Grafik Cyberangriffe abwehren
Stopp!
© adobeStock/Montage Melina Werner

Kommunen

Die Lehren aus den Hacker-Angriffen

Der Krieg in Europa verstärkt die Bedrohung durch Hacker-Angriffe. Cyber-Erpresser legen immer wieder Kommunen und Einrichtungen lahm. Der Landkreis Anhalt Bitterfeld löste im vergangenen Jahr deshalb sogar den Katastrophenfall aus. Was sich seither getan hat und wie Kommunen die digitale Katastrophe verhindern können.

Sechs Tage vor seinem Amtsantritt als Landrat von Anhalt-Bitterfeld klingelte bei Andy Grabner das Telefon. Am Apparat war der amtierende Landrat Uwe Schulze. Die Kommunalpolitiker hielten im Sommer 2021 engen Kontakt, denn es gab bis zur Amtsübergabe am 12. Juli noch vieles zu besprechen. „Du Andy, wir haben etwas im System“, sagte Schulze. „Wahrscheinlich ein kleiner Virus.“ Andy Grabner war nicht sonderlich beunruhigt. „Ich dachte, das ist wohl eine Fishing-Mail gewesen“, erinnert er sich. „Da lässt man mal ein Virenprogramm drüber laufen, dann wird schon wieder alles funktionieren.“ Doch es kam anders.

Hacker-Angriff auf Anhalt-Bitterfeld

Die Verwaltung von Anhalt-Bitterfeld, ein Landkreis mit 160.000 Einwohnern im Osten von Sachsen-Anhalt, war Opfer eines RansomwareAngriffs geworden. Eine Hackergruppe hatte eine Schadsoftware in ihrem IT-System platziert, die in der Nacht auf den 6. Juli in Aktion trat. Die Cybergangster verschlüsselten so das ITSystem der Verwaltung und saugten 62 Megabyte personenrelevante Daten ab, von denen sie einige veröffentlichten. Sie forderten ein Lösegeld („Ransom“) von umgerechnet 500.000 Euro in der Kryptowährung Monero. 

An eine ruhige Amtsübergabe war für Andy Grabner nicht mehr zu denken. Lösegeld wollte der Landrat nicht zahlen. Aber wie konnte man die Verwaltung wieder arbeitsfähig machen? „Wir waren digital komplett out of order“, beschreibt Grabner. „Das Einzige, was noch funktionierte, war die Telefonanlage.“ Drei Tage nach dem Angriff rief sein Vorgänger in Absprache mit ihm den ersten Cyber-Katastrophenfall in Deutschland aus. Er dauerte über ein halbes Jahr lang an. Ein drastischer, aber rückblickend richtiger Schritt, sagt Andy Grabner: „Auszahlungen von Sozialhilfe, BAföG, Eltern- und Kindergeld waren nicht möglich. Die Menschen müssen ihren Lebensunterhalt bestreiten, auch wenn unsere Technik nicht funktioniert.“ Mit dem Ausrufen des Katastrophenfalls sicherte sich der Landkreis mehr Befugnisse und eine vereinfachte Vergabe von kurzfristig nötigen Aufträgen. Und es war möglich, sofort kompetente Hilfe anzufordern: Im Krisenstab arbeiteten neben Landkreisbediensteten auch Fachleute der Bundeswehr und des Bundesamtes für Sicherheit in der Informationstechnik, des Landeskriminalamtes, des Computer Emergency Response Teams Nord und der Landesverwaltung.

IT-Expertin unterstützt Verwaltung

Die technische Einsatzleitung im Krisenstab übernahm Sabine Griebsch. Seit Anfang 2020 ist die E-Government-Expertin für den Landkreis als Chief Digital Officer tätig. Der Landrat hatte mehrfach versucht, eine Fachbereichsleitung für den ITBereich zu finden, aber die Resonanz auf bisher drei Stellenausschreibungen war gleich null. Um das Onlinezugangsgesetz  umzusetzen, engagierte man deshalb Sabine Griebsch als freie Mitarbeiterin. Sie soll ein Gesamtkonzept für die Digitalisierung des Hauses erarbeiten. Seit Beginn der Krise unterstützt sie die IT-Abteilung organisatorisch darin, die ITInfrastruktur des Hauses ganz neu aufzubauen. Im März 2022 liefen erst 40 der insgesamt159 Fachanwendungen – wie zum Beispiel Programme für Führerscheinausgabe, BAföG, Sozialhilfe, Bauamt, Personalwesen oder Reisekostenabrechnung – wieder. Der Neuaufbau des grundlegenden „Active Directory“ war noch nicht abgeschlossen. Daten, die auf dem Mailserver, im Intranet und lokal auf den 1.050 Einzelplatzrechnern gespeichert wurden, sind dauerhaft verloren; der Rest konnte gerettet werden. Es bleibt noch viel Programmierarbeit, aber die Verwaltung kann wieder arbeiten.

