Cyberangriff auf Landkreis Anhalt-Bitterfeld 2021

Erstmals hat am 09.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) wurde durch einen Cyberangriff so weit lahmgelegt, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Offenbar wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat ("Ransomware); meist geht es dabei um die Erpressung von "Lösegeld".^[1] Der Angriff war am 06.07.2021 entdeckt worden, hatte nach späteren Feststellungen der Forensik aber bereits am 02.06. begonnen.^[2] Der Katastrophenfall wurde ausgerufen, um schneller reagieren und Hilfe anderer Behörden anfordern zu können.^[3] Hauptziel war, die Auszahlung von Geldern möglichst schnell wieder zu ermöglichen. Übergangsweise wurden Zahlungen auf Grundlage der jeweils letzten Auszahlung getätigt. Die Ausrufung des Katastrophenfalls ermöglicht jedoch auch, notwendige Beschaffungen ohne langwierige Ausschreibungen zu tätigen.^[4] Der Katastrophenfall wurde erst nach ca. 7 Monaten im Februar 2022 wieder aufgehoben.

Lösegeld wurde nicht bezahlt[Bearbeiten]

Die Angreifer stellten nach Angaben des Landeskriminalamtes (LKA) eine Lösegeldforderung, deren Höhe zunächst nicht mitgeteilt wurde; später wurde bekannt, dass es um ca. 500.000 € ging.^[5] Der Kreis weigerte sich zu zahlen,^[6] woraufhin 200 MB Daten aus den Beständen des Landkreises im Internet angeboten wurden, vermutlich um der Forderung Nachdruck zu verleihen. Laut "Spiegel" stellten die Täter*innen persönliche Daten (z.B. Handynummern, Privatanschriften, Bankverbindungen sowie Namen früherer Arbeitgeber) von 92 Personen, darunter 42 Kreistagsmitgliedern, ins sog. Darknet. Auch Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen – einige davon aus dem nichtöffentlichen Teil - wurden zugänglich gemacht.^[7] Nach späteren Feststellungen des Landkreises waren insgesamt ca. 63 GB an Daten abgeflossen.^[8]

Hilfe von vielen Seiten[Bearbeiten]

Neben dem LKA wurde das Bundesamt für Sicherheit in der Informationstechnik eingeschaltet. Zur Unterstützung der Forensik und bei der Wiederherstellung der Daten auf 900 betroffenen Rechnern wurde auch die Bundeswehr um Hilfe gebeten.^[9] Hilfe kam auch von Landesbehörden, einer Hochschule, benachbarten Kreisen, Gemeinden und kommunalen Betrieben des betroffenen Landkreises. Am 19.07. war eine "Not-Infrastruktur" aufgebaut, einzelne Dienststellen waren wieder per Mail erreichbar.^[10]

Nach 7 Monaten noch keine Normalität[Bearbeiten]

Nach knapp sieben Monaten, Ende Januar 2022, hob der Landkreis den Katastrophenalarm wieder auf. Eine Gefährdungslage für die Öffentlichkeit bestehe nicht mehr, so ein Sprecher; die Behebung aller Schäden würde jedoch noch bis Mitte des Jahres dauern.^[11]

Wiederaufbau dauert nach einem Jahr noch an[Bearbeiten]

Die Rekonstruktion der Daten und die Wiederinbetriebnahme des IT-Netzes - weitgehend nach den Vorgaben des BSI - sollte nach den ursprünglichen Erwartungen bis April oder Mai 2022 dauern und ca. 2 Mio. € kosten.^[12] Anfang Juli 2022, ein Jahr nach dem Vorfall, war sie jedoch noch nicht ganz abgeschlossen. Ein Grund dafür war ein Mangel an Fachkräften und IT-Dienstleistern.^[13] Nach Schätzungen können 80-90% der Daten aus den Datensicherungen rekonstruiert werden. Der Wiederaufbau des Verwaltungsnetzes soll von Grund auf erfolgen: Ein eigenes IT-Amt wird gebildet, alle mit der Administration von Rechnern beschäftigten Kräfte werden dort zusammengefasst. Ein*e IT-Sicherheitsbeauftragte*r wird in einem Auswahlverfahren gefunden (nicht einfach ernannt) und speziell geschult. Prozesse werden neu definiert, Vorgaben (z.B. für Passwörter) restriktiver formuliert; mobiles Arbeiten mit eigenen Geräten soll nicht mehr erlaubt werden. Für jedes der insgesamt 159 Fachverfahren (in 20 Ämtern) soll nach einer Prioritätenliste zunächst ein eigenes Netz aufgebaut werden. Darüber hinaus will der Landkreis seine Erfahrungen dokumentieren und anderen Kommunen zur Verfügung stellen.

