Montag, 27. Juni 2022

IT-Kriminalität
Wie sich Kommunen gegen Cyberattacken schützen können

Ein Hackerangriff hat im Sommer 2021 die Computersysteme im Landkreis Anhalt-Bitterfeld fast komplett lahmgelegt. Viele Kommunen sind schlecht gegen solche Attacken geschützt, weil Geld, Personal und klare Zuständigkeiten fehlen. Besserung ist nicht in Sicht.

Von Anh Tran | 12.01.2022

Eine Hackersoftware ist auf einem Laptop geöffnet.
Für Hacker sind kommunale Verwaltungen ein besonders attraktives Ziel – weil Kommunen oftmals wesentlich mehr IT-Verfahren zu betreuen haben als z.B. eine Bundesbehörde. Die Angriffsoberfläche ist somit größer. (picture alliance/dpa | Silas Stein)
„Im ersten Moment sagt man sich: 'Ja, so schlimm kann es ja nicht sein. Die Leute, die dort arbeiten, werden ja vernünftig mit den Daten umgehen, die werden eine Datensicherung haben und dann macht man halt einen Tag die Rechner aus und spielt die Datensicherung zurück und dann geht’s halt normal weiter.' Das war so meine erste Überlegung. Wo man dann natürlich gesehen hat, dass es mehr geworden ist, ist natürlich die Angst auch größer geworden.“

Als im Juli 2021 eine Hackerattacke die gesamte Verwaltung im Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt komplett lahmlegt, erfährt Thomas Heller davon in den Medien. Heller betreibt in Köthen, das auch zum Landkreis gehört, drei Kinderheime. Eine Weile sieht es so aus, als könne wegen des Hackerangriffs kein Lohn mehr für die Mitarbeitenden im Heim gezahlt werden:

„Da wir ja fast hundertprozentig vom Landkreis abhängig sind, wäre das schon ein hartes Brot gewesen, ja, wenn die Zahlungen dort nicht rechtzeitig gekommen wären.“

Mehr zum Thema:


Für Heller und seine Mitarbeitenden geht es um Lohnzahlungen in Höhe von ca. 50.000 Euro. Er geht auf Banken zu, redet mit ihnen über mögliche kurzfristige Darlehen. Dann kommt die erlösende Nachricht: Der Landkreis überweist die Löhne rechtzeitig, die Rechnungsprüfung geschieht nachträglich. Es ist eine Kulanzlösung. Thomas Heller kann aufatmen. Aber für Oliver Rumpf fängt damals die Arbeit erst richtig an:

„Die ersten 14 Tage haben wir durchgearbeitet.“

Oliver Rumpf ist Teil der EDV-Abteilung des Landkreises Anhalt-Bitterfeld und seit der Cyberattacke technischer Einsatzleiter beim Wiederaufbau der Verwaltung. Los ging es am Morgen des 6. Juli. Damals bekommt er einen Anruf aus der Verwaltung: Auf einem Computer-Monitor ist beim Hochfahren folgende Nachricht zu lesen:

„Landkreis Anhalt-Bitterfeld you are fucked. Do not touch anything.“

Das System wurde gehackt, Daten verschlüsselt, niemand kann mehr auf sie zugreifen, keine E-Mail geht mehr raus oder kommt rein. Sozialleistungen wie BaföG, Arbeitslosen- und Wohngeld können in den ersten Tagen nicht bearbeitet werden, die Kfz-Zulassung funktioniert bis heute nur eingeschränkt. Es herrscht Ausnahmezustand:

„Als EDV-Mensch weiß man natürlich, was man zu tun hat, wie Abläufe sind, welchen Server fahre ich zuerst runter, worum kümmere ich mich zuerst. Aber alles, was danach kam, auf sowas ist man nie vorbereitet.

