Cyberangriffe

Aus KommunalWiki

Erstmals hat am 10.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) ist durch eine Cyber-Attacke so weit lahmgelegt worden, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Offenbar wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat ("Ransomware", siehe unten); meist geht es dabei um die Erpressung von "Lösegeld".[1] Die Angreifer haben nach Angaben des Landeskriminalamtes eine Lösegeldforderung gestellt, deren Höhe nicht mitgeteilt wurde.[2] Nach Angaben von Manuel Atug vom Chaos Computer Club wurden 200 MB Daten aus den Beständen des Landkreises im Internet angeboten - vermutlich um der Forderung Nachdruck zu verleihen, nachdem kein Lösegeld gezahlt wurde.[3] Laut dem "Spiegel" stellten die Täter*innen persönliche Daten (z.B. Handynummern, Privatanschriften, Bankverbindungen sowie Namen früherer Arbeitgeber) von 92 Personen, darunter 42 Kreistagsmitgliedern, ins sog. Darknet.[4] Auch Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen – auch aus dem nicht öffentlichen Teil - wurden zugänglich gemacht.[5]

Der Katastrophenfall wurde ausgerufen, um schneller reagieren und Hilfe anderer Behörden anfordern zu können.[6] Das Bundesamt für Sicherheit in der Informationstechnik wurde eingeschaltet. Die Rekonstruktion der Daten und die Wiederinbetriebnahme des IT-Netzes kann Monate dauern.[7] Am 19.07. war eine "Not-Infrastruktur" aufgebaut, einzelne Dienststellen waren wieder per Mail erreichbar.[8] Zur Unterstützung der Forensik und bei der Wiederherstellung der Daten auf 900 betroffenen Rechnern wurde sogar die Bundeswehr um Hilfe gebeten.[9] Auch einen Monat nach dem Angriff war das IT-Netz der Kreisverwaltung nur zum Teil wieder aufgebaut, ein Sprecher des Kreises vermutet, dass die vollständige Wiederherstellung bis Jahresende dauern wird.[10]

Kein Einzelfall[Bearbeiten]

Der Fall Anhalt-Bitterfeld ist vorerst vielleicht der spektakulärste, aber kein Einzelfall; schon öfter wurden Kommunen, nicht nur in Deutschland, Opfer von Cyber-Angriffen. Nach einer Recherche des Bayerischen Rundfunks gemeinsam mit "Zeit online" von Mitte 2021 betraf dies in den vergangenen sechs Jahren mehr als 100 Behörden, Kommunalverwaltungen und andere öffentliche Stellen.[11] Einer Analyse des Sicherheitsunternehmens Barracuda Networks zufolge betrafen im Zeitraum zwischen Mitte 2019 und Mitte 2020 ca. 45% der erfassten Angriffe mit Ransomware in Deutschland Kommunalverwaltungen von kleinen und mittleren Gemeinden (unter 50.000 Einw.). Die Lösegeldforderung belief sich im Durchschnitt auf ca. 1,4 Mio. €. Rund 15% der betroffenen Gemeinden sei bereit gewesen zu zahlen.[12] Auch das Stuttgarter Staatstheater soll im April 2019 auf diese Weise erfolgreich attackiert worden sein, kam aber mit einer Zahlung von 15.000 € glimpflich davon.[13] Die Angriffe werden tendenziell professioneller und gefährlicher.[14] Natürlich werden Kommunen auch außerhalb Deutschlands immer häufiger Opfern von Cyber-Angriffen.[15] Für die Wirtschaft in Deutschland wird der Gesamtschaden durch Cyberangriffe allein im Jahr 2020 auf über 220 Mrd. € geschätzt.[16]

Vorfälle 2019 und 2020[Bearbeiten]

Bundesweite Aufmerksamkeit erhielt ein Angriff, der am 6. September 2019 in der Verwaltung von Neustadt am Rübenberge (Region Hannover, Niedersachsen) entdeckt wurde - tatsächlich hatte er, wie später festgestellt wurde, bereits ein halbes Jahr früher begonnen. Er führte zu einem mehrtägigen Ausfall großer Teile der Verwaltung; lebensnotwendige Systeme wie Abwasser, Klärwerke, Verkehrs- und Schließsysteme zum Beispiel für Schulen waren jedoch nicht betroffen.[17] Im Dezember 2019 kam es zu einer Reihe von Attacken, die auch Kommunen und kommunale Einrichtungen trafen. So musste Frankfurt am Main am 18.12.2019 sein IT-Netz vom Internet abkoppeln, auch der Internet-Auftritt ging offline. Auslöser war eine "sehr gut getarnte" E-Mail mit der Schadsoftware "Emotet" an einen Mitarbeiter. Die Störung wurde am folgenden Tag behoben. Auch Bad Homburg (Hochtaunuskreis) nahm seine Rechner vom Netz, hier dauerten die Aufräumarbeiten drei Tage.[18] Zeitgleich befiel derselbe Trojaner auch Rechner der Stadt Nürnberg (Bayern), insbesondere das IT-System städtischer Schulen war betroffen.[19] Zu Beginn des Jahres 2020 traf es die Stadt Alsfeld (Vogelsbergkreis, Hessen).[20] Kurz darauf musste die Stadtverwaltung von Potsdam (Brandenburg) ihre Server abschalten, nachdem Anzeichen einer Cyberattacke festgestellt wurden. Es hatte unbefugte externe Zugriffe auf das Netzwerk gegeben. Erst nach einer Woche konnte die Stadt wieder schrittweise ans Netz gehen, Online-Terminvergaben funktionierten auch nach drei Wochen noch nicht. Daten waren, so die hinzugezogenen Expert*innen, nicht abgeflossen, Schadsoftware nicht auf die Rechner gebracht worden.[21] Anfang März traf ein weltweiter Angriff, der eine Sicherheitslücke im Email-Dienst Microsoft Exchange ausnutzte, auch eine Reihe von Kommunen in Mecklenburg-Vorpommern, unter ihnen die Stadtverwaltung Grevesmühlen. Die Sicherheitslücke war schon länger bekannt, doch hatten viele IT-Abteilungen die verfügbaren Sicherheitsupdates noch nicht eingespielt.[22]

