Portrait Landrat Clemens Körner Rhein-Pfalz Kreis
Clemens Körner, Landrat des Rhein-Pfalz-Kreises
© Rhein-Pfalz-Kreis

Cyberattacke

Nach Hackerangriff: Kommunaler Hilfsschirm gefordert

Welche Strategien braucht eine Kommune nach einem Hackerangriff? Darüber hat KOMMUNAL mit Landrat Clemens Körner gesprochen, der die gravierenden Folgen der Cyberattacke auf den Rhein-Pfalz-Kreis managen muss. "Je mehr ich die Mauer hochziehe, desto interessanter wird es für sie, über die Mauer zu springen. Das ist wie Hase und Igel", beschreibt er die Situation der öffentlichen Verwaltung. Angesichts steigender Cybergefahren müssten Kommunen und die Versicherungswirtschaft umdenken, fordert er. Ein spannendes Interview!

KOMMUNAL: Herr Körner, Ihre Mitarbeiter haben den Hackerangriff auf den Rhein-Pfalz-Kreis relativ schnell bemerkt. Wieso?

Clemens Körner: Wir haben für die Überwachung der Dateizugriffe und des Netzwerkverkehrs ein eigenes Programm. Es setzte an diesem Freitagabend um 20 Uhr eine Warnung auf ein Diensthandy ab, das der IT-Leiter bei sich hatte. Er erfuhr so, dass viele Daten abfließen und ist mit zwei Kollegen in die Kreisverwaltung gefahren. Sie haben die Internetzugänge getrennt und dachten, ok, da dürfte nix passiert sein, es läuft ja fast noch alles. Aber als sie am Samstagmorgen sicherheitshalber noch einmal reinkamen, waren die Server verschlüsselt und sie fanden das Bekennerschreiben. Eine Ransomwareattacke! Eine Hackergruppe verlangte Geld und drohte, die Daten im Darknet zu veröffentlichen, wenn wir die Summe nicht innerhalb von sieben Tagen überweisen. Dafür war der Netzstecker von uns also zu spät gezogen worden. Aber wenn man bedenkt, dass solche Angriffe auf eine Verwaltung meistens freitagsabends passieren, waren wir doch ziemlich schnell.

Freitagsabends ist es besonders gefährlich? Ist das eine Erkenntnis aus den bisherigen Hackerangriffen auf Kommunen?

Ja! Wenn wir nicht gewarnt worden wären, wären am Montagmorgen wohl alle Daten weg gewesen.

Sie hatten also Glück im Unglück?

Man kann sagen, dass unser Sicherheitssystem angesprungen ist. Den Schaden haben wir trotzdem. Die Polizei ist eingeschaltet worden und hat den Fall an die Generalstaatsanwaltschaft Koblenz und das Landeskriminalamt (LKA) Rheinland-Pfalz abgegeben. Seit dem Angriff - und heute haben wir den 49. Tag - ist unsere wichtigste Frage: Wann können wir wieder hochfahren? Wann sind wir voll funktionsfähig?

Welche Schritte haben Sie seither gemacht, damit der Kreis technisch und organisatorisch wieder zum Normalbetrieb zurückzukehren kann?

Erst einmal mussten wir den Alltagsbetrieb aufrechthalten. In unserem Landkreis gibt es zehn hauptamtliche Gemeindeverwaltungen. Wir haben Mitarbeiter in die dortigen Bürgerbüros geschickt, die persönliche Vorsprachen an den Landkreis aufnehmen sollten. Schon zu früheren Jahren hatten wir zwei Außenstellen für die KFZ-Zulassung mit eigenem Zugang zum Landesportal eröffnet. Die konnten nach dem Angriff ohne Einschränkungen weiterarbeiten, nur die Hauptstelle war quasi weg. Die Mitarbeiter aus der Hauptstelle haben wir in die Zweigstellen versetzt und die Öffnungszeiten erweitert.

Haben Sie auch Hilfe von anderen Kommunen erhalten?

