Cyberangriffe

Erstmals hat am 10.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) wurde durch eine Cyber-Attacke so weit lahmgelegt, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Dabei wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat ("Ransomware", siehe unten), um Lösegeld zu erpressen. Der Landkreis weigerte sich zu zahlen und erhielt Hilfe von vielen Seiten (u.a. weitere Kommunen und kommunale Betriebe, Land Sachsen-Anhalt, eine Hochschule, Bundesamt für Sicherheit in der Informationstechnik, Bundeswehr u.a.). Der Wiederaufbau des Verwaltungsnetzes nach verschärften Sicherheitsvorgaben und die Rekonstruktion der Daten wird nach aktuellem Stand (Anfang 2022) länger als ein halbes Jahr dauern.

• Siehe ausführlich: Cyberangriff auf Landkreis Anhalt-Bitterfeld 2021

Kein Einzelfall[Bearbeiten]

Der Fall Anhalt-Bitterfeld ist vorerst vielleicht der spektakulärste, aber kein Einzelfall; schon öfter wurden Kommunen, nicht nur in Deutschland, Opfer von Cyber-Angriffen. Nach einer Recherche des Bayerischen Rundfunks gemeinsam mit "Zeit online" von Mitte 2021 betraf dies in den vergangenen sechs Jahren mehr als 100 Behörden, Kommunalverwaltungen und andere öffentliche Stellen.^[1] Einer Analyse des Sicherheitsunternehmens Barracuda Networks zufolge betrafen im Zeitraum zwischen Mitte 2019 und Mitte 2020 ca. 45% der erfassten Angriffe mit Ransomware in Deutschland Kommunalverwaltungen von kleinen und mittleren Gemeinden (unter 50.000 Einw.). Die Lösegeldforderung belief sich im Durchschnitt auf ca. 1,4 Mio. €. Rund 15% der betroffenen Gemeinden sei bereit gewesen zu zahlen.^[2] Auch das Stuttgarter Staatstheater soll im April 2019 auf diese Weise erfolgreich attackiert worden sein, kam aber mit einer Zahlung von 15.000 € glimpflich davon.^[3] Die Angriffe werden tendenziell professioneller und gefährlicher.^[4] Natürlich werden Kommunen auch außerhalb Deutschlands immer häufiger Opfern von Cyber-Angriffen.^[5] Für die Wirtschaft in Deutschland wird der Gesamtschaden durch Cyberangriffe allein im Jahr 2020 auf über 220 Mrd. € geschätzt.^[6]

Übersichtskarte[Bearbeiten]

Die folgende Aufstellung ist ein (sicher nicht vollständiger) Versuch, Cyberangriffe auf Kommunen und kommunale Einrichtungen seit 2016 mit ihren Folgen chronologisch darzustellen. Wer nach Gemeinden oder Regionen sucht, wird auf der Webseite Kommunaler Notbetrieb fündig; diese zeigt eine Karte mit vielen, je nach Art farblich unterschiedenen IT-Angriffen und anderweitiger Schäden an kommunaler IT.

Weitere Artikel[Bearbeiten]

Zum Cyberangriff auf Landkreis Anhalt-Bitterfeld 2021, zum Cyberangriff auf die Südwestfalen-IT 2023 und zu Cyberangriffe auf Krankenhäuser gibt es jeweils eigene Artikel.

Vorfälle bis 2020[Bearbeiten]

2016 fand ein Angriff auf die IT der bayerischen Kleinstadt Dettelbach statt. Die Kommune hat Berichten zufolge damals 1,3 Bitcoin - seinerzeit etwa 500 Euro - Lösegeld gezahlt.^[7] 2017 versuchte eine vermutlich in Russland beheimatete Hackergruppe, Zugriff auf die Netze der Verwaltung von Energieversorgern wie EnBW und Eon zu bekommen. Nach rund vier Jahren Ermittlungen wurde einer der mutmaßlichen Hacker identifiziert, gegen ihn wurde im September 2021 ein (bis heute nicht öffentlicher) Haftbefehl erlassen.^[8]

Bundesweite Aufmerksamkeit erhielt ein Angriff, der am 6. September 2019 in der Verwaltung von Neustadt am Rübenberge (Region Hannover, Niedersachsen) entdeckt wurde - tatsächlich hatte er, wie später festgestellt wurde, bereits ein halbes Jahr früher begonnen. Er führte zu einem mehrtägigen Ausfall großer Teile der Verwaltung; lebensnotwendige Systeme wie Abwasser, Klärwerke, Verkehrs- und Schließsysteme zum Beispiel für Schulen waren jedoch nicht betroffen.^[9] Im Dezember 2019 kam es zu einer Reihe von Attacken, die auch Kommunen und kommunale Einrichtungen trafen. So musste Frankfurt am Main am 18.12.2019 sein IT-Netz vom Internet abkoppeln, auch der Internet-Auftritt ging offline. Auslöser war eine "sehr gut getarnte" E-Mail mit der Schadsoftware "Emotet" an einen Mitarbeiter. Die Störung wurde am folgenden Tag behoben. Auch Bad Homburg (Hochtaunuskreis) nahm seine Rechner vom Netz, hier dauerten die Aufräumarbeiten drei Tage.^[10] Zeitgleich befiel derselbe Trojaner auch Rechner der Stadt Nürnberg (Bayern), insbesondere das IT-System städtischer Schulen war betroffen.^[11]

Zu Beginn des Jahres 2020 traf es die Stadt Alsfeld (Vogelsbergkreis, Hessen).^[12] Kurz darauf musste die Stadtverwaltung von Potsdam (Brandenburg) ihre Server abschalten, nachdem Anzeichen einer Cyberattacke festgestellt wurden. Es hatte unbefugte externe Zugriffe auf das Netzwerk gegeben. Erst nach einer Woche konnte die Stadt wieder schrittweise ans Netz gehen, Online-Terminvergaben funktionierten auch nach drei Wochen noch nicht. Daten waren, so die hinzugezogenen Expert*innen, nicht abgeflossen, Schadsoftware nicht auf die Rechner gebracht worden.^[13] Nach späteren Informationen hatten die Angreifer eine Sicherheitslücke genutzt, die am 17.12.2019 bekannt wurde, bis Anfang Januar 2020 jedoch auf den Potsdamer Servern nicht beseitigt worden war.^[14] Anfang März traf ein weltweiter Angriff, der eine Sicherheitslücke im Email-Dienst Microsoft Exchange ausnutzte, auch eine Reihe von Kommunen in Mecklenburg-Vorpommern, unter ihnen die Stadtverwaltung Grevesmühlen. Die Sicherheitslücke war schon länger bekannt, doch hatten viele IT-Abteilungen die verfügbaren Sicherheitsupdates noch nicht eingespielt.^[15]

Anfang Mai 2020 teilte der kommunale Versorger Technische Werke Ludwigshafen (TWL) mit, Opfer einer Cyber-Attacke geworden zu sein. Die Ermittlungsbehörden und ein IT-Sicherheitsunternehmen wurden sofort eingeschaltet, die betroffenen Rechner vom Netz genommen. Als der Angriff bemerkt wurde, waren jedoch bereits sensible Daten im Umfang von 500 Gigabyte abgeflossen. Die Ermittlungen ergaben, dass der Angriff bereits im Februar begann, aber erst im April bemerkt wurde, als sich die Angreifer mit einer Lösegeldforderung im zweistelligen Millionenbereich meldeten. Nachdem die TWL sich weigerten zu zahlen veröffentlichten die Angreifer Kundendaten der TWL im Darknet. Betroffen waren personenbezogene Informationen wie Name, Vorname und Anschrift, in vielen Fällen auch die E-Mail-Adresse oder Telefonnummer, Angaben zum gewählten Tarif und teilweise auch die Bankverbindung der Kund*innen.^[16]

2021: Deutliche Zunahme[Bearbeiten]

Ende Mai 2021 entdeckte die Stadtverwaltung von Rolle (Kanton Waadt, Schweiz, zwischen Genf und Lausanne gelegen), dass sie Opfer eines Cyberangriffs geworden war; die Öffentlichkeit erfuhr davon erst am 20.08.2021. Die Angreifer forderten ein Lösegeld und stellten, als dieses nicht gezahlt wurde, sensitive Daten von Bewohner*innen der Gemeinde ins Internet.^[17]

Am 14.07.2021 meldete die Stadtverwaltung des hessischen Geisenheim (Rheingau-Taunus-Kreis) einen Angriff auf das städtische Netz. Stadtverwaltung und Stadtwerke seien voraussichtlich mindestens drei Wochen lang offline.^[18] Ebenfalls im Juli 2021 gab es einen Ransomware-Angriff auf die IT der bayerischen Gemeinde Hohenpeißenberg (Landkreis Weilheim-Schongau). Die Lösegeldförderung belief sich auf 40.000 €. Es kostete die Gemeinde allerdings nur wenige Tage, alle Systeme wieder ans Netz zu bringen.^[19]

Am 09.08.2021 stellte der Sparkassenverband Baden-Württemberg einen Hackerangriff fest. Den Angreifern sei es offenbar gelungen, zumindest teilweise die interne Kommunikation mitzulesen. Ob Daten abgeflossen seien, wisse man noch nicht. Auch hier wurde ein Lösegeld gefordert und mit der Veröffentlichung interner Daten gedroht. Einzelne Sparkassen seien, so der Verband, nicht betroffen.^[20]

Im September 2021 wurde der Sozialdienst Olching (Landkreis Fürstenfeldbruck, Bayern) Ziel eines Angriffs mit Ransomware. Der Verein betreut rund 150 Pflegebedürftige zu Hause und betreibt mehrere Kindereinrichtungen. Viele Daten, die für die tägliche Arbeit notwendig sind (z.B. Termine, Tourenpläne, Medikamente, Kontaktdaten Angehöriger) waren nicht mehr verfügbar, auch die Telefonanlage war außer Betrieb, der Verein also nicht mehr erreichbar. Die geforderten 10.000 € Lösegeld will der Verein nicht bezahlen; eine Firma wurde mit dem Versuch beauftragt, die Daten wiederherzustellen.^[21]

Ende September 2021 traf es die Stadtwerke Wismar. Wohl am Morgen des 28.9. hatte eine Schadsoftware begonnen, Firmendaten zu verschlüsseln, was erst "im Laufe der Woche" bemerkt wurde. Nach dem Herunterfahren der befallenen Systeme konnten Mails nicht mehr gelesen und z.B. Abrechnungen nicht mehr bearbeitet werden. Daher war auch zunächst nicht zu klären, ob überhaupt eine Lösegeldforderung eingegangen war. Die Strom-, Gas-, Wasser- und Wärmeversorgung wird von eigenen Systemen gesteuert, die vom Firmennetz abgekoppelt sind und nicht betroffen waren.^[22]

Nach einem Ransomware-Angriff auf die Systeme des Kommunalservice Mecklenburg (KSM)^[23] am 15.10.2021 gingen die Online-Services der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim komplett vom Netz. Das betraf auch die Gemeinden Boitzenburg, Zarrentin, Stralendorf, Ludwigslust, Grabow, Neustadt-Glewe und Parchim sowie die Verwaltungsdienste einiger kommunaler Unternehmen. Auch nach drei Tagen waren die Dienste noch nicht wieder erreichbar, die Kreisverwaltung und die Bürgerbüros blieben geschlossen. Mails an die offiziellen Verwaltungsadressen konnten über längere Zeit nicht abgerufen werden, in der Landeshauptstadt war auch die Telefonanlage abgeschaltet. Für Notfälle wurde eine Mail-Adresse bei einem Webmailer und eine Telefonnummer eingerichtet. Eine für den 18.10. geplante Kreistagssitzung konnte nicht stattfinden, weil die Einladung vollständig auf digitale Dienste angewiesen ist. Die Polizei und Sicherheitsbehörden des Landes wurden eingeschaltet. Nach Feststellungen von Sicherheitsexpert*innen und der Staatsanwaltschaft war für den Angriff die Software "DeepBlueMagic" eingesetzt worden.^[24] Während die Behörden davon ausgingen, dass keine Daten abgeflossen seien, wies der Sicherheitsexperte Manuel Atug im NDR-Interview darauf hin, dass bei Cyberangriffen häufig Tage vor dem Start der Verschlüsselung bereits Daten abgezogen werden. Die Versorgung mit Strom, Gas und Warmwasser wird laut den Stadtwerken Schwerin durch eigene, nicht mit der Verwaltung verbundene Systeme gesteuert und sei deshalb nicht gefährdet.^[25] Anfang November war klar, dass die Ausfälle bis Anfang 2022 andauern werden.^[26] Auch die Meldungen der Corona-Daten an das Robert-Koch-Institut ist auf Wochen unterbrochen, auf den RKI-Karten ist daher ein grauer Fleck zu sehen.^[27] Weitere Folge des Angriffs war, dass rund 3.000 Verkehrsverstöße nicht verfolgt werden konnten, weil der Landkreis von Mitte Oktober bis Jahresende 2021 keine Halterabfragen stellen und keinen Kontakt zum Kraftfahrtbundesamt herstellen konnte. Erst im April 2022 waren sämtliche Probleme behoben.^[28]

Ein weiterer Cyberangriff traf am 21.10.2021 das Landesamt für innere Verwaltung (LAiV) in Mecklenburg-Vorpommern und hatte auch Auswirkungen auf die IT-Systeme der Landesstatistik und der Erstaufnahmeeinrichtungen in Horst und Stern Buchholz.^[29]

In der Nacht zum 16.10.2021 wurde ein Angriff auf die IT-Infrastruktur der Stadt Witten (Ennepe-Ruhr-Kreis, Regierungsbezirk Arnsberg, Nordrhein-Westfalen) gemeldet, der zunächst in der Einsatzzentrale der Feuerwehr bemerkt wurde. Über 1.000 PC-Arbeitsplätze wurden abgeschaltet und damit beispielsweise das gesamte Einwohnermeldeamt außer Betrieb gesetzt. Betroffen waren auch der Ticketverkauf im Kulturforum, das Stadtmarketing, die Volkshochschule Witten – Wetter – Herdecke und der Stadt-Sport-Verband. Kritische Infrastrukturen wie die Versorgung mit Gas, Wasser und Strom sowie Feuerwehr und Rettungsdienst blieben intakt, das Gleiche gilt für Kitas, Ordnungsdienste und Müllabfuhr. Nach zwei Tagen konnte zumindest die telefonische Erreichbarkeit des Jugend- und des Sozialamtes über Umleitungen sichergestellt werden, für Hochzeiten und die Ausstellung von Sterbeurkunden wurde technische Hilfe aus Dortmund eingeholt. Eine Lösegeldforderung lag am 19.10. noch nicht vor. Das LKA und die Schwerpunktstaatsanwaltschaft "Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen" (ZAC NRW) wurden eingeschaltet. Die Stadt schätzt, dass die Beseitigung aller Probleme Wochen oder gar Monate dauern kann. Mitte November 2021 wurde zusätzlich bekannt, dass bei dem Angriff erbeutete Daten im Darknet verfügbar gemacht wurden - vermutlich um den Druck zu erhöhen, was darauf hindeutet, dass es doch eine Lösegeldforderung geben könnte. Die Stadt bemüht sich, dort wo besonders sensible Daten betroffen sein könnten, die Menschen direkt zu kontaktieren; das ist jedoch wegen der großen Datenmenge nicht einfach.^[30]

