Die Schäden der massiven Cyberattacke auf den Landkreis Anhalt-Bitterfeld im Juli dieses Jahres sind noch nicht behoben, da versetzen neue Hackerangriffe auf große Kommunalverwaltungen die deutschen Sicherheitsbehörden in Alarmstimmung. Im Abstand weniger Stunden haben Cyberkriminelle Ende vergangener Woche zunächst den Kommunalservice Mecklenburg attackiert, den IT-Dienstleister der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim. In der Nacht zum Sonntag musste dann die Ruhrgebietsstadt Witten große Teile der IT-Systeme der Verwaltung nach einem Hackerangriff notfallmäßig abschalten.
„Aktuell prüfen wir, ob zwischen beiden Angriffen ein Zusammenhang besteht“, heißt es aus Kreisen deutscher Ermittlungsbehörden. In beiden Fällen handele es sich um Angriffe mit Schadsoftware. Laut Wittens Bürgermeister Lars König (CDU) gehe der Angriff zurück auf eine sehr „professionelle Gruppe, die uns attackiert hat“ und nicht auf eine „Schülergruppe, die in der Corona-Zeit nicht ausgelastet war“.
Dennoch scheint bisher unsicher, ob es sich dabei um gezielte Attacken gehandelt habe, heißt es in Expertenkreisen, oder ob die Stadtverwaltungen „nur“ Opfer einer unspezifischen, aber breit gestreuten Malware-Kampagne geworden seien. Dabei schicken Hacker zumeist E-Mails mit Erpressungs- oder Spionageprogrammen im Anhang oder Links auf Webseiten, die mit Schadprogrammen verseucht sind. Wer diese arglos öffnet oder anklickt, aktiviert unbewusst die digitalen Schädlinge.
Auf diese Weise dürfte auch im Sommer die IT in Anhalt-Bitterfeld mit dem Erpressungsprogramm infiziert worden sein, so Experten, die im sachsen-anhaltinischen Landkreis tätig waren. Die Folgen waren so schwerwiegend, dass die Technik noch immer nicht wieder vollständig hergestellt ist. Fast einen Monat lang mussten Fachleute der Bundeswehr im Zuge einer bislang einzigartigen Cyberamtshilfe die Kreisverwaltung bei der Aufarbeitung der Schäden unterstützen.
Hoher sechsstelliger Schaden
Unter anderem mussten rund 1000 Arbeitsplatzrechner nach der Attacke komplett gelöscht und von Grund auf neu konfiguriert werden. Bis alle Systeme wieder hergestellt seien, werde es wohl noch bis Jahresende dauern, heißt es aus der Verwaltung. Die Kosten für die Wiederherstellung der Technik liegen schon jetzt im hohen sechsstelligen Bereich.
Wie teuer die Attacken vom Wochenende für die Städte Schwerin und Witten am Ende werden, ist noch völlig offen. Gegenwärtig geht es in beiden Fällen noch immer um die Klärung des tatsächlichen Schadens, so ein Experte aus der IT-Sicherheitsszene. „Wie aufwendig später die Reparatur wird, hängt auch davon ab, ob es ausreichend Backups gibt – allem voran von den für die Verwaltungsprozesse wichtigen Datenbanken.“
Da aber sieht es in vielen deutschen Behörden mau aus: „Prinzipiell gehören Netzwerke von Kommunen und öffentlichen Einrichtungen nicht zu den am besten geschützten Bereichen“, sagt etwa Rüdiger Trost, Experte für Cyberabwehr beim IT-Sicherheitsdienstleister F-Secure. Tendenziell herrschten bei Kommunen größere Vorbehalte gegenüber der Nutzung von Cloud-Diensten, betont Trost. „Wenn man selbst die Kontrolle behalten will, trägt man aber auch alleine die Verantwortung für die IT-Sicherheit. Das vernachlässigen viele der Entscheider.“
Neue Rolle des BSI noch unklar
Da beruhigt es kaum, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus der aktuellen „Häufung der Fälle noch keine Tendenz ableiten will, dass Kommunen gegenwärtig gezielt attackiert werden“, heißt es aus der Bonner Behörde. Das Amt soll gemäß der im September diesen Jahres verabschiedeten Cybersicherheitsstrategie 2021 künftig auch als nationales IT-Lagezentrum für Cyber-Sicherheit für Bund und Länder fungieren.
