• Startseite
  • Politik
  • Digitalisierte Katastrophe: Wie Hacker eine Kreisverwaltung lahmlegten

Die Katastrophe aus dem Netz – wie digitale Lösegelderpresser eine Kreisverwaltung lahmlegten

  • Der Katastrophenfall wurde ausgerufen, ein Krisenstab tagte täglich, Soldaten der Bundeswehr leisteten Amtshilfe.
  • Kein Unwetter löste im Landkreis Anhalt-Bitterfeld den Ausnahmezustand aus, sondern Hacker.
  • Die Gefahr von Ransomware-Angriffen steigt für Verwaltungen und Unternehmen – auch weil an den falschen Stellen gespart wird.
|
Anzeige
Anzeige

Berlin/Köthen. Den Start in seinen neuen Job hatte sich Andy Grabner anders vorgestellt. „Eigentlich wollte ich mich in den ersten Wochen im Amt bei allen 900 Mitarbeiterinnen und Mitarbeitern persönlich vorstellen“, erzählt der Landrat des Kreises Anhalt-Bitterfeld. Stattdessen lernte er im Juli vor allem den frisch gebildeten Krisenstab kennen, sprach mit IT-Fachleuten, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundeswehr. Den neuen Kolleginnen und Kollegen konnte er nicht einmal eine E-Mail schreiben. Wenige Tage vor dem Amtsantritt Grabners war am 9. Juli der Katastrophenfall im Landkreis ausgerufen worden. Nicht wegen eines Unwetters oder Erdbebens, sondern weil Hacker in die Computersysteme der Kreisverwaltung eingedrungen waren. Alles in unserer Gesellschaft digitalisiert sich – auch die Katastrophen.

Von einem Tag auf den anderen funktionierte nichts mehr, außer der Telefonanlage. Keine der rund 160 Fachanwendungen in der Verwaltung konnte bedient werden, alle Computer mussten hauruckartig ausgeschaltet werden. KFZ-Anmeldungen, Führerscheinausstellungen, Elterngeldanträge – alles lag erst einmal auf Eis.

Landrat Andy Grabner startete im Katastrophenmodus in sein Amt. © Quelle: Felix Huesmann/RND
Anzeige

Nichts ging mehr

Die Hacker waren da schon seit mehreren Tagen im Computersystem des Landkreises, hatten Zeit, sich „auszutoben“, wie der CDU-Politiker Grabner sagt. Unbemerkt konnten sie in den Laufwerken der Verwaltung herumschnüffeln und sensible Daten absaugen. Erst als die Täter zum nächsten Schritt übergingen, fiel in der Kreisverwaltung in Köthen auf, dass etwas nicht stimmt. Sie begannen, die Computersysteme zu verschlüsseln. „Mitarbeiter wollten Fachanwendungen öffnen, und das hat nicht mehr funktioniert“, berichtet Grabner. Stattdessen zeigten die Computer bloß Fehlermeldungen an. „Die IT-Abteilung hat die Mitarbeiter dann aufgefordert, die Rechner runterzufahren.“ Kurz später war klar: Der Landkreis wurde von einem Ransomware-Angriff getroffen.

Hauptstadt Radar Der RND-Newsletter aus dem Regierungsviertel mit dem 360-Grad-Blick auf die Politik im Superwahljahr. Immer dienstags, donnerstags und samstags.

Ransom, das ist das englische Wort für Lösegeld. Die Angreifer dringen mit Schadsoftware in die Computersysteme ihrer Opfer ein und verschlüsseln deren Dateien. Gegen die Zahlung eines Lösegelds bieten die Kriminellen schließlich die Wiederherstellung der Daten an. Wer nicht zahlt, hat kaum eine Chance, die Daten entschlüsseln zu können und muss dazu häufig noch mit der Veröffentlichung gestohlener Daten rechnen. Bezahlt werden sollen die Lösegeldforderungen in der Regel mit Kryptowährungen wie Bitcoin oder Monero. Geldflüsse dieser Digitalwährungen können anonym abgewickelt werden und lassen sich online gut verschleiern – wer die Kriminellen sind und von wo sie agieren, bleibt deshalb in den allermeisten Fällen unklar.

