Connor Goodwolf
Der Ransomware-Angriff auf Columbus im US-Bundesstaat Ohio sorgt auch Monate später noch für Schlagzeilen. Das liegt vor allem daran, dass die Verantwortlichen im Rathaus der Stadt den Sicherheitsvorfall auf die wohl denkbar schlechteste Weise gemanagt haben. Im Ergebnis haben sie:
- Sammelklagen betroffener Bürger und Mitarbeiter ausgelöst – und müssen mit weiteren rechnen.
- das Vertrauen der Stadtgemeinschaft in die Sicherheit ihrer Daten grundlegend erschüttert.
- den Unmut der Cybersecurity-Community auf sich gezogen.
Letztes liegt vor allem daran, dass der Stadtverwaltung von Columbus im Angesicht einer Cyberattacke von katastrophalem Ausmaß kein Aufwand zu groß war. Nur leider nicht, um die Daten seiner Bürger angemessen zu schützen, sondern um den Cybersecurity-Experten Connor Goodwolf gerichtlich zum Schweigen zu bringen.
Sein “Vergehen”: Er hatte publik gemacht, dass der anfangs vom Rathaus als “System-Anomalie” verkaufte Vorfall ein Ransomware-Angriff war, bei dem persönliche Daten von Mitarbeitern und Einwohnern der Stadt in erheblichem Umfang gestohlen wurden.
Die Timeline des Ransomware-Debakels
Die folgende Zeitachse der Ereignisse rund um den Cyberangriff auf die Stadt Columbus verdeutlicht, wie rasant die Reaktion der Stadtverantwortlichen in eine Fuckup-Parade ausartete.
18. Juli 2024
Die Ransomware-Gruppe Rhysida greift die Stadt erfolgreich mit erpresserischer Malware an. Vier Tage später gibt das Büro des Bürgermeisters von Columbus eine Erklärung ab. Dieser zufolge habe die IT-Abteilung der Stadt “Hinweise auf eine Anomalie in ihrem System gefunden” und in der Folge ihre Systeme offline genommen.
31. Juli 2024
Zwei Polizeibeamte von Columbus melden, dass ihre Bankkonten gehackt wurden. Daraufhin bietet die Stadt am nächsten Tag sämtlichen Mitarbeitern ein kostenloses Credit Monitoring an.
1. August 2024
Die Hacker-Gruppe Rhysida verlangt für 6,5 Terabyte gestohlener Daten ein Lösegeld in Höhe von knapp zwei Millionen Dollar. Um ihre Behauptungen zu unterstreichen, veröffentlichen die Cyberkriminellen Samples der Daten auf ihrer Leak-Seite.
7. August 2024
Rhysida gibt bekannt, circa 45 Prozent der erbeuteten Daten veröffentlicht zu haben und droht mit weiteren Leaks, falls die Stadt das Lösegeld weiterhin nicht bezahlt. In der Zwischenzeit erklärt das Büro von Bürgermeister Andrew Ginther, es gäbe keine Hinweise darauf, dass Daten veröffentlicht worden seien. Davon abgesehen habe die Stadtverwaltung auch keine Lösegeldforderung erhalten.
13. August 2024
Im Rahmen einer Pressekonferenz legt Ginther nach und behauptet in einem “Fact Sheet”, die von den Cyberkriminellen veröffentlichten, gestohlenen Daten seien verschlüsselt oder beschädigt und daher nicht zu gebrauchen.
Dem widerspricht ein in Columbus beheimateter Cybersicherheitsexperte – Connor Goodwolf (der mit bürgerlichem Namen David Leroy Ross heißt). Seinen Informationen zufolge seien die von Rhysida geleakten Daten leicht lesbar und beträfen einen beträchtlichen Teil der Einwohner von Columbus. Nämlich sämtliche Bürger, die in den letzten zehn Jahren mit der Stadtverwaltung oder der Staatsanwaltschaft von Columbus interagiert haben.