Anfang Mai 2020 teilte der kommunale Versorger Technische Werke Ludwigshafen (TWL) mit, Opfer einer Cyber-Attacke geworden zu sein. Die Ermittlungsbehörden und ein IT-Sicherheitsunternehmen wurden sofort eingeschaltet, die betroffenen Rechner vom Netz genommen. Als der Angriff bemerkt wurde, waren jedoch bereits sensible Daten im Umfang von 500 Gigabyte abgeflossen. Die Ermittlungen ergaben, dass der Angriff bereits im Februar begann, aber erst im April bemerkt wurde, als sich die Angreifer mit einer Lösegeldforderung im zweistelligen Millionenbereich meldeten. Nachdem die TWL sich weigerten zu zahlen veröffentlichten die Angreifer Kundendaten der TWL im Darknet. Betroffen waren personenbezogene Informationen wie Name, Vorname und Anschrift, in vielen Fällen auch die E-Mail-Adresse oder Telefonnummer, Angaben zum gewählten Tarif und teilweise auch die Bankverbindung der Kunden.[23]

2021: Deutliche Zunahme[Bearbeiten]

Ende Mai 2021 entdeckte die Stadtverwaltung von Rolle (Kanton Waadt, Schweiz, zwischen Genf und Lausanne gelegen), dass sie Opfer eines Cyberangriffs geworden war; die Öffentlichkeit erfuhr davon erst am 20.08.2021. Die Angreifer forderten ein Lösegeld und stellten, als dieses nicht gezahlt wurde, sensitive Daten von Bewohner*innen der Gemeinde ins Internet.[24]

Am 14.07.2021 meldete das Städtische Klinikum Wolfenbüttel einen Angriff mit Ransomware; den Hackern, so ein Sprecher des Klinikums, gehe es um Geld, Daten seien nicht abgeflossen. Die medizinische Versorgung sei nicht gefährdet, die notwendige Dokumentation sei vorerst auf Papier und Stift umgestellt worden. Ein Sprecher der Staatsanwaltschaft lobte die Vorbereitung der Klinik auf ein solches Szenario. Der Angriff sei schnell entdeckt worden, eine aktuelle Sicherung wichtiger Daten sei vorhanden. Am selben Tag meldete die Stadtverwaltung des hessischen Geisenheim (Rheingau-Taunus-Kreis) einen Angriff auf das städtische Netz. Stadtverwaltung und Stadtwerke seien voraussichtlich mindestens drei Wochen lang offline.[25] Ebenfalls im Juli 2021 gab es einen Ransomware-Angriff auf die IT der bayerischen Gemeinde Hohenpeißenberg (Landkreis Weilheim-Schongau). Die Lösegeldförderung belief sich auf 40.000 €. Es kostete die Gemeinde allerdings nur wenige Tage, alle Systeme wieder ans Netz zu bringen.[26]

Am 09.08.2021 stellte der Sparkassenverband Baden-Württemberg einen Hackerangriff fest. Den Angreifern sei es offenbar gelungen, zumindest teilweise die interne Kommunikation mitzulesen. Ob Daten abgeflossen seien, wisse man noch nicht. Auch hier wurde ein Lösegeld gefordert und mit der Veröffentlichung interner Daten gedroht. Einzelne Sparkassen seien, so der Verband, nicht betroffen.[27]

Im September 2021 wurde der Sozialdienst Olching (Landkreis Fürstenfeldbruck, Bayern) Ziel eines Angriffs mit Ransomware. Der Verein betreut rund 150 Pflegebedürftige zu Hause und betreibt mehrere Kindereinrichtungen. Viele Daten, die für die tägliche Arbeit notwendig sind (z.B. Termine, Tourenpläne, Medikamente, Kontaktdaten Angehöriger) waren nicht mehr verfügbar, auch die Telefonanlage war außer Betrieb, der Verein also nicht mehr erreichbar. Die geforderten 10.000 € Lösegeld will der Verein nicht bezahlen; eine Firma wurde mit dem Versuch beauftragt, die Daten wiederherzustellen.[28]

Ebenfalls im September 2021 wurden die Rechner des privaten SRH-Klinikverbunds angegriffen. Betroffen waren wohl hauptsächlich Server in Bildungseinrichtungen des Verbunds, aus Sicherheitsgründen wurden jedoch die Systeme von vielen Kliniken ebenfalls vom Netz genommen.[29]