Anzeige

„Zahlen oder Trauern“

Die kriminelle Gruppe, die Andy Grabners Verwaltung erpresst hat, nennt sich „Pay or Grief“ – „Zahle oder Trauer“. Der Landkreis zahlte die geforderte Summe nicht. „Der öffentliche Dienst darf sich nicht erpressbar machen“, sagt der Landrat. Das sei für ihn von vornherein klar gewesen. Wie hoch die Lösegeldforderung war, verrät er nicht. Die Folgekosten des Angriffs dürften jedoch deutlich darüber liegen. Grabner rechnet mit mindestens einer Million Euro. Im öffentlichen Dienst ist es eine politische Entscheidung, nicht zu zahlen. Die reine Kostenabwägung bringt jedoch so manches betroffene Wirtschaftsunternehmen dazu, sich auf Lösegeldforderungen einzulassen. Jeder Tag offline kann enorme finanzielle Ausfälle bedeuten.

Anzeige

Noch bedrohlicher kann die Veröffentlichung sensibler Daten durch die Kriminellen sein. Zu diesem Druckmittel greift auch die Gruppe „Pay or Grief“. Kurz vor Ablauf der 19-tägigen Zahlungsfrist stellte sie personenbezogene Daten von Kreistagsmitgliedern und sachkundigen Bürgern ins Darknet. „Teilweise haben diese Betroffenen anschließend suspekte SMS mit Hinweisen auf russische und osteuropäische Absender bekommen“, sagt Andy Grabner. Woher die Angreifer kommen, bleibt jedoch ein Rätsel.

Klar ist: Der Landkreis Anhalt-Bitterfeld ist nicht allein, weltweit geraten öffentliche Verwaltungen in den Fokus Krimineller. 2018 wurde die US-amerikanische Großstadt Atlanta Opfer eines weitreichenden Ransomware-Angriffs. Im Februar 2020 traf es den nordenglischen Bezirk Redcar and Cleveland, laut einem Bericht der BBC entstanden dabei Kosten von mehr als zehn Millionen Pfund. Und im Mai 2021 traf ein groß angelegter Angriff das irische Gesundheitssystem.

Ransomware als Gefahr für Leib und Leben

Noch stärker als öffentliche Einrichtungen sind jedoch Unternehmen betroffen. In den USA musste im Mai dieses Jahres die größte Benzin-Pipeline des Landes nach einem Angriff auf die Betreiberfirma Colonial vom Netz genommen werden. Vor Tankstellen in mehreren Bundesstaaten bildeten sich durch Panikkäufe lange Schlangen. Das Unternehmen zahlte 4,4 Millionen Dollar an die Erpresser. Einen Teil des Geldes konnte das FBI später zurückholen.

Die Liste von Sektoren, in denen ein digitaler Angriff lebensgefährliche Auswirkungen entfalten kann, ist lang: Krankenhäuser wurden bereits mehrfach zum Ziel, auch bei Kraftwerken oder Energienetz-Betreibern kann der Effekt eines Systemausfalls gravierend sein.

Sascha Zinke hilft Unternehmen, sich vor solchen digitalen Bedrohungen zu schützen. Vor allem Betreibern Kritischer Infrastruktur, wie kommunale Stadtwerke, gehören zu den Kunden seiner Berliner Firma Splone. Um Schwachstellen zu finden, bietet Zinke „Penetrationstests“ an. Im Auftrag ihrer Kunden versuchen der 35-Jährige und seine Mitarbeiter, sich in deren Websites oder Computersysteme zu hacken. Die Einfallstore, die sie dabei finden, können anschließend geschlossen werden – bevor echte Angreifer sie ausnutzen.

Anzeige
Sascha Zinke steht im Büro seines IT-Sicherheitsunternehmens in Berlin. © Quelle: Felix Huesmann/RND

Hacken im Namen der Sicherheit

„Oft ist dabei nur ein ganz kleiner Kreis eingeweiht“, erklärt Zinke. Die Chefetage weiß Bescheid, die IT-Abteilung oftmals nicht – sie steht schließlich auf dem Prüfstand. Wege, um in ein fremdes Computersystem zu gelangen, gibt es viele. Am Anfang steht die Recherche. Welche technischen Schwachstellen offenbart die Unternehmenswebsite bei genauerer Betrachtung? Was ist im Internet über die Mitarbeiterinnen und Mitarbeiter zu erfahren? „Dann fahren wir hin, schicken E-Mails, oder rufen dort an“, sagt Zinke. „Wir versuchen, Leute dazu zu bewegen, Dateien herunterzuladen und auszuführen.“ Dateien, die sich als nachgebaute Ransomware entpuppen, und zwar nichts verschlüsseln, den bestellten Hackern aber ein Signal geben, dass sie erfolgreich sind. Manchmal reiche es bereits, eine gut gefälschte E-Mail mit einem präparierten Anhang zu schicken, sagt Zinke. „Manchmal rufen wir auch an und geben uns als Kollegen aus und bitten, einen Anhang zu öffnen.“

