"Ich saß am Frühstückstisch. Es war kurz nach sieben. Der Geschäftsführer unseres IT-Unternehmens ruft an mit einem Tonfall, den ich sonst von ihm so nicht kenne, und er sagt: "Es spricht ganz viel dafür, dass wir ein Hackerproblem haben.“

So erinnert sich der Hauptamtsleiter der Schweriner Stadtverwaltung Hartmut Wollenteit an den Beginn des 15. Oktobers 2021. Freitag – ein Arbeitstag. Eigentlich.

„Wir haben deshalb alle unsere Systeme heruntergefahren. So circa 4000, sodass das wirklich schon ein gravierender, großer Vorfall ist.“

Denn gehackt wurde ein kommunaler IT-Dienstleister, der für die Stadt Schwerin zuständig ist, aber auch für einen benachbarten großen Landkreis, für mehrere Gemeinden und für einige kommunale Unternehmen. Nirgends ist mehr ein Arbeits-PC am Netz.

Auch von den Dienstlaptops zu Hause aus wird wochen-, ja monatelang kein Zugriff auf die dienstlichen E-Mails und elektronischen Akten möglich sein. Sozialamt, Baubehörde, Gesundheitsamt, Jugendhilfe, die Kfz-Zulassungsstelle – alles lahmgelegt.

Amtschef Wollenteit sucht Rat bei den Kollegen im Landratsamt Anhalt-Bitterfeld in Sachsen-Anhalt. Die sind einige Monate zuvor Opfer eines schweren Cyberangriffes geworden und haben sich davon immer noch nicht vollständig erholt.

"Eine zentrale Botschaft, die absolut richtig ist, war: ´Priorisiert eure Bedürfnisse und seid damit streng und lasst im Übrigen die IT-Leute in Ruhe! Die haben genug damit zu tun, neue Netze aufzubauen und sichere Umgebungen zu schaffen.`

Das haben wir versucht zu beherzigen. Unsere erste und größte Sorge war, wie wir sicherstellen können, dass diejenigen, die auf unsere Leistungen unmittelbar angewiesen sind, die Möglichkeit bekommen, die Leistung zu beziehen."

Immerhin: Bei den Schweriner Stadtwerken ist „nur“ die Verwaltung betroffen. Die Versorgung mit Strom, Wasser und Gas ist nicht in Gefahr, die wird über ein getrenntes Netz gesteuert. Wie die sofort eingeschaltete Kriminalpolizei herausfindet, konnten Hacker eine Schadsoftware namens "Deep Blue Magic" auf die Server des IT-Dienstleisters schleusen.

Die verschlüsselte alle dort hinterlegten Daten. Per Brief fordern die Hacker die Stadt- und Landkreisverwaltungen zur Kontaktaufnahme auf, wenn sie die unlesbar gemachten Daten zurückhaben wollten.

Eine mittlerweile gängige Erpressermethode von Wirtschaftskriminellen, sagt Jörg Bruhn vom Landeskriminalamt Mecklenburg-Vorpommern. Er leitet dort das „Digitale Service- und Kompetenzzentrum“, zu dem auch das Dezernat Cyberkriminalität gehört.

Über Ermittlungsdetails sagt er nichts, wohl aber zum allgemein üblichen Vorgehen bei Angriffen mit sogenannter Ransomware – das ist eine Verschlüsselungssoftware, die mithilfe von manipulierten E-Mails, Websites oder Servern in die IT-Systeme geschleust wird.

"Und dann ist es regelmäßig so, dass diese Schadsoftware alle Daten verschlüsselt, und das nicht nur auf den lokalen Rechnern, sondern bei allen Systemen im Netzwerk. Die Täter versuchen dann, Lösegeld zu erpressen für die Freigabe der Daten. Zusätzlich können wir in den letzten Jahren verstärkt feststellen, dass man ein weiteres Drohszenario aufbaut, indem man damit droht, die verschlüsselten Daten, die man vorher auch noch abgezogen hat, zu veröffentlichen und damit noch einmal mehr die Zahlungswilligkeit zu erhöhen."  

