Cyberangriffe

Aus KommunalWiki
Wechseln zu:Navigation, Suche

Erstmals hat am 10.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) ist durch eine Cyber-Attacke so weit lahmgelegt worden, dass voraussichtlich für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich ist - für einige Betroffene kann das zu einem existenziellen Problem werden. Der Katastrophenfall wurde ausgerufen, um schneller reagieren und Hilfe anderer Behörden anfordern zu können. Das Bundesamt für Sicherheit in der Informationstechnik wurde eingeschaltet. Offenbar wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat ("Ransomware", siehe unten); meist geht es dabei um die Erpressung von "Lösegeld".[1] Die Angreifer haben nach Angaben des Landeskriminalamtes eine Lösegeldforderung gestellt.[2] Die Rekonstruktion der Daten und die Wiederinbetriebnahme des IT-Netzes kann Monate dauern.[3] Nach Angaben von Manuel Atug vom Chaos Computer Club wurden unterdessen 200 MB Daten aus den Beständen des Landkreises im Internet angeboten - möglicherweise eine Reaktion auf die Ablehnung einer Lösegeldzahlung.[4]

Kein Einzelfall[Bearbeiten]

Der Fall Anhalt-Bitterfeld ist vorerst vielleicht der spektakulärste, aber kein Einzelfall; schon öfter wurden Kommunen, nicht nur in Deutschland, Opfer von Cyber-Angriffen. Nach einer Recherche des Bayerischen Rundfunks gemeinsam mit "Zeit online" von Mitte 2021 betraf dies in den vergangenen sechs Jahren mehr als 100 Behörden, Kommunalverwaltungen und andere öffentliche Stellen.[5] Einer Analyse des Sicherheitsunternehmens Barracuda Networks zufolge betrafen im Zeitraum zwischen Mitte 2019 und Mitte 2020 ca. 45% der erfassten Angriffe mit Ransomware in Deutschland Kommunalverwaltungen von kleinen und mittleren Gemeinden (unter 50.000 Einw.). Die Lösegeldforderung belief sich im Durchschnitt auf ca. 1,4 Mio. €. Rund 15% der betroffenen Gemeinden sei bereit gewesen zu zahlen.[6]Auch das Stuttgarter Staatstheater soll im April 2019 auf diese Weise erfolgreich attackiert worden sein, kam aber mit einer Zahlung von 15.000 € glimpflich davon.[7] Die Angriffe werden tendenziell professioneller und gefährlicher.[8] Natürlich werden Kommunen auch außerhalb Deutschlands immer häufiger Opfern von Cyber-Angriffen.[9]

Im Dezember 2019 kam es zu einer Reihe von Attacken, die auch Kommunen und kommunale Einrichtungen trafen. So musste Frankfurt am Main am 18.12.2019 sein IT-Netz vom Internet abkoppeln, auch der Internet-Auftritt ging offline. Auslöser war eine "sehr gut getarnte" E-Mail mit der Schadsoftware "Emotet" an einen Mitarbeiter. Die Störung wurde am folgenden Tag behoben. Auch Bad Homburg (Hochtaunuskreis) nahm seine Rechner vom Netz, hier dauerten die Aufräumarbeiten drei Tage.[10] Zeitgleich befiel derselbe Trojaner auch Rechner der Stadt Nürnberg (Bayern), insbesondere das IT-System städtischer Schulen war betroffen.[11] Zu Beginn des Jahres 2020 traf es die Stadt Alsfeld (Vogelsbergkreis, Hessen).[12] Kurz darauf musste die Stadtverwaltung von Potsdam (Brandenburg) ihre Server abschalten, nachdem Anzeichen einer Cyberattacke festgestellt wurden. Es hatte unbefugte externe Zugriffe auf das Netzwerk gegeben. Erst nach einer Woche konnte die Stadt wieder schrittweise ans Netz gehen, Online-Terminvergaben funktionierten auch nach drei Wochen noch nicht. Daten waren, so die hinzugezogenen Expert*innen, nicht abgeflossen, Schadsoftware nicht auf die Rechner gebracht worden.[13]

