Wenn ein Amt, eine Regierungsstelle oder eine Stadtverwaltung von Hackern angegriffen wird, dann schafft es das in die überregionalen Medien. So denkt man zumindest. Doch die öffentliche Aufmerksamkeit und die Zahl solcher Vorfälle liegen weit auseinander.

Wie dramatisch die Situation ist, hat der Bayerische Rundfunk zusammen mit Zeit Online recherchiert. Dabei kam heraus, dass mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte in den letzten sechs Jahren von Ransomware-Banden attackiert worden sind.

Das heißt: Die Täter sind mit Schadprogrammen in die IT-Systeme eingedrungen und haben Daten verschlüsselt, sodass die Mitarbeiterinnen und Mitarbeiter keinen Zugriff mehr darauf hatten. Daraufhin waren dann wochen- oder monatelang die Systeme nicht benutzbar und die kommunale Bürokratie fand dann wieder mit Stift und Papier statt.

Breitband hat mit Maximilian Zierer aus dem BR-Rechercheteam darüber gesprochen:

Breitband: Wie laufen solche Angriffe genau ab?

Zierer: Meistens kommen diese Angreifer per E-Mail rein. Das sind meistens sehr breit angelegte Kampagnen, wo die Erpresser E-Mails mit Anhängen an ganz viele Empfänger schicken. Meistens sind es zum Beispiel Word-Dateien. Wenn man den Anhang dann öffnet, installiert sich eine Schadsoftware auf dem Computer. Diese Schadsoftware verschlüsselt alle Dateien, die auf diesem Computer liegen. Wenn man Pech hat, auch nicht nur den Computer, um den es geht, sondern auch noch das ganze Netzwerk - also im Zweifel die ganze Firma oder die ganze Behörde.

Dann liegt auf dem Computer meistens noch eine Datei, in der steht, wie man die Erpresser kontaktieren kann, per E-Mail oder über das Darknet. Dort wird dann Geld gefordert, meistens in Form von Bitcoin, damit die Dateien wieder entschlüsselt werden.

Breitband: Sind gerade Ämter und Kommunen beliebte Angriffsziele und wenn ja, warum?

Zierer: Ich würde nicht sagen, dass Ämter und Kommunen besonders beliebte Angriffsziele sind. Ganz einfach deswegen, weil diese Erpresser es vor allem auf Geld abgesehen haben. Und Geld gibt's vor allem in der Wirtschaft! Aber bei Ämtern und Kommunen ist es vor allem so, dass sie dort viel Publikumsverkehr haben. Die bekommen oft E-Mails mit Anhängen von Bürgern oder Bürgerinnen. Manchmal haben die sogar auch bisschen komische E-Mail-Adressen.

Mir hat einer aus einer Kommune erzählt: Ja, das ist ganz normal, dass man mal eine Mail bekommt von einer E-Mail-Adresse "Daisy123@web.de", wo dann im Anhang ein Behördenanliegen ist. Und das ist für einen Behördenmitarbeiter natürlich nur sehr schwer von einer Mail von einem Hacker zu unterscheiden. Und dann passiert es natürlich sehr schnell, dass man darauf klickt und die Verschlüsselung im Haus hat.

Breitband: Was bedeutet es, wenn eine Kommune plötzlich ohne ihre Systeme dasteht?

Zierer: Das ist ganz unterschiedlich. Ich hab mit einer gesprochen, da sind "nur" die internen Dinge verschlüsselt worden, also Dinge wie Gehaltszahlungen und Urlaubsplanung. Und der Gemeinde-Anzeiger konnte dort nicht mehr erscheinen. In anderen Kommunen kann es aber auch so sein, dass zum Beispiel das ganze Einwohnermeldeamt nicht mehr funktioniert. Und da sind die Auswirkungen für die Bürger natürlich sehr spürbar. Wenn man sich dann nicht mehr ummelden kann, wenn man keinen Reisepass mehr beantragen kann, wenn man nicht mehr heiraten kann – und teilweise über Wochen.

Breitband: Ein konkreter Fall ist die Gemeinde Angermünde in Brandenburg. Da waren mehrere Monate lang, von März bis Juni, die Server der Stadt verschlüsselt, die IT quasi nicht benutzbar. Wie hat die Stadt reagiert?

Zierer: Das ist genau der Fall, von dem ich gerade gesprochen habe, wo das Standesamt nicht mehr funktioniert hat und man keine Reisepässe mehr beantragen konnte. Angermünde hat vermutlich genau das Gleiche gemacht wie sehr viele andere Kommunen: die Polizei angerufen und Anzeige erstattet. Aber letztlich ist das Problem: Polizei und Kriminalpolizei können sich das anschauen und die werden dann recht schnell feststellen, ja, die Server sind verschlüsselt. Aber entschlüsseln kann man das so ohne weiteres nicht. In den meisten Fällen überhaupt nicht.

Da kann auch die Polizei noch recht wenig machen. Deswegen ist das Ergebnis dann, dass man nach einiger Zeit ein Backup aufspielen muss. Und wenn man Glück hat oder wenn man vorsichtig handelt und oft Backups erstellt, dann ist das Problem nicht so groß. Wenn man aber, wie in manchen Kommunen, vielleicht nur alle vier Monate ein Backup macht, dann sind natürlich teilweise auch einfach viele Monate an Arbeit komplett verloren.