Einige Mitarbeiter sind in die benachbarten drei kreisfreien Städte und eine Kreisverwaltung versetzt worden und haben dort eine neue E-Mail-Adresse von dieser anderen Verwaltung bekommen, damit sie arbeiten können. So konnte zum Beispiel Zensus weiterlaufen oder die Landwirte ihre Subventionsanträge stellen. Die Führerscheinbearbeitung wurde in der einen Stadtverwaltung gemacht, Zensus in einer anderen, die Bußgeldstelle wurde in einer Gemeindeverwaltung eingerichtet. So haben wir Dinge einfach physisch in die Gemeindeverwaltungen und benachbarte Verwaltungen versetzt. Wir sind dankbar für die Unterstützung. Es gab aber auch Probleme.

Welche denn?

Alle Partner kappten die Verbindungen mit uns, zum Beispiel das Kraftfahrtbundesamt oder die Wohngeldstelle des Landes und so weiter. Wir waren wie Pest und Cholera - mit uns wollte niemand etwas zu tun haben! Ich verstehe das einerseits, weil sie ihr eigenes Netz nicht gefährden wollten. Aber für uns bedeutete es einen wahnsinnigen Aufwand. Ok, man kann und muss von der Kommunalverwaltung verlangen, dass wir ein Krisenmanagement aufbauen. Aber die anderen, die uns rausgeschmissen haben, haben nicht mal gefragt: „Wie geht‘s euch? Kommt Ihr klar mit den Führerscheinen?“ Wir mussten alles selbst initiieren. Zum Beispiel die Zertifizierungen neu beantragen, damit die Mitarbeiter wieder Zugänge bekamen.

Wie ging es in dieser Ausnahmesituation in der Kreisverwaltung selbst weiter?

Jede Abteilung hat aus unseren Beständen sofort zwei Laptops erhalten. Im großen Sitzungssaal bildeten wir schnell eine Mini-Kreisverwaltung ab: Auf dem einem kleinen Netz für die Fachverfahren haben wir Anwendung für Anwendung überprüft. Und auf einem davon getrennten anderen kleinen Netz haben wir eine neue Maillandschaft mit 135 Arbeitsplätzen aufgebaut. Das heißt, der Mitarbeiter hat links den Laptop für das Fachverfahren stehen und wenn er eine Mail verschicken will, muss er das an einem zweiten Laptop machen, der rechts von ihm steht.

Wie kann ich mir die Überprüfung der Verfahren vorstellen? Die sind doch verschlüsselt. Eigentlich können Sie doch an vieles gar nicht rankommen.

Jein. Wir haben unsere eigene Server-Architektur im Keller, da liegen die Fachverfahren ja auch noch drauf. Mehrere externe Firmen prüfen jetzt quasi Fachverfahren für Fachverfahren, ob alles virenfrei ist. Sie prüfen gleichzeitig, welchen Datensatz wir wieder aufspielen können.

Welche Strategie haben Sie für den Wiederaufbau Ihres Netzes gewählt?

Wir werden einerseits sehr schnell eine 24/7-Netzwerkdatenüberwachung an Profis fremdvergeben. Es dauert vorneweg noch zwei Monate, bis die Vorbereitungen abgeschlossen sind, damit wir alle Daten und Fachverfahren wieder hochfahren können. In einem halben Jahr werden wir mit enormen wirtschaftlichen und finanziellen Aufwendungen mit dieser Netzüberwachung wieder ans Netz gehen. Und dann bauen wir eine ganz neue Datenstruktur auf.

Das ist ungewöhnlich…

Ja, die meisten betroffenen Kommunen fahren ihr altes System wieder hoch und arbeiten damit weiter. Mit Zustimmung unserer Kreis-Gremien habe ich aber gesagt, wir bauen eine neue, zukunftsträchtige Datenarchitektur auf. Bei diesem Aufbau holen wir direkt das Land und vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit ins Boot und berücksichtigen direkt ihre Sicherheitsempfehlungen und Zertifizierungsanforderungen. Das wird nicht einfach.