Ende September 2021 traf es die Stadtwerke Wismar. Wohl am Morgen des 28.9. hatte eine Schadsoftware begonnen, Firmendaten zu verschlüsseln, was erst "im Laufe der Woche" bemerkt wurde. Nach dem Herunterfahren der befallenen Systeme konnten Mails nicht mehr gelesen und z.B. Abrechnungen nicht mehr bearbeitet werden. Daher war auch zunächst nicht zu klären, ob überhaupt eine Lösegeldforderung eingegangen war. Die Strom-, Gas-, Wasser- und Wärmeversorgung wird von eigenen Systemen gesteuert, die vom Firmennetz abgekoppelt sind und nicht betroffen waren.[30]

Nach einem Ransomware-Angriff auf die Systeme des Kommunalservice Mecklenburg (KSM)[31] am 15.10.2021 gingen die Online-Services der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim komplett vom Netz. Das betraf auch die Gemeinden Boitzenburg, Zarrentin, Stralendorf, Ludwigslust, Grabow, Neustadt-Glewe und Parchim sowie die Verwaltungsdienste einiger kommunaler Unternehmen. Auch nach drei Tagen waren die Dienste noch nicht wieder erreichbar, die Kreisverwaltung und die Bürgerbüros blieben geschlossen. Mails an die offiziellen Verwaltungsadressen werden noch länger nicht abgerufen werden können, in der Landeshauptstadt war auch die Telefonanlage abgeschaltet. Für Notfälle wurde eine Mail-Adresse bei einem Webmailer und eine Telefonnummer eingerichtet. Eine für den 18.10. geplante Kreistagssitzung konnte nicht stattfinden, weil die Einladung vollständig auf digitale Dienste angewiesen ist. Die Polizei und Sicherheitsbehörden des Landes wurden eingeschaltet. Während die Behörden davon ausgingen, dass keine Daten abgeflossen seien, wies der Sicherheitsexperte Manuel Atug im NDR-Interview darauf hin, dass bei Cyberangriffen häufig Tage vor dem Start der Verschlüsselung bereits Daten abgezogen werden. Die Versorgung mit Strom, Gas und Warmwasser wird laut den Stadtwerken Schwerin durch eigene, nicht mit der Verwaltung verbundene Systeme gesteuert und sei deshalb nicht gefährdet.[32] Anfang November war klar, dass die Ausfälle bis Anfang 2022 andauern werden.[33] Auch die Meldungen der Corona-Daten an das Robert-Koch-Institut ist auf Wochen unterbrochen, auf den RKI-Karten ist daher ein grauer Fleck zu sehen.[34] Ein weiterer Cyberangriff traf am 21.10.2021 das Landesamt für innere Verwaltung (LAiV) in Mecklenburg-Vorpommern und hatte auch Auswirkungen auf die IT-Systeme der Landesstatistik und der Erstaufnahmeeinrichtungen in Horst und Stern Buchholz.[35]

In der Nacht zum 16.10.2021 wurde ein Angriff auf die IT-Infrastruktur der Stadt Witten (Ennepe-Ruhr-Kreis, Regierungsbezirk Arnsberg, Nordrhein-Westfalen) gemeldet, der zunächst in der Einsatzzentrale der Feuerwehr bemerkt wurde. Über 1.000 PC-Arbeitsplätze wurden abgeschaltet und damit beispielsweise das gesamte Einwohnermeldeamt außer Betrieb gesetzt. Betroffen waren auch der Ticketverkauf im Kulturforum, das Stadtmarketing, die Volkshochschule Witten – Wetter – Herdecke und der Stadt-Sport-Verband. Kritische Infrastrukturen wie die Versorgung mit Gas, Wasser und Strom sowie Feuerwehr und Rettungsdienst blieben intakt, das Gleiche gilt für Kitas, Ordnungsdienste und Müllabfuhr. Nach zwei Tagen konnte zumindest die telefonische Erreichbarkeit des Jugend- und des Sozialamtes über Umleitungen sichergestellt werden, für Hochzeiten und die Ausstellung von Sterbeurkunden wurde technische Hilfe aus Dortmund eingeholt. Eine Lösegeldforderung lag am 19.10. noch nicht vor. Das LKA und die Schwerpunktstaatsanwaltschaft "Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen" (ZAC NRW) wurden eingeschaltet. Die Stadt schätzt, dass die Beseitigung aller Probleme Wochen oder gar Monate dauern kann. Mitte November 2021 wurde zusätzlich bekannt, dass bei dem Angriff erbeutete Daten im Darknet verfügbar gemacht wurden - vermutlich um den Druck zu erhöhen, was darauf hindeutet, dass es doch eine Lösegeldforderung geben könnte. Die Stadt bemüht sich, dort wo besonders sensible Daten betroffen sein könnten, die Menschen direkt zu kontaktieren; das ist jedoch wegen der großen Datenmenge nicht einfach.[36]

Arten von Cyber-Angriffen[Bearbeiten]

Ransomware[Bearbeiten]