Der Regelfall in freier Wildbahn sehe jedoch anders aus, betont Sascha Zinke. Nur selten würden Kriminelle ganz gezielt und mit viel Aufwand ein konkretes Ziel ins Visier nehmen. Die Masse der Ransomware-Angriffe trifft zufällige Opfer: E-Mails mit infizierten Anhängen werden an Hunderttausende, teilweise sogar nach dem Zufallsprinzip generierte E-Mail-Adressen verschickt. Webseiten und Server werden automatisiert auf bekannte Schwachstellen abgetastet.

Folgenschwerer Zufallstreffer

Ob es sich um ein lohnendes Ziel für eine größere Geldforderung handelt, stellen die Kriminellen in solchen Fällen erst fest, wenn sie bereits Zugang zu einem Computer haben. Andy Grabner geht davon aus, dass auch der Landkreis Anhalt-Bitterfeld ein Zufallsfund der Erpresser war und nicht das Ziel einer planvollen Aktion gegen die Verwaltung. Treffen kann ein solcher Angriff grundsätzlich jeden, der sich nicht ausreichend schützt – auch Privatpersonen. „Die meisten werden Opfer ihrer eigenen technischen Überheblichkeit oder finanziellen Sparsamkeit“, sagt Sascha Zinke.

„Im Nachgang muss man sicherlich sagen, dass wir zu schlecht geschützt waren“, gesteht Landrat Grabner ein. „Man hätte deutlich mehr investieren müssen, um eine entsprechende IT-Sicherheit herzustellen.“

Doch gerade für verschuldete Kommunen und Landkreise wie Anhalt-Bitterfeld ist das keine einfache Aufgabe. „Wenn die Entscheidung getroffen werden muss, ob ich eine Million in die Sanierung einer Schule investiere, oder in die Modernisierung eines IT-Systems, dann fällt diese Entscheidung nicht wirklich schwer“, sagt Grabner, der mehr als 16 Jahre Kreistagsmitglied war. Man tendiere dann zur Schule.

IT-Sicherheitsexperte Zinke warnt bei solchen Abwägungen vor einer zu kurzfristigen Sichtweise. „Wenn eine Entscheidung von heute uns fünf Jahre keine Kosten macht, ist das eine schöne Sache“, sagt er. Dabei werde jedoch ausgeblendet, dass dadurch in zehn Jahren viel größere Probleme entstehen können.

Anhalt-Bitterfeld will aus den Fehlern lernen

Zinke plädiert für größeren gesetzgeberischen Druck auf Verwaltungen und Unternehmen, die mit sensiblen Daten arbeiten. Wie zum Sicherheitsgurt im Auto brauche es auch eine Verpflichtung zum effektiven digitalen Schutz. Gerade in Behörden, glaubt er, fehle dieser Druck bislang.

In Anhalt-Bitterfeld sollen viele Forderungen von Sicherheitsexperten nun umgesetzt und die Standards des BSI eingehalten werden. Vom bundesweit beachteten Ransomware-Opfer zum Musterschüler, das ist der Plan des Landkreises. Ein externer Dienstleister baut derzeit das neue Netzwerk der Verwaltung auf. Einen Notfallplan soll es künftig geben und tägliche Backups, um auch bei einem Ransomware-Angriff nicht erneut die Daten mehrerer Monate zu verlieren. Die Mitarbeiterinnen und Mitarbeiter sollen auf ein Sicherheitskonzept verpflichtet und regelmäßig geschult werden.

Noch in diesem Monat soll das neue Netzwerk einsatzbereit sein. Bis alles wieder normal läuft, dürfte es aber noch ein halbes Jahr dauern. Nicht unwahrscheinlich, dass bis dahin bereits die nächste Verwaltung in Deutschland zum Opfer von Lösegelderpressern geworden ist. Die Digitalisierung schreitet stetig voran. Doch die Kriminellen sind vielen Behörden und Unternehmen einen Schritt voraus. Mindestens.

  • Laden Sie jetzt die RND-App herunter, aktivieren Sie Updates und wir benachrichtigen Sie laufend bei neuen Entwicklungen.

    Hier herunterladen