Mithilfe einer Schadsoftware ist es Unbekannten gelungen, sich in die Computer der Behörden zu hacken und sämtliche Daten zu verschlüsseln. Der Katastrophenfall wird ausgerufen, die Computer heruntergefahren, um weiteren Schaden zu verhindern. Für die Rückgabe der Daten fordern die Täter ein Lösegeld. Was wie der Plot eines Science-Fiction-Films klingt, trägt sich jenseits der Kinoleinwand immer häufiger zu – auch in Deutschland.
2019 wurden etwa die Verwaltungen in Frankfurt am Main und Neustadt am Rübenberge sowie das Berliner Kammergericht Ziel von Hackerangriffen. Im April diesen Jahres ermittelte die Kripo in Kammertal im Landkreis Günzburg. Kriminelle hatten die Computer des Rathauses infiziert und versuchten die Gemeinde zu erpressen. Im Juli traf es schließlich den Landkreis Anhalt-Bitterfeld. Bei dem Vorfall wurden sämtliche Daten der Kreisverwaltung infiziert und verschlüsselt; die Täter forderten ein Lösegeld. Zum ersten Mal wurde im Zusammenhang mit einem Hackeragriff der Katastrophenfall ausgerufen. Im Oktober traf es schließlich Verwaltungen in Mecklenburg-Vorpommern und Witten.
Die Folgen: Die Verwaltungen wurden tage-, manche sogar wochenlang lahmgelegt, Aufträge konnten nur noch eingeschränkt bearbeitet werden. In Anhalt-Bitterfeld arbeiten Experten auch drei Monate nach dem Vorfall noch daran, die Technik wiederherzustellen.
Die Beispiele zeigen: Die Bedrohung durch Cyberangriffe in Deutschland wächst. Das belegt unter anderem der aktuelle Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Galt die Lage vor einem Jahr noch als "angespannt", so beschreibt die Behörde aus Bonn die jetzige Situation als "angespannt bis kritisch". In Teilbereichen herrsche schon "Alarmstufe Rot", sagt BSI-Präsident Arne Schönbohm. Betroffen sind nicht nur große Wirtschaftunternehmen.
Keine Meldepflicht, keine Daten
Tatsächlich "vergeht kaum ein Tag, an dem öffentliche Verwaltungen nicht von Cyberkriminellen angegriffen werden", teilte ein Sprecher des Innenministeriums in Baden-Württemberg mit. Täglich würden Tausende schädlicher E-Mails abgefangen – zumindest in Baden-Württemberg. In Brandenburg wollte man sich "aufgrund bestehender Sicherheitsinteressen weder zur Zahl möglicher Cyberangriffe, noch zu getroffenen Sicherheitsmaßnahmen äußern", wie ein Sprecher des Innenministeriums mitteilte.
Für Cyberkriminelle sind staatliche und öffentliche Einrichtungen vor allem wegen ihrer Leistungen für die Bürger interessant. Fallen Kommunalverwaltungen aus, wächst der öffentliche Druck. "Angreifer vermuten deshalb, schnell Lösegeld erpressen zu können. Kommunen verwalten außerdem viele vertrauliche Daten, für die mancher viel Geld bezahlt", heißt es aus Baden-Württemberg.
Gleichzeitig sei das Medieninteresse bei Hackerangriffen größer. "Wirtschaftunternehmen haben kein Interesse daran, dass Angriffe auf sie publik werden – die Verwaltung hat hier aber in der Regel eine Pflicht zur Transparenz", sagt Professorin Anna Schulze, von der Hochschule des Bundes für öffentliche Verwaltung. Bemerkbar macht sich das kaum. Offizielle Zahlen über Cyberangriffe auf Kommunalverwaltungen und Behörden fehlen.
Zuletzt hatten sich "Zeit Online" und der Bayerische Rundfunk an einer Bestandsaufnahme versucht. Laut ihrer Untersuchung sollen in den letzten sechs Jahren über 100 Kommunen, Behörden und weitere staatliche Stellen von Hackerangriffen betroffen gewesen sein. Eine Meldepflicht von Cyberattacken auf Kommunalverwaltungen und Behörden besteht aber nicht – weder auf Bundes- noch auf Länderebene.
Weil die Kommunalverwaltungen Teil der Länder sind, erhebt der Bund auch keine Daten zum Schutzniveau der Einrichtungen, heißt es aus dem BMI. "Es ist aber davon auszugehen, dass dieses sehr heterogen ist", schreibt das BSI auf Anfrage. Wie manche Bundesländer auf Anfrage mitteilen, organisieren die Kommunalverwaltungen ihre IT-Sicherheit selbstständig. Damit dürfte weder staatlichen noch den Behörden auf Landesebene ein klarer Überblick über die Absicherung der Einrichtungen fehlen.
Vermutlich keine gezielte Angriffswelle
Dramatisch scheint dieser Misstand aus Sicht des BMI aber nicht. Immerhin sind Kommunalverwaltungen juristisch gesehen kein Teil der kritischen Infrastruktur zu der etwa Wasserwerke, Krankenhäuser und die Lebensmittelindisurie zählen. Für das Funktionieren des Staates sind Kommunalverwalungen aber unerlässlich – und müssten aus Expertensicht auch als Teil der kritischen Infrastruktur gewertet werden.
Den Ermittlern zufolge handelt es sich bei den Attacken um Angriffe mit der Ransomware. Sie wird unter anderem per Mail verschickt und sorgt dafür, dass die Daten auf den betroffenen Servern nicht mehr zugänglich sind. Sowohl BMI als auch Experten des BSI verzeichnen derzeit einen Anstieg solcher Ransomware-Attacken. Allerdings gehen sie nicht davon aus, dass es sich um eine gesteuerte Angriffswelle auf Kommunalverwaltungen handelt.
Auf seiner Webseite hat das BSI Empfehlungen zur IT-Sicherheit der Kommunen herausgegeben. Mit Back-ups können verschlüsselte Daten wieder hergestellt werden. Vorbeugend könnten die Behörden zudem auf eine Netzwerksegementierung setzen. "Dabei werden IT-Netzwerke in kleinere Bereiche unterteilt. Ist ein Teil kompromittiert, können andere geschützt werden", erklärt ein Sprecher der Behörde. Und auch ein Notfallmanagement könne helfen.
Derweil ist man in Anhalt-Bitterfeld noch mit der Aufarbeitung des Hackerangriffs beschäftigt. Medienberichten zufolge mussten rund 1000 Arbeitsplatzrechner gelöscht und anschließend neu konfiguriert werden. Erst am Jahresende könnten alle Systeme wieder vollkommen hergestellt sein. Die Kosten belaufen sich bereits jetzt auf einen sechsstelligen Betrag. Auch in Mecklenburg-Vorpommern und in Witten wird der Schaden derzeit noch behoben.
