Sechzehn Stunden, live gestreamt, in den letzten Augusttagen
Zwischen dem 31. August und dem 3. September 2024 nahmen zwei Jugendliche die gesamte IT-Landschaft jener Organisation auseinander, die London bewegt, und streamten einen Teil davon live, während sie arbeiteten. Am 16. Juli verurteilte Mr Justice Turner am Woolwich Crown Court Owen Flowers, 18, aus Walsall, und Thalha Jubair, 20, aus Bow im Osten Londons, zu jeweils fünf Jahren und sechs Monaten Haft, ein Strafmaß, das bereits einen Nachlass von 15 Prozent für die im Juni abgegebenen Schuldbekenntnisse enthält. Beide mussten sich für ihren Anteil am Einbruch bei Transport for London verantworten, jener Behörde, die für die Underground, die Busse und die Straßen zuständig ist, die täglich Millionen Menschen nutzen.
Die National Crime Agency beschrieb dies nicht als gewöhnlichen Fall. Paul Foster, stellvertretender Direktor der Behörde, nannte es das größte Cybercrime-Verfahren, das jemals vor britischen Gerichten geführt wurde, und bezeichnete die dahinterstehende Gruppe als die bedeutendste Cybercrime-Bedrohung für das Vereinigte Königreich. Die beiden gehören zu dem lockeren Netzwerk, das Forscher Scattered Spider nennen, demselben Cluster, das mit dem Angriff auf MGM Resorts im Jahr 2023 und mit der Angriffswelle auf britische Einzelhändler im Jahr 2025 in Verbindung gebracht wird. Jubair allein wird vorgeworfen, 120 Netzwerke von 47 US-amerikanischen Organisationen kompromittiert zu haben, Aktivitäten, die mit mehr als 115 Millionen Dollar an Lösegeldzahlungen in Verbindung stehen.
Was den Fall eine Stunde der Aufmerksamkeit jedes Betreibers wert macht, ist nicht das Strafmaß. Es ist die Rechnung darunter. TfL zahlte kein Lösegeld. Es gab keine Erpressungszahlung, keine Verhandlung, keinen Kryptotransfer an eine Gruppe, die bereits bewiesen hatte, dass sie hineinkommen konnte. Die Organisation lehnte ab, stellte alles wieder her und verbuchte trotzdem eine Rechnung von rund 29 Millionen Pfund, etwa 33 Millionen Euro. Diese Zahl ist der ehrliche Preis dieses Angriffs, und sie ist die Zahl, die in Ihre eigene Planung gehört, denn sie zeigt, was geschieht, wenn die Antwort auf die Forderung Nein lautet.
Sie brachen keine Tür auf. Sie riefen beim Helpdesk an
Der Einstiegsweg hatte keinerlei exotische Komponente. Die Angreifer beschafften sich Teilzugangsdaten aus kriminellen Foren, jenes fragmentarische Material, das sich über Jahre aus unzusammenhängenden Datenlecks ansammelt und sehr wenig kostet. Teilzugangsdaten sind kein Zugang. Was sie in Zugang verwandelte, war der nächste Schritt: Phishing und Social Engineering, die auf Menschen zielten, und ein Helpdesk, der sich dazu überreden ließ, die Multi-Faktor-Authentifizierung zurückzusetzen, nachdem einer der Angreifer sich als Beschäftigter ausgegeben hatte. Der zweite Faktor tat genau das, wofür er gebaut war. Er wurde schlicht von jenem Prozess herausgegeben, der existiert, um ausgesperrten Beschäftigten zu helfen.
Das ist der unangenehme Teil, denn die versagende Kontrolle taucht auf keinem Architekturdiagramm auf. Organisationen kaufen MFA und verbuchen das Risiko anschließend als behandelt. Das Restrisiko sitzt im Wiederherstellungspfad, und der Wiederherstellungspfad ist ein Mensch unter Zeitdruck, dessen Aufgabe es ist, hilfsbereit zu sein, der daran gemessen wird, wie schnell die Warteschlange abgearbeitet ist, und der keine verlässliche Möglichkeit hat nachzuweisen, dass die besorgte Stimme am Telefon zu dem Namen auf dem Ticket gehört. Jedes gehärtete Identitätssystem der Welt wird mit einem weichen Umgehungspfad ausgeliefert, und dieser Umgehungspfad ist mit jemandem besetzt, der an Geschwindigkeit gemessen wird.