Und nicht billig …

Deshalb mache ich grade bei meinen Kolleginnen und Kollegen in anderen rheinland-pfälzischen Kommunen dafür Werbung, uns zusammenzuschließen. Was, wenn wir uns das Geld für eine 24/7-Überwachung gemeinsam in eine Schatulle legen und den Schutz als eine kommunale Gesellschaft/GmbH bezahlen, damit sich das alle leisten können? Ich bin dafür, dass wir das als Kommunen gemeinsam anpacken und auch die kleineren Gemeinden einbeziehen!

Hackerangriff Grafik

Mit welchen Argumenten versuchen Sie, die Kollegen von Ihrem Ansatz zu überzeugen?

Man sollte nicht in einem Wohnhaus, wo eingebrochen wurde, die kaputte Fensterscheibe ersetzen und beten, dass es nicht nochmal passiert! Sondern, man sollte die Fenster vergittern und eine Alarmanlage kaufen! Wir im Rhein-Pfalz-Kreis kaufen jedenfalls jetzt die Alarmanlage und nicht erst in einem Jahr, wenn wir uns vielleicht mit unseren Daten wieder so sicher fühlen, dass wir alles aufgespielt haben. Das Risiko möchte ich von der ersten Sekunde an überwacht haben!

Ist die 24/7-Überwachung denn der Weisheit letzter Schluss gegen die Hackerangriffe auf Kommunen?

Es ist nicht so, dass dann kein Angriff mehr kommt, denn die Hacker sind immer einen Schritt weiter als wir. Je mehr ich die Mauer hochziehe, desto interessanter wird es für sie, über die Mauer zu springen. Das ist wie Hase und Igel. Wenn alle Kommunen mitziehen und sagen würden, ok, wir gehen alle unter einen neuen kommunalen „Hilfsschirm“, um 24/7-Netzüberwachung zu bekommen, würden die Hacker wohl sogar denken: "Oh, die rüsten auf. Mal sehen, ob ich es nicht trotzdem schaffe, in eine Verwaltung reinzukommen!" Trotzdem ist es der richtige Weg.

Versuchen Sie, herauszufinden, wer in Ihrem Haus den Ransomware-Angriff durch Unachtsamkeit oder das unbedachte Klicken auf einen Link oder einen Mailanhang ausgelöst hat?

Nein, von dieser Kultur müssen wir wegkommen! Natürlich brauchen wir Dienstanweisungen in der IT, wir brauchen auch Verbote. Aber nicht in Form von einer Kriminalisierung, wenn man einen Fehler macht. Wir brauchen eine Fehlerkultur, wo ein Mitarbeiter sagen kann: „IT-ler, komm mal her, ich glaube, ich bin auf einer blöden Seite gelandet.“ Der darf davor nicht Angst haben, weil er vielleicht fahrlässig oder grob fahrlässig war. Es ist es für mich unheimlich wichtig, den Mitarbeiterinnen und Mitarbeitern zu sagen: „Euch passiert nix!“

Welche Rolle spielen jetzt Haftungsfragen?

Die Forensik zeigt, dass wahrscheinlich in unserem Fall eine hundertprozentige Klärung, wo und über was der Angriff erfolgt ist, nicht gelingt. Das ist so ein Punkt, den ich mit der Versicherungswirtschaft bespreche. Die Hacker denken nicht so wie wir; die denken nicht im Amtshaftungsanspruchsdenken. Bei den Versicherungen heißt es, wenn du nicht bei einem deiner Bediensteten nachweisen kannst, dass er einen Amtshaftungsanspruch losgelöst hat, kriegst du auch kein Geld aus der Eigenschadensversicherung. Ich will der Versicherungswirtschaft keinen Vorwurf machen, aber dieses Denken muss sich angesichts der Ransomware-Angriffe ändern!

Wie wollen Sie das erreichen?