Anfang Mai 2020 teilte der kommunale Versorger Technische Werke Ludwigshafen (TWL) mit, Opfer einer Cyber-Attacke geworden zu sein. Die Ermittlungsbehörden und ein IT-Sicherheitsunternehmen wurden sofort eingeschaltet, die betroffenen Rechner vom Netz genommen. Als der Angriff bemerkt wurde, waren jedoch bereits sensible Daten im Umfang von 500 Gigabyte abgeflossen. Die Ermittlungen ergaben, dass der Angriff bereits im Februar begann, aber erst im April bemerkt wurde, als sich die Angreifer mit einer Lösegeldforderung im zweistelligen Millionenbereich meldeten. Nachdem die TWL sich weigerten zu zahlen veröffentlichten die Angreifer Kundendaten der TWL im Darknet. Betroffen waren personenbezogene Informationen wie Name, Vorname und Anschrift, in vielen Fällen auch die E-Mail-Adresse oder Telefonnummer, Angaben zum gewählten Tarif und teilweise auch die Bankverbindung der Kunden.[14]

Am 14.07.2021 meldete das Städtische Klinikum Wolfenbüttel einen Angriff mit Ransomware; den Hacker, so ein Sprecher des Klinikums, gehe es um Geld, Daten seien nicht abgeflossen. Die medizinische Versorgung sei nicht gefährdet, die notwendige Dokumentation sei vorerst auf Papier und Stift umgestellt worden. Ein Sprecher der Staatsanwaltschaft lobte die Vorbereitung der Klinik auf ein solches Szenario. Der Angriff sei schnell entdeckt worden, eine aktuelle Sicherng wichtiger Daten sei vorhanden. Am selben Tag meldete die Stadtverwaltung des hessischen Geisenheim (Rheingau-Taunus-Kreis) einen Angriff auf das städtische Netz. Stadtverwaltung und Stadtwerke seien voraussichtlich mindestens drei Wochen lang offline.[15]

Arten von Cyber-Angriffen[Bearbeiten]

Ransomware[Bearbeiten]

Eine besonders gefährliche Form der Cyber-Attacke, die deutlich zunimmt, ist die sog. Ransomware, oft auch als "Erpressungstrojaner" bezeichnet. Dabei handelt es sich um Schadprogramme, die Daten auf dem Computer verschlüsseln oder den Zugriff auf sie verhindern. Für die Freigabe oder Entschlüsselung wird ein Lösegeld verlangt; im Gegenzug soll der Schlüssel übermittelt werden. Ob dies geschieht, ist jedoch nicht sicher; da die Verursacher anonym agieren, können sie auch mit dem Lösegeld verschwinden, ohne die Schlüssel herauszugeben. Die Zahlung wird meist in Bitcoins verlangt, da hier der Empfänger anonym bleiben kann. Wird die Aktivität von Ransomware entdeckt, ist die beste Reaktion, die betroffenen Rechner unverzüglich auszuschalten, um die laufende Datenverschlüsselung abzubrechen und nach Beseitigung des Schädlings die Datenbestände zu rekonstruieren; das bedeutet zunächst einen Totalausfall der betroffenen IT-Infrastruktur.

Im März 2020 haben die Bundesvereinigung der kommunalen Spitzenverbände, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik gemeinsame Empfehlungen für Kommunen zum Umgang mit Ransomware herausgegeben.[16] Sie empfehlen u.a., grundsätzlich kein Lösegeld zu zahlen - zumal niemand garantieren kann, dass im Gegenzug tatsächlich die Entschlüsselung gelingt - und immer Anzeige zu erstatten.

Datenklau[Bearbeiten]

Attacken, die längere Zeit unbemerkt bleiben können, weil sie das IT-System nicht lahmlegen, zielen z.B. darauf ab, Daten zu erbeuten (Adressen, Passwörter, Bankverbindungen, Kreditkarten etc.). Die entsprechenden Schadprogramme - falls überhaupt Software installiert wird - agieren im Hintergrund und versuchen sich unsichtbar zu machen. Oft sind die Verursacher selbst nicht an den Daten interessiert, sondern verkaufen sie anonym im Internet. Auch Spionage (manchmal politisch motiviert, häufiger Industriespionage) kann ein Motiv für das Absaugen von Daten sein. Hier ist das wahre Ausmaß auch deswegen unbekannt, weil angegriffene Firmen aus Furcht vor dem Ansehensverlust das Problem häufig im Stillen lösen und den Angriff nicht öffentlich machen.