Die Forensik zeigt einen Fall, der aus gewöhnlichen Dingen gebaut ist und nicht aus cleveren. Ein Acer-Laptop von Flowers enthielt Protokolle über Zugriffe auf Remote-Infrastruktur, Videos und Screenshots des Angriffs selbst, Tabellen mit Zugangsdaten von TfL-Beschäftigten sowie Kryptowährungs-Zahlungsbelege, die zu Essenslieferungen an seine eigene Adresse passten. Dieselbe Maschine trug Spuren, die zu Einbrüchen bei den amerikanischen Gesundheitsdienstleistern SSM Health und Sutter Health führten. Die Leute, die eine Verkehrsbehörde 29 Millionen Pfund kosteten, bestellten sich das Abendessen in die Wohnung, aus der heraus sie es taten.
28.000 Menschen, eine Schlange, keine Abkürzung
Hier ist das Geld tatsächlich hingeflossen. Rund 28.000 TfL-Beschäftigte mussten persönlich in einem Büro erscheinen, damit ein anderer Mensch, der ihr Gesicht sehen konnte, ihre Passwörter zurücksetzte. Kein E-Mail-Link. Kein Self-Service-Portal. Kein Anruf beim Helpdesk, denn genau der Helpdesk war missbraucht worden. Wenn das Identitätssystem selbst verdächtig ist, erbt jeder Fernkanal zum Nachweis der eigenen Identität diesen Verdacht, und das einzige verbleibende Instrument, das ein Angreifer nicht in großem Maßstab fälschen kann, ist die körperliche Anwesenheit. Das ist der Kostentreiber, und es ist ein Logistikproblem, das ein Cybersecurity-Etikett trägt.
Rechnen Sie das für Ihre eigene Organisation durch, denn die Rechnung ist unerbittlich, und niemand stellt sie vorher an. Nehmen Sie Ihre Belegschaft. Teilen Sie sie durch die Zahl der Menschen, die Sie pro Stunde plausibel persönlich identifizieren könnten, über alle Ihre Standorte hinweg, an einem Tag, an dem Ihre Systeme stillstehen und Sie Ihren Beschäftigten die Anweisungen nicht per E-Mail schicken können. Dieser Quotient ist Ihre Wiederherstellungszeit, und er wird nicht kürzer, weil Sie ein besseres Produkt gekauft haben. Die 148 betroffenen Systeme von TfL waren der technische Umfang. 28.000 Identitäten waren der operative Umfang, und die zweite Zahl ist diejenige, die die Rechnung bestimmte.
Die Folgen für die Kunden zogen sich weit länger hin als der Einbruch selbst. Der Angriff selbst umfasste drei Tage Ende August. Die Ausgabe von Foto-Fahrkarten kehrte erst am 4. Dezember 2024 zurück, mehr als drei Monate später, begleitet von Störungen bei Kontoanmeldungen, Kundenportalen, angebundenen Drittanbieter-Anwendungen und Fahrkartenautomaten. Bei sieben Millionen Nutzern wurden Informationen offengelegt. Ein in Tagen gemessener Einbruch erzeugte einen in Monaten gemessenen Serviceausfall, und jeder Vorstand, der die Ausfallzeit aus der Dauer des Angriffs ableitet, liest das falsche Ende der Zeitachse.