Anfang Dezember 2021 traf es mehrere Kommunen und kommunale Einrichtungen in (Sachsen) und Sachsen-Anhalt. Zunächst verzeichneten die Stadtwerke Pirna einen Angriff auf ihre IT-Systeme. Die Technik zur Überwachung und Steuerung der Versorgungsnetze war nicht betroffen. Mail-Kommunikation und die Erstellung von Abrechnungen war jedoch nicht mehr möglich, die entsprechenden Systeme wurden zur Schadensbeseitigung abgeschaltet. Am 07.12. meldete die Stadtreinigung Leipzig einen Angriff und forderte die Bürger*innen auf, bis auf Weiteres keine E-Mails und auch keine Online-Formulare zu schicken. E-Mails von der Stadtreinigung sollten auf keinen Fall gelesen, Links und Anhänge nicht geöffnet werden. Am gleichen Tag wurde bekannt, dass auch das Rathaus von Seehausen (Sachsen-Anhalt) in der Vorwoche betroffen war. Zwei Tage lang blieb der Server abgeschaltet. Der Angriff, so die Stadtverwaltung, habe nicht der Stadt, sondern dem IT-Dienstleister gegolten. Da gute Sicherungsmaßnahmen getroffen worden waren, konnte der Betrieb schnell wieder aufgenommen werden.^[31]

Am 15.12.2021 schaltete der Kreis Soest (NRW) die Server seines Geoportals ab, so dass alle Kartendienste seines Internet-Auftritts nicht mehr zur Verfügung standen. Die Abschaltung erfolgte vorsorglich, da auf dem Server eine Software installiert war, für die das BSI eine Sicherheitswarnung der höchsten Stufe "rot" ausgegeben hatte. Die Einschränkungen sollten einige Tage dauern.^[32]

2022: Andauernde Angriffe[Bearbeiten]

Suhl[Bearbeiten]

Am 10.03.2022 wurden die Stadtverwaltung in Suhl (Thüringen) Opfer eines Cyberangriffs. Bis auf weiteres war kein Zugriff auf die Daten möglich, die gesamte IT der Verwaltung wurde abgeschaltet. Das Landeskriminalamt ermittelt. Die Stadt versuchte vorrangig, das Sozialamt, Gesundheitsamt, Bürgeramt und das Corona-Testzentrum wieder arbeitsfähig zu machen.^[33] Als Konsequenz forderte die Fraktion der Linken im Thüringer Landtag die Einrichtung eines "Cyberhilfswerks" des Landes, das im Fall von "Cyber-Großschadenslagen" vor Ort schnelle Hilfe leisten, einen Plan zum Einsatz eines Katastrophenstabs erstellen und Notfallübungen durchführen könne.^[34] Lange nach der Beseitigung der Schäden bemerkte die Stadt, dass Daten von Bürger*innen (u.a. Kontonummern, Geburtsdaten, Telefonnummern) im Darknet angeboten wurden. Die Betroffenen wurden schriftlich informiert.^[35]

Schriesheim[Bearbeiten]

Die Stadt Schriesheim (Rhein-Neckar-Kreis, Baden-Württemberg) erlebte am 18.04.2022 einen Cyberangriff, bei dem Server der Stadt mit Ransomware verschlüsselt wurden. Die Angreifer drohten mit der Veröffentlichung erbeuteter Daten, ohne jedoch eine konkrete Lösegeldforderung zu stellen. Die Server wurden zeitweilig abgestellt und mit höheren Sicherheitsstandards neu aufgesetzt. In der Nacht zum 07.05.2022 wurden tatsächlich Daten im Darknet veröffentlicht, die aus verwaltungsinternen Vorgängen bestanden, teilweise jedoch Namen enthielten. Mitte Mai 2022 begann die Stadt, betroffene Bürger*innen über die sie betreffenden, im Darknet verfügbaren Daten zu informieren.^[36]

Kärnten (Österreich)[Bearbeiten]

Im Mai 2022 wurde bekannt, dass ein erfolgreicher Ransomware-Angriff auf die Kärntner Landesverwaltung (Österreich) ausgeführt wurde. Nachdem die Landesregierung sich weigerte, ein Lösegeld zu zahlen, gab die Hackergruppe Black Cat bekannt, sie habe einen Teil der erbeuteten Daten im Internet verkauft; darunter hätten sich, so die Hacker, Rechnungen, Covid-19-Testergebnisse und E-Mails des Landeshauptmanns befunden. Insgesamt dürften die Hacker ca. 250 GB an Daten abgezogen haben. Darunter befanden sich u.a. Stammdatenblätter von Niederlassungs- und Aufenthaltsbewilligungen, Kontaktdaten des Veranstaltungsmanagements und Daten aus internem Schriftverkehr von Regierungsmitgliedern sowie Mitarbeitern. Bei einem weiteren erfolgreichen Angriff auf die Medizinische Universität Innsbruck wurden u.a. Vertrags- und Finanzdaten, Reisepässe und Krankmeldungen kopiert. Ein Teil der gestohlenen Daten tauchte später im Darknet auf. Die hierfür verantwortliche Hackergruppe Vice Society^[37] hatte zuvor die Verwaltung der italienischen Stadt Palermo erfolgreich angegriffen.^[38]

Entega (Darmstadt)[Bearbeiten]

Am 10.06.2022 wurde der Darmstädter Energieversorger Entega Opfer einer Cyberattacke. Bemerkt wurde sie, als Mitarbeiter*innen nicht mehr auf das Online-Portal zugreifen konnten. Betroffen waren nach Darstellung des Unternehmens nur interne Mailkonten und die Webseite, die Versorgungsinfrastruktur war nicht gefährdet. Kundendaten seien auch nicht abgeflossen, hieß es zunächst - was sich jedoch später als falsch herausstellte. Ein Team aus Expert*innen des hessischen Innenministeriums sowie des Landes- und Bundeskriminalamtes wurde eingeschaltet.^[39] Mehr als zwei Wochen nach dem Angriff war die reguläre Unternehmenswebseite weiterhin abgeschaltet, zu sehen waren lediglich Telefonnummern. Die Vermutung, dass der Angriff womöglich dem IT-Dienstleister galt, der für Entega arbeitet, bewahrheitete sich bald: Wenige Tage später wurde bekannt, dass der Hackerangriff den hessischen IT-Dienstleister Count+Care GmbH getroffen hatte und dass auch weitere kommunale Unternehmen wie das Darmstädter Verkehrsunternehmen Heag, die Frankfurter Entsorgungs- und Service-Gruppe (FES) und die Mainzer Stadtwerke sowie der Mainzer Nahverkehr betroffen waren. Auch hier waren Mail-Konten und Webseiten, aber auch einzelne Dienstleistungen lahmgelegt worden (z. B. funktionierten einige Fahrscheinautomaten in Mainz nicht mehr, in Frankfurt konnte Sperrmüll nicht mehr online angemeldet werden). Ermittlungen durch die Zentralstelle zur Bekämpfung der Internetkriminalität, eine Außenstelle der Generalstaatsanwaltschaft Frankfurt, wurden eingeleitet.^[40] Offenbar waren die Angreifer durch eine gefakte Mail, die von einem Mitarbeiter geöffnet wurde, in das System gelangt. Nach Presseberichten forderten die Erpresser einen Betrag von 15 Mio. €, den die Entega aber nicht zahlte. Angeblich war die in Russland beheimatete Gruppe "Black Cat" für die Attacke verantwortlich. Die Mainzer Stadtwerke setzten kurzerhand eine völlig neue Internetpräsenz unter der Adresse www.mainzer-stadtwerke.info auf, was nur wenige Tage dauerte - wesentlich schneller als die Rekonstruktion der alten Web-Präsenz. Am Abend des 06.07.2022 konnten die Systeme wieder eingeschaltet werden.^[41] Doch das bedeutete keine Entwarnung, denn die Angreifer reagierten auf die Weigerung, ein Lösegeld zu zahlen, mit der Veröffentlichung erbeuteter Kundendaten im Darknet. Betroffen sind Kunden der Mainzer Stadtwerke und der Entega; in vielen Fällen waren auch Kundennummern und Bankverbindungen unter den Daten. Sie könnten für mehrere Zwecke genutzt werden: Unbefugte Bankeinzüge (die, wenn sie bemerkt werden, von den Betroffenen zurückgebucht werden können), Kauf von Waren mit den entsprechenden Bankdaten oder auch Phishing-Mails, die aussehen, als kämen sie vom Versorger. Die Unternehmen schreiben Betroffene direkt an und haben teilweise die Passwörter der betroffenen Kundenkonten zurückgesetzt.^[42]

Apetito (Rheine)[Bearbeiten]

Am Wochenende 25./26.6.2022 wurden die Server des Essenslieferanten "Apetito" in Rheine (Nordrhein-Westfalen) Ziel eines Angriffs. Das Unternehmen beliefert Kindertagesstätten, Schulen, Unternehmen, Kliniken, Senioreneinrichtungen und Essen auf Rädern, der Angriff trifft damit auch viele kommunale Einrichtungen weit über NRW hinaus.^[43] Die IT-Systeme wurden abgeschaltet, so dass keine Bestellungen mehr möglich waren. Apetito schaltete die Zentral- und Anlaufstelle Cybercrime Nordrhein-Westfalens in Köln (ZAC NRW) ein und erstattete Anzeige bei der Polizei Münster. Möglicherweise geriet Apetito in das Visier der kriminellen Banden, nachdem bekannt geworden war, dass das Unternehmen von der Pandemie profitiert und im Jahr 2021 über 1 Mrd. € Umsatz gemacht hatte.^[44] Laut "focus" wurde das Unternehmen aufgefordert, im Darknet über ein Lösegeld zu verhandeln, andernfalls wurde mit der Veröffentlichung erbeuteter Daten gedroht.^[45]

IHK-Netzwerk[Bearbeiten]

Alle Industrie- und Handelskammern in Deutschland waren am 3. August 2022 von einer Cyberattacke betroffen, die sich nicht gegen einzelne IHKs, sondern gegen das gemeinsame IHK-Netzwerk richtete. So kappte z.B. die IHK Mittleres Ruhrgebiet alle Internet-Verbindungen und war auch per Telefon oder Mail nicht mehr erreichbar. Vermutet wurde eine sog. DDos-Attacke (siehe unten) Der Industrie- und Handelskammertag stellte bis zum 10.08.2022 einige Dienste provisorisch wieder her.^[46]

EWE (Oldenburg)[Bearbeiten]

Ein DDos-Angriff traf Mitte August 2022 eine Gesellschaft des Oldenburger Energieversorgers EWE. Von nennenswerten Schäden wurde jedoch nicht berichtet.^[47]

Feldbach (Steiermark, Österreich)[Bearbeiten]

Am Wochenende 03./04.09.2022 traf ein Hackerangriff die Bezirkshauptstadt Feldbach (Steiermark, Österreich). Laut Presseberichten wurden 10 Terabyte an Daten verschlüsselt und eine Lösegeldforderung übermittelt. Die Stadt will nicht bezahlen und schaltete das Landeskriminalamt ein. Ob Daten abgeflossen sind, blieb zunächst unklar. Kritische Infrastruktur war nicht beeinträchtigt.^[48]

Caritas München und Freising[Bearbeiten]

Am 12.09.2022 wurde ein Cyberangriff auf die Caritas in der Erzdiözese München und Freising bekannt. Der Wohlfahrtsverband sprach von einer "Großstörung zentraler IT-Systeme" seit dem Wochenende 10./11.09; es gebe "konkrete Hinweise darauf, dass es den Cyber-Kriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen". Ein Krisenstab wurde eingerichtet, die Münchner Kriminalpolizei ermittelt. Die 350 Dienste und Einrichtungen liefen weiter, die Prozesse seien gesichert, würden aber auf analogen Betrieb umgestellt. Bei der Erreichbarkeit per Telefon oder per E-Mail könne es zu Einschränkungen kommen. Der analoge Betrieb würde, so die Caritas am 15.09., mindestens vier Wochen andauern. Ein besonderer Aufwand entstand dadurch, dass sämtliche Daten über die Medikation von Heimbewohner*innen durch Abfragen bei den Ärzten überprüft werden mussten - sie lagen zwar auch auf Papier vor, doch war nicht klar, ob diese Unterlagen alle aktuell waren. Auf den Rechnern der Caritas wurde eine Lösegeldforderung gefunden. Trotz der Drohung, erbeutete sensible Daten zu veröffentlichen, lehnte der Vorstand des Caritasverbandes eine Zahlung ab und beschloss stattdessen den Aufbau einer alternativen IT-Infrastruktur.^[49]

Schulverwaltung Landkreis München[Bearbeiten]

Der nächste bekanntgewordene Vorfall betraf die Schulverwaltung des Landkreises München. Am 20.10.2022 wurde ein Server des Medienzentrums München-Land gehackt und die Daten von 55 Schulen dieses Landkreises und 20 weiteren aus dem Landkreis Berchtesgadener Land verschlüsselt. Der Angriff erfolgte zu einem Zeitpunkt, als an den Server Medien zur Datensicherung angeschlossen waren, deren Inhalt ebenfalls zerstört wurde. Nach Angaben des Landkreises wurde der Angriff binnen weniger Minuten entdeckt und der Server vom Netz getrennt. Daten seien nicht abgeflossen, hieß es, zumal wichtige Daten durch Verschlüsselung gesichert seien und von Dritten nicht verwendet werden könnten. Die betroffenen Schulen wurden am 24.10. informiert; sie konnten zunächst nicht auf ihre gespeicherten Daten, darunter Adresslisten, Stundenpläne etc., zugreifen. Eine Lösegeldforderung, die auf dem Server gefunden wurde, wurde vom Landratsamt ignoriert. Da der Angriff nur einen Server betraf, waren andere Bereiche der Verwaltung nicht beeinträchtigt.^[50] Der Angriff erfolgte offenbar mit Hilfe einer Phishing-Mail an eine*n Mitarbeitende*n einer Schule.^[51]

Rhein-Pfalz-Kreis[Bearbeiten]

Den Rhein-Pfalz-Kreis in Rheinland-Pfalz traf am 21. Oktober 2022 ein Ransomware-Angriff, der am 22.10. bemerkt wurde. Alle 600 PCs der Kreisverwaltung wurden daraufhin vom Netz genommen, ein Großteil der Verwaltung war nicht mehr arbeitsfähig. Eine "Notverwaltung" mit nicht vernetzten PCs wurde eingerichtet. Es könne Monate dauern, bis wieder ein Normalbetrieb möglich sei, so erste Schätzungen. Ein Teil der Aufgaben, beispielsweise die An- und Ummeldung von Fahrzeugen, konnte jedoch in Außenstellen der Behörden, die im Netz von Gemeindeverwaltungen laufen, aufrechterhalten werden. Der Kreis erhielt eine Lösegeldforderung mit einer Frist von einer Woche. Was nach Ablauf der Frist geschehen würde blieb unklar, zumal die IT-Verantwortlichen zunächst nicht wussten, ob Daten abgeflossen waren - dass dies der Fall war, erfuhr die Öffentlichkeit am 27.10. Die Staatsanwaltschaft nahm umgehend Ermittlungen auf, teilte aber auch mit, dass bei solchen Vorkommnissen die Täter nur selten ermittelt werden können. Im weiteren Verlauf verdichtete sich die Vermutung, die Gruppe Vice Society könne hinter dem Angriff stecken.

