---
title: "Als eine ganze amerikanische Stadt durch Ransomware lahmgelegt wurde - Der Saint Paul Cyberangriff in der Realität"
date: 2025-09-26
slug: "saint-paul-ransomware-angriff-interlock-fallstudie-2025"
categories: ["security"]
tags: ["ransomware", "hacking", "cyberangriff", "cybersicherheit", "saint-paul", "interlock", "ransomware-schutz", "datenleck", "stadtinfrastruktur"]
description: "Der schlimmste Ransomware-Vorfall aller Zeiten - eine ganze amerikanische Stadt wurde lahmgelegt. Anhand des Saint Paul Ransomware-Angriffs durch die Interlock-Gruppe untersuchen wir die Realität des Cyberterrorismus und wie man sich schützen kann."
---
Letzten Juli ereignete sich in Saint Paul, Minnesota, ein verheerender Ransomware-Angriff, der zu einem der schlimmsten Cybersicherheitsvorfälle in der amerikanischen Kommunalgeschichte führte.
Die gesamten Computersysteme der Stadt wurden lahmgelegt, die Netzwerkkommunikation fiel aus, Bürger konnten ihre Wasserrechnungen nicht bezahlen, Bibliotheken verloren den WLAN-Zugang, und selbst Stadtangestellte konnten nicht arbeiten.
Es stellte sich heraus, dass dies ein Ransomware-Angriff war, orchestriert von einer Hackergruppe namens "Interlock."
Was besonders empörend ist: Als die Stadt sich weigerte zu zahlen, veröffentlichten diese Kriminellen 43GB an Bürgerdaten im Internet.
Schauen wir uns genau an, was passiert ist und was wir daraus lernen können.
## Wie alles begann
Ich bin auf diese Geschichte gestoßen, als ich durch Sicherheitsnachrichten gescrollt habe.
Wir hatten in letzter Zeit auch in Korea mit Ransomware-Angriffen zu kämpfen, also habe ich im Blick behalten, was anderswo passiert. Aber das hier? Das war eine andere Hausnummer.
Eine ganze amerikanische Stadt in die Knie gezwungen. Ich konnte es kaum glauben.
Kannst du dir vorstellen, wie es sich anfühlt, wenn eine ganze Stadt lahmgelegt wird?
Als ich darüber nachdachte, war es wirklich beängstigend.
All die digitalen Dienste, die wir im Alltag als selbstverständlich ansehen, werden plötzlich in einem Augenblick nutzlos.
(Ich meine, können wir überhaupt noch ohne Internet funktionieren??)
## Zeitleiste des Angriffs
So lief alles ab, Tag für Tag.
- **22. Juli 2025**: Die US-Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) gibt eine Warnung vor der Interlock-Ransomware-Gruppe heraus
- **25. Juli 2025**: Die automatisierten Sicherheitssysteme von Saint Paul erkennen erstmals "verdächtige Aktivitäten" und der Angriff beginnt
- **25.-27. Juli 2025**: Der Angriff dauert das ganze Wochenende an, Systemschäden eskalieren
- **27. Juli 2025**: Stadtbehörden schalten alle Informationssysteme vollständig ab, um weitere Schäden zu verhindern
- **28. Juli 2025**: WLAN im Rathaus und in öffentlichen Bibliotheken abgeschaltet, Online-Zahlungstools deaktiviert, interner Netzwerkzugang ausgesetzt (911-Notdienste bleiben betriebsbereit)
- **29. Juli 2025**: Bürgermeister Melvin Carter erklärt offiziell den lokalen Ausnahmezustand / Gouverneur Tim Walz aktiviert das Cyber-Schutzteam der Minnesota-Nationalgarde / FBI leitet Ermittlungen ein und setzt zwei nationale Cybersicherheitsfirmen ein
- **30. Juli 2025**: Stadt kündigt an, dass Mitarbeitergehälter trotz Ausfall des Lohnabrechnungssystems normal gezahlt werden
- **1. August 2025**: Stadtrat von Saint Paul beschließt einstimmig, den Ausnahmezustand um 90 Tage zu verlängern
- **8. August 2025**: Manuelle Lohnabrechnung abgeschlossen, alle Mitarbeiter normal bezahlt
- **10. August 2025**: Angreifer als 'Interlock'-Ransomware-Gruppe offiziell bestätigt / "Operation Secure St. Paul"-Wiederherstellungsoperation beginnt (Passwortzurücksetzungen und Geräteüberprüfungen für etwa 3.500 Personen)
- **11. August 2025**: Stadt gibt offiziell die Ablehnung der Lösegeldforderungen bekannt / Interlock rächt sich durch Veröffentlichung von 43GB gestohlener Daten im Dark Web (hauptsächlich Dokumente der Parks- und Freizeitabteilung) / Kündigt 12-monatigen kostenlosen Kreditüberwachungsservice für alle Mitarbeiter an
- **12. August 2025**: Operation Secure St. Paul Phase 1 abgeschlossen (über 2.000 Personen bearbeitet)
- **Ende August 2025**: Telefondienste, Online-Wasserrechnungszahlungen, Parks- und Freizeitzahlungssysteme beginnen schrittweise Wiederherstellung
## Juli 2025: Saint Paul Systemausfall
Die ersten verdächtigen Anzeichen in Saint Paul wurden am Freitagmorgen, dem 25. Juli 2025, erkannt.