Bei den rasant steigenden Fällen von Hackerangriffen gebe es zwei Varianten, sagt Jörg Bruhn: Einige attackieren bereits gezielt bestimmte Behörden oder Unternehmen, um Lösegeld zu erpressen. Andere greifen breiter an, attackieren wahllos Datenzentren und Server, schauen, wo sie einen Treffer gelandet haben und passen dann ihre Lösegeldforderungen an. Nach oben. Oder nach unten – wie bei einem kürzlich angegriffenen Krankenhaus.

"Da war es dann so, dass man Kontakt aufgenommen hat mit den Tätern, sozusagen verdeutlicht hat ´Wir sind ein Krankenhaus! `, und dann haben die Täter das Opfer wieder freigegeben, was deutlich dafür spricht, dass es eben kein zielgerichteter Angriff war, sondern dass man allgemein guckt: ´Was für Lücken gibt es und was kann ich dann tun?`"

Glück im Unglück für den gehackten IT-Dienstleister der Stadt Schwerin und des Landkreises Ludwigslust-Parchim: Es wurden keine Daten gestohlen und es gab auch keine Lösegeldforderungen. Anders erging es einem Hamburger Entsorgungsunternehmen, das in ganz Norddeutschland 35 Standorte unterhält. Dessen IT-System wurde im Januar lahmgelegt – verbunden mit einer hohen Lösegeldforderung.

Das passt zu einer im Januar veröffentlichten Erhebung des Versicherungskonzerns Allianz. Dessen Industriesparte befragt seit vielen Jahren weltweit Unternehmen zu Geschäftsrisiken. Für das Allianz Barometer 2021 antworteten 2650 Unternehmen. Ergebnis: Erstmalig betrachten die meisten Cyberangriffe als Top-1-Gefahr für ihre Geschäfte. Erst dann folgen Lieferkettenunterbrechungen, Naturkatastrophen und die COVID-19-Pandemie. Neben Investitionen in die Netzwerksicherheit empfiehlt Jörg Bruhn vom Landeskriminalamt allen sich vorher zu überlegen, was im Fall eines Hackerangriffes zu tun wäre.

"Notfallkonzepte sind so ein großes Thema, dass wir für die aktuellen Schadensfälle sehen: Wer wird wann informiert? Wer sagt: `Wir ziehen die Sachen vom Internet ab, wir beziehen die Polizei ein?` Anzeigenerstattung und solche Sachen. Wann ziehe ich einen IT-Dienstleister hinzu? Und dass ich natürlich auch mal erproben muss: Habe ich ein Back-up? Wie spiele ich dieses Back-up zurück und wie lange benötige ich, um es einzuspielen?

Derweil laufen in Schwerin und im Nachbarlandkreis vier Monate nach dem digitalen Komplettausfall fast alle Verwaltungscomputer wieder wie gewohnt. Doch wer einmal erlebt hat, wie ein erfolgreicher Angriff auf eine digitalisierte Infrastruktur auf einen Schlag alles für Wochen, ja Monate lahmlegt, denkt womöglich über die gute alte Papierakte als analoge Reservekopie nach. Das bestätigen die IT-Koordinatorin, Esther Hansen, und der Chef der Stadtverwaltung, Hartmut Wollenteit. 

"Das ist auch nicht mehr zeitgemäß. Wir haben uns wieder analoges Arbeiten angewöhnt. Aber die Mitarbeiter, die jetzt wieder mit der digitalen Akte arbeiten können, sind so glücklich, dass sie jetzt wieder technisch arbeiten können."

"Klar ist für uns aber auch: Wir wollen das Digitalisierungsthema vorantreiben. Die Effekte liegen auf der Hand. Deswegen gibt´s da kein Zurück."