16. August 2024
Die Stadt weitet das kostenlose Credit-Monitoring-Angebot auf alle von dem Cyberangriff betroffenen Einwohner aus.
17. August 2024
Ginther bestätigt, dass “personenbezogene Daten” im Darknet geleakt wurden, darunter Informationen über Kriminelle, Opfer von Straftaten und Zeugen der Staatsanwaltschaft. Der Bürgermeister gibt darüber hinaus zu, dass möglicherweise auf weitere, personenbezogene Daten zugegriffen wurde und diese potenziell im Darknet veröffentlicht werden könnten.
19. August 2024
Goodwolf informiert die Presse darüber, dass Rhysida eine weitere städtische Datenbank gehackt hat, die Tausende von Einsatzberichten der Feuerwehr von Columbus und Informationen über Personen enthält, die seit 2006 städtische Gebäude aufgesucht haben.
20. August 2024
Eine Sammelklage gegen die Stadt wird eingereicht – auf Betreiben der Polizei- und Feuerwehr-Behörden der Stadt.
28. August 2024
Goodwolf informiert die Presse darüber, dass Informationen aus der Datenbank der Polizei von Columbus im Darknet verfügbar sind. Diese enthält Informationen über Zeugen, Opfer und Verdächtige aus sämtlichen Polizeiberichten der letzten zehn Jahre – inklusive der Namen von verdeckten Ermittlern. Die Stadt reicht daraufhin eine Zivilklage gegen Goodwolf ein (PDF) und beschuldigt ihn, illegal Daten heruntergeladen und verbreitet zu haben. Dabei nimmt die Stadtverwaltung besonderen Anstoß daran, dass Goodwolf Auszüge der gestohlenen Daten – die er von der Rhysida Leak-Seite geladen hatte – an die Medien weitergeleitet hat.
Die Stadt argumentiert in ihrer Klage, dass nur Experten mit fortgeschrittenen Fähigkeiten in der Lage seien, sich im Darknet zurechtzufinden und mit Cyberkriminellen zu interagieren. Darüber hinaus bewertet die Stadt Goodwolfs Plan, eine Datenbank nach dem Vorbild von “Have I Been Pwned” zu schaffen (über die die Einwohner von Columbus überprüfen sollen, ob ihre Daten von dem Angriff betroffen sind), als “Drohung, gestohlene Daten offenlegen und an die lokale Bevölkerung verbreiten” zu wollen.
Als Wiedergutmachung für den “irreparablen Schaden” sowie die “Verunsicherung in der gesamten Region” verlangt die Stadt Columbus von Goodwolf Schadenersatz in Höhe von mehr als 25.000 Dollar. Darüber hinaus erwirkt sie auch mit Erfolg eine einstweilige Verfügung gegen den Cybersicherheitsspezialisten, um ihn daran zu hindern, weiterhin auf “die gestohlenen Daten zuzugreifen, sie herunterzuladen oder zu verbreiten.”
9. September 2024
Fast zwei Monate nach dem Ransomware-Angriff wird der Stadtrat von Columbus in einem Briefing erstmals über den Vorfall informiert. Zu diesem Anlass teilt der CTO der Stadt, Sam Orth, mit, dass zu diesem Zeitpunkt noch 23 Prozent der städtischen IT-Systeme lahmgelegt sind – und weitere sieben Prozent bis dato nur teilweise wiederhergestellt werden konnten.
Der städtische Tech-Manager gibt bei dieser Gelegenheit auch zu, dass die Cyberkriminellen personenbezogene Daten von Hunderttausenden von Einwohnern gestohlen haben – zu viele, um sie alle einzeln benachrichtigen zu können. Um den Medien zu entfliehen, verlässt der CTO die Stadtratssitzung über einen Notausgang.