Die automatisierten Sicherheitssysteme der Stadt entdeckten "verdächtige Aktivitäten." Aber es war bereits zu spät.
Der Angriff der Hacker dauerte das ganze Wochenende an. Vom 25. bis 27. Juli stand die gesamte Stadt im Grunde unter digitaler Belagerung.
Um weitere Schäden zu verhindern, trafen die Stadtbehörden am Sonntag, dem 27. Juli, die drastische Entscheidung, alle Informationssysteme herunterzufahren.
Was waren die Folgen?
Das WLAN im Rathaus und in öffentlichen Bibliotheken wurde komplett dunkel, und Online-Zahlungssysteme waren völlig lahmgelegt.
Die Bürger hatten keine Möglichkeit, ihre Wasserrechnungen zu bezahlen.
Den 911-Notruf konnten sie noch aufrechterhalten - was, na ja, irgendwie ziemlich wichtig ist.
Aber all die anderen Dienste, auf die Menschen angewiesen sind? Wasserrechnungszahlungen,
städtische Aufzeichnungen, interne Systeme... alles offline.
## Ausnahmezustand
Am 29. Juli entschied Saint Pauls Bürgermeister Melvin Carter, dass sie nicht länger durchhalten konnten.
Er kündigte offiziell an, dass dies nicht nur ein einfacher Systemfehler war, sondern vielmehr "ein vorsätzlicher und koordinierter digitaler Angriff durch hochentwickelte externe Akteure."
Er erklärte sofort den lokalen Ausnahmezustand.
Das zeigt, wie ernst die Situation geworden war.
Minnesotas Gouverneur Tim Walz erließ an diesem Abend ebenfalls eine Durchführungsverordnung und setzte das Cyber-Schutzteam der Minnesota-Nationalgarde ein.
Die offizielle Begründung lautete, dass "das Ausmaß und die Komplexität des Angriffs die Reaktionsfähigkeiten der Stadt überstiegen."
Stell dir mal vor - die Nationalgarde für einen Cyberangriff auf eine Stadt einzusetzen... das ist absolut beispiellos.
Das FBI schaltete sich ein. Zwei große Cybersicherheitsfirmen auch. Alle rannten wie aufgescheuchte Hühner herum.
## Die Identität von Interlock
Erst am 10. August wurde die Identität der Angreifer bekannt.
In einer Pressekonferenz enthüllte Bürgermeister Carter, dass es sich um das Werk einer Ransomware-Gruppe namens "Interlock" handelte. (Was ehrlich gesagt viel länger dauerte, als man denken würde.)
Interlock ist nicht irgendeine Hackergruppe.
Die US-Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hatte nur drei Tage vor dem Angriff eine Warnung vor ihnen herausgegeben.
Bürgermeister Carter beschrieb sie als "eine hochentwickelte, finanziell motivierte Organisation, die Unternehmen, Krankenhäuser und Regierungsbehörden ins Visier nimmt und Terabytes sensibler Informationen stiehlt und verkauft."
Ihre Forderung war einfach:
Zahlt uns Geld.
Der genaue Betrag? Sagt keiner. Aber St. Paul gab nicht nach.
Und dann wurde es richtig hässlich.
## Vergeltung und Bürgerdatenleck
Als die Stadt sich weigerte, das Lösegeld zu zahlen, begann Interlocks Vergeltung.
Am 11. August veröffentlichten sie 43GB an Daten, die sie aus Saint Paul gestohlen hatten, im Internet.
Glücklicherweise stammten die meisten der durchgesickerten Daten von den gemeinsam genutzten Laufwerken der Parks- und Freizeitabteilung.
Sie enthielten Arbeitsdokumente, Kopien von Ausweisen, die Mitarbeiter bei der Personalabteilung eingereicht hatten, und sogar persönliche Kochrezepte - beschrieben als "vielfältige und unsystematische" Materialien.