Ich bin in guten Gesprächen dabei, das mit den Vertretern der Versicherungskammer Bayern, die für uns zuständig sind, zu diskutieren. Ich sage: Baut eine eigene Cyberversicherungswelt auf, die nicht auf einem Amtshaftungsanspruch basiert! Nehmt in eure Tarife aber nicht hinein, wie hoch das Lösegeld versichert werden kann! Wenn wir uns alle einig sind, zahlen wir den Erpressern nämlich nichts. Dann brauche ich auch keine Versicherung, die mir Lösegeld von bis zu 5 Mio. Euro gibt.

Eine Menge der Daten des Rhein-Pfalz-Kreises haben die Erpresser jetzt im Darknet veröffentlicht. Wie viele sind es genau?

Es sind 100 Gigabyte, also gar nicht so viel. Mit dieser ersten Veröffentlichung scheinen die Erpresser auch gleich ihr ganzes Pulver aus dem Diebstahl verschossen zu haben. Wir müssen die ungefähr 22.000 Einzeldateien öffnen, um zu prüfen, ob darin sensible Daten von Bürgerinnen und Bürgern zu finden sind - was wir ihnen nach der Datenschutzgrundverordnung (DSGVO) melden müssen.

Wie können Sie das organisieren?

Wir haben seit Wochen 30 Mitarbeiter, die das im Vier-Stunden-Schichtdienst erledigen. Sie öffnen, häufig auf zwei Bildschirmen nebeneinander, Datei für Datei. Sie führen Listen, wer wie betroffen ist. Bisher haben wir über 3.500 Bürgerinnen und Bürger angeschrieben, wie es die DSGVO verlangt. Tenor: „Hallo, leider sind folgende Daten von Ihnen im Darknet aufgetaucht...“

Die Bürger erhalten also von Ihnen ganz genau die Information, ob und wie sie betroffen sind?

Nach dem Datenschutzgesetz ist erst einmal eine öffentliche Bekanntmachung Pflicht. Das haben wir gemacht. Man kann sich darüber streiten, ob es verhältnismäßig ist, danach noch so viele Dateien zu öffnen. Aber bevor ich später womöglich von 160.000 Bürgern einzelne Anfrage nach dem Transparenzgesetz bekomme, gehe ich lieber proaktiv vor. Wenn Daten im Darknet zu finden sind, bekommen die Bürger in den nächsten Wochen von uns einen Brief und wenn nicht, können sie sicher sein, dass nichts über sie dort veröffentlicht ist.

Wann ist die Öffnung der Dateien abgeschlossen?

Im Januar 2023 dürften wir alle Dateien geöffnet haben.

Welche Daten wurden gestohlen?

Von den 3.500 Menschen, die wir bisher angeschrieben haben, sind über 2.000 Geflüchtete aus der Ukraine. Im Darknet stehen ihre Unterkunftsadressen oder in welche Schule, ein ukrainisches Kind kommt. Diese Daten wurden ganz speziell abgegriffen. Auch Schriftverkehr mit so genannten „Reichsbürgern“, die sich gegen den Zensus gewehrt hatten, ist mehrfach dabei. Dagegen sind beispielsweise Daten aus dem Gesundheitsbereich oder dem Jugendamt gar nicht abgeflossen.

Was schließen Sie daraus?

Meiner Ansicht nach haben die Hacker auch politische Absichten. Nämlich, der Bevölkerung weiß zu machen: "Der Staat ist nicht in der Lage, deine Datensicherheit zu gewährleisten." Es wirkt wie ein Teil der momentanen Kriegsführung. Wenn man sieht, dass die Daten aller Ukrainer abgegriffen wurden, kann man sich sein Bild daraus machen. Man weiß über diese Hackergruppe, dass sie nur den Westen angreift. Da ist auch Weltanschauung dabei.

Haftet die Verwaltung, wenn die gestohlenen Daten missbräuchlich verwendet werden und beispielsweise durch einen Identitätsdiebstahl einem Bürger finanzielle Schäden entstehen?