Deutliche Kritik vom BSI[Bearbeiten]

Eine Woche vor der Aufhebung des Katastrophenalarms, am 22.01.2022, sandte das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen internen Abschlussbericht an den Landrat von Anhalt-Bitterfeld, der Mitte 2023 dem Mitteldeutschen Rundfunk (mdr) zugespielt wurde. Das BSI unterstützte den Landkreis bei der Bekämpfung des Angriffs und beim Beheben der Schäden, obwohl es nicht zuständig war. Aus dem Bericht lässt sich Kritik am Landkreis herauslesen - die Zusammenarbeit sei herausfordernd gewesen, so wird der Bericht zitiert. Man habe die Verantwortlichen in Anhalt-Bitterfeld "wiederholt und ausdrücklich" auf die möglichen Probleme und Risiken hingewiesen, die entstehen würden, wenn sie nicht den BSI-Empfehlungen folgten. Dem BSI gefiel nicht, dass der Landkreis schon einen Tag nach dem Vorfall öffentlich darüber spekulierte, welche Schwachstelle die Hacker benutzt haben. Außerdem sei die Liste der Fachverfahren nicht vollständig gewesen und es habe im Landkreis zwei technische Einsatzleitungen gegeben. Die Firma, die zunächst zur Unterstützung des Landkreises engagiert worden war, sei nach einem Streit um die Finanzierung - die schnell zur Verfügung gestellten Landesmittel waren schon nach neun Tagen verbraucht - einfach verschwunden. Laut mdr lässt der Bericht auch den Schluss zu, dass die Wiederherstellung einer funktionierenden IT schneller möglich gewesen wäre. Der Landrat lehnte eine Stellungnahme hierzu mit Verweis auf die Vertraulichkeit des Berichtes ab.^[14]

Umweltdatenbank verloren[Bearbeiten]

Mehr als ein Jahr nach dem Angriff wurde bekannt, dass einige Folgen dieser Attacke fortdauern. So hat der Landkreis anscheinend dauerhaft den Zugriff auf eine der größten Umweltdatenbanken Deutschlands verloren. In dem ehemaligen DDR-Chemiekomplex waren Boden, Sediment und Grundwasser an Tausenden Altlastenverdachtsflächen analysiert und die Messdaten später in ein digitales geografisches Informationssystem eingespeist worden, das u.a. bei der Erteilung von Baugenehmigungen herangezogen wurde. Die Datenbank lasse sich, so der Landkreis, "nicht wieder ohne Weiteres in das neue IT-System des Landkreises integrieren"; die Informationen müssen aus Akten und elektronischen Aufzeichnungen neu zusammengetragen werden.^[15]

Hackergruppe "Double-Spider" als Urheber[Bearbeiten]

Nach jahrelangen Ermittlungen wurde im März 2023 bekannt, dass als Urheber des Anschlags die Hacker-Gruppe "Double-Spider" oder "Grief" identifiziert wurde. Die Täter sollen aus Russland, Moldawien, der Ukraine und auch aus Deutschland kommen. Dabei bestünden "Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner", auch wenn es keine Hinweise auf eine aktive Rolle stattlicher Akteure gebe. Die Gruppe habe weltweit ca. 600 Angriffe durchgeführt, darunter 37 in Deutschland. Einige Tatverdächtige werden jetzt weltweit gesucht, auf einen von ihnen hat das FBI eine Belohnung von 5 Mio. US-$ ausgesetzt. Gegen acht weitere Verdächtige aus Deutschland, Russland, Moldawien und der Ukraine wird ebenfalls ermittelt.^[16]

Attacke kostete 2,5 Mio. Euro[Bearbeiten]

Im März 2024 teilte der Landkreis der dpa mit, die Attacke habe insgesamt Kosten von 2,5 Mio. € verursacht. Dazu zählten Ausgaben für den Aufbau der Infrastruktur, Datenrettung, die Anschaffung neuer Server, Speichermedien und Laptops sowie von neuer Software. Anscheinend nicht eingerechnet wurden der erhebliche personelle Aufwand in der Verwaltung selbst für die Wiederherstellung einer funktionierenden IT und die Abwicklung von Verfahren ohne IT-Unterstützung.^[17]

Fußnoten[Bearbeiten]