Erst die zweite Verurteilung dieser Art
Das juristische Detail wiegt schwerer, als es aussieht. Flowers und Jubair wurden nach Section 3ZA des Computer Misuse Act 1990 verurteilt, jener Vorschrift, die unbefugten Handlungen vorbehalten ist, die einen erheblichen Schaden materieller Art verursachen oder das Risiko eines solchen Schadens schaffen. Es ist erst die zweite Verurteilung, die jemals nach diesem Abschnitt erwirkt wurde. 35 Jahre lang hat das Gesetz überwiegend Anklagen wegen unbefugten Zugriffs und wegen Beeinträchtigung hervorgebracht; die Tatbestandsvariante des erheblichen Schadens war nahezu theoretisch. Sie ist nun nachweislich anwendbar, und sie wurde auf einen Angriff auf den Verkehrssektor angewandt und nicht auf ein Krankenhaus oder ein Kraftwerk.
Lesen Sie das als Signal dafür, wo britische Staatsanwälte die Grenze verorten. Section 3ZA existiert für Folgen in der physischen Welt und im nationalen Leben, und ein öffentliches Verkehrsnetz erfüllte diese Voraussetzung. Jeder Betreiber, dessen Ausfall das gewöhnliche Funktionieren einer Stadt unterbrechen würde, sollte annehmen, dass dieselbe Begründung für einen Angriff auf ihn gilt, und das wirkt auch zu seinen Gunsten: Der Staat behandelt einen Einbruch in diese Art von Infrastruktur nun als Delikt des erheblichen Schadens, und er ist bereit, jahrelang an der Beweisführung zu arbeiten, die das belegt.
Es setzt außerdem eine Marke bei der Abschreckung, die Eigentümer ehrlich lesen sollten. Fünfeinhalb Jahre für 29 Millionen Pfund Schaden und sieben Millionen offengelegte Datensätze sind ein reales Strafmaß, das fast zwei Jahre nach dem Angriff kommt, gegen zwei Personen aus einem Netzwerk, das die ganze Zeit über weiterarbeitete. Strafverfolgung ist eine Folge, keine Kontrolle. Sie bestraft die Täter lange, nachdem Ihre Wiederherstellung abgeschlossen und Ihr Geld ausgegeben ist, und nichts an diesem Urteil hätte die Warteschlange von TfL um eine einzige Stunde verkürzt.
Vier Fragen an Ihren eigenen Service Desk, noch diese Woche
Kann Ihr Helpdesk die Multi-Faktor-Authentifizierung allein auf einen Telefonanruf hin zurücksetzen? Wenn ja, haben Sie die Schwachstelle von TfL, egal was Ihr Sicherheitsstack kostet. Die Behebung ist prozedural statt technisch: Verlangen Sie einen Prüfweg, den der Anrufer nicht aus gestohlenen Fragmenten liefern kann, etwa die Bestätigung über eine Führungskraft auf einem bekannt sicheren Kanal, einen Videoabgleich mit der Personalakte oder persönliches Erscheinen bei privilegierten Konten. Das ist langsamer, und Beschäftigte werden sich beschweren. Genau in dieser Beschwerde wirkt die Kontrolle.
Wie lange brauchen Sie, um alle neu zu identifizieren? Machen Sie die Division. Wenn die Antwort länger als vierzehn Tage lautet, entscheiden Sie jetzt, welche Rollen zuerst wiederhergestellt werden, denn am Tag selbst nehmen Sie diese Triage in Eile vor, mit einer Führungskraft im Nacken. Schreiben Sie die Reihenfolge auf, solange es ruhig und langweilig ist, und bewahren Sie sie an einem Ort auf, der den Verlust der Systeme überlebt, die sie beschreibt.
Was bricht für Ihre Kunden weg, und wie lange noch, nachdem Sie sauber sind? Die interne Wiederherstellung von TfL und ihre öffentliche Wiederherstellung waren zwei verschiedene Ereignisse, drei Monate auseinander. Bestimmen Sie die Prozesse, die Kunden berühren und von Daten abhängen, die Sie neu aufbauen oder neu prüfen müssten, und bepreisen Sie diese getrennt von Ihrer technischen Wiederherstellung. Dort sitzt der Reputationsschaden, und dort hört die Zahl auf, wie ein IT-Kostenposten auszusehen, und beginnt, wie Umsatz auszusehen.
Weiterlesen: Ein Commit ist noch kein Audit-Trail | Elf signierte Bootloader umgehen Secure Boot