Eine Woche nach Bekanntwerden des Angriffs, am 31.10., wandte sich der Landrat Clemens Körner in einem Offenen Brief an die Bevölkerung. Es sei zu befürchten, so der Landrat, dass "vertrauliche oder auch kompromittierende Daten von und über Einwohnerinnen und Einwohnern sowie auch von Mitarbeitern im Darknet veröffentlicht" würden. Für etwaige Unannehmlichkeiten bat er um Entschuldigung. Trotz hoher Sicherheitsstandards gebe es keine 200%ige Sicherheit gegen solche Angriffe. Wie sich herausstellte, waren zu diesem Zeitpunkt bereits Daten, die bei dem Hackerangriff erbeutet worden waren, im Darknet und auch auf Facebook veröffentlicht worden, was die Öffentlichkeit jedoch erst am 11.11. erfuhr. Die Analyse der Daten dauerte eine Weile; nach entsprechender Anleitung durch Expert*innen der Ermittlungsbehörden durchsuchten Verwaltungsmitarbeiter*innen die publizierten Daten. Bis zum 3. Dezember schrieb die Kreisverwaltung des Rhein-Pfalz-Kreises mehr als 2.500 betroffene Personen an und informierte sie über die sie betreffenden veröffentlichten Daten. Von Verwaltungsmitarbeiter*innen waren teilweise auch persönliche, auf den Dienstrechnern gespeicherte Daten im Darknet zu finden.^[52]

Die Wiederherstellung der Arbeitsfähigkeit stellte sich für die Kreisverwaltung als langwierig heraus; daher bot die Landesregierung Ende November ihre Unterstützung an. Externe IT-Dienstleister*innen des Landesbetrieb für Daten und Information (LDI) sollten den Kreis unterstützen, z.B. bei der Installation von PCs und der Einrichtung von Telearbeitsplätzen. Anfang Dezember 2022, sechs Wochen nach dem Angriff, konnte die Telefonanlage wieder in Betrieb genommen werden; etwa eine Woche später lief die Arbeit zumindest auf einigen Rechnern wieder, die sich Beschäftigte des Kreises teilten. Der Kreis erwartete zunächst, dass die volle Arbeitsfähigkeit Ostern 2023 wiederhergestellt sein wird; zu Jahresbeginn 2023 war von "Frühsommer" die Rede.^[53] Andere Kommunen in Rheinland-Pfalz kündigten an, ihre Sicherheitsmaßnahmen zu verstärken. Das Land und die kommunalen Spitzenverbände kündigten an, in einer gemeinsamen Arbeitsgruppe die Gründung eines "mobilen Reaktionsteams" (Mobile Incident Response Team - MIRT-rlp) vorzubereiten. Andere Kommunen könnten von den Erfahrungen des Rhein-Pfalz-Kreises lernen.^[54]

Eine Aufstellung der Verwaltung für den Kreisausschuss ergibt, dass der Hackerangriff den Landkreis rund 1,2 Mio. € gekostet hat; in dieser Summe sind allerdings auch Investitionen in eine zukünftig erhöhte Sicherheit enthalten. Gegenüber dem SWR nennt Landrat Clemens Körner (CDU) Anfang Februar 2023 gar eine Summe von 1,7 Mio. €. Rund 600.000 € Kosten entstanden allein dadurch, dass ca. 750 Laptops entsorgt oder gar verschrottet und durch neue Geräte ersetzt wurden. In der Übergangszeit wurde die Arbeit dadurch erschwert, dass nicht alle Mitarbeitenden Rechner zur Verfügung hatten. Der Angriff erfolgte wohl über ein infiziertes Gerät, möglicherweise eines, das im HomeOffice genutzt wurde; welches Gerät das war, ließ sich im Nachhinein nicht mehr feststellen. In Zukunft sollen alle ausgegebenen Behörden-Laptops laufend überwacht werden. Bis Ostern 2023 sollte die Verwaltung wieder normal arbeiten können. Bei den gestohlenen und ins Netz gestellten Daten stellte sich heraus, dass sie zu großen Teilen mit der Ukraine zusammenhingen - beispielsweise Namen und Adressen von Menschen, die geflüchteten Ukrainer*innen eine Unterkunft zur Verfügung stellen, oder ukrainische Ausweisdaten. Andere Daten stammten aus Impfzentren. Die verantwortlichen Hacker werden in Osteuropa vermutet, ohne eindeutige Belege.^[55]

enercity (Hannover)[Bearbeiten]

Am 26.10.2022 wurde der Energieversorger enercity in Hannover online attackiert. Laut dem Unternehmen griffen die Sicherheitsmaßnahmen, so dass der Angriff schnell abgewehrt werden konnte. Die Versorgungssicherheit sei nicht betroffen. Dennoch gab es Einschränkungen beim Kundenservice.^[56]

Drensteinfurt[Bearbeiten]

Die Verwaltung der Gemeinde Drensteinfurt (Kreis Warendorf, Nordrhein-Westfalen) stellte am 28.11.2022 "interne Unstimmigkeiten" in ihrem IT-System fest, die als "möglicher Cybercrime-Angriff" auf die Stadt gedeutet wurden. Die Systeme wurden heruntergefahren und die Polizei eingeschaltet; die Verwaltung war für den Publikumsverkehr geschlossen und auch telefonisch zwei Tage lang nicht erreichbar. Erwartet wurde, dass die Einschränkungen rund zehn Tage andauern würden. Die Analysen ergaben, dass sich auf den Rechnern der Stadt keine Schadsoftware befand und dass auch keine Daten abgeflossen waren. Bereits am 6.12. standen die meisten Dienste wieder zur Verfügung. Die Stadt sei, so Bürgermeister Carsten Grawunder, "mit einem blauen Auge davongekommen".^[57]

2023: Die Cyberattacken setzen sich fort[Bearbeiten]

Potsdam gleich zweimal offline[Bearbeiten]

Am 29.12.2022 schaltete die Verwaltung der Brandenburger Landeshauptstadt Potsdam nach Hinweisen auf einen Cyberangriff ihre Internetverbindungen vorsorglich ab. Auslöser war - wie später bekannt wurde - eine Warnung des LKA Baden-Württemberg vor einem bevorstehenden Brute-Force-Angriff. Der E-Mail-Verkehr war nicht mehr möglich, ebensowenig An- und Ummeldungen oder Anträge auf Ausweisdokumente, weil auch Verfahrenssoftware betroffen war. Die Homepage der Stadt war nur noch in Teilen online, so dass z.B. Terminvereinbarungen für den Bürgerservice, aber auch das Ratsinformationssystem nicht mehr funktionierten. Die Telefone der Verwaltung funktionierten jedoch weiterhin. Die Stadtspitze schaltete das LKA sowie den IT-Dienstleister des Landes ein und bildete einen Krisenstab. Einen Tag später kappten nach entsprechenden Hinweisen des LKA auch die Stadtwerke und ihre Tochterunternehmen sowie das Klinikum „Ernst von Bergmann“ und der Unternehmensverbund für Wohnen und Bauen "Pro Potsdam" ihre Internetverbindungen.

Einige Tage darauf zeigte sich der OB Mike Schubert zuversichtlich, dass keine Daten abgeflossen seien. Schnelles Reagieren habe größere Schäden verhindert, die Meldekette zwischen den Behörden habe funktioniert. Die IT der Stadt blieb aber zunächst offline. Auch Wohngeldanträge, die nach der Wohngeldreform Anfang des Jahres in großer Zahl erwartet wurden, waren in den ersten Tagen des Jahres 2023 nicht möglich, das Bauamt war ebenfalls weitgehend lahmgelegt. Schließlich wurde angekündigt, die Stadt sei ab dem 16.01.2023 wieder per Mail erreichbar, die kommunalen Fachverfahren würden ab dem 23.01. nach und nach wieder ans Netz gehen.

Die Freude währte jedoch nicht lange, denn beim Wiederanfahren der Systeme wurde durch einen erweiterten Virenscan "eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz der Landeshauptstadt Potsdam an externe Server nachgewiesen". Offenbar war weiterhin Schadsoftware auf den Servern aktiv. Die Online-Dienste der Stadt gingen damit am 24.01.2023 wieder offline. Daten, so die Stadt, seien jedoch nicht abgeflossen. Kommunale Gesellschaften wie das Klinikum Potsdam oder die Stadtwerke waren von der Attacke nicht betroffen.^[58] Ab dem 08.02.2023 ging die Verwaltung der Stadt Potsdam schrittweise wieder online, erneut wurde mit dem Freischalten der E-Mail-Kommunikation begonnen.^[59] Da über längere Zeit auch das An- und Ummelden von Fahrzeugen nicht möglich war, schlossen sich Potsdamer Autohändler zusammen, um eine Schadensersatzklage gegen die Stadt zu prüfen.^[60]

In einem Artikel der "Zeit" vom 06.01.2023 wurden die Sicherheitsstandards der Potsdamer Stadtverwaltung kritisiert. Über einen Hackertrick sei die virtuelle Rathausseite vv.potsdam.de weiterhin erreichbar, außerdem verwende die Stadt veraltete Router, denen Sicherheitsupdates fehlten. Ein Sprecher der Stadt wies dies zurück. Tests hätten ergeben, dass keine Daten zugänglich seien, die fraglichen Router gehörten nicht zur Infrastruktur der Stadt und seien auch nicht an das städtische System angebunden. Im Kommunalausschuss des Brandenburger Landtags bezeichnete die Landesbeauftragten für Datenschutz, Dagmar Hartge, die Dokumentation der IT-Struktur der Stadt Potsdam als „ziemlich desaströs“. Innenstaatssekretär Markus Grünewald konstatierte jedoch, durch die Vorbereitungen der Stadt seien „wahrscheinlich nachhaltige Schäden an der IT-Infrastruktur verhindert“ worden. Auch hätten die Meldewege hervorragend informiert.

Der IT-Bereich der Stadt war zuletzt nach einen Angriff im Januar 2020 aufgestockt worden, elf zusätzliche Stellen waren im Doppelhaushalt 2020/2021 geschaffen worden. Der Angriff hatte nach Angaben der Stadt 82.000 € gekostet, nicht mitgerechnet die Kosten für zusätzliches Personal und eine neue Versicherung. Die Wiederherstellung aller digitaler Dienstleistungen hatte mehr als ein Jahr gedauert.^[61]

Die Angriffe wurden im Nachhinein dem internationalen Hacker-Netzwerk "Hive" zugeordnet, das Ende Januar 2023 von Ermittlungsbehörden aus den USA und Deutschland zerschlagen wurde. "Hive" entwickelte quasi kommerziell Ransomware für Cyberangriffe und vermietete diese an Interessent*innen, die dafür 20% der erbeuteten Gelder an Hive abführten.^[62] Potsdams Oberbürgermeister Mike Schubert (SPD) forderte anschließend Bund und Land auf, für die Cybersicherheit von Kommunen mehr Geld bereitzustellen und einen kontinuierlichen Austausch zur IT-Sicherheit zu gewährleisten.^[63]

Südwestfalen-IT: Über 70 Kommunen auf einen Schlag offline[Bearbeiten]

Ein am 30.10.2023 entdeckten Ransomware-Angriff auf den kommunalen Zweckbetrieb Südwestfalen-IT (SIT), der als IT-Dienstleister für viele Kommunen arbeitet, betraf über 70 Kommunen auf einmal - praktisch das ganze Südwestfalen und eine Reiher weiterer Kommunen in NRW. Viele von ihnen mussten einen großen Teil oder gar alle ihrer IT-Prozesse und Webseiten abschalten. Was die Auswirkungen angeht, dürfte es sich um den bisher größten Cyberangriff auf deutsche Kommunen handeln.

• Siehe dazu den eigenen Artikel: Cyberangriff auf die Südwestfalen-IT 2023

Kommunen "eines der schwächsten Glieder"[Bearbeiten]

Prof. Christian Dörr vom Hasso-Plattner-Institut zieht in einem Interview vom 5. Januar 2023 Schlussfolgerungen aus den Potsdamer Ereignissen. Er sieht die Kommunen als "eines der schwächsten Glieder" bei der IT-Sicherheit. Ein gutes Sicherheitsmanagement benötige Maßnahmen in drei Bereichen: technische Maßnahmen, sichere Prozesse sowie der Faktor Mensch. Hinzu müsse ein Notfallplan kommen. Der größte Schaden bei Angriffen entstehen, wenn die Kommune über längere Zeit nicht arbeitsfähig ist. In Kommunen müsse es dafür einen IT-Sicherheitsbeauftragten geben, was aber angesichts ihrer finanziellen und personellen Ressourcen eine Herausforderung sei. Wenn eine Kommune das IT-Grundschutz-Kompendium des BSI abarbeite, habe sie schon viel geleistet.

Marie Schäffer, Landtagsabgeordnete der Grünen in Brandenburg, bringt in einem Gastbeitrag in den Potsdamer Neuesten Nachrichten die Probleme mit der IT-Sicherheit in einen Zusammenhang mit dem Scheitern des Onlinezugangsgesetzes in Deutschland: Gemeinsame Ursachen seien die weit verteilte Verantwortlichkeit für die Digitalisierung und fehlende Mittel für den soliden Betrieb von IT-Strukturen. Es gebe auch Kontrollprobleme: Datenschutzbehörden hätten gegenüber Behörden nicht die gleichen Möglichkeiten, Standards durchzusetzen wie bei Unternehmen. Zusätzlich müsse kommunale IT endlich formell als Kritische Infrastruktur eingestuft und damit unter die konkretisierten Sicherheitsvorgaben der KRITIS-Verordnung des Bundes gestellt werden. Ohne Unterstützung durch das Land ginge es jedoch nicht, da die kommunalen Mittel finanziell und personell nicht ausreichten. Zwar habe sich die Krisenunterstützung des Landes bewährt, doch fehle es an Ansätzen, die Resilienz kommunaler Infrastrukturen vorbeugend zu verbessern. Dabei müsse auch über andere Betreiberstrukturen wie Zweckverbände nachgedacht werden, damit nicht jede Kommune das Rad selbst erfinden müsse. Hackerangriffe müssten zukünftig als Folge mangelnder Vorsorge, nicht als schicksalhafte Naturkatastrophe gesehen werden.^[64]

Schulen in Karlsruhe[Bearbeiten]

Am 13.02.2023 gab die Stadt Karlsruhe (Baden-Württemberg) bekannt, dass sieben Schulen durch einen Hacker-Angriff mit Ransomware getroffen wurden. Die Angreifer forderten von den Schulen einen Betrag von ca. 41.000 € in Bitcoins. Verschlüsselt wurden Systemdateien, ob auch Daten von Nutzer:innen betroffen waren war zunächst nicht bekannt. Vorsichtshalber nahm die Stadt die Server von 70 Schulen vom Netz (außer von berufsbildenden Schulen, die ein anderes System nutzen). Die Server sollten nach Überprüfung nach und nach wieder online gehen, das sollte einige Tage dauern.^[65]

Ist Open Source schuld?