11. September 2024
Die Stadt erzielt mit Blick auf die einstweilige Verfügung eine Einigung (PDF) mit Connor Goodwolf. Nach dieser bleibt es dem Sicherheitsexperten untersagt, die gestohlenen Daten an Dritte weiterzugeben – außer, es handelt sich dabei um Vertreter der Stadtverwaltung. Insbesondere ist es Goodwolf auch untersagt, Informationen aus den genannten Polizeidatenbanken weiterzugeben.
“Dieses verdammte Fact Sheet”
Von seiner Heimatstadt gerichtlich verfolgt zu werden, hat Goodwolf überrascht, wie er zugibt: “Sie haben zu keinem Zeitpunkt versucht, Kontakt mit mir aufzunehmen, bevor sie ihre Klage eingereicht und eine einstweilige Verfügung beantragt haben.”
Laut dem Staatsanwalt von Columbus, Zach Klein, waren es insbesondere die an Medienvertreter weitergegebenen Daten aus den Polizeidatenbanken, die die Stadtverwaltung zu diesem Schritt bewogen hat: “Wer weiß, an wen er diese Informationen sonst noch weitergibt. An Freunde? Familie? Es handelt sich um persönliche, vertrauliche Informationen und Ermittlungsakten. Wir haben die einstweilige Verfügung beantragt, um die Opfer und Zeugen von Verbrechen sowie unsere Polizeibeamten zu schützen.”
Goodwolf allerdings hat nach eigener Aussage die gestohlenen Daten nur deshalb an die Medien weitergegeben, damit diese deren Echtheit bestätigen können. “Ich hätte mich gar nicht erst an die Medien wenden müssen, wenn ich die Möglichkeit bekommen hätte, mit einem Verantwortlichen der Stadtverwaltung zu sprechen. Das hätte alles nicht so kommen müssen”, konstatiert der Sicherheitsexperte und beteuert, mehrmals versucht zu haben, die Verantwortlichen im Rathaus von Columbus über die Ransomware-Attacke zu informieren. Goodwolf erklärt, was ihn veranlasst hat, sich überhaupt erst an die Medien zu wenden: “Es war dieses verdammte Fact Sheet, das vom Bürgermeister ausgegeben wurde und ausschließlich aus Lügen bestand. Insbesondere die Behauptung, dass die gestohlenen Daten verschlüsselt oder beschädigt gewesen seien.”
Von der Infosec-Community wird Goodwolf gefeiert – und in Schutz genommen. Das verdeutlicht unter anderem ein offener Brief (PDF) an Staatsanwalt Klein, der von diversen Sicherheitsexperten unterzeichnet wurde. In dem Brief prangern diese die Klage der Stadt als “falsch” und “kontraproduktiv” an. Die tatsächlichen Kriminellen, so heißt es in dem Schreiben, seien die Cyberakteure von Rhysida. Deswegen empfehlen die Cyberexperten der Stadtverwaltung bei dieser Gelegenheit, ihre Bemühungen lieber darauf zu fokussieren, den Bürgern reinen Wein einzuschenken und das eigene IT-Sicherheitsniveau zu optimieren.
“Die Stadt Columbus steht im Moment wirklich dumm da”, hält Michael Hamilton, Gründer und CISO von Critical Insight und ehemaliger CISO der Stadt Seattle, fest und fügt hinzu: “Es sieht ganz danach aus, als hätten sie versucht, jegliche Transparenz zunichtezumachen. Nun versuchen sie auch noch zu implizieren, dass Goodwolf in diesem Fall der Bösewicht ist. Das soll wohl von den eigenen Verfehlungen ablenken.”
Richard Forno, stellvertretender Direktor des Cybersecurity Institute an der University of Maryland, sieht das ähnlich: “Die Stadt Columbus ist extrem ungeschickt und plump vorgegangen. Sie haben sich selbst ein Bein gestellt und einen ohnehin verheerenden Vorfall noch schlimmer gemacht.”
