Ransomware-Attacke
Hackerangriff: Rhein-Pfalz-Kreis warnt Bürger
Aktualisiert am 7. Dezember 2022
Es ist jetzt fast sechs Wochen her, dass - vermutlich in der Nacht von Freitag 21. Oktober auf den Sonnabend, 22. Oktober - Unbekannte unberechtigten Zugriff auf die IT-Systeme der Verwaltung des Rhein-Pfalz-Kreises erlangten, wie es das Landeskriminalamt (LKA) Rheinland-Pfalz formulierte. Was nach dem „unberechtigten Zugriff“ in Ludwigshafen geschah, haben zuvor schon einige deutsche Kommunen erlebt: Eine Gruppe krimineller Hacker verschlüsselte alle Daten; die Verwaltung war sofort digital lahmgelegt und in das Kommunikationszeitalter von Papier, Bleistift und Schreibmaschine zurückgeworfen. Zuvor war ähnliches auch schon den Verwaltungen der Kreise Anhalt-Bitterfeld und Wesel sowie der Städte Potsdam, Witten und Geisenheim passiert. Wie kämpft sich die Kreisverwaltung in Ludwigshafen nun zurück in die Normalität?
Nach Hackerangriff: Kommune warnt Bevölkerung
Jüngst hat der Landkreis öffentlich bekannt gemacht, dass der Schutz personenbezogener Daten von Kundinnen und Kunden der Verwaltung verletzt wurde und es „nicht sichergestellt werden kann, dass die veröffentlichten Daten nicht von Dritten genutzt werden“. Daten wurden im Darknet veröffentlicht. Die ersten rund 2550 Briefe wurden inzwischen laut Kreisverwaltung an die Betroffenen verschickt. Die Kommune fordert die Betroffenen dazu auf, Passwörter zu ändern, Kontobewegungen regelmäßig überprüfen, Antivirenprogramm auf dem privaten PC und Updates des Betriebssystems aktuell halten. „Seien Sie wachsam, wenn Ihre Bank verdächtige Kreditkarten-Zahlungen meldet, wenn Ihren Kontakten auffällt, dass von Ihrer Adresse Spam verschickt wird“, mahnt die Behörde. Auch, wenn „Logins nicht funktionieren, obwohl die Daten korrekt sind oder Geräte wie PC, Laptop oder Handy einen stark erhöhten Akkuverbrauch haben“, sei höchste Vorsicht geboten.
War der Kreis selbst „wachsam“ genug in Sachen Datensicherung? Landrat Körner zeigt sich davon überzeugt, dass die eigenen Sicherheitssysteme funktioniert haben. Das habe man dem Kreis mehrfach bestätigt. „Wir haben gemerkt, da gibt es einen Zugriff und wir haben dann den Stecker gezogen. Da sind wir eigentlich gut aufgestellt gewesen!“, betont er in einem Interview. Mit dem Landesdatenschutzbeauftragen stehe man in engem Kontakt. „Die Bevölkerung muss schon unterscheiden zwischen Täter und Opfer. Wir waren nicht die Täter, sondern wir sind Opfer.“
Man dürfe davon ausgehen, dass die Verwaltung nach dem aktuellen Stand der Technik einen hohen Sicherheitsstandard erfülle. „Aber es bleibt festzustellen, dass es eine hundertprozentige Sicherheit gegenüber solch krimineller Angriffe nicht gibt!“, so der Landrat. Die Suche nach den Tätern läuft derweil weiter: Das Verfahren liegt bei der Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz, die das LKA in Mainz mit den Ermittlungen beauftragte. Zwei von der Kreisverwaltung beauftragte Firmen suchen darüber hinaus nach der Schwachstelle im System, durch die der Angriff möglich geworden war. Über den Landesbetrieb Daten und Information kann der Landkreis IT-Dienstleistungen in Anspruch nehmen. Im Zuge der Kooperation kann er auch direkt auf Spezialisten des Bundesamts für Sicherheit und Information (BSI) zurückgreifen.
Mitarbeiter in die Gemeindeverwaltungen geschickt
Der Cyberangriff hat bewirkt, dass alle Computer in der Verwaltung zurzeit nicht in Betrieb sind und die Mitarbeiter weder über Mail noch über die übliche Telefondurchwahl erreichbar sind. Inzwischen hat man verschiedenen Übergangslösungen für die Kommunikation mit der Bevölkerung gefunden: Auf der ansonsten lahmgelegten Homepage gibt es ein neues Zusatzformular, in dem Kontaktwünsche und Anfragen online eingegeben werden können und es wurde zumindest eine zentrale Telefonnummer in Betrieb genommen, unter der man seine Anliegen äußern kann. Schon kurz nach dem Angriff sandte die Kreisverwaltung Mitarbeiter und Mitarbeiterinnen zur Verstärkung in die Gemeindeverwaltungen, wo sie für Anfragen direkt ansprechbar sind. Das Kreishaus war und ist weiterhin für Besucher geöffnet und per guter, alter „Gelber Post“ erreichbar. Der Betrieb soll so weiterlaufen, so gut es unter diesen Umständen geht. Inzwischen wurde der Datentransfer neu aufgebaut und seit 5. Dezember konnte die Kreisverwaltung wieder erstmals Corona-Fallzahlen an das Landesuntersuchungsamt melden, wie sie jetzt mitteilte.