Tipps zur Abwehr eines Ramsomware-Angriffs

Der Ransomware-Angriff auf Anhalt-Bitterfeld ist der bisher folgenreichste auf einen Landkreis in Deutschland. Aber nicht der Einzige. Allein in jüngster Zeit gab es unter anderem Cyberattacken in Witten, Schwerin und im Landkreis LudwigslustParchim. Doch in den Kommunen fehlen Geld und Personal, um sich ausreichend auf die Bedrohung vorzubereiten. „Das Risiko ist bekannt und man müsste viel mehr in Informationssicherheit investieren“, meint IT-Spezialist Ulf Riechen, der sächsische Landesbehörden und Landratsämter in Informationssicherheitsfragen berät. „Aber man macht immer erst etwas, wenn es schon weh tut. Das ist so wie beim Brandschutz: Den nehmen viele auch erst dann ernst, wenn es mal gebrannt hat.“

Sicherheitsmanagement-System aufbauen

IT-ExperteRiechen empfiehlt, ein Sicherheitsmanagement-System nach dem Standard des Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik aufzubauen – am besten mit der Hilfe eines Spezialisten. Denn wenn man es ohne Erfahrung anfange,  falle bei dem Umfang des Grundschutz-Kompendiums die Konzentration auf das Wesentliche schwer.   Als erste technische Maßnahme sei ein Offline-Backup geboten. „Daten sichern und nicht im System liegen lassen, das ist das Entscheidende“, betont Riechen. „Ich muss eine Offlineversion haben, an die der Angreifer nicht drankommt. Am besten auf Streamer-Bändern speichern und in einen Tresor wegschließen!“

Bei einem Ransomware-Vorfall brauche man zusätzlich „eine Forensik, die nachvollzieht, seit wann das Virus im System ist - und ich muss die Daten so lange aufheben, dass ich noch eine Version der lauffähigen Programme von einem Zeitpunkt habe, der vor dem Befall war“. Ein weiterer Tipp: Einmal für jedes Amt durchspielen, wie es zeitweise ohne IT auskommen könnte und die Ergebnisse in einem Notfallkonzept festhalten.

Daten sichern und nicht im System liegen lassen, das ist das Entscheidende.“

Ulf Riechen, IT-Spezialist

Hohe Kosten lohnen sich

Das alles erzeugt Kosten, die sich aber mit Blick auf die Summen relativieren, die bei einem gelungenen Cyberangriff anfallen. „Zwischen 1,7 und 2 Millionen Euro Schaden“ wird die Wiederherstellung des Systems am Ende kosten, schätzt Landrat Grabner. „Es war mir bewusst, dass die IT im öffentlichen Dienst stiefmütterlich behandelt wird“, sagt er. „Aber dass ein Hackerangriff zu dieser Dimension, zu diesen Einschränkungen führen und so lange dauern kann, damit hätte ich auch nicht gerechnet.“ Es sei nötig und richtig, auch bei knappen Kassen in die IT-Sicherheit mehr zu investieren. Ein Umdenken verlangt er auch von den Mitarbeitern. Für sie gab es früher kaum Sicherheitsrestriktionen: Sie konnten eigene Computersticks oder private externe Festplatten benutzen, hatten freien Zugang zum Internet und konnten sich von zu Hause aus ins System einloggen - was sie unter anderem deshalb taten, um die vielbeschäftigte ITAbteilung zu entlasten. Alles das ist nun nicht mehr beziehungsweise nur sehr eingeschränkt erlaubt. Außerdem müssen sie jetzt eine Zwei-FaktorAuthentifizierung durchführen, wenn sie sich an ihrem Arbeits-PC anmelden.

Prioritäten beim Wiederanlauf festlegen

Für die E-Government-Expertin Sabine Griebsch ist eine wichtige Lehre aus dem Vorfall, dass man einen Wiederanlaufplan hat und vorab die Prioritäten verbindlich festlegt, nach denen die Fachanwendungen wieder ans Netz gebracht werden. „Diese Diskussion möchte man im Notfall nicht permanent führen und auf ständig wechselnde Prioritäten kann eine unterbesetzte IT-Abteilung auch nicht immer wieder neu reagieren“, sagt Griebsch. Die Lehren aus dem Vorfall will man teilen: Innerhalb eines Expertenbeirats arbeitet die Landkreisverwaltung gemeinsam mit dem Land Sachsen-Anhalt, dem BSI, der Bundeswehr und Experten an einem systematischen Wissenstransfer, der anderen dabei helfen soll, sich gegen Angriffe adäquat zu wappnen. Dafür wird der Landkreis  Modellkommune des BSI. Gemeinsam soll ein Grundschutz-Profil "Basis-Absicherung Kommunalverwaltung" erarbeitet werden.

Auf ständig wechselnde Prioritäten kann eine unterbesetzte IT-Abteilung nicht immer wieder neu reagieren.“

Sabine Griebsch, E-Government-Experti

Zentrale Stelle für IT-Sicherheit gefordert



Groß ist bei Bürgermeistern und Landräten der Wunsch nach kompetenter Hilfe – auch jenseits von Katastrophenfällen oder zur besseren Vorbereitung auf sie. Landrat Andy Grabner plädiert dafür, auf Landes- oder Bundesebene eine zentrale Stelle einzurichten, die „gebündeltes und tiefergehendes Knowhow“ für die IT-Sicherheit für die Kommunen und Landkreise bereitstellt.  Die Arbeitsgemeinschaft Kritische Infrastruktur des Chaos Computer Clubs schlägt den Aufbau eines umfassenden „CyberHilfswerks“ vor, das analog zum Technischen Hilfswerk ehrenamtliche IT-Spezialisten im Notfall zur Verfügung stellt. Eine Idee, die auch Staatssekretär Bernd Schlömer, Beauftragter der Landesregierung Sachsen-Anhalt für die Informationstechnik, charmant findet; sein Haus kündigte ein entsprechendes Pilotprojekt für Sachsen-Anhalt an.