Da man aber nicht wusste, was sonst noch durchsickern könnte, musste die Stadt ihre Bürger beruhigen.
Die Stadt kündigte an, allen Mitarbeitern 12 Monate lang kostenlose Kreditüberwachung und Identitätsdiebstahlschutz zur Verfügung zu stellen.
Dies war eine Vorsichtsmaßnahme für den Fall, dass sensiblere Informationen kompromittiert worden sein könnten.
## Start der Wiederherstellungsoperation
Um ihre Systeme wiederherzustellen, startete Saint Paul eine massive Operation.
Die sogenannte "Operation Secure St. Paul" erforderte, dass sich alle etwa 3.500 Stadtangestellten im Keller des Roy Wilkins Auditoriums versammelten und sich vor etwa 80 dort installierten Computern anstellten.
Die Mitarbeiter mussten ihre Ausweise und Mitarbeiternummern vorlegen, etwa 30 Minuten damit verbringen, Passwörter zurückzusetzen und Sicherheitsüberprüfungen ihrer Dienstlaptops durchzuführen.
Dieser Prozess dauerte drei Tage vom 10. bis 12. August, von 6 Uhr morgens bis 22 Uhr abends.
Es war ein kompletter Neustart. Die müssen eine unglaublich harte Zeit gehabt haben.
Erst nachdem alle Kontoinformationen zurückgesetzt wurden,
konnten sie beginnen, die Systeme eins nach dem anderen neu zu starten.
## Was ist Ransomware?
Kurze Auffrischung zu Ransomware, falls du damit nicht vertraut bist.
Es ist im Grunde digitale Geiselnahme.
Die Software schleicht sich in dein System, sperrt alle deine wichtigen Dateien mit Verschlüsselung und fordert dann - und hier kommt's - Zahlung, um sie freizuschalten.
"Zahl oder verlier alles" - so in etwa.
Die heutigen Ransomware-Angreifer sind noch hinterhältiger geworden.
Sie verschlüsseln nicht nur Dateien - sie stehlen vorher wichtige Daten.
Wenn also Opfer sich weigern zu zahlen, fügen sie eine weitere Drohung hinzu: "Dann veröffentlichen wir die persönlichen Informationen deiner Kunden oder Bürger im Internet."
Das nennt sich "Double Extortion" - doppelte Erpressung.
## Die Motive der Kriminellen
Warum investieren diese Kriminellen so viel Zeit und Mühe in diese Infektionen?
**Geld, offensichtlich.**
Diese Angriffe bringen richtig Kohle ein - wir reden hier von Hunderttausenden, manchmal Millionen pro Treffer. Wenn man Krankenhäuser oder Stadtverwaltungen ins Visier nimmt, kann die Ausbeute massiv sein.
Deshalb springen alle auf den Zug auf.
**Dann gibt's da noch diese ganze RaaS-Sache** - Ransomware as a Service.
Stell dir ein Franchise-Modell vor: Große Gruppen wie Interlock bauen die Tools, kleinere Hacker
führen die tatsächlichen Angriffe durch, alle teilen sich die Gewinne.
So 'ne "Ich kümmere mich um die Technik, du machst die Drecksarbeit"-Vereinbarung.
**Kryptowährung hat's auch einfacher gemacht.**
Bitcoin-Zahlungen sind nahezu unmöglich zurückzuverfolgen, also fühlen sich Kriminelle viel sicherer, wenn sie auf diese Weise Lösegeld fordern.
Und ehrlich? Es gibt immer noch massenhaft leichte Ziele da draußen.
Lokale Regierungen, kleine Unternehmen - viele investieren nicht genug in Sicherheit.
Sie denken "uns wird das nicht passieren", bis es passiert.
Dann ist es zu spät.
Und es gibt immer noch viele Ziele mit schwacher Cybersicherheit.
Besonders lokale Regierungen und kleine Unternehmen haben oft unzureichende Sicherheitsinvestitionen, was es Hackern leicht macht, einzudringen.
Sie denken "uns wird nichts Ernstes passieren..." und werden nachlässig, dann werden sie beim ersten Angriff völlig verwüstet.
**Hier ist die Sache mit Cybersicherheit:** Wenn ein Hacker wirklich rein will, schafft er's
irgendwann. Jedes System hat Schwachstellen.
Die Frage ist nicht "können sie einbrechen?" sondern "wie lange dauert es?" Starke Sicherheit verschafft dir Zeit - manchmal genug, dass sie aufgeben und weiterziehen.
## Was wir tun können
Wie können wir uns also vor solchen Angriffen schützen?