Eine besonders gefährliche Form der Cyber-Attacke, die deutlich zunimmt, ist die sog. Ransomware, oft auch als "Erpressungstrojaner" bezeichnet. Dabei handelt es sich um Schadprogramme, die Daten auf dem Computer verschlüsseln oder den Zugriff auf sie verhindern. Für die Freigabe oder Entschlüsselung wird ein Lösegeld verlangt; im Gegenzug soll der Schlüssel übermittelt werden. Ob dies geschieht, ist jedoch nicht sicher; da die Verursacher anonym agieren, können sie auch mit dem Lösegeld verschwinden, ohne die Schlüssel herauszugeben. Die Zahlung wird meist in Bitcoins verlangt, da hier der Empfänger anonym bleiben kann. Ransomware stellt heutzutage ein Geschäftsmodell dar: Diejenigen, die sie nutzen, haben sie meist nicht selbst programmiert, sondern die Software gekauft oder gemietet oder einen Cyberangriff als Dienstleistung beauftragt.[37]

Auf die Rechner gelangt die Schadsoftware meist über Mails, die für die Empfänger*in harmlos aussehen und scheinbar von einer regelmäßigen Kontaktperson, einer Kolleg*in oder Vorgesetzten stammen. Damit der Angriff startet, muss in einer solchen Mail meist ein Anhang geöffnet oder ein Link angeklickt werden. Doch gelegentlich gelingt es auch, einen Fernwartungszugriff eines Servers zu "kapern" und auf diesem Wege Daten zu erbeuten oder eigene Software zu installieren.

Wird die Aktivität von Ransomware entdeckt, ist die beste Reaktion, die betroffenen Rechner unverzüglich abzuschalten (nicht erst herunterzufahren), um die laufende Datenverschlüsselung abzubrechen, und nach Beseitigung des Schädlings die Datenbestände zu rekonstruieren, möglichst aus einer frischen Sicherheitskopie; das bedeutet zunächst einen Totalausfall der betroffenen IT-Infrastruktur.[38] Im März 2020 haben die Bundesvereinigung der kommunalen Spitzenverbände, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik gemeinsame Empfehlungen für Kommunen zum Umgang mit Ransomware herausgegeben (siehe dazu unten unter Weblinks). Sie empfehlen u.a., grundsätzlich kein Lösegeld zu zahlen - zumal niemand garantieren kann, dass im Gegenzug tatsächlich der Schlüssel übermittelt wird - und immer Anzeige zu erstatten.

Datenklau[Bearbeiten]

Attacken, die längere Zeit unbemerkt bleiben können, weil sie das IT-System nicht lahmlegen, zielen z.B. darauf ab, Daten zu erbeuten (Adressen, Passwörter, Bankverbindungen, Kreditkarten etc.). Die entsprechenden Schadprogramme - falls überhaupt Software installiert wird - agieren im Hintergrund und versuchen sich unsichtbar zu machen. Oft sind die Verursacher selbst nicht an den Daten interessiert, sondern verkaufen sie anonym im Internet. Auch Spionage (manchmal politisch motiviert, häufiger Industriespionage) kann ein Motiv für das Absaugen von Daten sein. Hier ist das wahre Ausmaß auch deswegen unbekannt, weil angegriffene Firmen aus Furcht vor dem Ansehensverlust das Problem häufig im Stillen lösen und den Angriff nicht öffentlich machen.

Sabotage[Bearbeiten]

Zunehmend Verfolgen Cyberattacken jedoch auch das Ziel, unmittelbar Schaden anzurichten. Sie können z.B. ein Mittel zur Austragung internationaler Konflikte zwischen Staaten sein. Da die Verursacher auch hierbei oft lange anonym bleiben, bleibt lange im Dunklen, wer wen aus welchem Motiv angegriffen hat. Immer wieder wird berichtet, dass Hackergruppen beispielsweise in Russland, in China oder im Iran agieren, teils mit staatlicher Rückendeckung, teils aber auch auf eigenständig aufgrund politischer Überzeugung, um westliche Staaten anzugreifen und zu schwächen. Gelegentlich zielen solche Angriffe auch auf politische Prozesse (beispielsweise die Manipulation von Wahlergebnissen durch gezieltes Lancieren von Falschmeldungen in sozialen Netzwerken). Das Ausmaß dieser Art von Bedrohung bleibt unbekannt, da auch die ermittelnden Behörden wie z.B. Geheimdienste nur selten etwas über ihre Erkenntnisse verlauten lassen.

Letzteres Szenario kann jedoch auch Kommunen betreffen, weil diese kritische Infrastrukturen betreiben. Angreifer könnten z.B. darauf zielen, die Wasser- oder Stromversorgung lahmzulegen. Solche Strukturen müssen besonders geschützt werden; oft wird gefordert, sie überhaupt nicht mit dem Internet zu verbinden.[39]

Vereinzelt ist Sabotage auch ein Racheakt ehemaliger, z.B. entlassener Mitarbeiter*innen, die dazu ihre Insiderkenntnisse nutzen. Für gezielte Angriffe braucht es heutzutage nicht zwingend besondere IT-Kenntnisse; sie können auch als "Dienstleistung" z.B. im Darknet "gekauft" werden, stellen also für entsprechend spezialisierte Gruppen ein Geschäftsmodell dar.