Beim Service versucht man, flexibel auf die Wünsche der Bevölkerung zu reagieren: Weil die Zentrale mit sehr vielen Anfragen nach Sperrmüllterminen geflutet wurde, wird der Kreis im Dezember in allen Gemeinden Straßensammlungen anbieten, bei denen man ohne Voranmeldungen bis zu drei Kubikmeter Sperrmüll vors Haus stellen kann. Bei manchen Problemen helfen die umliegenden Kommunen – beispielsweise bei der Ausstellung der Führerscheine. Das ist in Ludwigshafen nicht möglich, weil der Kreis grade keinen digitalen Zugang mehr zum Kraftfahrtbundesamt in Flensburg hat, das die Papiere freischalten muss. Erste Baugenehmigungen könne der Kreis inzwischen dagegen jetzt schon per Laptop und Drucker ausgeben, so der Landrat. Die Auszahlung von Sozialleistungen laufe mittels Exceltabellen.
"Es kann Monate dauern, bis der Betrieb in der Kreisverwaltung sich normalisiert", kündigte Landrat Körner an. Ob die alte Computer-Hardware weiter genutzt werden könne, werde erst genau geprüft. Da gehe jetzt Sicherheit vor Schnelligkeit.
Beim Cyberangriff schnell den Stecker gezogen
In Ludwigshafen sei der nächtliche Datenabfluss verhältnismäßig schnell aufgefallen, sagte Landrat Clemens Körner zu Journalisten vom Lokalmedium MRN-news. Ein Mitarbeiter habe noch in der Nacht „quasi den Stecker gezogen“. Das sei „unheimlich wichtig“ gewesen, so Körner, „denn ansonsten wären über das ganze Wochenende noch viel mehr Daten weggekommen“.
Solche „Ransomware-Attacken“ (Ransom = Lösegeld) professioneller Krimineller sind inzwischen in den Amtstuben bekannt und gefürchtet: Hacker blockieren den Zugang zu den Daten der Verwaltung und fordern ein Lösegeld für eine Entschlüsselungssoftware. Sie drohen damit, bei Verweigerung der Zahlung die Daten im Darknet zu veröffentlichen, einem für die gebräuchlichen Browser nicht erfassbaren Teil des Internets. In diesem Zwielicht tummeln sich viele Kriminelle – und damit sind die Daten extrem gefährdet, in die falschen Hände zu geraten und missbraucht zu werden.
20.000 Dateien landeten im Darknet
Auch die Daten aus Ludwigsburg landeten dort, als man sich weigerte, das geforderte Lösegeld zu zahlen. Seit dem 11. November sind rund 20.000 Einzeldateien aus dem Rhein-Pfalz-Kreis im Darknet zu finden. Spezialisten des LKA sichten seither diese Daten mit Blick darauf, ob durch ihre Veröffentlichung akute Gefahren für die Allgemeinheit und beispielsweise für Energie-, Wasser- und Stromversorger entstehen könnten. „Bislang ergaben sich keine Hinweise auf solche akuten Gefährdungen“, berichtet das LKA. Auch Mitarbeiter der Kreisverwaltung sichten und öffnen jede einzelne Datei. „Wir sind mit Hochdruck dabei, herauszubekommen, welche Daten gestohlen wurden“, sagt Landrat Körner. Auch die Datenmenge, die gestohlen wurde, kenne man nur vage. Er hofft: „Vielleicht sind wir doch nicht so stark betroffen, wie man befürchtet hatte.“
Möglicherweise ist tatsächlich keine extrem große Menge an Daten gestohlen worden, aber viele der bisher gefundenen Dateien enthalten sehr persönliche Informationen. So stießen Journalisten von "ZEIT Online" bei Recherchen im Darknet unter anderem auf Namen, Anschriften und Geburtsdaten von über tausend ukrainischen Geflüchteten, die im Rhein-Pfalz-Kreis untergebracht wurden, und auf persönliche Daten, die anscheinend von zahlreichen Verweigerern der Volkszählung (Zensus) stammen.
Auch sensible Informationen über die Verwaltungsbeschäftigten und den Landrat selbst sind öffentlich geworden - unter anderem eigene Zugangsdaten und Passwörter aller Art und Bewerbungsunterlagen, Verträge oder eigene Notizen. „Das sind Dokumente, die möchte man wirklich nicht online sehen. Man erfährt viel über sie persönlich“, kommentiert die Wissenschaftsjournalistin Eva Wolfangel ihre Datenfunde im SWR.
