Ransomware-Angriff auf Los Angeles County Superior Court: Sicherheitsversagen? Oder Erfolg?

Über den jüngsten Ransomware-Angriff auf das Los Angeles County Superior Court-System wurde in der Presse viel berichtet, und man ist sich einig, dass er verheerend war. 

Aber war es das wirklich? Es gibt noch vieles, was wir nicht wissen. Doch auf der Grundlage dessen, was wir wissen, kann man sagen, dass das Gericht fantastische Arbeit geleistet hat, indem es den Angriff aufgedeckt und so darauf reagiert hat, dass der Schaden minimiert und eine rasche Erholung und Rückkehr zum normalen Betrieb ermöglicht wurde.

Was wir wissen 

Zunächst einmal wissen wir, dass der Los Angeles County Superior Court das größte Gericht des Landes ist, mit 36 Gerichtsstandorten im gesamten Bezirk. Im Jahr 2022 wurden weit über eine Million Fälle beim Gericht eingereicht und 2.200 Geschworenenprozesse durchgeführt. 

Aufgrund der Aussagen des Gerichts wissen wir, dass der Angriff am 19. Juli 2024 statt gefunden hatte. Sobald der Angriff entdeckt wurde, deaktivierte die Abteilung Court Technology Services (CTS) des Gerichts ihre Netzwerksysteme, um Schäden und Verluste zu begrenzen.

Der 19. Juli war ein Freitag. Am Montag, den 22. Juli, war das Gericht geschlossen. Am Dienstag, den 23., waren alle 36 Gerichte des Systems wieder geöffnet, und viele, aber sicherlich nicht alle Online-Systeme und Anwendungen des Gerichts waren in Betrieb. Beispielsweise war die elektronische Einreichung nur für „verfahrenseinleitende Dokumente“ verfügbar. Neue Dokumente konnten in bestehenden Verfahren jedoch nicht eingereicht werden.

LaCourtConnect, die Plattform des Gerichts für Fernauftritte war noch nicht funktionsfähig, aber das Selbsthilfezentrum und andere Teile der Website des Gerichts waren verfügbar. Am darauffolgenden Tag, dem 24. Juli, waren Fernauftritte mit LaCourtConnect für Zivilverfahren verfügbar, aber nicht für andere Arten von Fällen.

Im Laufe der restlichen Woche wurden weitere Anwendungen und Ressourcen wiederhergestellt, bis das Gericht am darauffolgenden Montag, dem 29. Juli, bekannt gab, dass alle öffentlich zugänglichen Systeme wieder funktionsfähig waren.

Was wir nicht wissen

Vielleicht am wichtigsten ist, dass wir immer noch nicht wissen – weil das Gericht bisher die Antwort verweigert hat –, ob das Gericht Lösegeld gezahlt hat, um den Angriff zu beenden.

Außerdem wissen wir nicht genau, über welche Cybersicherheitsressourcen das Gericht zum Zeitpunkt des Angriffs verfügte. 

Einige Beobachter haben darauf hingewiesen, dass Gerichte und andere städtische und lokale Regierungsorganisationen stark ins Visier von Ransomware-Betrügern geraten sind. Wir haben dieses Thema an dieser Stelle in den letzten Jahren schon mehrmals behandelt, zum Beispiel hier, hier und hier.

„Hohe Investitionen“ in Cybersicherheit

Ein Grund, warum sie verlockende Ziele sind, ist einfach, dass ihre Abwehrkräfte tendenziell weniger robust sind als die vieler privater Organisationen, was in der Regel auf Unterfinanzierung zurückzuführen ist.

Wie die Vorsitzende Richterin des Gerichtshofs, Samantha P. Jessner, in ihren Stellungnahmen betonte, hat das Gericht in den letzten Jahren jedoch „hohe Investitionen“ in Cybersicherheit getätigt, mit denen sie die schnelle Eindämmung und Erholung nach dem Angriff vom 19. Juli teilweise in Verbindung brachte.

Auch wenn das Gericht kein Kunde von Barracuda war, ist es durchaus möglich, dass diese Investitionen in die Cybersicherheit erweiterte Backups, erweiterte Erkennungs- und Reaktionsmechanismen (XDR), Zero-Trust-Zugriffskontrollen und/oder andere moderne Lösungen umfassten, die nachweislich die Erkennung von Ransomware-Angriffen und die Reaktion darauf beschleunigen. 

Aber die Tatsache, dass das Gericht nur vier Tage nach dem Angriff geöffnet war und sich nach nur 11 Tagen vollständig erholt hat, deutet darauf hin, dass seine Cybersicherheitsinfrastruktur recht robust war. Ähnliche Angriffe auf andere Kommunen haben den Betrieb häufig über Wochen oder sogar Monate hinweg unterbrochen. 

Störung, nicht Verwüstung

Offensichtlich war dieser Angriff für Organisationen und Einzelpersonen während der 11 Tage bis zur vollständigen Sanierung äußerst störend. Und die Redaktionen haben völlig Recht, mehr Details und Informationen über den Angriff und die Reaktion des Gerichts zu fordern.

Aber im größeren Kontext der Welle von Angriffen auf das kommunale System in den letzten Jahren sollten wir uns eingestehen, dass das Ergebnis viel schlimmer hätte ausfallen können und die Störung des Rechtssystems des LA Countys viel länger hätte andauern können. 

In diesem Zusammenhang halte ich es für sehr wahrscheinlich, dass dieser Vorfall, wenn die Details bekannt werden, als Beweis dafür gesehen werden wird, dass kommunale und lokale Regierungsorganisationen effektiv auf den Druck reagiert haben, mehr in die Modernisierung ihrer Cybersicherheitstechnologie, sowie Schulungen und Mitarbeiter in eben dem Bereich zu investieren.