**Backups sind dein Sicherheitsnetz.**
Speichere Kopien wichtiger Dateien auf externen Laufwerken oder Cloud-Speicher - irgendwo getrennt von deinem Hauptsystem.
So bist du nicht völlig am Arsch, wenn Ransomware zuschlägt.
Nur eins: Lass Backup-Laufwerke nicht permanent an deinen Computer angeschlossen.
Die können auch verschlüsselt werden, wenn sich die Malware ausbreitet.
Ja, es ist etwas nervig, sie jedes Mal abzustecken, aber es lohnt sich.
**Halt alles aktuell.**
Ich weiß, ich weiß - Update-Benachrichtigungen sind nervig.
Aber diese Sicherheitspatches gibt's aus gutem Grund.
Wenn dein Betriebssystem oder deine Software dich zum Update auffordert, schieb's nicht auf.
Hacker suchen gezielt nach Systemen mit veralteter Software und bekannten Schwachstellen.
Gewöhn dir an, Updates so schnell wie möglich zu installieren.
**Behandle verdächtige E-Mails wie Gift.**
Hier ist die Sache - die meiste Ransomware erscheint nicht einfach magisch auf deinem Computer.
Sie braucht dich, um sie reinzulassen, normalerweise durch eine Phishing-E-Mail.
Der Anhang von jemandem, den du nicht kennst? Lösch ihn.
Der Link in einer komischen Nachricht? Nicht klicken.
Wenn sich bei einer E-Mail was komisch anfühlt, ist es das wahrscheinlich auch.
Vertrau deinem Bauchgefühl.
**Verwende starke Passwörter und aktiviere Zwei-Faktor-Authentifizierung.**
Für jeden Account ein anderes Passwort - ja, es ist nervig, sich alle zu merken, aber dafür gibt's Passwort-Manager.
Und aktiviere überall Zwei-Faktor-Authentifizierung, wo's geht.
Das fügt eine zusätzliche Ebene hinzu, die Angreifern das Leben viel schwerer macht, wenn sie versuchen, in deine Accounts einzubrechen.
**Mach dich zu einem schwierigen Ziel.**
Hier ist was Sicherheitsexperten wissen: Wenn ein entschlossener Hacker wirklich in ein bestimmtes System rein will, findet er irgendwann einen Weg.
Aber hier sind die guten Nachrichten - die meisten Hacker sind nicht so geduldig.
Sie suchen nach leichten Siegen, nicht nach Herausforderungen.
Also pack die Sicherheitsmaßnahmen drauf.
Starke Passwörter, Zwei-Faktor-Auth, aktualisierte Software, Firewall-Einstellungen - alles.
Mach dein System nervig genug zum Knacken, und Hacker ziehen normalerweise weiter zu leichteren Zielen.
Die betreiben schließlich ein Geschäft.
Zeit ist Geld, selbst für Kriminelle.
## Tägliches Sicherheitsbewusstsein
Ehrlich gesagt habe ich mich beim Recherchieren dieses Saint Paul-Vorfalls ziemlich viel selbst reflektiert.
Ich glaube, ich war zu nachlässig in Bezug auf Cybersicherheit in meinem Alltag.
Unser tägliches Leben ist untrennbar von digitaler Technologie, oder?
Von Online-Banking über Shopping, Social Media bis zur Arbeit...
Fast alles wird online gemacht, aber unser Interesse an Sicherheit war mangelhaft.
Besonders der Gedanke "wer würde schon eine gewöhnliche Person wie mich hacken?" scheint wirklich gefährlich.
Ransomware verbreitet sich oft wahllos, anstatt bestimmte Personen ins Visier zu nehmen.
Es ist wie ein großes Netz auswerfen und fangen, was reingeht.
Mir wurde auch klar, dass ich es nicht verstecken oder alleine lösen sollte, wenn ich angegriffen werde.
Wie Saint Paul sollte ich offen um Hilfe bitten und mit Experten zusammenarbeiten, um es zu lösen.
---
Durch diesen Saint Paul Ransomware-Vorfall habe ich ein neues Verständnis dafür bekommen, wie wichtig Cybersicherheit ist.
Es war schockierend, dass eine ganze Stadt lahmgelegt werden konnte, und beängstigend, dass solche Angriffe immer ausgefeilter werden.
Also ja, das ist die St. Paul-Geschichte. Ziemlich gruselig, oder?
Wie sieht's mit deinem Sicherheitssetup aus? Hast du irgendwelche Horror-Geschichten oder Tipps zu teilen?
Schreib sie in die Kommentare - ich würde gerne hören, was ihr alle darüber denkt.