Cyberangriff auf Landkreis Anhalt-Bitterfeld 2021

Aus KommunalWiki

Erstmals hat am 09.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) wurde durch einen Cyberangriff so weit lahmgelegt, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Offenbar wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat ("Ransomware); meist geht es dabei um die Erpressung von "Lösegeld".[1] Der Angriff war am 06.07.2021 entdeckt worden, hatte nach späteren Feststellungen der Forensik aber bereits am 02.06. begonnen.[2] Der Katastrophenfall wurde ausgerufen, um schneller reagieren und Hilfe anderer Behörden anfordern zu können.[3] Hauptziel war, die Auszahlung von Geldern möglichst schnell wieder zu ermöglichen. Übergangsweise wurden Zahlungen auf Grundlage der jeweils letzten Auszahlung getätigt. Die Ausrufung des Katastrophenfalls ermöglicht jedoch auch, notwendige Beschaffungen ohne langwierige Ausschreibungen zu tätigen.[4]

Lösegeld wurde nicht bezahlt[Bearbeiten]

Die Angreifer stellten nach Angaben des Landeskriminalamtes (LKA) eine Lösegeldforderung, deren Höhe zunächst nicht mitgeteilt wurde; später wurde bekannt, dass es um ca. 500.000 € ging.[5] Der Kreis weigerte sich zu zahlen, woraufhin 200 MB Daten aus den Beständen des Landkreises im Internet angeboten wurden, vermutlich um der Forderung Nachdruck zu verleihen. Laut "Spiegel" stellten die Täter*innen persönliche Daten (z.B. Handynummern, Privatanschriften, Bankverbindungen sowie Namen früherer Arbeitgeber) von 92 Personen, darunter 42 Kreistagsmitgliedern, ins sog. Darknet. Auch Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen – einige davon aus dem nichtöffentlichen Teil - wurden zugänglich gemacht.[6] Nach späteren Feststellungen des Landkreises waren insgesamt ca. 63 GB an Daten abgeflossen.[7]

Hilfe von vielen Seiten[Bearbeiten]

Neben dem LKA wurde das Bundesamt für Sicherheit in der Informationstechnik eingeschaltet. Zur Unterstützung der Forensik und bei der Wiederherstellung der Daten auf 900 betroffenen Rechnern wurde auch die Bundeswehr um Hilfe gebeten.[8] Hilfe kam auch von Landesbehörden, einer Hochschule, benachbarten Kreisen, Gemeinden und kommunalen Betrieben des betroffenen Landkreises. Am 19.07. war eine "Not-Infrastruktur" aufgebaut, einzelne Dienststellen waren wieder per Mail erreichbar.[9]

Wiederaufbau dauert noch an[Bearbeiten]

Die Rekonstruktion der Daten und die Wiederinbetriebnahme des IT-Netzes - weitgehend nach den Vorgaben des BSI - wird nach derzeitigem Stand bis April oder Mai 2022 dauern und ca. 2 Mio. € kosten.[10] Nach Schätzungen können 80-90% der Daten aus den Datensicherungen rekonstruiert werden. Der Wiederaufbau des Verwaltungsnetzes soll von Grund auf erfolgen: Ein eigenes IT-Amt wird gebildet, alle mit der Administration von Rechnern beschäftigten Kräfte werden dort zusammengefasst. Ein*e IT-Sicherheitsbeauftragte*r wird in einem Auswahlverfahren gefunden (nicht einfach ernannt) und speziell geschult. Prozesse werden neu definiert, Vorgaben (z.B. für Passwörter) restriktiver formuliert; mobiles Arbeiten mit eigenen Geräten soll nicht mehr erlaubt werden. Für jedes der insgesamt 159 Fachverfahren (in 20 Ämtern) soll nach einer Prioritätenliste zunächst ein eigenes Netz aufgebaut werden. Darüber hinaus will der Landkreis seine Erfahrungen dokumentieren und anderen Kommunen zur Verfügung stellen.

Fußnoten[Bearbeiten]

  1. FAZ, Erster Cyber-Katastrophenfall in Deutschland, 10.07.2021. Siehe auch Landkreis Anhalt-Bitterfeld: Cyberangriff auf Landkreisverwaltung, Pressemitteilung vom 11.07.2021
  2. Diese Angaben wurden - wie viele andere in diesem Artikel - dem Hintergrundgespräch der Stiftung Neue Verantwortung vom 03.12.2021 mit Sabine Griebsch, Chief Digital Officer des Landkreises entnommen; siehe Transkript unter Siehe auch.
  3. Zur Ausrufung des Katastrophenfalls siehe auch: Rechtsanwältin Varinia Iber, Kommunen als leichte Beute für Cyberkriminelle, in: KOMMUNAL 21.07.2021
  4. Siehe dazu Deutschlandfunk Kultur: Was bedeutet der Cyber-Katastrophenfall?, 13.07.2021
  5. Zeit, Landkreis erhält Lösegeldforderung nach Cyberattacke, 13.07.2021
  6. heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021. Das "Darknet" ist ein Teil des Internet, der für Suchmaschinen etc. nicht zugänglich ist, der nahezu ausschließlich unter Verschleierung der Identität genutzt wird und der sowohl für kriminelle Zwecke als auch zum Schutz von Personen, die politischer Verfolgung ausgesetzt sind, dient. Spiegel, Hacker stellen persönliche Daten von Abgeordneten ins Darknet, 06.08.2021
  7. golem.de: Rebuilding Landkreis Anhalt-Bitterfeld, 28.12.2021
  8. winfuture, Ransomware: Landkreis Anhalt-Bitterfeld ruft die Bundeswehr zu Hilfe, 27.07.2021
  9. mdr, Landkreis Anhalt-Bitterfeld ab Montag wieder per Mail erreichbar, 17.07.2021
  10. mdr, Hacker-Angriff: LKA rechnet mit langwierigen Ermittlungen, 12.07.2021; Zeit, Katastrophen-Modus: Anhalt-Bitterfeld weiter lahmgelegt, 12.07.2021; Golem: IT-Wiederaufbau in Anhalt-Bitterfeld dauert noch Wochen, 06.08.2021; Süddeutsche Zeitung: Provinz gegen Darknet, 10.08.2021; golem.de: Rebuilding Landkreis Anhalt-Bitterfeld, 28.12.2021; mdr, Anhalt-Bitterfeld will Vorreiter bei Cyber-Sicherheit werden, 02.01.2022. Die Lösegeldforderung orientiert sich damit offenbar "realistisch" an den Kosten der Datenwiederherstellung und stellt sich rein finanziell betrachtet als günstiger dar.

Siehe auch[Bearbeiten]