Breitband: Man könnte ja davon ausgehen, dass der Bund oder die Länder Daten darüber erheben, wenn solche Angriffe stattfinden. Das ist, wie wir wissen, nicht der Fall. Wie kam es eigentlich zu der Idee der Umfrage, mit der Sie jetzt herausgefunden haben, wie häufig Hackerangriffe bereits sind?

Zierer: Wir beschäftigen uns schon etwas länger mit dem Thema Ransomware gemeinsam mit den Kollegen von Zeit Online. Und wir hatten das Gefühl, dass dazu nur sehr wenige Zahlen veröffentlicht werden und haben dann recht schnell rausgefunden: Der Bund hat da gar keinen kompletten Überblick. Deswegen haben wir alle Innenministerien in allen Bundesländern und beim Bund gefragt und haben dann ganz unterschiedliche Antworten bekommen.

Manche Länder haben schon einen recht guten Überblick. Die haben uns recht schnell geantwortet. In anderen Bundesländern – auch in großen wie zum Beispiel Nordrhein-Westfalen oder Hessen – hat man uns keine konkreten Zahlen genannt. Es gibt da keine Art von Meldepflichten oder so etwas. Das heißt, viele Länder wissen einfach nicht, wie viele Fälle es gibt.

Breitband: Warum wird es nicht systematisch erhoben?

Zierer: Es ist einfach gesetzlich nicht vorgesehen. Es gibt keine gesetzliche Regelung dazu, dass man diese Ransomware-Fälle melden muss. Natürlich landen die ganz häufig bei der Polizei und die nimmt das dann auf und die Attacken stehen somit irgendwo in einer polizeilichen Kriminalstatistik. Aber dass das alles an einer Stelle zusammengetragen wird, das ist bislang einfach nicht vorgesehen.

Breitband: Gemeinden haben mehr konkrete Verantwortung für viele Menschen und für sehr viele und sehr persönliche Daten, Melderegister zum Beispiel. Wie würden Sie denn das Sicherheitsniveau der öffentlichen Verwaltung einschätzen? Wird dort geschlampt oder hat man verantwortungsvoll die Daten gesichert und ist trotzdem Opfer von Attacken geworden, weil es ja keine perfekte Sicherheit gibt?

Zierer: Diese Frage ist sehr schwer pauschal zu beantworten. Auf Bundesebene ist die IT-Sicherheit schon ziemlich gut in Deutschland. Es gibt ja das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das ist schon ziemlich gut ausgestattet und macht sehr viel in diese Richtung. Allerdings ist es in den Ländern ganz unterschiedlich und auch bei den Kommunen ist es sehr unterschiedlich. Es gibt da nicht die eine Antwort: In Deutschland ist die IT-Sicherheit super oder sie ist schlecht. Sondern es kommt ganz drauf an, wo man hinschaut.

Gerade in Kommunen gibt es manche, die komplett auf sich gestellt sind. Dann gibt es auch Bundesländer wie Bayern, da gibt es mittlerweile auch ein Landesamt für Sicherheit in der Informationstechnik. Das gibt es aber in anderen Bundesländern noch nicht. Der Städte- und Gemeindebund fordert da Verbesserungen. Zum Beispiel auch, dass alle Bundesländer solche Landesämter, die sich explizit um die IT-Sicherheit von Landesbehörden und Kommunen kümmern, bekommen.

Breitband: Gibt es denn Bestrebungen vom Bund oder auch von den Ländern, eine gemeinsame Sicherheitsstrategie zu schaffen?

Zierer: Auf Bundesebene gibt es das Bundesamt für Sicherheit in der Informationstechnik. Aber die können natürlich auch nicht allen Kommunen helfen. Es gibt zwar auf der Website des Bundesamts Informationen für Kommunen, es gibt da eine gewisse Hilfestellung. Aber Sie schreiben auch ganz klar: Wir können nicht allen Kommunen helfen.

Breitband: Aber ist genau diese Nachricht nicht schon Anreiz genug für jeden kriminellen Hacker, es nochmal zu versuchen?

Zierer: Das ist schwierig zu beantworten. Nach dem, was wir wissen, scheint es schon so zu sein, dass in den meisten Fällen auch in der öffentlichen Verwaltung nicht bezahlt wird, also dass sie nicht auf diese Erpressungsversuche eingeht. Aber ja, jeder der bezahlt, und es gibt eben auch Fälle in der öffentlichen Verwaltung, wo gezahlt wurde, ist ein weiterer Anreiz für Hacker, es erneut zu versuchen. Es gibt auch Untersuchungen, die besagen, dass zum Beispiel Unternehmen, die schon mal so einen Vorfall hatten und bezahlt haben, häufig erneut zum Opfer werden, weil sich eben herumspricht, "da gibt's etwas zu holen".

Breitband: Wie hoch ist die Aufklärungsquote: Findet man die Täter oder wenigstens einige davon?

Zierer: Ich will nicht sagen, dass es nahezu unmöglich ist, aber die Aufklärungsquote ist schon sehr gering. Hin und wieder gibt es Erfolgsmeldungen, zum Beispiel letztens im Fall "Emotet", einer Schadsoftware. Wobei man sagen muss, in den meisten Fällen bekommen die dann vielleicht einen Administrator oder jemanden, der das Geld wäscht. Aber dass man wirklich diese Leute festnimmt, die damit das große Geld verdienen, das ist bislang nur sehr selten passiert. Die Zukunft wird zeigen, wie es da weitergeht mit der Strafverfolgung.