Deutschlands erster Cyber-Katastrophenfall ausgerufen  

Oliver Rumpf verschafft sich einen Überblick über den angerichteten Schaden, muss mit Ämtern, dem Landrat, dem Bundesland, den Sicherheitsbehörden kommunizieren, externe Dienstleister anfragen. Alle kritischen Systeme werden vom Netzwerk getrennt, darunter unter anderem Sozial-, Gesundheits- und Ordnungsamt. Drei Tage später ruft Landrat Uwe Schulze, CDU, Deutschlands ersten Cyber-Katastrophenfall aus. Nochmal drei Tage später übernimmt der frisch gewählte Andy Grabner, ebenfalls CDU, die Amtsgeschäfte – der Wechsel war schon länger geplant gewesen: Andy Grabner:

„Wie hoch war der Schaden? Also hundertprozentig beziffern können wir ihn zum heutigen Zeitpunkt noch nicht. Das, was wir bislang ausgegeben haben, sind etwa 900.000 Euro. Ich rechne aber damit, bis zur absoluten Wiederinbetriebnahme des gesamten Systems landen wir irgendwo zwischen 1,5 und zwei Millionen Euro, die tatsächlich verauslagt werden mussten, um das System wieder in Betrieb zu nehmen.“

Der Landkreis Anhalt-Bitterfeld ist Opfer sogenannter Ransomware geworden. Dabei infizieren Cyberkriminelle andere Systeme mit Schadsoftware, um Daten zu verschlüsseln und fordern danach – oft verbunden mit der Aussicht auf Datenrückgabe – Lösegeld von den Geschädigten, in diesem Fall eine halbe Million Euro vom Landkreis. Der zahlt nach eigenen Angaben nicht, will sich nicht erpressbar machen.
Die Grafik zeigt das Volumen der an Ransomware-Adressen gezahlten Kryptowährung
Die Grafik zeigt das Volumen der an Ransomware-Adressen gezahlten Kryptowährung (statista.de)
Die Konsequenz: 200 Megabyte der insgesamt 62 Gigabyte kompromittierten Daten landen im Darknet. Darunter auch die Handynummer von Landrat Andy Grabner. Warum trifft der Angriff ausgerechnet seinen Landkreis? Darauf weiß Grabner bis heute keine Antwort:
„Also so reich und schön sind wir nicht, dass es sich tatsächlich lohnt, hier den Hackerangriff auf den Landkreis Anhalt-Bitterfeld zu tätigen. Ich gehe mal davon aus, wir waren einfach zur falschen Zeit am falschen Ort beziehungsweise hatten vielleicht ein kleines Türchen geöffnet, wo die Angreifer ein relativ leichtes Spiel auch hatten hier einzudringen und ihre Software dann entsprechend zu implementieren.“

IT-Infrastruktur in Kommunen oftmals personell dünn besetzt


Zur Wahrheit gehört aber auch, dass kommunale IT-Infrastruktur eher schwach aufgestellt ist – finanziell wie personell. IT‘ler Oliver Rumpf sagt sie sei „ein Kind, was nicht sehr viele Geschwister hat. Also wir sind in der Infrastruktur aktuell ganze drei Leute, inklusive mir. Das ist jetzt nicht viel, wir haben jemand fürs Netzwerk, wir haben jemand für Server und Virtualisierung und ja, das wars.“

Für Systeme, die den Alltag von rund 150.000 Menschen – so viele leben im Landkreis – erleichtern sollen. Auch Landrat Grabner gesteht:

„Man geht immer davon aus, es funktioniert, die Mitarbeiterinnen und Mitarbeiter können arbeiten, die Rechner laufen. Und von daher wurde der Fokus nie hundertprozentig daraufgelegt. Man hat sich dann halt um andere Investitionen gekümmert, wie Straßenbau, in den Schulen und dergleichen.“

Ein Trugschluss, den viele Kommunen erst erkannt haben, nachdem neben Anhalt-Bitterfeld im Jahr 2021 auch die Verwaltungen in Witten, Schwerin und im Landkreis Ludwigslust-Parchim Opfer einer Cyberattacke wurden. Diese Angriffe haben in vielen Kommunen zu einem Umdenken geführt, erklärt Alexander Handschuh, Pressesprecher des Deutschen Städte- und Gemeindebundes, aber:

„Man muss so ehrlich sein, dass man schon attestieren muss, dass nicht jede Kommune Cybersicherheitsfachleute oder -experten in ihren Verwaltungen hat. Dazu sind die häufig auch zu klein und dazu war dieses Thema eben viele Jahre nicht so sehr im Vordergrund.“

Was Handschuh damit sagen will: Es fehlt an Expertise in der Fläche.