↑ FAZ, Erster Cyber-Katastrophenfall in Deutschland, 10.07.2021. Siehe auch Landkreis Anhalt-Bitterfeld: Cyberangriff auf Landkreisverwaltung, Pressemitteilung vom 11.07.2021
↑ Diese Angaben wurden - wie viele andere in diesem Artikel - dem Hintergrundgespräch der Stiftung Neue Verantwortung vom 03.12.2021 mit Sabine Griebsch, Chief Digital Officer des Landkreises entnommen; siehe Transkript unter Siehe auch.
↑ Zur Ausrufung des Katastrophenfalls siehe auch: Rechtsanwältin Varinia Iber, Kommunen als leichte Beute für Cyberkriminelle, in: KOMMUNAL 21.07.2021
↑ Siehe dazu Deutschlandfunk Kultur: Was bedeutet der Cyber-Katastrophenfall?, 13.07.2021
↑ Zeit, Landkreis erhält Lösegeldforderung nach Cyberattacke, 13.07.2021
↑ heise, Cyberangriff auf Anhalt-Bitterfeld: Landkreis zeigt sich weiterhin unerpressbar, 11.08.2022
↑ heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021. Das "Darknet" ist ein Teil des Internet, der für Suchmaschinen etc. nicht zugänglich ist, der nahezu ausschließlich unter Verschleierung der Identität genutzt wird und der sowohl für kriminelle Zwecke als auch zum Schutz von Personen, die z.B. politischer Verfolgung ausgesetzt sind, dient. Spiegel, Hacker stellen persönliche Daten von Abgeordneten ins Darknet, 06.08.2021
↑ golem.de: Rebuilding Landkreis Anhalt-Bitterfeld, 28.12.2021
↑ winfuture, Ransomware: Landkreis Anhalt-Bitterfeld ruft die Bundeswehr zu Hilfe, 27.07.2021
↑ mdr, Landkreis Anhalt-Bitterfeld ab Montag wieder per Mail erreichbar, 17.07.2021
↑ mdr, Katastrophenfall nach Cyberangriff aufgehoben, 02.02.2022
↑ mdr, Hacker-Angriff: LKA rechnet mit langwierigen Ermittlungen, 12.07.2021; Zeit, Katastrophen-Modus: Anhalt-Bitterfeld weiter lahmgelegt, 12.07.2021; Golem: IT-Wiederaufbau in Anhalt-Bitterfeld dauert noch Wochen, 06.08.2021; Süddeutsche Zeitung: Provinz gegen Darknet, 10.08.2021; golem.de: Rebuilding Landkreis Anhalt-Bitterfeld, 28.12.2021; mdr, Anhalt-Bitterfeld will Vorreiter bei Cyber-Sicherheit werden, 02.01.2022. Die Lösegeldforderung orientiert sich damit offenbar "realistisch" an den Kosten der Datenwiederherstellung und stellt sich rein finanziell betrachtet als günstiger dar. 2024 wurden die Gesamtkosten mit 2,5 Mio. € angegeben, siehe letzten Abschnitt.
↑ heise, Ein Jahr nach dem Erpressungstrojaner: Anhalt-Bitterfeld spürt noch die Folgen, 05.07.2022
↑ mdr, Abschlussbericht: Anhalt-Bitterfeld durch Cyberattacke zu lange lahmgelegt, 27.07.2023; heise: BSI: Kooperation mit Anhalt-Bitterfeld nach Cyberattacke war "herausfordernd", 28.07.2023
↑ Spiegel, Cyberangriff auf Anhalt-Bitterfeld gravierender als bislang bekannt, 28.10.2022
↑ mdr, Cyberangriff auf Anhalt-Bitterfeld: Hacker identifiziert, 07.03.2023; heise: Ransomware-Gang enttarnt: Erste Hinweise auf Hintermänner, 07.03.2023
↑ heise: Ransomware kostete Anhalt-Bitterfeld rund 2,5 Millionen Euro, 10.03.2024

Siehe auch[Bearbeiten]

Golem: "Landkreis Anhalt-Bitterfeld, you are fucked", 4-teilige Reportage, 21.07.2023
MDR: You are fucked – Deutschlands erste Cyberkatastrophe, 6-teilige Podcast-Serie (Juli/August 2023, Folgen zwischen 42 und 56 min. lang); siehe dazu auch Borns IT- und Windows-Blog, Cyberangriffe auf die Stadtverwaltung Potsdam und auf Sachsen-Anhalt, ein Blick hinter die Kulissen, 23.07.2023
Podcast MDR Investigativ: Hackingangriffe auf Kommunen: Wie sicher ist die kritische Infrastruktur?, 12.05.2022 (Audio, ca. 32 min.)
MDR, Erpressung online - Cyberangriffe auf Kommunen, Beitrag aus MDR Exakt, 13.04.2022 (Video, 10 min.
Stiftung Neue Verantwortung, Transkript zum Hintergrundgespräch: "Cyberkriminelle erpressen Anhalt-Bitterfeld - Was können wir daraus lernen?" mit Sabine Griebsch, Chief Digital Officer beim Landkreis Anhalt-Bitterfeld vom 03.12.2021 (das Gespräch ist hier auch als Video verfügbar, Dauer ca. 1 Stunde)
Zum Profil der Stelle einer externen "Chief Digital Officer" siehe auch das Interview des Behörden Spiegel mit Sabine Griebsch in der Reihe "Digitaler Staat" vom 07.05.2021 (Video, ca. 11 min.) sowie die Podcast Folge 17: Sabine Griebsch – die externe CDO im Landkreis Anhalt-Bitterfeld im Podcast "Kommunale Digitalisierung" von Felix Schmidt (ca. 48 min.)
Deutschlandfunk: Wie sich Kommunen gegen Cyberattacken schützen können, 12.01.2022
Cyberangriff auf die Südwestfalen-IT 2023
Cyberangriffe