Ein Artikel des Online-Bildungsmagazins "News4Teachers" behauptet, der von Datenschutzbehörden forcierte Einsatz von Open-Source-Software^[66] sei eine wesentliche Ursache für die erfolgreichen Hackerangriffe auf Bildungseinrichtungen. Tatsächlich hatte kurz zuvor der Datenschutzbeauftragte des Landes Baden-Württemberg Bildungseinrichtungen aufgefordert, das Cloud-basierte Microsoft-Office-Paket 365 sowie Teile davon (z.B. Microsoft Teams) nicht mehr zu verwenden, weil ein datenschutzkonformer Betrieb nicht möglich sei und daher Schadenersatzforderungen drohten. Für zahlreiche bei Prüfungen festgestellte Datenflüsse und Übermittlungen personenbezogener Daten gebe es keine Rechtsgrundlage.^[67] Das Lehrermagazin macht unter Berufung auf einen Artikel in den "Badischen Neuesten Nachrichten" eine lange bekannte Sicherheitslücke in der Open-Source-Software "Pädagogische Musterlösung für schulische Computernetze" (kurz PaedML) verantwortlich. Hierfür gab es jedoch Sicherheitsupdates - möglicherweise seien diese durch den Schulträger nicht eingespielt worden. Liegt also die Ursache - wenn die Kette von Vermutungen denn stimmt - bei der Open-Source-Software oder nicht eher in mangelhafter Wartung? Der Artikel beschränkt sich bei gründlicher Lektüre auf suggestive Formulierungen und Vermutungen. Auch zur Untermauerung der Behauptung, Microsoft-Lösungen seien sicherer, zitiert er lediglich die Firma Microsoft.^[68]

Rodgau[Bearbeiten]

Am 23.02.2023 wurde die Stadt Rodgau (Landkreis Offenbach, Hessen) mit Ransomware angegriffen, die über eine manipulierte Mail in das System gelangte. Betroffen waren auch die Stadtwerke. Sämtliche IT-Anlagen wurden heruntergefahren, Verwaltung und Stadtwerke waren nur noch über wenige Telefonnummern erreichbar. Allerdings funktionierten ausgelagerte Online-Services weiter, beispielsweise Meldebescheinigungen, Kita-Anmeldung und Hundesteuer; auch kritische Infrastrukturen seien nicht betroffen. Die Stadt bezeichnet den Angriff als höchst professionell. Polizei und Staatsanwaltschaft wurden eingeschaltet. Nach späteren Erkenntnissen wurde ungefähr ein Terabyte an Daten abgezogen. Ob eine Lösegeldforderung einging, teilte die Stadt nicht mit, sie erklärte aber, kein Lösegeld gezahlt zu haben. Sie ging mit anderen betroffenen Gemeinden in den Erfahrungsaustausch. Die Pressesprecherin kritisierte, dass es bislang keinen institutionalisierten Erfahrungsaustausch gebe, jede Kommune müsse das Rad neu erfinden. Dabei gehe es nicht nur um technische Notmaßnahmen, sondern auch um Fragen der Kommunikation. Die Stadt stellte eine FAQ zum Cyberangriff ins Netz. Die Kosten für den Wiederaufbau der IT-Systeme werden im siebenstelligen Bereich geschätzt.^[69]

Durch Recherchen von ARD-Reporter:innen, die von Report München veröffentlicht wurden, wurde bekannt, dass der Angriff vermutlich von der Hacker-Organisation "Black Basta" ausging, die in engem Kontakt zum russischen Geheimdienst stehen und von staatlichen Stellen Russlands unterstützt werden soll. Auch acht Monate nach dem Angriff funktioniert noch vieles in der Verwaltung Rodgaus nicht, so sind die früheren Mail-Adressen unter der domain rodgau.de noch nicht wieder freigeschaltet. Die befallenen Rechner werden weiterhin untersucht, die Mitarbeiter:innen arbeiten mit neu angeschafften Laptops. Alle Dienstleistungen sind wieder verfügbar, jedoch teilweise nicht digital (Stand Oktober 2023).^[70]

Rastatt[Bearbeiten]

Nur wenig später, am 07.03.2023 traf es Rastatt (Landkreis Rastatt, Baden-Württemberg). Ein Hackerangriff führte zum Herunterfahren aller ca. 800 Rechner der Verwaltung. Daten wurden jedoch nicht verschlüsselt, ein Bekennerschreiben oder Lösegeldforderungen gingen nicht ein. Dennoch wurde vermutet, dass Systeme manipuliert worden waren. Die Stadt richtete einen Krisenstab ein und holte sich Unterstützung von IT-Expert:innen. Um ein Minimum an Arbeitsfähigkeit wiederherzustellen, wurde ein neuer Laptop für das Bürgerbüro beschafft und mehr als 50 Büros mit Mobiltelefonen ausgestattet. 10 Tage nach dem Angriff wurde neu eingerichtete EMail-Adressen freigeschaltet. Nach weiteren vier Wochen konnten einige Dienste wie Pässe, Führerscheine und Bescheinigungen wieder in Betrieb genommen werden.^[71]

Üstra (Hannover)[Bearbeiten]

Die Üstra, Verkehrsbetrieb in der niedersächsischen Landeshauptstadt Hannover, wurde am 31.03.2023 Opfer eines Hackerangriffs. Es gab erhebliche Auswirkungen auf den Fahrkartenverkauf, so musste der Start des Deutschlandtickets um einen Monat verschoben werden (es kann natürlich bei der DB oder anderen Verkehrsbetrieben erworben werden), auch der Fahrkartenkauf in Geschäften war zeitweilig nicht möglich. Ein Neustart der Systeme am 14.04. misslang mit der Folge, dass auch die Fahrkartenautomaten ausfielen. Der Zugriff auf Daten und Backups war teilweise nicht möglich. Einer nach Presseinformationen vorliegende Lösegeldforderung wollte der Betrieb nicht nachkommen. Die Beseitigung des Schadens wird voraussichtlich noch Monate dauern und einen zweistelligen Millionenbetrag kosten.^[72]

Schriesheim[Bearbeiten]

Am 20.04.2023 traf ein Hackerangriff die Stadt Schriesheim (Rhein-Neckar-Kreis, Baden-Württemberg). Die Angreifer verschlüsselten den Server, wodurch der Verwaltungsbetrieb weitgehend ausfiel, und drohten, vertrauliche Daten ins Netz zu stellen. Eine konkrete Lösegeldforderung wurde nicht genannt, die Stadt sollte Kontakt zu den Erpressern herstellen. Nachdem sie dies nicht tat, tauchten tatsächlich Daten von mehreren hundert Bürger:innen im Darknet auf; die Stadt informierte die Betroffenen. Sie stimmte ihr Vorgehen mit der Kripo Mannheim und der Cybersicherheitsagentur Baden-Württemberg (CSBW) ab.^[73]

Kreis Ludwigsburg[Bearbeiten]

Im Kreis Ludwigsburg (Baden-Württemberg) wurde am 10.05.2023 ein vermuteter Cyberangriff entdeckt; das Landratsamt wurde für den Kundenverkehr geschlossen und die EDV-Systeme abgeschaltet. Der Ausfall betraf auch die Kfz-Zulassung, die Führerscheinstelle, die Ausländerbehörde und das Jobcenter; einige andere Dienste wie die Schuldner:innen-Beratung blieben jedoch arbeitsfähig. Am 21.05. waren die meisten Dienstleistungen wieder verfügbar. Es handelte sich offenbar nicht um einen gezielten Angriff, vielmehr hatte ein:e Mitarbeiter:in eine Mail mit infiziertem Anhang geöffnet.^[74]

Chemnitzer Verkehrsbetriebe[Bearbeiten]

Nach einem "unerlaubten Zugriff", der in der Nacht zum 13.05.2023 entdeckt wurde, sind die Internetseiten der Chemnitzer City-Bahn und der Chemnitzer Verkehrs-AG nicht mehr erreichbar. Das LKA nahm Ermittlungen auf, digitale Spuren wurden gesichert. Da der Verkehrsverbund Mittelsachsen weiterhin online präsent ist, können Fahrpläne und andere Informationen dort abgerufen werden. Eine Woche nach dem Angriff dauerten die Probleme noch an. Nach Presseberichten wurden auch Kundendaten (Mailadressen, Zugangspasswörter) entwendet.^[75]

Bad Langensalza[Bearbeiten]

Am 27.05.2023 bemerkten Mitarbeiter:innen der Stadtverwaltung von Bad Langensalza (Thüringen), dass sie nicht mehr auf ihre Systeme zugreifen konnten. Polizei und Landeskriminalamt wurden eingeschaltet. Vier Tage nach dem Beginn des Angriffs wurde eine provisorische Mailadresse eingerichtet und die Telefonanlage wieder in Betrieb genommen.^[76]

Stadtwerke Neumünster[Bearbeiten]

Am 24.09.2023 mussten die Stadtwerke Neumünster (SWN) nach einem Spionageangriff sämtliche Systeme herunterfahren. E-Mail-Kommunikation und Telefonanlage fielen aus, die Mitarbeiter:innen verloren den Zugang zu den Kundendaten komplett. Mit Bandansagen wurde Anrufenden die Lage erklärt. Dienstleistungen wie die Versorgung der Kunden mit Strom, Gas, Wärme und Internet liefen weiter, ebenso der öffentliche Nahverkehr und der Betrieb der Mechanisch-Biologischen Abfallbehandlungsanlage (MBA) und des Heizkraftwerks. Ein Recyclinghof wurde jedoch für Privatkunden zeitweilig geschlossen. Telekommunikationsstörungen konnten nicht wie gewohnt online analysiert werden, bei größeren Störungen suchten Techniker:innen vor Ort nach Abhilfe. Ob Kundendaten entwendet wurden war zunächst unklar. Das LKA übernahm die Ermittlungen. Nach einer Woche waren Anrufe wieder möglich. Runde vier Wochen nach dem Angriff waren die Stadtwerke allerdings noch damit beschäftigt, einzelne Systeme nach und nach wieder hochzufahren.^[77]

berlin.de[Bearbeiten]

Am 19.09.2023 waren nach einem Hackerangriff Teile der Webseite berlin.de nicht erreichbar, damit fielen auch einige Online-Dienste aus. Der Angriff, dem ein zweiter folgte, betraf allerdings nicht die internen Systeme der Bundeshauptstadt, Daten flossen nach ersten Feststellungen nicht ab.^[78]

Stadt Essen[Bearbeiten]

Am 28.09.2023 entdeckte ein Mitarbeiter der Stadt Essen (Nordrhein-Westfalen) einen Hackerangriff, den die Stadt nach eigenen Angaben erfolgreich abwehren konnte. Daten seien nicht abgeflossen. Die Verwaltungsmitarbeiter:innen änderten sämtliche Passworte, vier Tage später liefen alle Systeme wieder.^[79]

Dresden[Bearbeiten]

Eine DDos-Attacke legte die Webseite der Stadt Dresden (Sachsen)) am 12.10.2023 für einige Stunden lahm. Die Abwehrmaßnahmen waren erfolgreich, die Seite war noch am selben Tag wieder erreichbar. Da DDos-Attacken nur den Zugriff auf einen Server aus dem Internet blockieren, nicht aber Daten korrumpieren, gab es zunächst keine Folgeschäden. Allerdings führten die nach den Angriff erhöhten Sicherheitsmaßnahmen dazu, dass das Ratsinformationssystem der Stadt nicht mehr oder nur noch mit großer Verzögerung auf Anfragen reagierte. Dies erzwang am 17.11.2023 einen vorzeitigen Abbruch der Stadtratssitzung. Ein Software-Update soll das Problem im Dezember beheben.^[80]

Südwestfalen-IT[Bearbeiten]

Am 30.10.2023 stellte die Südwestfalen-IT - ein kommunaler Zweckverband, der IT-Leistungen für eine Vielzahl von Kommunen bereitstellt - einen Cyberangriff fest, der zum sofortigen Trennen aller Verbindungen ins Internet und zu den angeschlossenen Kommunen führte. Zunächst war von über 70, später gar von über 100 Kommunen die Rede, bei denen unterschiedliche IT-basierte Dienste ausgefallen waren. Besonders betroffen waren Kreise und kreisangehörige Kommunen im südlichen Westfalen, aber auch darüber hinaus. Teilweise waren viele kommunale Leistungen nicht mehr verfügbar, insbesondere solche, die mit Finanzvorgängen verbunden waren; als fatal erwies sich auch, dass vielerorts die Kfz-Zulassung betroffen war, so dass neue Fahrzeuge nicht mehr angemeldet werden konnten und Händler sie nicht mehr ausliefern und damit auch keine neuen beschaffen konnten. Teilweise leisteten benachbarte, nicht betroffene Kreise und Städte Amtshilfe.

• Siehe dazu ausführlich den Artikel Cyberangriff auf die Südwestfalen-IT 2023.

Stadt Neuss[Bearbeiten]

Die Telekommunikationssysteme der Stadt Neuss (Rhein-Kreis Neuss, Nordrhein-Westfalen) wurde am 10.11.2023 angegriffen. Lediglich einige Schulen waren zeitweilig nicht erreichbar, die Funktionsfähigkeit aller Einrichtungen konnte innerhalb weniger Stunden wiederhergestellt werden. Da die TK-Anlagen vom restlichen Behördennetz getrennt sind, konnten keine relevanten Daten erbeutet werden. Die Stadt erstattete Anzeige über das LKA.^[81]

Stadt Mössingen[Bearbeiten]

Die Stadt Mössingen (Landkreis Tübingen, Baden-Württemberg) registrierte am 17.11.2023 einen Cyberangriff, woraufhin die Verbindung der städtischen IT ins Internet sofort unterbrochen wurde. Ein Krisenstab wurde gebildet, das Polizeipräsidium Reutlingen, das Landeskriminalamt Baden-Württemberg, der IT-Dienstleister der Stadt, die Cybersicherheitsagentur Baden-Württemberg sowie die kommunale IT-Dienstleisterin Komm.ONE wurden eingeschaltet. Nur ein Notbetrieb war noch möglich. Online-Dienste und Mail-Kommunikation standen nicht zur Verfügung, die telefonische Erreichbarkeit war aber gegeben. Die Öffnungszeiten von Rathaus, Stadtwerken und Ortschaftsverwaltungen blieben am Tag des Angriffs unverändert, doch schlossen sie am 20.11. für einen Tag; die Stadtbücherei wurde sofort geschlossen. Nachbarkommunen sollten bei dringenden Anliegen aushelfen.

