hacker behaupten, mit vier Terabyte an Daten davongekommen zu sein, sagte Frau Black, dass die Beamten bisher nur von zwei Personen wissen, deren persönliche Informationen öffentlich zugänglich gemacht wurden. Kurz vor Thanksgiving sagte der Landkreis, er werde den betroffenen Personen kostenlos Identitätsschutzdienste wie die Kreditüberwachung anbieten.
Der Erfolg des Angriffs habe Schwachstellen in der Art und Weise offenbart, wie der Bezirk seine Geschäfte online abwickelt, sagte Colin Ahern, der erste Chief Cyber Officer des Staates New York, der im Juni ernannt wurde. Aber er lobte die Bereitschaft des Landkreises: Seit 2019 habe er 6,5 Millionen Dollar in Cybersicherheitsinitiativen gesteckt und eine Simulation für Hackerangriffe wie diesen durchgeführt.
Doch es blieben Schwachstellen: So kam beispielsweise die Zwei-Faktor-Authentifizierung, eine in der Geschäftswelt zum Standard gewordene zusätzliche Schutzschicht für Online-Konten, nicht zum Einsatz. Es ist jetzt vorhanden.
Zusätzlich zu seiner Anfälligkeit lief Suffolk wie viele Bezirke auf sogenannten Legacy-Systemen, veralteten Plattformen, die viele Unternehmen nicht modernisieren können oder sich nicht leisten können, sagte Benjamin Voce-Gardner, der Direktor des Office of Counter Terrorism for die New York State Division of Homeland Security and Emergency Services, die bei der Reaktion behilflich war.
Nach dem Angriff erhöhte Herr Bellone das Betriebsbudget des Bezirks für 2023 um 9 Millionen US-Dollar, um Cybersicherheitsmaßnahmen zu finanzieren. Und letzten Monat kündigte Kevin J. McCaffrey, der Vorsitzende der Legislative von Suffolk County, die Einrichtung eines Komitees mit Vorladungsbefugnis an, um die Ursachen des Hacks zu untersuchen.
„Sie haben versucht, dies als eine weitere Art von Katastrophe zu charakterisieren, der sie sich stellen mussten, ähnlich wie Hurrikan Sandy oder sogar Covid“, sagte McCaffrey. „Hurrikan Sandy und Covid waren Naturereignisse. Dies ist ein Versäumnis, weiterzumachen und proaktiv zu sein.“
Tatsächlich hatten einige Bezirksbeamte lange vor dem Angriff Bedenken über den Sicherheitszustand des Bezirks geäußert und erklärt, sie seien zurückgewiesen worden. Im Juni beantragte Judith A. Pascale, die scheidende Bezirkssekretärin, eine separate Firewall für ihr Büro, weil sie befürchtete, dass die Daten ihres Büros gefährdet seien.
E-Mails zwischen Ms. Pascale und Scott Mastellon, dem Beauftragten für Informationstechnologie des Bezirks, scheinen zu zeigen, dass die spezifische Anfrage abgelehnt wurde. Die E-Mails wurden zuerst von Newsday gemeldet und von der New York Times erhalten. (Der Landkreis bestritt die Charakterisierung und sagte, dass er eine gleichwertige Technologie anbiete, aber das Büro der Geschäftsstelle habe sie nicht verwendet.)
„Ich bin nicht der langgebrüllte Wolf“, sagte Frau Pascale „Leute, das ist ein globales Problem.“
Andere verteidigten die Reaktion des Landkreises auf die aktuelle Krise: „Dies ist ein Angriff eines Gegners, der Misstrauen und Chaos säen will, um dies zu nutzen, um Steuergelder zu stehlen“, sagte Michael AL Balboni, Präsident und Geschäftsführer von RedLand Strategies, das eine leitete Trainingsübung 2019 für Bezirksleiter. Nach dem Hack wurde die Firma von Herrn Balboni erneut mit der Bereitstellung von Beratung beauftragt.
„Auf lokaler Regierungsebene haben Sie nicht die Ressourcen oder die Fähigkeit, auf einen nationalstaatlichen Angriff zu reagieren – und es ist unrealistisch, dies zu erwarten“, sagte Herr Balboni.
Heute sind einige Dienste in Suffolk County immer noch verschlüsselt, ohne wirklich zu wissen, wann sie repariert werden. Die Website des Landkreises ist nur eine Liste von Kontakten. Es ist immer noch nicht möglich, Parktickets und die meisten Umzugsverstöße persönlich oder online zu teilen, und Verspätungsgebühren wurden erlassen. Die letzten verbliebenen E-Mail-Konten für Bezirksangestellte wurden Anfang November wiederhergestellt, aber mehrere Beamte sagten, die gesamte frühere Korrespondenz sei verschwunden. (Frau Black sagte, dass es Möglichkeiten gibt, darauf zuzugreifen.)
In seinem Büro in Riverhead verbringt der County Comptroller, John M. Kennedy Jr., immer noch viele Tage damit, Schecks von Hand zu unterschreiben.
„Es war eine gelernte Lektion und eine sehr teure Lektion“, sagte er. „Und wir haben sehr schnell erfahren, welche Investitionen wir die ganze Zeit über in die Cybersicherheit tätigen mussten.“
Die New York Times