Sabotage[Bearbeiten]

Zunehmend Verfolgen Cyberattacken jedoch auch das Ziel, unmittelbar Schaden anzurichten. Sie können z.B. ein Mittel zur Austragung internationaler Konflikte zwischen Staaten sein. Da die Verursacher auch hierbei oft lange anonym bleiben, bleibt lange im Dunklen, wer wen aus welchem Motiv angegriffen hat. Immer wieder wird berichtet, dass Hackergruppen beispielsweise in Russland, in China oder im Iran agieren, teils mit staatlicher Rückendeckung, teils aber auch auf eigenständig aufgrund politischer Überzeugung, um westliche Staaten anzugreifen und zu schwächen. Gelegentlich zielen solche Angriffe auch auf politische Prozesse (beispielsweise die Manipulation von Wahlergebnissen durch gezieltes Lancieren von Falschmeldungen in sozialen Netzwerken). Das Ausmaß dieser Art von Bedrohung bleibt unbekannt, da auch die ermittelnden Behörden wie z.B. Geheimdienste nur selten etwas über ihre Erkenntnisse verlauten lassen.

Letzteres Szenario kann jedoch auch Kommunen betreffen, weil diese kritische Infrastrukturen betreiben. Angreifer könnten z.B. darauf zielen, die Wasser- oder Stromversorgung lahmzulegen. Solche Strukturen müssen besonders geschützt werden; oft wird gefordert, sie überhaupt nicht mit dem Internet zu verbinden.[17]

Vereinzelt ist Sabotage auch ein Racheakt ehemaliger, z.B. entlassener Mitarbeiter*innen, die dazu ihre Insiderkenntnisse nutzen. Für gezielte Angriffe braucht es heutzutage nicht zwingend besondere IT-Kenntnisse; sie können auch als "Dienstleistung" z.B. im Darknet "gekauft" werden, stellen also für entsprechend spezialisierte Gruppen ein Geschäftsmodell dar.

Wege von Cyber-Angriffen[Bearbeiten]

Cyber-Attacken finden ihren Weg ins kommunale Netz manchmal über ungeschützte Zugänge von außen, meist über das Internet. Bekannte Schwachstellen der Software z.B. von Servern werden genutzt, um Verbindung aufzunehmen und Programme zu starten, die ihrerseits weitere Software nachladen, die die eigentlichen Schadfunktionen enthält. Ein komfortablerer Weg für die Angreifer führt aber oft über arglose Anwender*innen: Eine Mail, scheinbar aus der Einrichtung selbst oder von einer bekannten Stelle, fordert dazu auf, einen Anhang zu öffnen oder einen Link anzuklicken. Derartige Mails, die im Internet kursieren, sind oft schlecht gemacht und bauen darauf, dass unter Millionen von Empfänger*innen doch einige wenige unvorsichtig reagieren. Wird jedoch eine Stelle gezielt angegriffen, lohnt der Aufwand, sorgfältig einen glaubwürdigen Mail-Text zu verfassen und die Absenderadresse so zu manipulieren, dass die Empfänger*in glaubt, es handle sich um die Fortsetzung einer laufenden Korrespondenz.[18]

Vorbeugung[Bearbeiten]

In den Netzen öffentlicher Stellen sind viele Vorbeugemaßnahmen gegen Cyber-Angriffe bereits verwirklicht; wenn nicht, sollten sie schnellstmöglich umgesetzt werden. Zu den Standards, die auch für Private Nutzer*innen gelten, gehören

  • Nur aktuelle Software verwenden, Updates regelmäßig einspielen
  • einen aktuellen Virenscanner verwenden
  • Regelmäßige Backups, die es im Fall eines Angriffs erlauben, den Rechner neu aufzusetzen und die Daten möglichst aktuell zurückzuspielen
  • Bei Mobilgeräten nur die Installation von Software aus den offiziellen Quellen (z.B. Google Play Store, Apple Store) zu gestatten
  • Bei Programmen wie Word oder Excel die Ausführung von Makros unterbinden
  • Bei Mails unbekannter Herkunft vorsichtig sein, Anhänge nicht unbedacht öffnen, ggf. bei der vermeintlichen Absender*in nachfragen.

Zusätzliche Einfallstore für Schadsoftware können durch die vermehrte Nutzung von HomeOffice entstehen, da hier auch die heimischen Rechner der Beschäftigten gefährdet sind; dies erfordert zusätzliche Hinweise und Schulungen.[19]

Sicherheitsmaßnahmen für Profis (IT-Administrator*innen) sind in der Fachwelt bekannt und werden hier nicht vertieft.