„Da sind wir schon auf die Zusammenarbeit mit unseren Dienstleistern, mit den Landesbehörden und auch mit dem BSI schon angewiesen.“

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, ist die Cybersicherheitsbehörde des Bundes und untersteht dem Bundesinnenministerium. Jährlich veröffentlicht das BSI einen Lagebericht zur IT-Sicherheit in Deutschland. Bei der Vorstellung des aktuellen Berichts im vergangenen Oktober fasst der Präsident des BSI, Arne Schönbohm, zusammen:

„Im Bereich der Informationssicherheit haben wir zumindest in Teilbereichen Alarmstufe Rot.“

Demnach hat von Juni 2020 bis Mai 2021 die Anzahl neuer Schadprogramm-Varianten um rund 144 Millionen zugenommen, das entspricht einem Zuwachs um circa 22 Prozent im Vergleich zum vergangenen Berichtszeitraum.  Diese Zahlen machen deutlich: Das Geschäft mit der Online-Kriminalität wächst und floriert. Laut Digital-Branchenverband Bitkom entsteht der deutschen Wirtschaft jährlich ein Schaden von mehr als 220 Milliarden Euro durch Cyberangriffe.
Die Statistik zeigt die Anzahl der Straftaten im Bereich Cyberkriminalität im engeren Sinne in Deutschland in den Jahren 2007 bis 2020.
Die Statistik zeigt die Anzahl der Straftaten im Bereich Cyberkriminalität im engeren Sinne in Deutschland in den Jahren 2007 bis 2020. (Bundeskriminalamt/statista.de)
Neun von zehn Unternehmen seien inzwischen von kriminellen Attacken betroffen, heißt es. Trotzdem kommt Dirk Häger, Leiter der Abteilung operative Cybersicherheit im BSI, zu der Einschätzung:

„Warum wir allerdings noch nicht nach zwölf haben, ist, selbst wenn Sie solche Fälle wie Sachsen-Anhalt nehmen, es ist ja noch nicht richtig etwas passiert in Deutschland.“

Auch der Ransomware-Angriff auf Anhalt-Bitterfeld sei nur ein kleiner Brandherd und kein Flächenbrand gewesen, meint Häger:

„Also ich habe mehr Angst vor einem flächendeckenden Schaden. Das macht mir Probleme und das versuchen wir zu verhindern. Und eine Kommune per Definition ist für mich ein lokaler Schaden.“

„Das Hauptproblem ist die Abhängigkeit von der IT“

Obwohl der Vorfall viele Ressourcen bindet. Zwischenzeitlich bekommt der Landkreis Unterstützung vom BSI, dem Landeskriminalamt und der Bundeswehr, um die IT wiederaufzubauen. Aber solche Angriffe seien unvermeidbar und werden sich in Zukunft noch häufen, prognostiziert Dirk Häger:

„Das Hauptproblem ist die Abhängigkeit von der IT, die wird ständig weiter zunehmen.“