Das weiß ich noch nicht, da stehen wir noch am Anfang und bislang hat das noch kein Geschädigter initiiert. Aber wir sind diesbezüglich versichert, das wäre nicht das Problem. Es wäre auch zu prüfen, ob wir überhaupt verantwortlich sind, denn es war ja kein Fehler von uns, sondern ein krimineller Angriff.

Sie haben in dieser Krise gleich mehrere Baustellen in Ihrer Verwaltung – das Öffnen der tausenden Einzeldateien, den Aufbau einer sauberen Netzinfrastruktur, dazu das alltägliche Geschäft. Gibt es ein Krisenteam?

Das besteht aus mir, den Beigeordneten und alle Abteilungsleitungen. Wir trafen uns anfangs täglich, jetzt drei Mal die Woche oder bei Bedarf. Irgendwie haben wir als Kommunalverwaltungsbeamte die Krisen doch im Blut! Wir haben mehrere Flüchtlingswellen hinter uns, die Corona-Pandemie und jetzt kommt noch sowas dazu. Und man kennt das ja: Man hat ängstliche Abteilungsleiter, pragmatische Abteilungsleiter, manche sind offensiv, manche haben panische Angst. In so einer Krisensituation wird der Ängstliche noch ängstlicher, der Forsche noch forscher, der Stratege baut ständig Priorisierungslisten auf. Es ist nicht wie einen Sack Flöhe hüten. Es ist Flöhe hüten ohne Sack.

Wie sehen Sie Ihre Rolle als Landrat dabei?

Ich bin Seelsorger, Krisenmanager und mittlerweile halte ich auch Vorträge bei den kommunalen Spitzenverbänden, bei den Versicherungskammern, im Bundesinnenministerium und in einer Hochschule. Denn ich bin wohl der erste Landrat, der nach einem Hackerangriff sagt, wir bauen nicht wieder die alte Datenlandschaft auf. Ich verstehe gar nicht, dass viele meiner Kollegen das machen wollen. Es ist kein Schuldeingeständnis, aber schließlich konnte einer doch in unser System hineinkommen! Da kann ich doch nicht das Gleiche wieder aufbauen. Es muss etwas anderes sein, wo wir uns aber gleich während des Aufbaus viel, viel besser absichern müssen. Aus der Erfahrung habe ich übrigens einen guten Rat an die Bürgermeister und Landräte.

Welchen?

Säubert euren Datenfriedhof!

Wie meinen Sie das?

Ich habe jetzt zum Beispiel beim Datenschutzbeauftragten eine Selbstanzeige gemacht, weil wir manche Daten länger gespeichert haben, als rechtlich zulässig. Zum Beispiel Daten von einer Ausstellung, die vom Landrat vor 12 Jahren eingeweiht wurde und ähnliches. Wir müssen eine Kultur bekommen, dass man solche Sachen auch wieder löscht. Der Datenfriedhof muss immer wieder gereinigt werden, denn dann können diese Daten eben nicht geklaut werden und im Darknet erscheinen.

Wie arbeiten Sie jetzt technisch gesehen weiter?

Momentan haben wir Serverplatz bei einem Rechenzentrum angemietet und da werden wir unsere Daten nacheinander aufsetzen, je nachdem, was geht und was clean ist. Und so werden wir Stück für Stück mit dem ein oder anderen Programm wieder arbeiten können. Aber das Rechenzentrum will natürlich keine Anwendung, kein Fachprogramm, keine Daten annehmen, die nicht überprüft wurden. Das wird noch Monate dauern. Locker!

Wie lange konkret?

In drei Monaten wollen wir vollständig mit den Daten ans Netz gehen können, inklusive der externen 24/7-Beobachtung. Das wird schwierig. Die Materie ist neu, zumindest bei uns in Rheinland-Pfalz. Wir hatten gedacht, als Flächenland sind wir für die Hackerwelt nicht unbedingt von höchstem Interesse. Ich wollte da nicht die Nummer 1 sein. Aber jetzt bin ich es halt doch geworden.

Fotocredits: Hackerangriff Grafik:AdobeStock