Die Untersuchungen ergaben, dass die IT-Struktur der Stadt vollständig neu aufgebaut werden muss. Etwa zwei Wochen nach dem Angriff wurden für einige priorisierte Dienstleistungen Behelfslösungen aufgebaut; dies betraf zunächst Aufgaben des Standesamts, des Einwohnermeldeamts und den laufenden Zahlungsverkehr^[82]

Rostocker Straßenbahn AG[Bearbeiten]

Um den 18.11. herum - das genaue Datum wurde zunächst nicht mitgeteilt - wurde die Rostocker Straßenbahn AG (Mecklenburg-Vorpommern) Opfer eines Cyber-Angriffs. Der Verkehrsbetrieb lief weiterhin planmäßig, doch waren die internen Verwaltungsverfahren gestört; der Fahrkartenkauf an den Automaten war nur noch mit Bargeld möglich. Elektronische Anzeigen an den Haltestellen fielen aus. Eine Lösegeldforderung lag zunächst nicht vor, doch ergaben die forensischen Untersuchungen dass vermutlich Daten von Kundinnen und Kunden, die ein Abo beim Verkehrsbund Warnow VVW haben, heruntergeladen wurden. Die Betroffenen sollen schnellstmöglich kontaktiert werden. Für die Wiederherstellung der IT-Systeme wurden mehrere Wochen veranschlagt. Gute fünf Wochen nach dem Angriff, am 23.12., waren die IT-Systeme des Verkehrsbetriebes noch nicht wieder nutzbar..^[83]

Zweckverband gemeindliche Datenverarbeitung im LK Neu-Ulm[Bearbeiten]

Der Zweckverband gemeindliche Datenverarbeitung im Landkreis Neu-Ulm (Bayern) war Ziel eines Angriffs am 22.11.2023. Ähnlich wie bei der Attacke auf die Südwestfalen-IT drei Wochen zuvor war ein kommunaler IT-Dienstleister betroffen, der allerdings deutlich weniger Gemeinden mit IT-Leistungen versorgt, so dass "nur" 12 Gemeinden betroffen waren: Altenstadt, Bellenberg, Buch, Holzheim, Kellmünz, Nersingen, Oberroth, Osterberg, Pfaffenhofen, Roggenburg, Unterroth und Horgau, alle im Landkreis Augsburg gelegen. Einwohnermeldebehörden konnten nicht mehr auf ihre Daten zugreifen, auch Ausweise konnten nicht ausgestellt werden. Für Überweisungen musste auf Papierformulare zurückgegriffen werden; auch das Friedhofswesen war betroffen. Ob auch andere Gebietskörperschaften, die beim Zweckverband angeschlossen sind (der Landkreis Augsburg, drei Verwaltungsgemeinschaften und vier Zweckverbände), betroffen waren, blieb zunächst unklar. Mathias Stölzle, Bürgermeister von Roggenburg und zugleich Vorsitzender des Zweckverbands, gab bekannt, dass eine Lösegeldforderung vorlag. Zunächst war nicht bekannt, wie lange die Wiederherstellung der Systeme dauern würde.^[84]

Landkreis Vorpommern-Rügen[Bearbeiten]

Am 27.11.2023 traf ein Cyberangriff den Landkreis Vorpommern-Rügen (Mecklenburg-Vorpommern). Die Mitarbeiter:innen der Verwaltung konnten weder digitale Anwendungen noch das Internet nutzen, Mailverkehr war ebenfalls nicht möglich. In Teilen der Verwaltung, insbesondere bei der Kfz-Zulassung, konnten keine Termine mehr vergeben werden. Die Auszahlung von Sozialleistungen war jedoch nicht gefährdet. Das Computer-Notfall-Team des Landes Mecklenburg-Vorpommern (CERT M-V) wurde hinzugezogen, zudem nahm der Landkreis Kontakt zu anderen, zuvor betroffenen Kommunen auf. "Wir sind im absoluten Notfall-Modus", sagte Landrat Stefan Kerth der Presse. Auch eine Woche nach dem Angriff war keiner der ausgefallenen Dienste wiederhergestellt.^[85] Ab dem 11.12.2023 gab es immerhin eine Notlösung für die Kfz-Zulassung: Durch Amtshilfe der Hansestadt Stralsund konnten Betroffene dort ihr Auto zulassen, bekamen jedoch ein Stralsunder HST-Kennzeichen.^[86]

Easypark-App[Bearbeiten]

Der Anbieter der Parkplatz-App Easypark stellte am 10.12.2023 eine Cyberattacke fest. Die Angreifer hatten Zugriff auf Kundendaten, beispielsweise EMail-Adressen (die z.B. für Phishing-Attacken verwendet werden können, weil die Hacker wissen, dass die Personen Kunden von Easypark sind) und auf Teile von Kreditkarten. Sensible Daten, so das Unternehmen, seien nicht abgeflossen. Zugriffe auf Standorte von Autos oder unberechtigte Parkvorgänge habe es nicht gegeben. Die zuständigen Behörden wurden informiert, der Angriff sei - so die Information 12 Tage danach - gestoppt worden.^[87]

2024: Weitere Zunahme[Bearbeiten]

Landkreis Kelheim[Bearbeiten]

Wohl am Abend des 31.01.2024 wurde das IT-Netz des Kreises Kelheim (Bayern) wegen eines vermuteten Cyberangriffs vom Internet getrennt; am darauffolgenden Vormittag wurde die Öffentlichkeit darüber informiert. Da nicht sofort Klarheit bestand, ob tatsächlich ein Angriff stattgefunden hatte, wurde die Polizei zunächst nicht eingeschaltet. Nicht nur die IT des Kreises, auch die aller kreisangehöriger Gemeinden war beeinträchtigt, da alle an ein gemeinsames Behördennetzwerk angeschlossen sind. Die interne Kommunikation lief weiter, jedoch waren Kfz-Zulassungen und Online-Anträge nicht mehr möglich, auch Mails und Telefonate fielen aus. Schon am Nachmittag des 01.02. ging das Behördennetz wieder in Betrieb. Am 06.02. waren alle Störungen beseitigt und auch das Landratsamt wieder telefonisch und per Mail erreichbar.^[88]

PSI Software SE[Bearbeiten]

Der Angriff auf die PSI Software SE, der am 15.02.2024 festgestellt wurde, gehört auf den ersten Blick nicht in diese Aufzählung - jedoch bietet die PSI Leitsysteme an, die auch von vielen kommunalen Einrichtungen und Unternehmen genutzt wird, beispielsweise von Verkehrsbetrieben und Energieversorgern. Doch auch große Industrieunternehmen, landesweit agierende Netzbetreiber, Flughäfen und Bahnunternehmen setzen Software dieser Firma ein, sie spielt also eine wichtige Rolle in der Kritischen Infrastruktur. Die firmeneigenen Systeme wurden vom Internet getrennt, auch die Verbindungen zu Kunden wurden gekappt; die Firma stand mit dem Bundesamt für Sicherheit in der Informationstechnik im Austausch.^[89] Am 19.02. gab das Unternehmen bekannt, es habe sich um eine Ransomware-Attacke gehandelt. Es gebe keine Anhaltspunkte dafür, dass PSI-Systeme bei Kunden kompromittiert wurden oder dass unberechtigte Zugriffe auf Remote-Zugänge bei Kunden bestanden hätten. Nach einer weiteren, ausführlichen Mitteilung vom 22.02. ließen sich die Spuren des Angriffs bis zum 09.02. zurückverfolgen; aktiv wurde die Schadsoftware am 14.02. Noch in der Nacht seien die Systeme sukzessive abgeschaltet worden. Für die forensische Untersuchung und den Wiederaufbau einer funktionierenden IT wurden externe, vom BSI empfohlene Fachleute hinzugezogen. Der Vorfall wurde an das BSI, die zuständige Landesdatenschutzbehörde sowie das LKA gemeldet. Am 27.03. waren Teile der Basisinfrastruktur wiederhergestellt und ein Interims-Mail-System eingerichtet. Die Untersuchung aller Laptops und sonstigen Rechner nahm mehr als einen Monat in Anspruch, bis ab Ende März eine neue Infrastruktur nach und nach in Betrieb genommen werden konnte.^[90]

Stadt Fürth[Bearbeiten]

Die Stadt Fürth (Bezirk Mittelfranken, Bayern) registrierte am 11.03.2024 einen DDoS-Angriff (siehe dazu den entsprechenden Abschnitt) auf ihre Webseite, der die Server zu überlasten drohte. "Die Attacke wird mit einer gewissen Ernsthaftigkeit durchgeführt", meldete die Stadt auf ihrer Facebook-Seite. Expert*innen versuchten, den Angriff abzuwehren. Die Fachanwendungen und die städtische IT waren nicht betroffen, auch die Kommunikation per Mail und Telefon war nicht gestört.^[91] Am Vormittag des 21.03. wurde erneut ein DDoS-Angriff registriert, für einige Stunden war die Webseite der Stadt nicht oder nur eingeschränkt erreichbar. Innerhalb kurzer Zeit wurde 1,43 Mio. Zugriffe auf die Seite gezählt. Am Nachmittag war der Angriff beendet und die Funktionsfähigkeit der Seite wiederhergestellt. Die Stadt hielt den zweimaligen Angriff in kurzer Zeit für Zufall; sie arbeitet an einer Verbesserung der Abwehr. Wie schon beim ersten Angriff wurde Strafanzeige gestellt, der aber keine großen Erfolgsaussichten zugesprochen werden.^[92] DDoS-Angriffe richten, wenn sie enden oder abgewehrt worden sind, zumeist keinen weiter andauernden Schaden an.

St. Elisabeth-Stiftung Bad Waldsee[Bearbeiten]

Ein Cyberangriff auf die St. Elisabeth-Stiftung in Bad Waldsee (Landkreis Ravensburg, Baden-Württemberg) wurde am 08.04.2024 bekannt. Die von Franziskanerinnen gegründete Stiftung betreibt u.a. Einrichtungen der Jugendhilfe Jugend- und Altenhilfe und bietet rund 100 Ausbildungsplätze an. Aufgrund der Sicherheitssysteme wurde der Angriff bemerkt und die stiftungseigene IT vom Internet getrennt. Die internen Prozesse einschließlich der internen Kommunikation funktionierten weiter. Nach ersten Erkenntnissen wurde weder ein Schaden noch ein Datendiebstahl festgestellt. Zusammen mit einem externen Dienstleister arbeitete die Stiftung daran, den Angriff zu analysieren und die Integrität ihrer Systeme wiederherzustellen.^[93]

Wege und Arten von Cyber-Angriffen[Bearbeiten]

Cyber-Attacken finden ihren Weg ins kommunale Netz manchmal über ungeschützte Zugänge von außen, meist über das Internet. Bekannte Schwachstellen der Software z.B. von Servern werden genutzt, um Verbindung aufzunehmen und Programme zu starten, die ihrerseits weitere Software nachladen, die die eigentlichen Schadfunktionen enthält. Ein komfortablerer Weg für die Angreifer führt aber oft über arglose Anwender*innen: Eine Mail, scheinbar aus der Einrichtung selbst oder von einer bekannten Stelle, fordert dazu auf, einen Anhang zu öffnen oder einen Link anzuklicken. Derartige Mails, die im Internet kursieren, sind oft schlecht gemacht und bauen darauf, dass unter Millionen von Empfänger*innen doch einige wenige unvorsichtig reagieren. Wird jedoch eine Einrichtung gezielt angegriffen, lohnt der Aufwand, sorgfältig einen glaubwürdigen Mail-Text zu verfassen und die Absenderadresse so zu manipulieren, dass die Empfänger*in glaubt, es handle sich um die Fortsetzung einer laufenden Korrespondenz.^[94]

Kommunen und kommunale Einrichtungen verfügen oft im IT-Bereich über wenig in Sicherheitsfragen qualifiziertes Personal und aktualisieren die eingesetzte Software nicht häufig genug. Das resultiert in einer größeren Verwundbarkeit. So fand die Fachzeitschrift c't im November 2021 bei einem Test 20 angreifbare Exchange-Server, darunter ein Theater, eine Volkshochschule sowie mehrere Stadtverwaltungen und Landkreise, bei denen eine bekannte Sicherheitslücke nicht geschlossen worden war, obwohl Updates seit April 2021 bereit standen.^[95]

Ransomware[Bearbeiten]

Eine besonders gefährliche Form der Cyber-Attacke, die deutlich zunimmt, ist die sog. Ransomware, oft auch als "Erpressungstrojaner" bezeichnet. Dabei handelt es sich um Schadprogramme, die Daten auf dem Computer verschlüsseln oder den Zugriff auf sie verhindern. Für die Freigabe oder Entschlüsselung wird ein Lösegeld verlangt; im Gegenzug soll der Schlüssel übermittelt werden. Ob dies geschieht, ist jedoch nicht sicher; da die Verursacher anonym agieren, können sie auch mit dem Lösegeld verschwinden, ohne die Schlüssel herauszugeben. Die Zahlung wird meist in Bitcoins verlangt, da hier der Empfänger anonym bleiben kann. Ransomware stellt heutzutage ein Geschäftsmodell dar: Diejenigen, die sie nutzen, haben sie meist nicht selbst programmiert, sondern die Software gekauft oder gemietet oder einen Cyberangriff als Dienstleistung beauftragt.^[96] Eine Analyse der Blockchain-Datenplattform Chainalysis für das Jahr 2021 zeigte, dass rund drei Viertel der mit Ransomware erbeuteten Gelder (ca. 350 Mio. € jährlich) bei Hackern aus Russland oder einem der daran angrenzenden Länder der Gemeinschaft Unabhängiger Staaten (GUS) landen. Die russischen Behörden unternehmen wenig gegen die kriminellen Banden und leugnen, dass ein Großteil der weltweiten Ransomware-Angriffe von russischem Boden ausgeht.^[97]

Auf die Rechner gelangt die Schadsoftware meist über Mails, die für die Empfänger*in harmlos aussehen und scheinbar von einer regelmäßigen Kontaktperson, einer Kolleg*in oder Vorgesetzten stammen. Damit der Angriff startet, muss in einer solchen Mail meist ein Anhang geöffnet oder ein Link angeklickt werden. Doch gelegentlich gelingt es auch, einen Fernwartungszugriff eines Servers zu "kapern" und auf diesem Wege Daten zu erbeuten oder eigene Software zu installieren.