"Freundliche" Hacker[Bearbeiten]

Gelegentlich verschaffen sich jedoch auch "freundliche" Hacker*innen Zugriff auf ein System, um Sicherheitslücken zu identifizieren und die Verantwortlichen darauf aufmerksam zu machen. Auch diese Hacker bleiben meist anonym, da sie sich - ungeachtet der positiven Beweggründe - schon durch den Zugriff auf geschützte Daten strafbar machen.[40]

Wege von Cyber-Angriffen[Bearbeiten]

Cyber-Attacken finden ihren Weg ins kommunale Netz manchmal über ungeschützte Zugänge von außen, meist über das Internet. Bekannte Schwachstellen der Software z.B. von Servern werden genutzt, um Verbindung aufzunehmen und Programme zu starten, die ihrerseits weitere Software nachladen, die die eigentlichen Schadfunktionen enthält. Ein komfortablerer Weg für die Angreifer führt aber oft über arglose Anwender*innen: Eine Mail, scheinbar aus der Einrichtung selbst oder von einer bekannten Stelle, fordert dazu auf, einen Anhang zu öffnen oder einen Link anzuklicken. Derartige Mails, die im Internet kursieren, sind oft schlecht gemacht und bauen darauf, dass unter Millionen von Empfänger*innen doch einige wenige unvorsichtig reagieren. Wird jedoch eine Stelle gezielt angegriffen, lohnt der Aufwand, sorgfältig einen glaubwürdigen Mail-Text zu verfassen und die Absenderadresse so zu manipulieren, dass die Empfänger*in glaubt, es handle sich um die Fortsetzung einer laufenden Korrespondenz.[41]

Vorbeugung[Bearbeiten]

In den Netzen öffentlicher Stellen sind viele Vorbeugemaßnahmen gegen Cyber-Angriffe bereits verwirklicht; wenn nicht, sollten sie schnellstmöglich umgesetzt werden. Zu den Standards, die auch für private Nutzer*innen gelten, gehören

  • Nur aktuelle Software verwenden, Updates regelmäßig einspielen
  • einen aktuellen Virenscanner verwenden
  • Regelmäßige Backups, die es im Fall eines Angriffs erlauben, den Rechner neu aufzusetzen und die Daten möglichst aktuell zurückzuspielen; Backup-Medien sollten möglichst getrennt von den IT-Anlagen aufgehoben werden, damit sie bei Brand oder Wasserschaden nicht mitbetroffen werden
  • Bei Mobilgeräten nur die Installation von Software aus den offiziellen Quellen (z.B. Google Play Store, Apple Store) gestatten
  • Bei Programmen wie Word oder Excel die Ausführung von Makros unterbinden
  • Bei Mails unbekannter Herkunft vorsichtig sein, Anhänge nicht unbedacht öffnen, ggf. bei der (vermeintlichen) Absender*in nachfragen.

Zusätzliche Einfallstore für Schadsoftware können durch die vermehrte Nutzung von HomeOffice entstehen, da hier auch die heimischen Rechner der Beschäftigten gefährdet sind; dies erfordert zusätzliche Hinweise und Schulungen.[42]

Sicherheitsmaßnahmen für Profis (IT-Administrator*innen) sind in der Fachwelt bekannt und werden hier nicht vertieft.

Was Kommunen tun können[Bearbeiten]

Kommunen wie auch kommunale Unternehmen müssen ebenso professionell agieren wie die potenziellen Angreifer. Unabdingbar ist, dass IT-Sicherheitsexpert*innen in den entsprechenden Abteilungen arbeiten und auch die notwendigen Ressourcen (Zeit, Geld ...) haben, um alle notwendigen Maßnahmen umzusetzen. Kleine Kommunen, die diese Infrastruktur selbst nicht darstellen können, schließen sich gelegentlich mit anderen zusammen, um eine gemeinsame Sicherheits-Infrastruktur aufzubauen, oder beauftragen ein kommunales Rechenzentrum. Zu den notwendigen Maßnahmen gehört auch die regelmäßige Sensibilisierung und Schulung der kommunalen Beschäftigten. Kommunen sollten in jedem Fall eine "Informationssicherheitsleitlinie" o.ä. haben.[43] In einigen Bundesländern sind sie dazu auch gesetzlich verpflichtet; beispielsweise verlangt das Bayerische E-Government-Gesetz in § 11 ein Informationssicherheitskonzept auch von Kommunen. Ob eine Versicherung abgeschlossen wird, die zumindest Vermögensschäden abdeckt, muss diskutiert und entschieden werden.[44]

Um für den Fall eines Angriffs vorbereitet zu sein, sollte jede Kommunen (ggf. als Teil des Informationssicherheitskonzepts) über einen Notfallplan verfügen. Dazu gehören z.B. vorab definierte Meldeketten sowie im Fall des Falles ein Krisenstab, der die Maßnahmen koordiniert. Auch das Durchspielen eines Angriffs in Form einer Übung kann helfen, die notwendigen Strukturen zu schaffen oder zu verbessern.[45] Bei größeren Problemen kann es notwendig sein, Hilfe von spezialisierten Unternehmen oder Stellen des Landes oder des Bundes anzunehmen. Anzuraten ist immer auch eine Anzeige bei der Kriminalpolizei. Für Unternehmen oder Einrichtungen der "Kritischen Infrastruktur" existiert darüber hinaus eine Meldepflicht bei Sicherheitsvorfällen.