[1] FAZ, Erster Cyber-Katastrophenfall in Deutschland, 10.07.2021. Siehe auch Landkreis Anhalt-Bitterfeld: Cyberangriff auf Landkreisverwaltung, Pressemitteilung vom 11.07.2021

[2] Diese Angaben wurden - wie viele andere in diesem Artikel - dem Hintergrundgespräch der Stiftung Neue Verantwortung vom 03.12.2021 mit Sabine Griebsch, Chief Digital Officer des Landkreises entnommen; siehe Transkript unter Siehe auch.

[3] Zur Ausrufung des Katastrophenfalls siehe auch: Rechtsanwältin Varinia Iber, Kommunen als leichte Beute für Cyberkriminelle, in: KOMMUNAL 21.07.2021

[4] Siehe dazu Deutschlandfunk Kultur: Was bedeutet der Cyber-Katastrophenfall?, 13.07.2021

[5] Zeit, Landkreis erhält Lösegeldforderung nach Cyberattacke, 13.07.2021

[6] se, Cyberangriff auf Anhalt-Bitterfeld: Landkreis zeigt sich weiterhin unerpressbar, 11.08.2022

[7] se: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021. Das "Darknet" ist ein Teil des Internet, der für Suchmaschinen etc. nicht zugänglich ist, der nahezu ausschließlich unter Verschleierung der Identität genutzt wird und der sowohl für kriminelle Zwecke als auch zum Schutz von Personen, die z.B. politischer Verfolgung ausgesetzt sind, dient. Spiegel, Hacker stellen persönliche Daten von Abgeordneten ins Darknet, 06.08.2021

[8] .de: Rebuilding Landkreis Anhalt-Bitterfeld, 28.12.2021

[9] winfuture, Ransomware: Landkreis Anhalt-Bitterfeld ruft die Bundeswehr zu Hilfe, 27.07.2021

[10] r, Landkreis Anhalt-Bitterfeld ab Montag wieder per Mail erreichbar, 17.07.2021

[11] r, Katastrophenfall nach Cyberangriff aufgehoben, 02.02.2022

[12] r, Hacker-Angriff: LKA rechnet mit langwierigen Ermittlungen, 12.07.2021; Zeit, Katastrophen-Modus: Anhalt-Bitterfeld weiter lahmgelegt, 12.07.2021; Golem: IT-Wiederaufbau in Anhalt-Bitterfeld dauert noch Wochen, 06.08.2021; Süddeutsche Zeitung: Provinz gegen Darknet, 10.08.2021; golem.de: Rebuilding Landkreis Anhalt-Bitterfeld, 28.12.2021; mdr, Anhalt-Bitterfeld will Vorreiter bei Cyber-Sicherheit werden, 02.01.2022. Die Lösegeldforderung orientiert sich damit offenbar "realistisch" an den Kosten der Datenwiederherstellung und stellt sich rein finanziell betrachtet als günstiger dar. 2024 wurden die Gesamtkosten mit 2,5 Mio. € angegeben, siehe letzten Abschnitt.

[13] se, Ein Jahr nach dem Erpressungstrojaner: Anhalt-Bitterfeld spürt noch die Folgen, 05.07.2022

[14] r, Abschlussbericht: Anhalt-Bitterfeld durch Cyberattacke zu lange lahmgelegt, 27.07.2023; heise: BSI: Kooperation mit Anhalt-Bitterfeld nach Cyberattacke war "herausfordernd", 28.07.2023

[15] Spiegel, Cyberangriff auf Anhalt-Bitterfeld gravierender als bislang bekannt, 28.10.2022

[16] r, Cyberangriff auf Anhalt-Bitterfeld: Hacker identifiziert, 07.03.2023; heise: Ransomware-Gang enttarnt: Erste Hinweise auf Hintermänner, 07.03.2023

[17] se: Ransomware kostete Anhalt-Bitterfeld rund 2,5 Millionen Euro, 10.03.2024

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]