Zudem seien Cyberattacken auf Kommunen besonders öffentlichkeitswirksam, weil sie die Menschen vor Ort direkt betreffen, ergänzt Häger. Das zeigt sich zum Beispiel daran, dass Menschen aus dem Landkreis Anhalt-Bitterfeld bis heute nach Köthen fahren müssen, um ihr Auto anzumelden. Das kann für manche aus dem nördlichsten Zipfel des Landkreises eine Anfahrt von gut einer Stunde bedeuten. Kommunale Verwaltungen sind also beliebte Ziele für Cyberattacken, trotzdem gibt es ein Zuständigkeitsproblem, wenn es um ihren Schutz im digitalen Raum geht: Zwar gilt der Bereich Staat und Verwaltung als kritische Infrastruktur, aber das Bundesamt für Sicherheit in der Informationstechnik ist für den Schutz von Verwaltungen auf Länder- und kommunaler Ebene nicht zuständig. Ein Fehler, sagt Manuel Atug, IT-Sicherheitsexperte und Sprecher der unabhängigen Experten-Arbeitsgruppe KRITIS, die sich mit der Absicherung kritischer Infrastrukturen beschäftigt:

„Das Bundesinnenministerium guckt nur auf die Bundesfrage und sagt: Länder und Kommunen machen ihr eigenes Ding, da sind wir nicht zuständig. Im Moment ist jede Kommune im gesamten Cyberraum auf sich alleine hingestellt und für sich alleine kann man diese Ursachen und Probleme nicht beheben.“

In Deutschland fehlen seiner Meinung nach Verständnis und Kompetenz im Bereich Cybersicherheit, hinzu kämen viele verschiedene Akteure auf unterschiedlichen Ebenen.

„Wenn man sich die Cybersicherheitsarchitektur von Deutschland anguckt, das ist ja jedes halbe Jahr immer komplexer geworden und Komplexität ist der Feind von Sicherheit. Und wenn die Kompetenz nicht da ist und auch der Dialog nicht stattfindet, dann behebe ich den ja nicht, indem ich noch mehr Akteure in diesen Raum werfe, die noch weniger miteinander sich abstimmen und wo es noch komplizierter wird. Und deswegen nenne ich dieses Bild Cyberwimmelbild der Verantwortungsdiffusion.“

Fragmentierte Zuständigkeiten – ein Hindernis für echte Cybersicherheit

Mit Cyberwimmelbild meint Atug eine Publikation der Stiftung Neue Verantwortung, einem Think Tank für digitale Technologien, Politik und Gesellschaft. In der Publikation zu sehen ist die staatliche deutsche Cybersicherheitsarchitektur inklusive etlicher nationaler Verbindungen und internationaler Schnittstellen – ein unübersichtliches Bild. Zur Cybersicherheitsarchitektur gehören Behörden, Organisationen und Personen, die sich mit den Gefahren und dem Schutz im digitalen Raum befassen, so wie Bernd Schlömer:

„Ich bin Staatssekretär für Digitalisierung im Bundesland Sachsen-Anhalt und zugleich auch in der Rolle der CIO, das heißt der Beauftragte der Landesregierung für die Informations- und Kommunikationstechnologie.“

Schlömer war vor seiner Rolle als Chief Information Officer unter anderem Bundesvorsitzender der Piratenpartei, wechselte 2015 zur FDP und saß bis 2021 in Berlin für die Freien Demokraten im Abgeordnetenhaus. Auch Schlömer kritisiert den Institutionen- und Gremien-Dschungel in Deutschland. Fragmentierte Zuständigkeiten sind seiner Ansicht nach ein echtes Hindernis für Cybersicherheit. Ein Beispiel sei der IT-Planungsrat, ein Gremium, das bei IT-Fragen als Bindeglied zwischen Bund und Ländern fungieren soll. Als CIO Sachsen-Anhalts ist Schlömer hier obligatorisch Mitglied. Er sagt:

„Es gibt so viele Auflagen: Wenn der Bund nicht zustimmt, wenn die drei finanzstärksten Bundesländer nicht zustimmen, wenn es keine Zweidrittelmehrheit gibt, wenn es keine Dreiviertelmehrheit gibt zu Beschlüssen, dann gibt es keinen Beschluss. Es gibt keine Kontrolle von der Umsetzung von Beschlüssen und das kann man alles viel besser organisieren.“