Nach Ansicht von Manuel Atug vom Chaos Computer Club gibt es viele Defizite in kommunalen IT-Systemen, die auch nicht über Nacht entstanden seien. Das sei ein langjähriger, fast schon jahrzehntelanger Prozess. Viele Kommunen würden mit alter Soft- und Hardware arbeiten, die seit Jahren nicht mehr aktualisiert worden seien. Neben einer Verbesserung der IT-Sicherheit sei auch eine offene Fehlerkultur wichtig, damit diese mit allen Mitarbeiterinnen und Mitarbeitern gemeinsam realisiert werden könne.[46]

BSI-Lagebericht 2021: "Angespannt bis kritisch"[Bearbeiten]

Im Oktober 2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen jährlichen Lagebericht, in dem es die Situation als "angespannt bis kritisch" bezeichnet. In Teilbereichen herrsche bereits "Alarmstufe Rot". Im Vorjahr hatte die Gesamteinschätzung noch "angespannt" gelautet. Cyberkriminelle, so das BSI, agierten immer professioneller, Informationssicherheit müsse zur Grundlage aller Digitalisierungsprojekte werden. Beispielsweise würden gelegentlich noch während der Verhandlung über ein Lösegeld auch Reservesysteme angegriffen, die das Opfer verwendet, um seine Tätigkeit aufrechtzuerhalten, oder es würden parallel auch Partner*innen oder Kund*innen mit den erbeuteten Daten erpresst.[47] Nur wenige Sicherheitslücken werden dem BSI gemeldet; ein Grund dafür könnte der "Hacker*innen-Paragraph" (§ 202c StGB) sein, durch den Personen, die eine Sicherheitslücke entdecken und melden, selbst ins Visier der Ermittlungen geraten können. IT-Sicherheitsexpert*innen fordern die Abschaffung dieses Paragraphen und die Herauslösung des BSI aus dem Bundesinnenministeriums, um seine Unabhängigkeit zu stärken.[48] BSI-Präsident Arne Schönbohm hingegen beklagt, dass es noch nicht einmal eine Meldepflicht der Kommunen an das BSI bei IT-Sicherheitsvorfällen gibt, außerdem sind die Meldewege in den Bundesländern unterschiedlich: "Dem BSI liegen daher keine Informationen zur Gesamtheit der IT-Sicherheitsvorfälle in Kommunen vor."[49]

Nicht nur Hackerangriffe sind eine Gefahr[Bearbeiten]

Der Brand in zwei von vier Rechenzentren des französischen Cloud-Anbieters OHV in Straßburg in der Nacht zum 10.03.2021 zeigt, dass bei nicht ausreichender IT-Sicherheit auch ohne einen Hackerangriff ein erhebliches Risiko für kommunale Datenbestände entstehen kann. Durch das Feuer wurden große Datenmengen teils unwiederbringlich vernichtet, 3,6 Millionen Webseiten gingen zeitweilig vom Netz. OHV ist für günstige Cloud-Angebote bekannt. Die Kehrseite davon waren Einsparungen bei der Sicherheit. So kamen die günstigsten Tarife ganz ohne Sicherungskopie der Daten aus, bei anderen lagerten die Kopien in einem benachbarten, ebenfalls vom Brand betroffenen Rechenzentrum. Auch Sprinkleranlagen fehlten laut Presseberichten, so dass sich der Brand enorm ausbreiten konnte. Im Ergebnis waren auch die Webseiten vieler französischer Kommunen mindestens einige Tage lang nicht erreichbar, der französische Regierungsauftritt data.gouv.fr u.a. mit wichtigen Informationen zu Corona-Maßnahmen ging ebenfalls für ein paar Tage offline. Ein Anbieter von Internet-Spielen verlor ebenso unwiederbringlich wichtige Daten wie eine große Anwaltskanzlei.[50]

Fußnoten[Bearbeiten]