Was Kommunen tun können[Bearbeiten]

Kommunen wie auch kommunale Unternehmen müssen ebenso professionell agieren wie die potenziellen Angreifer. Unabdingbar ist, dass IT-Sicherheitsexpert*innen in den entsprechenden Abteilungen arbeiten und auch die notwendigen Ressourcen (Zeit, Geld ...) haben, um alle notwendigen Maßnahmen umzusetzen. Kleine Kommunen, die diese Infrastruktur selbst nicht darstellen können, schließen sich gelegentlich mit anderen zusammen, um eine gemeinsame Sicherheits-Infrastruktur aufzubauen, oder beauftragen ein kommunales Rechenzentrum. Zu den notwendigen Maßnahmen gehört auch die regelmäßige Sensibilisierung und Schulung der kommunalen Beschäftigten. Kommunen sollten in jedem Fall eine "Informationssicherheitsleitlinie" o.ä. haben.[20] In einigen Bundesländern sind sie dazu auch gesetzlich verpflichtet; beispielsweise verlangt das Bayerische E-Government-Gesetz in § 11 ein Informationssicherheitskonzept auch von Kommunen. Ob eine Versicherung abgeschlossen wird, die zumindest Vermögensschäden abdeckt, muss diskutiert und entschieden werden.[21]

Um für den Fall eines Angriffs vorbereitet zu sein, sollte jede Kommunen (ggf. als Teil des Informationssicherheitskonzepts) über einen Notfallplan verfügen. Dazu gehören z.B. vorab definierte Meldeketten. Auch das Durchspielen eines Angriffs in Form einer Übung kann helfen, die notwendigen Strukturen zu schaffen oder zu verbessern. Bei größeren Problemen kann es notwendig sein, Hilfe von spezialisierten Unternehmen oder Stellen des Landes oder des Bundes anzunehmen. Anzuraten ist immer auch eine Anzeige bei der Kriminalpolizei. Für Unternehmen oder Einrichtungen der "Kritischen Infrastruktur" existiert darüber hinaus eine Meldepflicht bei Sicherheitsvorfällen.

Nach Ansicht von Manuel Atug vom Chaos Computer Club gibt es viele Defizite in kommunalen IT-Systemen, die auch nicht über Nacht entstanden seien. Das sei ein langjähriger, fast schon jahrzehntelanger Prozess. Viele Kommunen würden mit alter Soft- und Hardware arbeiten, die seit Jahren nicht mehr aktualisiert worden seien. Neben einer Verbesserung der IT-Sicherheit sei auch eine offene Fehlerkultur wichtig, damit diese mit allen Mitarbeiterinnen und Mitarbeitern gemeinsam realisiert werden könne.[22]

Nicht nur Hackerangriffe sind eine Gefahr[Bearbeiten]

Der Brand in zwei von vier Rechenzentren des französischen Cloud-Anbieters OHV in Straßburg in der Nacht zum 10.03.2021 zeigt, dass bei nicht ausreichender IT-Sicherheit auch ohne einen Hackerangriff ein erhebliches Risiko für kommunale Datenbestände entstehen kann. Durch das Feuer wurden große Datenmengen teils unwiederbringlich vernichtet, 3,6 Millionen Webseiten gingen zeitweilig vom Netz. OHV ist für günstige Cloud-Angebote bekannt. Die Kehrseite davon waren Einsparungen bei der Sicherheit. So kamen die günstigsten Tarife ganz ohne Sicherungskopie der Daten aus, bei anderen lagerten die Kopien in einem benachbarten, ebenfalls vom Brand betroffenen Rechenzentrum. Auch Sprinkleranlagen fehlten laut Presseberichten, so dass sich der Brand enorm ausbreiten konnte. Im Ergebnis waren auch die Webseiten vieler französischer Kommunen mindestens einige Tage lang nicht erreichbar, der französische Regierungsauftritt data.gouv.fr u.a. mit wichtigen Informationen zu Corona-Maßnahmen ging ebenfalls für ein paar Tage offline. Ein Anbieter von Internet-Spielen verlor ebenso unwiederbringlich wichtige Daten wie eine große Anwaltskanzlei.[23]

Fußnoten[Bearbeiten]