Wird die Aktivität von Ransomware entdeckt, ist die beste Reaktion, die betroffenen Rechner unverzüglich abzuschalten (nicht erst herunterzufahren), um die laufende Datenverschlüsselung abzubrechen, und nach Beseitigung des Schädlings die Datenbestände zu rekonstruieren, möglichst aus einer frischen Sicherheitskopie; das bedeutet zunächst einen Totalausfall der betroffenen IT-Infrastruktur.^[98] Im März 2020 haben die Bundesvereinigung der kommunalen Spitzenverbände, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik gemeinsame Empfehlungen für Kommunen zum Umgang mit Ransomware herausgegeben (siehe dazu unten unter Weblinks). Sie empfehlen u.a., grundsätzlich kein Lösegeld zu zahlen - zumal niemand garantieren kann, dass im Gegenzug tatsächlich der Schlüssel übermittelt wird - und immer Anzeige zu erstatten. Unter den Innenminister*innen der Länder wird inzwischen diskutiert, Lösegeldzahlungen an Cybererpresser nicht mehr von Versicherungen erstatten zu lassen; nur wenn weniger Lösegeldforderungen erfolgreich sind, so Baden-Württembergs Innenminister Strobl, werde das Geschäftsmodell Ransomware an Attraktivität verlieren.^[99]

Auch wenn immer wieder Kommunen mit Ransomware zu kämpfen haben, so ist doch hauptsächlich die Privatwirtschaft betroffen. Nach einer weltweiten Erhebung des IT-Sicherheitsunternehmens Sophos "The State of Ransomware 2022" unter mittelständischen Unternehmen verzeichneten rund zwei Drittel im Jahr 2021 einen Ransomware-Angriff (2020: 46%); in 61% dieser Fälle wurden Daten verschlüsselt. Obwohl 71% der Firmen die Daten aus Sicherheitskopien wiederherstellen konnten, zahlten 42% die verlangte Lösegeldsumme - wohl um zu verhindern, dass erbeutete Daten weiterverkauft werden. Im Schnitt wurden 255.000 € gezahlt, eine Verdoppelung gegenüber dem Vorjahr; die Wiederherstellung der Daten kostete im Schnitt 1,6 Mio. € und dauerte rund einen Monat.^[100] Nach dem Ransomware Trends Report 2022 des Datensicherungsunternehmens Veeam zahlten gar 76% der Unternehmen; zwei Drittel konnten danach mit Hilfe der übersandten Schlüssel ihre Daten wiedererlangen, ein Drittel nicht.^[101]

Im Juni 2022 forderten mehr als 30 Sicherheitsexpert*innen und Informatiker*innen in einem offenen Brief gesetzliche Maßnahmen gegen Lösegeldzahlungen, in denen sie "ein geostrategisches Risiko" sehen. Die Zahlungen hätten zu einer Professionalisierung der kriminellen Szene geführt. Diese sei "technisch und methodisch oft um Größenordnungen besser aufgestellt [...] als die angegriffenen Unternehmen".^[102] Gewinne kämmen insbesondere Staaten zugute, die Deutschland eigentlich sanktioniert. So landeten 74 Prozent aller Ransomware-Lösegelder im Jahr 2021 bei Cybergangs in Russland. Lösegeldzahlungen könnten kurzfristig das Problem lösen, schafften aber langfristig höhere Gefahren. Statt das Geld den Verbrecherbanden zu geben solle es besser in wirksame Sicherheitsmaßnahmen investiert werden. In einem Maßnahmekatalog fordern die Autor*innen u. a. die Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Lösegeldzahlungen (§ 33 EStG), eine Meldepflicht für Ransomwareangriffe und Lösegeldzahlungen, ein Verbot von Versicherungen, die Lösegeld erstatten, sowie einen Hilfsfonds für betroffene Unternehmen. Nach Veröffentlichung wurde der Brief von weiteren über 60 Personen unterzeichnet.^[103]

Nach einer Analyse von Chainanalysis haben die weltweiten Lösegeldzahlungen nach Ransomware-Angriffen im Jahr 2023 die 1-Mrd.-$-Grenze überschritten. Es handelt sich damit um einen durchaus relevanten Wirtschaftszweig. Die angerichteten Schäden dürften weitaus höher liegen - schließlich wird Lösegeld u.a. gezahlt, um weit höhere Kosten zu vermeiden, in vielen Fällen wird die Lösegeldzahlung auch verweigert.^[104]

DDoS-Attacke[Bearbeiten]

Der "Distributed-Denial-of-Service" (DDoS)-Angriff stellt den Versuch dar, durch eine enorme Anzahl von Anfragen in kurzer Zeit einen Server an die Grenze seiner Leistungsfähigkeit zu bringen und damit außer Funktion zu setzen. Dafür greifen die Kriminellen üblicherweise auf ein sog. Botnetz zurück; das meint eine Vielzahl - viele tausend, manchmal noch mehr - Rechner, die teilweise vor langer Zeit unauffällig mit einer Schadsoftware infiziert wurden und seitdem auf die entsprechenden Kommandos warten. Botnetze werden von kriminellen Gruppen aufgebaut und meist vermietet. Die Besitzer*innen der beteiligten Rechner ahnen nicht, dass ihre Rechner befallen sind, und entsprechende Aktivitäten fallen selten auf, da die Software auf ihrem Rechner die meiste Zeit inaktiv ist und nur im Falle eines Angriffs für einige Minuten oder Stunden Daten ins Internet sendet. DDos-Attacken richten jedoch nur begrenzten Schaden an, da sie zwar zeitweilig die Erreichbarkeit eines Servers verhindern, jedoch keine Daten verändern; nach Abwehr des Angriffs kann daher der Betrieb in der Regel direkt wiederaufgenommen werden.

Brute Force[Bearbeiten]

Als "Brute Force"-Angriff (="Rohe Gewalt") wird der Versuch bezeichnet, durch ein simples (automatisches) Durchprobieren von Buchstaben-Ziffern-Kombinationen ein Passwort zu finden und so Zugang zu geschützten Daten zu erhalten. Brute-Force-Angriffe sind recht einfach abzuwehren, indem Passwörter gewählt werden, die keine in Wörterbüchern enthaltenen Wörter sind, möglichst zufällige Kombinationen von Buchstaben, Zahlen und Sonderzeichen darstellen und vor allem lang genug sind (mehr als 8, besser mehr als 10 Zeichen). Mit der Anzahl der Zeichen steigt der Zeitaufwand für das Finden des Passworts exponentiell. Da sie eine veraltete und oft nicht wirksame Angriffsmethode darstellen, dienen Brute-Force-Angriffe oft dazu, die Aufmerksamkeit zu binden, um einen anderen gleichzeitigen Angriff unbemerkt durchzuführen.

Datenklau[Bearbeiten]

Attacken, die längere Zeit unbemerkt bleiben können, weil sie das IT-System nicht lahmlegen - sogenannte advanced persistent threats (APT) -, zielen meist darauf ab, Daten zu erbeuten (Adressen, Passwörter, Bankverbindungen, Kreditkarten etc.). Die entsprechenden Schadprogramme - falls überhaupt Software installiert wird - agieren im Hintergrund und versuchen sich unsichtbar zu machen. Oft sind die Verursacher selbst nicht an den Daten interessiert, sondern verkaufen sie anonym im Internet. Die Daten können entweder direkt genutzt werden (z.B. um Geld zu transferieren) oder zur Erpressung dienen. Auch Spionage (manchmal politisch motiviert, häufiger Industriespionage) kann ein Motiv für das Absaugen von Daten sein. Hier ist das wahre Ausmaß auch deswegen unbekannt, weil angegriffene Firmen aus Furcht vor dem Ansehensverlust das Problem häufig im Stillen lösen und den Angriff nicht öffentlich machen.

Sabotage[Bearbeiten]

Zunehmend verfolgen Cyberattacken jedoch auch das Ziel, unmittelbar Schaden anzurichten. Sie können z.B. ein Mittel zur Austragung internationaler Konflikte zwischen Staaten sein. Da die Verursacher auch hierbei oft lange anonym bleiben, bleibt lange im Dunklen, wer wen aus welchem Motiv angegriffen hat. Immer wieder wird berichtet, dass Hackergruppen beispielsweise in Russland, in China oder im Iran agieren, teils mit staatlicher Rückendeckung, teils aber auch eigenständig aufgrund politischer Überzeugung, um westliche Staaten anzugreifen und zu schwächen. Gelegentlich zielen solche Angriffe auch auf politische Prozesse (beispielsweise die Manipulation von Wahlergebnissen durch gezieltes Lancieren von Falschmeldungen in sozialen Netzwerken). Das Ausmaß dieser Art von Bedrohung bleibt unbekannt, da auch die ermittelnden Behörden wie z.B. Geheimdienste nur selten etwas über ihre Erkenntnisse verlauten lassen.

Letzteres Szenario kann jedoch auch Kommunen betreffen, weil diese kritische Infrastrukturen betreiben. Angreifer könnten z.B. darauf abzielen, die Wasser- oder Stromversorgung lahmzulegen. Solche Strukturen müssen besonders geschützt werden; oft wird gefordert, sie überhaupt nicht mit dem Internet zu verbinden.^[105] Mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0, abgekürzt als SiG 2.0) und der BSI-KRITIS-Verordnung (BSI-KritisV) wurde Anfang 2022 der Kreis der Unternehmen, die zur kritischen Infrastruktur zählen, ausgeweitet und zugleich ihre Pflichten strenger formuliert.^[106]

Vereinzelt ist Sabotage auch ein Racheakt ehemaliger, z.B. entlassener Mitarbeiter*innen, die dazu ihre Insiderkenntnisse nutzen. Für gezielte Angriffe braucht es heutzutage nicht zwingend besondere IT-Kenntnisse; sie können auch als "Dienstleistung" z.B. im Darknet "gekauft" werden, stellen also für entsprechend spezialisierte Gruppen ein Geschäftsmodell dar.

"Freundliche" Hacker[Bearbeiten]

Gelegentlich verschaffen sich jedoch auch "freundliche" Hacker*innen Zugriff auf ein System, um Sicherheitslücken zu identifizieren und die Verantwortlichen darauf aufmerksam zu machen (auch als "white hacking" bezeichnet). Auch diese Hacker bleiben meist anonym, da sie sich - ungeachtet der positiven Beweggründe - schon durch den Zugriff auf geschützte Daten strafbar machen können.^[107] Der "Hackerparagraf" (§ 202c StGB) stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und den Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe. Er ist juristisch umstritten, weil zur Verbesserung der IT-Sicherheit oft dieselben Software-Tools gebraucht werden wie für böswillige Angriffe. Der Chaos Computer Club hält ihn daher für "ungeeignet, die IT-Sicherheitslage zu verbessern. Vielmehr stehe er diesem Ziel des Gesetzgebers sogar entgegen."^[108] Weiterhin sind sich die Gerichte uneins, ab wann Daten als "gegen den unberechtigten Zugang besonders gesichert" (§ 202a StGB) anzusehen sind; schließlich greifen "white hacker" auf Daten zu deren Absicherung nicht funktioniert bzw. unzureichend ist.^[109]

Nicht nur Hackerangriffe sind eine Gefahr[Bearbeiten]

Der Brand in zwei von vier Rechenzentren des französischen Cloud-Anbieters OHV in Straßburg in der Nacht zum 10.03.2021 zeigt, dass bei nicht ausreichender IT-Sicherheit auch ohne einen Hackerangriff ein erhebliches Risiko für kommunale Datenbestände entstehen kann. Durch das Feuer wurden große Datenmengen teils unwiederbringlich vernichtet, 3,6 Millionen Webseiten gingen zeitweilig vom Netz. OHV ist für günstige Cloud-Angebote bekannt. Die Kehrseite davon waren Einsparungen bei der Sicherheit. So kamen die günstigsten Tarife ganz ohne Sicherungskopie der Daten aus, bei anderen lagerten die Kopien in einem benachbarten, ebenfalls vom Brand betroffenen Rechenzentrum. Auch Sprinkleranlagen fehlten laut Presseberichten, so dass sich der Brand enorm ausbreiten konnte. Im Ergebnis waren auch die Webseiten vieler französischer Kommunen mindestens einige Tage lang nicht erreichbar, der französische Regierungsauftritt data.gouv.fr u.a. mit wichtigen Informationen zu Corona-Maßnahmen ging ebenfalls für ein paar Tage offline. Ein Anbieter von Internet-Spielen verlor ebenso unwiederbringlich wichtige Daten wie eine große Anwaltskanzlei.^[110]

Das Risiko steigt[Bearbeiten]

BSI-Lagebericht 2021: "Angespannt bis kritisch"[Bearbeiten]

Im Oktober 2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen jährlichen Lagebericht, in dem es die Situation als "angespannt bis kritisch" bezeichnet. In Teilbereichen herrsche bereits "Alarmstufe Rot". Im Vorjahr hatte die Gesamteinschätzung noch "angespannt" gelautet. Cyberkriminelle, so das BSI, agierten immer professioneller, Informationssicherheit müsse zur Grundlage aller Digitalisierungsprojekte werden. Beispielsweise würden gelegentlich noch während der Verhandlung über ein Lösegeld auch Reservesysteme angegriffen, die das Opfer verwendet, um seine Tätigkeit aufrechtzuerhalten, oder es würden parallel auch Partner*innen oder Kund*innen mit den erbeuteten Daten erpresst.^[111] Nur wenige Sicherheitslücken werden dem BSI gemeldet; ein Grund dafür könnte der "Hacker*innen-Paragraph" (§ 202c StGB) sein, durch den Personen, die eine Sicherheitslücke entdecken und melden, selbst ins Visier der Ermittlungen geraten können. IT-Sicherheitsexpert*innen fordern die Abschaffung dieses Paragraphen und die Herauslösung des BSI aus dem Bundesinnenministeriums, um seine Unabhängigkeit zu stärken.^[112] BSI-Präsident Arne Schönbohm hingegen beklagt, dass es noch nicht einmal eine Meldepflicht der Kommunen an das BSI bei IT-Sicherheitsvorfällen gibt, außerdem sind die Meldewege in den Bundesländern unterschiedlich: "Dem BSI liegen daher keine Informationen zur Gesamtheit der IT-Sicherheitsvorfälle in Kommunen vor."^[113] Im Übrigen bietet das BSI für Kommunen - im Unterschied zu Bundes- und Länderbehörden - keine individuelle Beratung an.^[114]

BKA: Bedrohungslage durch Cybercrime weiterhin sehr hoch[Bearbeiten]

In seinem im Mai 2022 veröffentlichten "Bundeslagebild Cybercrime 2021"^[115] bezeichnet das BKA die Bedrohungslage durch Cybercrime als weiterhin sehr hoch. Die Anzahl der erfassten Straftaten hatte 2021 mit 146.363 Delikten einen neuen Höchststand erreicht, bei einem überdurchschnittlich großen Dunkelfeld, da Straftaten sehr häufig nicht angezeigt werden. Von den behördlich bekannten Fällen konnten nur 29,3% aufgeklärt werden. Die wirtschaftlichen Schäden belaufen sich laut Bitkom e.V. auf 223,5 Mrd. Euro jährlich, eine Verdoppelung gegenüber 2019. Davon gehen 24,3 Mrd. € auf das Konto von Ransomware, fast eine Verfünffachung gegenüber 2019.