  1. FAZ, Erster Cyber-Katastrophenfall in Deutschland, 10.07.2021. Siehe auch Landkreis Anhalt-Bitterfeld: Cyberangriff auf Landkreisverwaltung, Pressemitteilung vom 11.07.2021
  2. Zeit, Landkreis erhält Lösegeldforderung nach Cyberattacke, 13.07.2021
  3. heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021
  4. Das "Darknet" ist ein Teil des Internet, der für Suchmaschinen etc. nicht zugänglich ist und der nahezu ausschließlich unter Verschleierung der Identität genutzt wird und der sowohl für kriminelle Zwecke als auch zum Schutz von Personen, die politischer Verfolgung ausgesetzt sind, genutzt wird.
  5. Spiegel, Hacker stellen persönliche Daten von Abgeordneten ins Darknet, 06.08.2021
  6. Zur Ausrufung des Katastropenfalls siehe auch: Rechtsanwältin Varinia Iber, Kommunen als leichte Beute für Cyberkriminelle, in: KOMMUNAL 21.07.2021
  7. mdr, Hacker-Angriff: LKA rechnet mit langwierigen Ermittlungen, 12.07.2021; Zeit, Katastrophen-Modus: Anhalt-Bitterfeld weiter lahmgelegt, 12.07.2021; Golem: IT-Wiederaufbau in Anhalt-Bitterfeld dauert noch Wochen, 06.08.2021
  8. mdr, Landkreis Anhalt-Bitterfeld ab Montag wieder per Mail erreichbar, 17.07.2021
  9. winfuture, Ransomware: Landkreis Anhalt-Bitterfeld ruft die Bundeswehr zu Hilfe, 27.07.2021
  10. Süddeutsche Zeitung: Provinz gegen Darknet, 10.08.2021
  11. Bayerischer Rundfunk, Zahlreiche Fälle von digitaler Erpressung in deutschen Behörden, 29.06.2021. Siehe dazu auch das Interview des Deutschlandfunk Kultur mit Vera Linß aus dem BR-Rechercheteam: Wenn Hacker die Hochzeit verhindern, 03.07.2021 (Text und Audio-Beitrag, ca. 10 min.)
  12. it-daily, Ransomware: Kommunen im Visier – mehr Fälle, höhere Forderungen, 09.09.2020
  13. Südwestpresse, Hacker greifen Staatstheater Stuttgart an und erbeuten Lösegeld, 09.04.2019
  14. Der Neue Kämmerer, Kommunen müssen sich auf professionellere Hacker einstellen, 22.10.2019
  15. So erklärte das auf die Abschätzung finanzieller Risiken spezialisierte Unternehmen Cyberwrite Anfang 2020, dass allein in den ersten neun Monaten des Jahres 2019 mehr als 600 erfolgreiche Cyberangriffe auf Gemeinden und städtische Behörden in den Vereinigten Staaten registriert wurden; businesswire, Cyberangriffe auf israelische Kommunen können zu Schaden in Höhe von bis zu 4,5 Mrd. Schekel insgesamt führen, 26.02.2020.
  16. mdr, Wie sich Unternehmen, Kommunen und Privatpersonen gegen Cyberangriffe schützen sollten, 05.08.2021
  17. Siehe heise, Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht, 17.09.2021; zur nachträglichen Auswertung siehe heise, Wie Ransomware eine Stadtverwaltung Tage lang lahmlegte, 29.10.2021
  18. Frankfurter Rundschau, „Angriffe auf Kommunen nehmen zu“, Interview mit Professor Ahmad-Reza Sadeghi, 19.12.2019; Süddeutsche Zeitung: Stadt Frankfurt wieder online: infizierte Mail, 19.12.2019; Aufräumen nach Trojaner-Attacke: Bad Homburg offline, 20.12.2019; Service in Bad Homburg wegen möglicher Attacke eingeschränkt, 20.12.2019; Stadtverwaltung nach möglicher IT-Attacke wieder geöffnet, 22.12.2019
  19. Süddeutsche Zeitung, Nürnberger Schulen Opfer von Hackerangriff, 10.12.2019
  20. Fuldaer Zeitung, Cyber-Kriminalität in Hessen: Die Gefahr wächst – Kommunen im Visier, 03.01.2020
  21. Süddeutsche Zeitung, Cyberattacke? Potsdam schaltet Server der Verwaltung ab, 22.01.2020; Cyberangriff auf Stadt Potsdam: "Keine Daten abgegriffen", 27.01.2020; Potsdamer Rathaus schaltet Internetverbindung wieder ein, 28.01.2020; Potsdamer Rathaus: Online-Termine noch nicht möglich, 12.02.2020
  22. NDR, Grevesmühlen: Verwaltung wurde Opfer von Hackerangriff, 12.03.2021
  23. Der Neue Kämmerer, Ludwigshafen: Hacker erbeuten Daten von kommunalem Versorger, 08.05.2020; Hacker erpressen TWL, veröffentlichen Kundendaten, 20.05.2020
  24. Neue Zürcher Zeitung, Tausende persönliche Daten im Darknet: Die Cyberattacke auf Rolle ist gravierender als von den Behörden kommuniziert, 25.08.2021
  25. heise, https://www.heise.de/news/Cybercrime-Ransomware-legt-IT-des-Klinikums-Wolfenbuettel-lahm-6140048.html, 15.07.2021; siehe auch NDR: Wolfenbüttel: Vielversprechende Spuren nach Hackerangriff, 19.07.2021. Der Bürgermeister von Geisenheim Christian Aßmann beschreibt den Angriff, seine Folgen und die Gegenmaßnahmen in der Folge des KOMMUNAL-Podcast vom 03.08.2021 (ca. 30 min.)
  26. Merkur: Cyberattacke auf Gemeinde in Oberbayern: Hacker legen Rathaus lahm - und fordern 40 000 Euro, 04.08.2021
  27. t-online, Sparkassenverband meldet Hacker-Angriff, 12.08.2021
  28. Merkur: Cyber-Attacke auf Sozialdienst: Hacker sperren Daten und fordern Lösegeld - Auswirkungen dramatisch, 18.09.2021
  29. Golem.de: Mehrere Kliniken nach Hackerangriff vom Netz genommen, 22.09.2021