Was genau sich hinter dieser Aufgabe verbirgt, ist allerdings noch offen. „Die Rolle des BSI muss zunächst noch definiert und gesetzlich ausgestaltet werden“, sagt ein Sprecher des Bundesinnenministeriums. Und das sei Aufgabe der künftigen Bundesregierung in der neuen Legislaturperiode. Schon jetzt aber könne das BSI Kommunalverwaltungen in Fragen der Cybersicherheit beraten und auch in Einzelfällen bei der Bewältigung von Vorfällen helfen.
Tatsächlich verfolgen die Experten der Bonner Behörde die Entwicklung in Schwerin und Witten derzeit intensiv. Auch beim Angriff auf Anhalt-Bitterfeld hatten Fachleute des BSI zudem bei der Bewertung und ersten Eindämmung der Schäden unterstützt. Nicht auszuschließen, dass ein solcher Eileinsatz nun erneut erforderlich wird.
Potenziell lebensgefährliche Folgen
Umso mehr, als Hackerattacken auf Städte und Gemeinden in ihren Folgen für die Allgemeinheit in der Regel viel weitreichender sind als Angriffe auf einzelne Wirtschaftsunternehmen. Würden privatwirtschaftliche Unternehmen attackiert, könne das zwar durchaus den Bestand der Firmen gefährden, sagt ein Experte einer auf IT-Sicherheit spezialisierten Unternehmensberatung. „Dafür sind bei Angriffen auf Kommunalbehörden oft viel mehr Menschen betroffen.“ Zudem könnten die Auswirkungen auf die Bevölkerung durchaus existenziell werden. „Wenn es Hackern gelingt, wie im Frühjahr 2021 bei einem Wasserwerk in Florida, den Chemikalieneinsatz bei der Trinkwasseraufbereitung zu manipulieren, drohen womöglich lebensbedrohliche Folgen“, so der Fachmann. Wegen bestehender Beratungsaufträge zu Behörden will er anonym bleiben.
Was Hackerangriffen auf Städte, Kreise und Gemeinden hierzulande zusätzlich Brisanz verleiht: Zwar fungiert das BSI als nationales IT-Lagezentrum. Doch eine umfassende Meldepflicht, etwa für IT-Sicherheitsvorfälle in Behörden existiert nicht. „Die Kommunalverwaltung in Deutschland ist Teil der Länder. Der Bund hat hier keine Zuständigkeit und erhebt insoweit auch keine Daten zum Schutzniveau von Kommunalverwaltungen“, erklärt dazu ein Sprecher des Bundesinnenministeriums. Und so haben auch die Bonner Experten zwangsläufig ein bestenfalls verschwommenes Bild der Lage.
„Keiner weiß hierzulande, wie es um deren IT-Sicherheit im Detail bestellt ist“, sagt ein Cyberexperte einer deutschen Ermittlungsbehörde. Tatsächlich gebe es weder eine flächendeckende Übersicht über das bestehende Sicherheitsniveau, noch bundesweit einheitliche Vorgaben für Backups oder Mindestauflagen für die Absicherung behördlicher Netzwerke. „Die technischen Vorgaben der Länder für sind so unterschiedlich, wie die Unterstützungsangebote der IT-Sicherheitsbehörden in den Ländern für ihre Kommunen“, so der Experte. „Dabei sind die Kommunen faktisch ‚kritische Infrastrukturen‘ für das Funktionieren unseres Staates.“
Blinder Fleck: Behörde
Juristisch betrachtet allerdings sind sie das nicht. Das IT-Sicherheitsgesetz des Bundes hat zwar unter anderem Stromversorger, Telekommunikations- und Verkehrsunternehmen, Logistiker und Lebensmittelproduzenten ab einer Mindestgröße als „Betreiber kritischer Infrastrukturen“ definiert und ihnen neben Vorgaben zur IT-Sicherheit auch eine Meldepflicht bei Hackerattacken auferlegt. Staatliche Stellen aber lässt das Gesetz bislang außen vor.
Das sei, moniert der Cyberberater, nicht bloß hoch riskant, es sei teilweise auch völlig inkonsequent: „Dass ein städtisches Unternehmen wie die Berliner Verkehrsbetriebe mit jährlich mehr als einer Milliarde Fahrgästen eine kritische Infrastruktur ist, bestreitet heute keiner mehr“, so der Fachmann. „Dass aber die Stadtverwaltung von Berlin selbst keinerlei Vorgaben oder Meldepflichten bei Hackerangriffen unterliegt, das kannst Du doch keinem erklären.“
Mehr zum Thema: Der schwere Cyberangriff auf das US-Unternehmen Kaseya zwingt IT-Verantwortliche in Unternehmen zum Umbau ihrer Schutzkonzepte. Das Modell „sichere Burg“ hat ausgedient. Künftig regieren die Paranoiker.