BSI-Lagebericht 2022: Bedrohung "so hoch wie nie"[Bearbeiten]

Laut BSI-Lagebericht 2022^[116] spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum sei jetzt so hoch wie nie. In der Mehrzahl der Fälle geht es dabei um Ransomware, meist stecken finanzielle Motive hinter den Angriffen. Zusätzliche Bedrohungen stehen aber auch im Zusammenhang mit dem Krieg Russlands gegen die Ukraine. Eine übergreifende Angriffskampagne gegen deutsche Ziele sei aber bislang nicht ersichtlich, im Unterschied zur Ukraine, wo die Lage teilweise "existenzbedrohend kritisch" sein. Auch die Betroffenheit von Kommunen nimmt zu: "Dass nicht nur umsatzstarke Unternehmen Ziel von Ransomware-Angriffen werden können, zeigen die Auswirkungen in mehreren betroffenen Kommunen, in denen die Verwaltungsprozesse teils über Monate massiv gestört waren – mit erheblichen Folgen für die Bürgerinnen und Bürger. Wie wichtig eine gezielte Stärkung der Cyber-Sicherheit auf kommunaler Ebene ist, zeigt auch das große Interesse an den vom BSI im Berichtszeitraum gezielt für Kommunen angebotenen Webinaren und der erstmals durchgeführten virtuellen „Roadshow Kommunen“."^[117]

BSI: Kommunen schlecht geschützt[Bearbeiten]

Auf der Potsdamer Konferenz für Nationale Cyber-Sicherheit im April 2023 stellte der Vizepräsident des BSI Schabhüser gegenüber der Presse fest, es sei "bedrohlich, dass die Kommunen besonders oft von Ransomware-Ausfällen betroffen sind". Der Bund sei vergleichsweise gut, die Kommunen weniger gut geschützt, obwohl Ausfälle der kommunalen Daseinsvorsorge viel kritischer seien.^[118]

Cybersicherheitsarchitektur zersplittert[Bearbeiten]

Die staatliche Cybersicherheitsarchitektur Deutschlands gilt als zersplittert, eine Vielzahl von Akteuren spielt dabei eine Rolle.^[119] Die Zusammenarbeit klappt dabei nicht immer, was nicht zuletzt an unterschiedlichen Interessen liegt.^[120]

Schäden zukünftig nicht mehr versicherbar?[Bearbeiten]

In einem Interview vom 26.12.2022 äußert der Vorstandsvorsitzende der Schweizer Versicherungsgesellschaft Zurich, Mario Greco, Zweifel daran, ob Schäden durch Cyberattacken zukünftig noch versicherbar sein werden. "Was nicht mehr versicherbar sein wird, ist der Cyberspace", sagte er im Gespräch mit der Financial Times. Hauptgrund ist, dass Angriffe auf Schlüsselbereiche oder Infrastruktur Folgeschäden weit in andere Unternehmen oder die gesamte Gesellschaft hinein verursachen können, vergleichbar mit Naturkatastrophen. Regierungen sollten "privat-öffentliche Systeme schaffen, um systemische Cyber-Risiken zu handhaben, die nicht quantifiziert werden können, ähnlich denen, die in einigen Ländern für Erdbeben oder Terroranschläge existieren". Er befürwortet auch gesetzliche Vorgaben zur Verhinderung von Lösegeldzahlungen bei Ransomware-Erpressungen: "Wenn man die Zahlung von Lösegeldern einschränkt, wird es weniger Anschläge geben." Ähnlich hatte sich zuvor schon der Rückversicherer Munich Re geäußert. Für Versicherungsgesellschaften haben sich Cyberangriffe zu einem Verlustgeschäft entwickelt; in Einzelfällen versuchen sie, Angriffe z.B. als (nicht versicherte) Kriegshandlungen einzustufen.^[121]

BSI-Lagebericht 2023: "angespannt bis kritisch"[Bearbeiten]

Im BSI-Lagebericht 2023^[122] wird die Bedrohungslage als angespannt bis kritisch gekennzeichnet. "Die Bedrohung im Cyberraum ist damit so hoch wie nie zuvor.". Besonders häufig würden - neben kleinen und mittleren Unternehmen - Kommunen und kommunale Einrichtungen angegriffen (durchschnittlich zwei Angriffe monatlich wurden bekannt). Das liegt auch daran, dass diese oft leicht angreifbar erscheinen - die Kriminellen suchen nach einem optimalen Verhältnis zwischen Aufwand und Ertrag. Die cyberkriminelle Schattenwirtschaft wurde ausgebaut, ihre Arbeitsteilung differenziert sich weiter. An erster Stelle bei den Angriffsmethoden steht weiterhin die Ransomware. Die Empfehlung des BSI an die Kommunen lautet:

"Das BSI empfiehlt, neben den verfügbaren Maßnahmen zur Abwehr von Ransomware-Angriffen das IT-Grundschutzprofil „Basis-Absicherung Kommunalverwaltung“ umzusetzen und dabei die Unterstützungsangebote des BSI zum leichteren Einstieg in die Informationssicherheit zu nutzen, wie zum Beispiel die neu erarbeiteten Checklisten zum „Weg in die Basis-Absicherung – WiBA“. Mit Hilfe der Checklisten ist eine erste Bestandsaufnahme der Informationssicherheit und die nahtlose Umsetzung des oben genannten Profils möglich. Langfristig sollte das Niveau der zertifizierungsfähigen Standard-Absicherung angestrebt werden.^[123]

Vorbeugung[Bearbeiten]

In den Netzen öffentlicher Stellen sind viele Vorbeugemaßnahmen gegen Cyber-Angriffe bereits verwirklicht; wenn nicht, sollten sie schnellstmöglich umgesetzt werden. Zu den Standards, die auch für private Nutzer*innen gelten, gehören

• Nur aktuelle Software verwenden, Updates regelmäßig einspielen
• einen aktuellen Virenscanner verwenden
• Regelmäßige Backups, die es im Fall eines Angriffs erlauben, den Rechner neu aufzusetzen und die Daten möglichst aktuell zurückzuspielen; Backup-Medien sollten möglichst getrennt von den IT-Anlagen aufgehoben werden, damit sie bei Brand oder Wasserschaden nicht mitbetroffen werden
• Bei Mobilgeräten nur die Installation von Software aus den offiziellen Quellen (z.B. Google Play Store, Apple Store) gestatten
• Bei Programmen wie Word oder Excel die Ausführung von Makros unterbinden
• Bei Mails unbekannter Herkunft vorsichtig sein, Anhänge nicht unbedacht öffnen, ggf. bei der (vermeintlichen) Absender*in nachfragen.

Zusätzliche Einfallstore für Schadsoftware können durch die vermehrte Nutzung von HomeOffice entstehen, da hier auch die heimischen Rechner der Beschäftigten gefährdet sind; dies erfordert zusätzliche Hinweise und Schulungen.^[124]

Sicherheitsmaßnahmen für Profis (IT-Administrator*innen) sind in der Fachwelt bekannt und werden hier nicht vertieft.

Was Kommunen tun können[Bearbeiten]

Kommunen wie auch kommunale Unternehmen müssen ebenso professionell agieren wie die potenziellen Angreifer. Unabdingbar ist, dass IT-Sicherheitsexpert*innen in den entsprechenden Abteilungen arbeiten und auch die notwendigen Ressourcen (Zeit, Geld ...) haben, um alle notwendigen Maßnahmen umzusetzen. Kleine Kommunen, die diese Infrastruktur selbst nicht darstellen können, schließen sich gelegentlich mit anderen zusammen, um eine gemeinsame Sicherheits-Infrastruktur aufzubauen,^[125] oder beauftragen ein kommunales Rechenzentrum. Zu den notwendigen Maßnahmen gehört auch die regelmäßige Sensibilisierung und Schulung der kommunalen Beschäftigten. Kommunen sollten in jedem Fall eine "Informationssicherheitsleitlinie" o.ä. haben.^[126] In einigen Bundesländern sind sie dazu auch gesetzlich verpflichtet; beispielsweise verlangt das Bayerische E-Government-Gesetz in § 11 ein Informationssicherheitskonzept auch von Kommunen. Ob eine Versicherung abgeschlossen wird, die zumindest Vermögensschäden abdeckt, muss diskutiert und entschieden werden.^[127]

Um für den Fall eines Angriffs vorbereitet zu sein, sollte jede Kommunen (ggf. als Teil des Informationssicherheitskonzepts) über einen Notfallplan verfügen. Dazu gehören z.B. vorab definierte Meldeketten sowie im Fall des Falles ein Krisenstab, der die Maßnahmen koordiniert. Der Notfallplan sollte auch darstellen, wie wichtige Verwaltungsfunktionen auch ohne IT-Systeme gewährleistet werden können.^[128] Auch das Durchspielen eines Angriffs in Form einer Übung kann helfen, die notwendigen Strukturen zu schaffen oder zu verbessern.^[129] Bei größeren Problemen kann es notwendig sein, Hilfe von spezialisierten Unternehmen oder Stellen des Landes oder des Bundes anzunehmen. Anzuraten ist immer auch eine Anzeige bei der Kriminalpolizei. Für Unternehmen oder Einrichtungen der "Kritischen Infrastruktur" existiert darüber hinaus eine Meldepflicht bei Sicherheitsvorfällen.

Nach Ansicht von Manuel Atug vom Chaos Computer Club gibt es viele Defizite in kommunalen IT-Systemen, die auch nicht über Nacht entstanden seien. Das sei ein langjähriger, fast schon jahrzehntelanger Prozess. Viele Kommunen würden mit alter Soft- und Hardware arbeiten, die seit Jahren nicht mehr aktualisiert worden seien. Neben einer Verbesserung der IT-Sicherheit sei auch eine offene Fehlerkultur wichtig, damit diese mit allen Mitarbeiterinnen und Mitarbeitern gemeinsam realisiert werden könne.^[130] Dass hier noch viel zu tun ist, zeigt auch die Untersuchung eines Stuttgarter Web-Entwicklers im Sommer und Herbst 2022. "Mit einfachsten Mitteln" fand er in der IT-Infrastruktur vieler Kommunen erhebliche Schwachstellen, in nicht wenigen Fällen konnte er problemlos auch auf personenbezogene Daten zugreifen, darunter "Personalausweise, Reisepässe, [...], Geburtsurkunden, Krankmeldungen". "Wenn irgendein IT-Dude mit den einfachsten Mitteln an solche Informationen und Daten kommt, schaffen organisierte Gruppen mit genug krimineller Energie das auch", wird er bei Golem zitiert.^[131] Ein großes Problem - auch für Kommunen - stellt der Mangel an verfügbaren Fachkräften dar.^[132] Auch deshalb bleibt fraglich, ob kleine Kommunen die notwendigen Sicherheitsmaßnahmen aus eigenen Kräften - personell und finanziell - stemmen können; meist dürfte es sinnvoll sein, einen entsprechend ausgestatteten Dienstleister in Anspruch zu nehmen. Wie hoch der Aufwand sein kann, zeigt das Unternehmen Dataport, IT-Dienstleister für Kommunen in Norddeutschland in der Rechtsform einer Anstalt öffentlichen Rechts: Dataport investiert nach eigenen Angaben zehn Prozent seines Umsatzes in die Sicherheit.^[133]

Leitlinie Informationssicherheit des IT-Planungsrates[Bearbeiten]

Auf Bundesebene hat der IT-Planungsrat zuletzt 2019 die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung 2018 (pdf-Format, 16 Seiten) sowie den dazugehörigen Umsetzungsplan beschlossen. Dieser gilt für kommunale Behörden, sofern diese ebenenübergreifende IT-Verfahren einsetzen, als Empfehlung. Die dort beschriebenen Maßnahmen und Umsetzungsschritte sollten als Mindeststandard verstanden werden.

Grundschutz-Kompendium des BSI[Bearbeiten]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit seinem IT-Grundschutz-Kompendium (mit Link zum Download im pdf-Format) ein Werk zur Verfügung, das auch als Leitfaden für Kommunen geeignet ist. Das Kompendium wird regelmäßig an den Stand der Technik angepasst, eine neue Ausgabe erscheint jährlich im Februar.

WiBA[Bearbeiten]

Für Kommunen hat die Arbeitsgruppe Kommunale Basis-Absicherung (AG KoBA) des BSI das IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ entwickelt. Auch dieses ist für kleinere Kommunen aber unter Umständen noch zu komplex.

Seit 2023 hat das BSI daher unter dem Namen "Weg in die Basis-Absicherung" (WiBA) ein Konzept entwickelt, mit dem auch kleine und ressourcenschwache Kommunen einen leichten Einstieg in die IT-Sicherheit finden sollen. Für dessen Umsetzung sind keine Methoden-Kenntnisse nötig, Prioritäten sind klar gekennzeichnet und die Kommunen können es an ihre Bedürfnisse anpassen. Die Checklisten des Programms decken fundamentale Sicherheitsanforderungen für insgesamt 19 relevante Bereiche der Informationssicherheit ab. Dazu gehört die technische Seite mit Checklisten zu Serversystemen, Bürosoftware, mobilen Endgeräte oder zu Backups, aber auch die organisatorische, rund um IT-Administration, Arbeit außerhalb von Institutionen – beispielsweise im Home-Office –, Personalfragen oder die Vorbereitung auf IT-Sicherheitsvorfälle.

Ebenfalls vom BSI wurde das Handbuch "Management von Cyber-Risiken" veröffentlicht, das zwar auf Unternehmen zielt, für kommunale Verwaltungen jedoch ebenfalls nützlich ist.

Haftung bei fehlendem oder nicht ausreichendem Informationssicherheits-Management-System[Bearbeiten]

Für Einrichtungen vor allem der kritischen Infrastrukturen kann sich nach einem Cyberangriff auch die Frage nach einer Haftung für Schäden bei Dritten stellen; dabei dürfte entscheidend sein, ob die Einrichtung über ein angemessenes Informationssicherheits-Management-System (ISMS) verfügte. Siehe dazu: Rechtsanwalt Marios Klotz, Wer haftet nach einem Cyberangriff?, in: KOMMUNAL, 06.08.2020

Branchenkompass: IT-Sicherheit wichtigste Herausforderung[Bearbeiten]

Der "Branchenkompass Public Sector 2022" von Sopra Steria und dem F.A.Z.-Institut, eine Befragung unter 105 Personen aus der öffentlichen Verwaltung, ergab u.a., dass 97% der Befragten die IT-Sicherheit als wichtige Herausforderung der kommenden Jahre bezeichnen - noch vor der Digitalisierung der Verwaltungsprozesse (93%). Nur 6% der Befragten schätzen die Resilienz ihrer Verwaltung als sehr groß ein, 99% wollen weitere Resilienzmaßnahmen einführen.^[134]

Programme der Bundesländer[Bearbeiten]

Baden-Württemberg[Bearbeiten]

Das Land Baden-Württemberg hat angesichts der zunehmenden Angriffe auf öffentliche Stellen eine Cybersicherheitsstrategie entwickelt, die am 21.12.2021 von der Landesregierung verabschiedet wurde. Neben Maßnahmen in den öffentlichen Körperschaften (Land und Kommunen) setzt die Strategie auch auf die Vernetzung der Akteure und eine Stärkung der Gefahrenabwehr- und Strafverfolgungsbehörden. Eine zentrale Rolle soll die Anfang 2021 gegründete Cybersicherheitsagentur Baden-Württemberg (CSBW) spielen. Eigene Kapitel widmen sich der Privatwirtschaft und den kritischen Infrastrukturen sowie der Entwicklung digitaler Kompetenzen durch Verankerung dieser Ziele in der Bildung; hinzu kommen Awareness und Verbraucherschutz sowie eine Fachkräftestrategie.