  30. NDR, Stadtwerke Wismar: Ermittlungen nach Cyberattacke laufen, 01.10.2021
  31. Der KSM ist ein gemeinsames Kommunalunternehmen der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim in der Rechtsform einer Anstalt öffentlichen Rechts, dem später die Stadt Ludwigslust, die Stadt Neustadt-Glewe, die Stadt Grabow und das Amt Parchimer Umland sowie mit Wirkung zum 01.01.2020 die Stadt Boizenburg, das Amt Zarrentin und das Amt Stralendorf beigetreten sind.
  32. Landeshauptstadt Schwerin, Schweriner Stadtverwaltung von Schadsoftware betroffen, laufend aktualisiert; heise, Ransomware legt Verwaltung von Schwerin und benachbartem Landkreis lahm, 15.10.2021; ntv, Cyber-Angreifer verschlüsseln Daten in Schwerin, 15.10.2021; NDR, Cyberangriff: Bürgerbüros in Westmecklenburg heute geschlossen, 18.10.2021, mit zwei Interviews (Videos, 4 bzw. 16 min.)
  33. NDR, Cyberangriff in Westmecklenburg: Kein Normalbetrieb mehr in diesem Jahr, 2.11.2021
  34. Spiegel, Wie Erpresser für einen grauen Fleck auf der Corona-Karte sorgen, 17.11.2021
  35. NDR, Wieder Cyberangriff in MV: Landesamt und Erstaufnahme betroffen, 21.10.2021
  36. Stadt Witten: Hackerangriff: Stadtverwaltung Witten nicht erreichbar, 18.10.2021; WDR, Nach Hackerangriff: Stadt Witten kämpft um Rückkehr, 19.10.2021; Ruhr Nachrichten, Hacker-Angriff legt Stadt Witten komplett lahm - zahlreiche Dienste nicht erreichbar, 19.10.2021; Süddeutsche Zeitung, "Keine Schülergruppe": Hackerangriff legt Verwaltung lahm, 19.10.2021; heise, Witten: Bei Cyberangriff erbeutete Daten im Darknet veröffentlicht, 17.11.2021
  37. ntv, Hacker vermieten Erpressungssoftware, 25.08.2021. Da es sich um ein kriminelles Geschäftsmodell handelt, schrecken die Anbieter von Ransomware auch nicht davor zurück, ihre - ebenfalls kriminellen - Kunden zu prellen. So wurde bekannt, dass die sog. REvil-Gruppe Lösegelder, die von angegriffenen Firmen gezahlt wurden, selbst behielt und ihren Kunden, die die Angriffe ausgeführt hatten, dies verschwieg. Siehe winfuture, Neues von REvil-Ransombande: Cybergangster beklauen ihre "Kunden", 25.09.2021
  38. Siehe zu Angriffen mit Ransomware auch: KOMMUNAL, Cyberangriffe auf Kommunen mit heftigen Auswirkungen, 21.07.2021; ntv, Cyber-Erpresser kennen keine Grenzen, 07.08.2021
  39. Siehe Bayerischer Rundfunk, #Faktenfuchs: Kann ein Hackerangriff für einen Blackout sorgen?, 29.06.2021. Ein - im Ergebnis noch glimpflich abgelaufenes - Beispiel für einen solchen Angriff im US-Bundesstaat Florida: tagesschau, Hackerangriff auf Trinkwasseranlage, 09.02.2021. Siehe auch t-online: "Wir nähern uns in großen Schritten einem Blackout", Interview mit Michael Wiesner, IT-Sicherheitsberater und Mitglied der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG Kritis), 18.07.2021
  40. Siehe als Beispiel: NDR, Hacker dringt in Niedersachsens Corona-Impfportal ein, 20.05.2021
  41. Siehe dazu auch: Handelsblatt: Wenn Hacker eine ganze Stadt als Geisel nehmen, 30.06.2019
  42. Siehe dazu auch: Kommune21, Homeoffice: Leitfaden für Kommunen, 01.03.2021; der im Artikel genannte Leitfaden ist leider online nicht auffindbar.
  43. Hinweise dafür gibt eine Handreichung des Deutschen Städtetags: Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen (2017, pdf-Format, 37 Seiten)
  44. Siehe dazu Werner Renner, Versicherungskammer Bayern: Verwaltungen sind bedroht, Gastbeitrag in: Bayerische Gemeindezeitung, Juni 2021
  45. Eine solche Übung hat z.B. der Landkreis Traunstein (Regierungsbezirk Oberbayern, Bayern) gemeinsam mit den 33 kreisangehörigen Kommunen durchgeführt; PNP, 33 Kommunen und der Landkreis Traunstein wappnen sich gegen Cyber-Angriffe, 08.10.2021
  46. heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021. Siehe zur Gefährdung von Kommunen auch: FAZ, Kommunen sind Hackern schutzlos ausgeliefert, 25.07.2021. Siehe auch heise, Mehr Cybersicherheit für Behörden und Co. – Landespolitik will mehr tun, 14.08.2021. Siehe auch Wirtschaftswoche: Warum deutsche Kommunen so anfällig für Cyberattacken sind, 21.10.2021
  47. Der Lagebericht ist unten unter Siehe auch verlinkt; vgl. tagesschau, Teils "Alarmstufe Rot" bei Cybersicherheit, 21.10.2021; Demo, „Alarmstufe Rot“: BSI sieht Digitalisierung durch Cyberangriffe gefährdet, 28.10.2021
  48. Golem.de: Ransomware entwickelt "sich zur größten Bedrohung", 21.10.2021
  49. Wirtschaftswoche, „Diese Bedrohung muss jede Kommune ernst nehmen“, Interview mit BSI-Präsident Arne Schönbohm, 06.11.2021
  50. funkschau: Bittere erste Bilanz nach dem OVH-Brand, 16.03.2021; FAZ, Millionen Webseiten vom Brand beim Cloud-Betreiber betroffen, 11.03.2021

Weblinks[Bearbeiten]

Hinweise zu Prävention und Umgang mit akuten Krisen[Bearbeiten]

Links zum kommunalen Umgang mit Ransomware[Bearbeiten]

Siehe auch[Bearbeiten]