  1. FAZ, Erster Cyber-Katastrophenfall in Deutschland, 10.07.2021. Siehe auch Landkreis Anhalt-Bitterfeld: Cyberangriff auf Landkreisverwaltung, Pressemitteilung vom 11.07.2021
  2. Zeit, Landkreis erhält Lösegeldforderung nach Cyberattacke, 13.07.2021
  3. mdr, Hacker-Angriff: LKA rechnet mit langwierigen Ermittlungen, 12.07.2021; Zeit, Katastrophen-Modus: Anhalt-Bitterfeld weiter lahmgelegt, 12.07.2021. Am 19.07. war eine "Not-Infrastruktur" aufgebaut, einzelne Dienststellen waren wieder per Mail erreichbar: mdr, Landkreis Anhalt-Bitterfeld ab Montag wieder per Mail erreichbar, 17.07.2021
  4. heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021
  5. Bayerischer Rundfunk, Zahlreiche Fälle von digitaler Erpressung in deutschen Behörden, 29.06.2021. Siehe dazu auch das Interview des Deutschlandfunk Kultur mit Vera Linß aus dem BR-Rechercheteam: Wenn Hacker die Hochzeit verhindern, 03.07.2021 (Text und Audio-Beitrag, ca. 10 min.)
  6. it-daily, Ransomware: Kommunen im Visier – mehr Fälle, höhere Forderungen, 09.09.2020
  7. Südwestpresse, Hacker greifen Staatstheater Stuttgart an und erbeuten Lösegeld, 09.04.2019
  8. Der Neue Kämmerer, Kommunen müssen sich auf professionellere Hacker einstellen, 22.10.2019
  9. So erklärte das auf die Abschätzung finanzieller Risiken spezialisierte Unternehmen Cyberwrite Anfang 2020, dass allein in den ersten neun Monaten des Jahres 2019 mehr als 600 erfolgreiche Cyberangriffe auf Gemeinden und städtische Behörden in den Vereinigten Staaten registriert wurden; businesswire, Cyberangriffe auf israelische Kommunen können zu Schaden in Höhe von bis zu 4,5 Mrd. Schekel insgesamt führen, 26.02.2020.
  10. Frankfurter Rundschau, „Angriffe auf Kommunen nehmen zu“, Interview mit Professor Ahmad-Reza Sadeghi, 19.12.2019; Süddeutsche Zeitung: Stadt Frankfurt wieder online: infizierte Mail, 19.12.2019; Aufräumen nach Trojaner-Attacke: Bad Homburg offline, 20.12.2019; Service in Bad Homburg wegen möglicher Attacke eingeschränkt, 20.12.2019; Stadtverwaltung nach möglicher IT-Attacke wieder geöffnet, 22.12.2019
  11. Süddeutsche Zeitung, Nürnberger Schulen Opfer von Hackerangriff, 10.12.2019
  12. Fuldaer Zeitung, Cyber-Kriminalität in Hessen: Die Gefahr wächst – Kommunen im Visier, 03.01.2020
  13. Süddeutsche Zeitung, Cyberattacke? Potsdam schaltet Server der Verwaltung ab, 22.01.2020; Cyberangriff auf Stadt Potsdam: "Keine Daten abgegriffen", 27.01.2020; Potsdamer Rathaus schaltet Internetverbindung wieder ein, 28.01.2020; Potsdamer Rathaus: Online-Termine noch nicht möglich, 12.02.2020
  14. Der Neue Kämmerer, Ludwigshafen: Hacker erbeuten Daten von kommunalem Versorger, 08.05.2020; Hacker erpressen TWL, veröffentlichen Kundendaten, 20.05.2020
  15. heise, https://www.heise.de/news/Cybercrime-Ransomware-legt-IT-des-Klinikums-Wolfenbuettel-lahm-6140048.html, 15.07.2021
  16. Siehe dazu unten unter Weblinks
  17. Siehe Bayerischer Rundfunk, #Faktenfuchs: Kann ein Hackerangriff für einen Blackout sorgen?, 29.06.2021. Ein - im Ergebnis noch glimpflich abgelaufenes - Beispiel für einen solchen Angriff im US-Bundesstaat Florida: tagesschau, Hackerangriff auf Trinkwasseranlage, 09.02.2021
  18. Siehe dazu auch: Handelsblatt: Wenn Hacker eine ganze Stadt als Geisel nehmen, 30.06.2019
  19. Siehe dazu auch: Kommune21, Homeoffice: Leitfaden für Kommunen, 01.03.2021; der im Artikel genannte Leitfaden ist leider online ncht auffindbar.
  20. Hinweise dafür gibt eine Handreichung des Deutschen Städtetags: Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen (2017, pdf-Format, 37 Seiten)
  21. Siehe dazu Werner Renner, Versicherungskammer Bayern: Verwaltungen sind bedroht, Gastbeitrag in: Bayerische Gemeindezeitung, Juni 2021
  22. heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021
  23. funkschau: Bittere erste Bilanz nach dem OVH-Brand, 16.03.2021; FAZ, Millionen Webseiten vom Brand beim Cloud-Betreiber betroffen, 11.03.2021

Weblinks[Bearbeiten]

Hinweise zu Prävention und Umgang mit akuten Krisen[Bearbeiten]

Links zum kommunalen Umgang mit Ransomware[Bearbeiten]

Siehe auch[Bearbeiten]