Weblinks[Bearbeiten]

• Die Cybersicherheitsstrategie Baden-Württemberg - Perspektive 2026 (Dezember 2021, pdf-Format, 48 Seiten)
• Cybersicherheitsagentur Baden-Württemberg (CSBW)
• Siehe auch: Innenministerium Baden-Württemberg: Ministerrat beschließt umfassende Cybersicherheitsstrategie, Pressemitteilung vom 21.12.2021
• Siehe zur Cybersicherheitsagentur Baden-Württemberg (CSBW): it-daily.net, Der tägliche Kampf gegen Hacker – auch in Kommunen, 27.02.2023

Bayern[Bearbeiten]

Der Freistaat Bayern hat im März 2022, anknüpfend an die bereits erwähnte Informationssicherheits-Leitlinie, eine Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften (ISMS-Förderrichtlinie – ISMSR, Az. E5-1681-7-10) erlassen. Über die Richtlinie wird der Aufbau eines Informationssicherheits-Managementsystems (ISMS) gefördert; sie richtet sich vor allem an kleine und mittelgroße kommunale Gebietskörperschaften.

Weiterhin besitzt Bayern als einziges Bundesland ein Landesamt für Sicherheit in der Informationstechnik (LSI), das laufend die Netze angeschlossener Behörden auf mögliche Angriffe untersucht und ein umfassendes Beratungsangebot auch für Kommunen unterhält. Auf der Seite "Kommunen" des Web-Auftritts können viele Informationen zu IT-Sicherheitsfragen direkt abgerufen werden.^[135]

Hessen[Bearbeiten]

Hessen berät seit 2016 die Kommunen in Fragen von Cybersicherheit, bis 2022 wurden etwa 1.000 Beratungen durchgeführt. Ein weiteres Unterstützungangebot ist das Kommunale Dienstleistungszentrum Cybersicherheit (KDLZ-CS), das - ebenfalls seit 2016 - auf Anfrage eine Ist-Analyse zur Cybersicherheit in der Kommune erstellt und auf dieser Grundlage einen konkreten Maßnahmenplan entwickelt. 328 der 443 hessischen Kommunen haben dies nach Angaben des Landes bis Mitte 2022 genutzt, 60 Kommunen und 15 Landkreise daraufhin "fortgeschrittene Maßnahmen" durchgeführt. Im Mai 2022 kam ein Schulungsprogramm hinzu; bis Ende des Jahres sollen 65 Veranstaltungen stattfinden. Durchgeführt werden sie vom neu gegründeten Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K).^[136]

Mecklenburg-Vorpommern[Bearbeiten]

Am 31.03.2022 führte der Innenausschuss des Landtags Mecklenburg-Vorpommern eine Anhörung zum Thema durch; Anlass war ein Antrag der FDP-Fraktion zu Maßnahmen gegen Cyber-Kriminalität.^[137] Im Anschluss daran forderte die innenpolitische Sprecherin der Fraktion Bündnis 90/Die Grünen, Constanze Oehlrich, eine IT-Sicherheitsstrategie des Landes. In den Kommunen lägen hochsensible Daten wie Fingerabdrücke und biometrische Fotos für Personalausweise, was sie zu Angriffszielen für Hacker mache.^[138]

Niedersachsen[Bearbeiten]

Die niedersächsische Landesregierung stellte 2022 1 Mio. € bereit, die Kommunen nutzen können, um eine Cybersicherheitsanalyse zu erstellen. Dazu arbeitet die Landesregierung mit der Fa. Bechtle GmbH zusammen. Die Sicherheitsanalyse soll nach anerkannten Standards erfolgen und in klare Handlungsempfehlungen münden. Zugleich erhält sie Landesregierung - anonymisiert - Hinweise auf Defizite in Kommunen, um passgenaue Unterstützungsangebote entwickeln zu können.^[139] Mit den Mitteln für 2022 konnten 90 Kommunen eine Analyse erstellen lassen. Wegen des großen Zuspruchs hat die Landesregierung das Programm verlängert und für das Jahr 2023 mit 1,2 Mio. € ausgestattet, um weiteren 100 Kommunen die Teilnahme zu ermöglichen.^[140]

Nordrhein-Westfalen[Bearbeiten]

Um allen Kommunen die IT-Sicherheitshinweise zugänglich zu machen, die das Land erhält, hat das Land Nordrhein-Westfalen einen "Kommunalen Warn- und Informationsdienst (KWID)" eingerichtet. Das Land kooperiert dazu mit den kommunalen Spitzenverbänden und dem Dachverband der kommunalen IT-Dienstleister (KDN).^[141]

Beim Landesbetrieb IT.NRW wurde ein Computer Emergency Response Team (CERT NRW) eingerichtet, wie es sie ähnlich auch in anderen Ländern sowie auf Bundes- wie EU-Ebene gibt. Dieses Team soll Cyber-Bedrohungen erkennen und abwehren, Schwachstellen aufdecken und abstellen sowie durch Wissensvermittlung vorbeugen. Angekündigt wurde, dass dort eine "schnelle Eingreiftruppe" gebildet wird, die bei Cyberangriffen kurzfristig vor Ort helfen kann.^[142]

Rheinland-Pfalz[Bearbeiten]

Seit Herbst 2022 stellt der Verfassungsschutz Rheinland-Pfalz unter dem Namen "Cyberschutz Rheinland-Pfalz" ein Informations- und Beratungsangebot für Unternehmen, insbesondere auch kommunale Unternehmen bereit. Das Angebot ist kostenlos.^[143]

Fußnoten[Bearbeiten]

Weblinks[Bearbeiten]

• Deutscher Städtetag: Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen, 2. aktualisierte Auflage, 16.03.2017 (mit Link zum Download im pdf-Format, 37 Seiten)
• Bundesamt für Sicherheit in der Informationstechnik: Hinweise für kritische Infrastrukturen und weitere meldepflichtige Unternehmen
• Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und Bundesamt für Sicherheit in der Informationstechnik: Projekt KRITIS - Schutz Kritischer Infrastrukturen
• Der Neue Kämmerer: Wie Kommunen sich gegen Cyberattacken schützen können, 22.01.2020
• Das IT-Sicherheitscluster e.V. hat mit ISIS12/CISIS12 ein Managementsystem zur IT-Sicherheit entwickelt, das häufig von Kommunen genutzt wird.

Hinweise zu Prävention und Umgang mit akuten Krisen[Bearbeiten]

• Heise online: FAQ: Grundlagenwissen zu Cyberangriffen und wie sich Risiken verringern lassen (03.03.2023)
• c't-Magazin: c't-Security-Checklisten 2022: Schutz für alle (Fälle), übersichtliche Hinweise für Privatpersonen und Unternehmen zu mobiler Arbeit, Windows, Smartphones u.a.
• Radio Bremen: So viele Cyberattacken in Bremen passieren und das sind die Ziele, 25.09.2022 (Fragen und Antworten zur Cybersicherheit, überwiegend nicht Bremen-spezifisch)
• BR24: Kritische Infrastrukturen: Deutschlands offene Flanke, 16.10.2022
• David Fuhr: Kommentar: Chaos und Resilienz bei Kritischen Infrastrukturen, in: heise, 02.07.2022
• heise: IT-Security-Anfängerfehler gefährden Stromver- und Abwasserentsorgung, 21.06.2022
• Falk Herrmann: Cyberkriminalität bedroht kritische Infrastrukturen, in: #stadtvonmorgen, 14.06.2022
• KOMMUNAL: Die Lehren aus den Hacker-Angriffen, 25.03.2022
• KOMMUNAL: So übersteht die Verwaltung einen Hackerangriff, 14.03.2022
• Matthias Gärtner (Bundesamt für Sicherheit in der Informationstechnik): Cyberkriminelle nehmen Kommunen ins Visier, in: Der Neue Kämmerer, 03.12.2021
• Ministerium des Inneren, für Digitalisierung und Kommunen Baden-Württemberg: 5 praktische Tipps gegen Hackerangriffe (17.12.2021)
• Varinia Iber: Kommunen als leichte Beute für Cyberkriminelle, in: KOMMUNAL, 21.07.2021
• Der Neue Kämmerer: Wie Kommunen sich gegen Cyberattacken schützen können, 22.01.2021
• Kommune21: Cyber-Angriffe: Wie Kommunen sich schützen, Interview mit Kriminaloberkommissar Andreas Arbogast vom Cybercrime Präventionsteam des LKA Nordrhein-Westfalen und Stefan Cink, E-Mail-Sicherheitsexperte beim Unternehmen Net at Work, 13.08.2020
• mdr, Wie sich Unternehmen, Kommunen und Privatpersonen gegen Cyberangriffe schützen sollten, 05.08.2021
• KOMMUNAL: So schützen sich Behörden vor Cyber-Kriminellen, 15.05.2020
• Heilbronner Stimme: So schützen sich Kommunen in der Region vor Cyberkriminalität, 28.02.2020
• KOMMUNAL: Cyberangriffe auf Kommunen und Mitarbeiter, Interview mit Mathias Oberndörfer (KPMG), 22.03.2019

Links zum kommunalen Umgang mit Ransomware[Bearbeiten]

• Empfehlungen der Bundesvereinigung der kommunalen Spitzenverbände, des Bundeskriminalamtes und des Bundesamtes für Sicherheit in der Informationstechnik: Umgang mit Lösegeldforderungen bei Angriffen mit Verschlüsselungstrojanern auf Kommunalverwaltungen (03.03.2020, pdf-Format, 1 Seite mit weiteren Links)
• Siehe dazu auch die Pressemitteilung: Kein Lösegeld zahlen, jede Erpressung anzeigen, 03.03.2020, sowie die Pressemeldungen: heise online: Erpressungstrojaner: Deutsche Kommunen sollen kein Lösegeld zahlen, 04.03.2020; Kommune21: Kommunen zahlen kein Lösegeld, 05.03.2020; eGovernment Computing: Tipps für Kommunen zum Umgang mit Erpressungstrojanern, 05.03.2020
• wikipedia: Ransomware
• Einen "holistischen (ganzheitlichen) 10-Punkte-Plan für Prävention in Sachen Ransomware" bietet die Firma Rohde & Schwarz zum Download an (die damit natürlich kommerzielle Interessen verfolgt, Download gegen Registrierung und Zustimmung zu weiteren Werbezusendungen). Siehe Rohde & Schwarz, Cybersicherheit: Ransomware im Jahr 2021

Siehe auch[Bearbeiten]

Weitere Informationsquellen[Bearbeiten]

• Arbeitsgemeinschaft Kritische Infrastrukturen
• Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2021, September 2021 (pdf-Format, 100 Seiten); siehe dazu auch BSI, IT-Sicherheitslage bleibt angespannt bis kritisch, September 2021
• wikipedia: Cyberattacke
• Podcast MDR Investigativ: Hackingangriffe auf Kommunen: Wie sicher ist die kritische Infrastruktur?, 12.05.2022 (Audio, ca. 32 min.)
• Ausführlich zu Ransomware und den dahinterstehenden Strukturen: heise, Cybercrime und staatliche Hacker: Neue Tools und Techniken, 15.11.2022
• Cybersecurity: So funktioniert Sicherheit im Internet: Lernort-Mint.de
• Artikel: Cyberangriffe auf Krankenhäuser
• Artikel: Virtual Private Network

Presseberichte und Interviews[Bearbeiten]

• Deutschlandfunk: Hackerangriffe. Warum Städte und Kommunen leichte Opfer sind, Audio (19 min.),14.03.2023
• Manuel Atug (bei heise): Erste Hilfe im Cybersecurity-Notfall: Ehrenamtliche wollen KRITIS unterstützen, 17.11.2022
• #stadtvonmorgen: Cybersicherheit als Compliancethema, Interview mit Nicolas Sonder, Jurist, Partner bei PwC Legal, 22.09.2022
• MDR, Erpressung online - Cyberangriffe auf Kommunen, Beitrag aus MDR Exakt, 13.04.2022 (Video, 10 min.)
• Informationskampagne für kommunale Bedienstete: Kommune21: Virtuelle Roadshow Kommunen startet, 06.05.2022
• Cyberangriffe und Abwehrmaßnahmen in Rheinland-Pfalz: SWR, Angst vor Hacker-Angriffen: Kreise im Norden von RLP wollen sich absichern, 20.04.2022; Kommunen wappnen sich gegen Hacker-Angriffe, 26.04.2022; Kommunen in der Westpfalz schützen sich vor Hacker-Angriffen, 01.05.2022
• eGovernment Computing: Log4Shell: Kommunen müssen sich gegen Angriffe wappnen, 03.02.2022
• Deutschlandfunk: Wie sich Kommunen gegen Cyberattacken schützen können, 12.01.2022
• Kommune21: IT-Sicherheit: Kehrseite der Digitalisierung, 10.01.2022
• NDR MV Podcast: Nichts geht mehr - wenn Cyberangriffe Verwaltungen lahm legen (11.11.2021, Artikel sowie Audio, ca. 38 min.)
• ntv, Deutschland hält Hackern die Türen auf, 26.10.2021
• Deutschlandfunk – Der Tag: Hackerangriffe – Wer schützt die Kommunen?, Gespräch mit Manuel Atug, Experte für Cybersicherheit, Gründungsmitglied von AG Kritis (22.10.2021, Audio-Beitrag, ca. 16 min.)
• KOMMUNAL: So schützen Kommunen kritische Infrastrukturen, 15.05.2020
• Ulrich Greveler: Kritische Infrastrukturen im kommunalen Bereich: Hacker-Angriff auf die Smart City?, in: Alternative Kommunalpolitik 5/2017, S. 36 f. (mit Link zum Download, pdf-Format, 2 Seiten)
• Ulrich Greveler: Kritische Infrastrukturen im kommunalen Bereich: Daseinsvorsorge im Visier der Hacker?, in: Alternative Kommunalpolitik 2/2019, S. 22 f. (mit Link zum Download, pdf-Format, 2 Seiten)
• mdr Aktuell, Landsberg: Gegen Hackerangriffe gibt es keine Sicherheit von 100 Prozent (Interview mit dem Hauptgeschäftsführer des Deutschen Städte- und Gemeindebundes, 13.07.2021, Audio, 5 min.)
• DEMO: Wie IT-Sicherheitslücken Kommunen lahmlegen können, 02.02.2021