Schlömer wünscht sich an dieser Stelle verschlankte Prozesse. Und mehr Initiative vom Bund – er nennt ein Beispiel:

„Es ist ja so, im Onlinezugangsgesetz hätte der Bund schon die Möglichkeit gehabt, seit vielen Jahren Standardisierungsvorgaben zu tätigen. Das hat er nie getan, sondern hat sich immer schön zurückgelehnt und sich den Gremien und Arbeitsgruppen zugewandt.“
Das Diagramm zeigt eine Umfrage unter deutschen Unternehmen zum Täterkreis von Cyber-Attacken im Jahr 2021
In einer im Jahr 2021 durchgeführten Umfrage unter deutschen Unternehmen, die in den letzten 12 Monaten von Cyberangriffen betroffen waren, gaben 40 Prozent der Befragten an, dass ihr Unternehmen Opfer von Cyberangriffen von Privatpersonen bzw. Hobby-Hackern geworden seien. 28 Prozent nannten vorsätzlich handelnde (ehemalige) Mitarbeiter als Täterkreis. (statista.de/Bitkom Research)
Das Onlinezugangsgesetz verpflichtet Bund, Länder und Kommunen dazu, ihre Verwaltungsleistungen bis Ende 2022 auch elektronisch über Verwaltungsportale anzubieten. Aber die Digitalisierung der Verwaltung in Deutschland hängt hinterher, so im vergangenen Jahr die Einschätzung des Normenkontrollrats– ein Beratungsgremium der Bundesregierung. Der Normenkontrollrat fragt sich, ob die Digitalisierung in der Verwaltung bis Ende 2022 gelingen kann, bei so vielen Verantwortlichen und so komplexen Strukturen. Und auch Bernd Schlömer gesteht, der Zeitplan ist kaum einzuhalten:

„Ich bin im regelmäßigen Austausch mit den jeweiligen CIOs der Bundesländer. Sie sind derzeit sehr verhalten, was die erfolgreiche Zielerreichung angeht, das ist aber auch allen Beteiligten klar, sodass wir über den Zeitraum 2022 hinaus auch die Digitalisierung vorantreiben werden.“

Idee eines Cyber-Hilfswerks für Sachsen-Anhalt

Um die Digitalisierung im eigenen Bundesland voranzubringen, strebt Schlömer einen engeren Austausch mit dem BSI und einen IT-Verbund mit den Kommunen an. Außerdem prüft das Ministerium für Infrastruktur und Digitales derzeit die Möglichkeit, ein Cyberhilfswerk in Sachsen-Anhalt aufzubauen – um zukünftig besser gegen Angriffe gewappnet zu sein:

„Ziel des Landes ist es, im Verlauf des Jahres 2022 mit einem Pilotprojekt zu starten“, heißt es auf Deutschlandfunk-Anfrage aus dem Ministerium. Es wäre das erste seiner Art in ganz Deutschland. Die Experten-Arbeitsgruppe KRITIS hatte die Idee eines Cyberhilfswerks, kurz CHW, zuerst ins Spiel gebracht. In einem Papier schreibt die Arbeitsgruppe dazu:

„Als schnelle Einsatzgruppe soll das CHW in der Lage sein, kurzfristig auf Großschadenslagen zu reagieren und vor Ort an relevanten IT-Systemen Hilfe zu leisten. Primäre Zielsetzung ist dabei immer der Schutz der Bevölkerung vor den Auswirkungen von Ausfällen oder Einschränkungen der kritischen Infrastruktur beziehungsweise ihrer kritischen Versorgungsdienstleistung.“

Damit bei einem Angriff wie in Anhalt-Bitterfeld schnell Hilfe angeboten werden kann, nicht gleich Bundeswehr und BSI ausrücken müssen – und die Bürger im besten Fall nicht monatelang warten müssen, um ihr Auto anzumelden oder um ihre Sozialleistungen bangen müssen. Doch für ein Cyberhilfswerk, das auf freiwillige Mitarbeiter setzen würde, bräuchte es auch die Zustimmung des Innenministeriums von Sachsen-Anhalt – der obersten Katastrophenschutzbehörde im Land. Dort hält man aber den Bund für zuständig, wie das Ministerium schriftlich mitteilt:

„Das Grundanliegen der AG KRITIS für eine schnell agierende Eingreiftruppe bei Cyber-Großschadensereignissen ist berechtigt. Ob und welche Organisationsform für ein solches Freiwilligen-Team bei Großschadens-Ereignissen gefunden wird, muss der Bund entscheiden.“

Es hakt also wieder bei den Zuständigkeiten. Ein weiterer Lösungsansatz, den Experten empfehlen, um sich vor Cyberangriffen besser zu schützen, ist die Idee eines kommunalen CERTs, also eines Computer Emergency Response Teams, zu Deutsch: Computer-Notfallteam. Solche Notfallteams gibt es bereits für verschiedene Behörden, Unternehmen, den Bund und für die Bundesländer. Sachsen-Anhalt wird beispielsweise vom CERT-Nord betreut, das gleichzeitig auch für Schleswig-Holstein, Hamburg und Bremen zuständig ist und präventiv informiert oder reagiert, wenn es einen Angriff gegeben hat. Ein Kommunal-CERT könnte wie eine Versicherung funktionieren, erklärt Manuel Atug von der Arbeitsgruppe KRITIS:

„Dann können die mit, keine Ahnung, 5.000 Euro pro Kommune fürs Jahr einen guten Millionenbetrag pro Jahr bereitstellen, wo man ein gemeinsames Kommunal-CERT als Kompetenzzentrum hat. Und wenn eine Kommune dann angegriffen wird, kann sie eben die Unterstützung dieses Kommunal-CERT haben. Damit bündelt man die Kräfte und hat damit auch die ganz kleinen Kommunen, die natürlich dann hochgenommen werden können, wunderbar geschützt.“

Ähnliche Konzepte gibt es bereits in Nordrhein-Westfalen, Rheinland-Pfalz und im Saarland. Für Sachsen-Anhalt gibt es bisher keine konkreten Pläne für den Aufbau eines Kommunal-CERTs. Der Landkreis Anhalt-Bitterfeld will nach der Cyber-Attacke vom vergangenen Jahr vor allem personell aufrüsten, sagt Landrat Andy Grabner:

„Wir gründen jetzt ein eigenständiges Fachamt und werden sicherlich auch den einen oder anderen noch benötigen.“

Außerdem sollen mehr IT-Sicherheits-Maßnahmen umgesetzt werden. Das aber geht in Zukunft auch mit mehr Einschränkungen für das Personal einher, erklärt der IT-Verantwortliche des Landkreises, Oliver Rumpf:

„Ich sage mal, private Internetnutzung in der Mittagspause zum Beispiel, das fällt weg. User können nichts mehr selbst installieren, das war vorher erlaubt, auch um die EDV- und IT-Abteilung zu entlasten. “

Derzeit arbeiten Rumpf und sein Team daran, etwa 160 Spezialprogramme, die für den Betrieb der Verwaltung gebraucht werden, wieder in das System einzuspeisen. Bis alles funktioniert, wird es aber wohl noch eine Weile dauern, so Landrat Andy Grabner:

„Also komplett arbeitsfähig … ich gehe Mal mit einer vorsichtigen Schätzung ran – April, Mai 2022.“

Dann ist gut ein Dreivierteljahr seit der Cyberattacke vergangen. Zeit, die gut investiert ist für Anhalt-Bitterfeld, sagt Oliver Rumpf, denn:

„Die Angreifer warten ja nur, dass wir sagen: Hallo, wir sind wieder da. Und dann wird es wahrscheinlich sehr interessant werden, wie viele Angriffe auf den Landkreis wieder erfolgen. Und deswegen müssen wir auch ganz sicher sein, dass wir da kein Risiko eingehen und definitiv keine Lücke offenlassen.“