Da hinten stapelte sich ein Turm von Pizzaschachteln, zwei Kaffeemaschinen. Wir haben ja in der Anfangszeit 16 Stunden täglich, das Wochenende durch, haben wir hier wirklich am Erfassen und Wiederaufbau gearbeitet.
Cyberkriminalität
Mit einer Phishingattacke können die Täter ins System gelangen: Dann bereiten sie die Erpressung einer Behörde oder eines Unternehmens in aller Ruhe vor. © Getty Images / iStockphoto / MicroStockHub
"Uns hat es erwischt!"
29:44 Minuten
Von Leon Ginzel · 19.06.2022
Rund 600 Millionen US-Dollar haben kriminelle Hacker 2021 weltweit erpresst. Für die verbrecherische Dienstleistungsindustrie sind deutsche Unternehmen und Kommunen besonders begehrte Ziele.
Der lang gezogene Bürokomplex am Köthener Stadtrand wirkt in seiner bürokratischen Nüchternheit wie der unschuldige Gegenentwurf zu den schmutzigen Methoden der Cyberkriminellen. Blassgelbe Fassade, drei Geschosse, rotbraunes Dach.
Gummibärchen im War-Room
Sabine Griebsch und Oliver Rumpf sind zwei Schlüsselfiguren im Kampf gegen die Cyberattacke im Landkreis Anhalt-Bitterfeld. Sie koordinierte als Chief Digital Officer die Schritte der Taskforce, er arbeitete als IT-Leiter daran, das Netz so schnell wie möglich wiederaufzubauen.
„So und jetzt sind wir im Raum der technischen Einsatzleitung, der sogenannte War-Room und hier hat sich alles abgespielt, im Endeffekt war hier permanent Geräuschkulisse, weil die Leute haben natürlich die ganze Zeit miteinander gesprochen und hier war der stetige Austausch“, erklärt Sabine Griebsch.
Sabine Griebsch koordinierte als Chief Digital Officer die Krisenlage im Landkreis Anhalt-Bitterfeld.© Leon Ginzel
„Hier vorn war jede Menge Verkabelung, Netzwerk-Switche standen hier. Dann diverse Laptops, Drucker, jede Menge Süßigkeiten, Gummibärchen, Toffifee, alles Mögliche. Man muss ja überleben“, erzählt Oliver Rumpf.
Ihr Chef, Landrat Andy Grabner, erzählt: „Das, was noch funktioniert hat, war die Telefonanlage, dahingehend, dass wir noch Anrufe empfangen konnten und Anrufe entgegennehmen konnten. Das war‘s. Sonst ging gar nichts.“
Hackerangriff zum Amtsantritt
Grabner erwischte der Ransomware-Angriff direkt zum Amtsantritt. Zusammen mit Griebsch und Rumpf sitzt er am u-förmigen Konferenztisch, im ehemaligen War-Room. Grauer Anzug, hellblaues Hemd, weinrote Krawatte. An die Tage im Juli 2021 kann er sich noch gut erinnern.
„Weil mein Amtsvorgänger dann sagte: ‚Wir haben hier irgendein Problem mit dem IT-Netz und es könnte ein Virus sein, aber wir wissen es noch nicht so genau.‘ Da habe ich gedacht: ‚Ja, klar, dann ist es morgen, übermorgen vorbei und die Arbeit geht ganz normal weiter“, erzählt er.
Ich denke spätestens am nächsten Tag, als die IT versucht hatte, die Systeme mehrmals hochzufahren und sich immer wieder Daten verschlüsselt haben, von dem Moment ging es einem doch schon etwas anders.
Spätestens als eine Lösegeldforderung in Bitcoins auftaucht, ist klar: Das Ganze ist eine Ransomware-Attacke. „Die war gut verpackt mit einem Link ins Darknet. Dort wurde uns unmissverständlich klargemacht: Entweder ihr zahlt oder ihr seht zu, auf gut Deutsch, wie ihr an eure Daten kommt“, erzählt er. Was hat er da gedacht? „Scheiße, uns hat es erwischt!“
Der Landrat ruft den Katastrophenfall aus
Reingekommen sind die Hacker wohl über eine Phishingattacke. Vermutlich konnten sich sie sich lange unentdeckt im System bewegen, Daten kopieren und den Landkreis so doppelt erpressen. Grabner und seinen Kolleginnen und Kollegen wird klar: Es braucht drastische Schritte, um die Situation einzufangen.
„Weil wir zu dem Zeitpunkt nicht wussten, wie lange ist das System ‚out of order‘? Da geht es um Sozialhilfe, um BAföG, um Elterngeld“, erklärt der Landrat. „Es könnten auch Existenzen betroffen sein, dass die Leute nicht wissen: Mensch, wie komm ich von heute auf morgen, wenn ich kein Geld zur Verfügung gestellt bekomme. Deswegen auch die Entscheidung den Katastrophenfall auszurufen, um andere Entscheidungsmöglichkeiten zu haben, schnellere Zugriffe beziehungsweise auch stärkere Hilfen von außerhalb zu bekommen.“
Ein bisher einmaliger Schritt im Zusammenhang mit einem Cyberangriff in Deutschland. Ein Krisenstab wird gebildet, mit Beamten vom Landeskriminalamt, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und Spezialisten der Hochschule Harz.
„Ein Bereich, der sehr stark betroffen war, war die Zulassungsstelle. Es konnte kein einziges Fahrzeug zugelassen oder abgemeldet werden. Also es war schon an den Anfangstagen und Wochen relativ großes Chaos“, sagt Andy Grabner.
Kein Rettungsplan für Virenbefall
Das Geld für Sozialhilfe, BAföG und Co. wird teilweise händisch mit klassischen Überweisungsformularen überwiesen. Eine Prioritätenliste entsteht, welcher Dienst am schnellsten wieder funktionieren muss. Parallel wird im War-Room mit Hochdruck an einer Lösung gearbeitet.
IT-Leiter Oliver Rumpf erzählt: „Je mehr Experten kamen, umso mehr Ängste haben wir natürlich auch geschürt gekriegt: Seid ihr denn sicher, dass eure Back-ups sauber sind? Ihr habt das ja vielleicht schon mitgesichert. Das war dann wirklich der Punkt, an dem wir sagen mussten: Okay an der Stelle müssen wir Stopp machen. Wir nehmen unsere Back-ups nicht so.“
Im Server- und Back-up-Raum, ein paar Gänge vom War-Room entfernt, steht die Technik damals still. Mehrere offene Stahlschränke mit blinkenden Lampen stehen hier dicht an dicht. Blaue, gelbe und pinke Netzwerkkabel quellen aus den Servermodulen und haben sich miteinander verknäult. Im Hintergrund rauschen die Kühlgeräte und die Klimaanlage. Eine Vorlage, einen großen Rettungsplan, gibt es nicht.
Oliver Rumpf steht im Serverraum: Er arbeitete als IT-Leiter daran, das Netz so schnell wie möglich wieder aufzubauen.© Leon Ginzel
„Das, was richtig wäre“, meint Oliver Rumpf, „wäre Schublade auf, Notfallhandbuch rausnehmen, aufschlagen, Virenbefall alles klar – das muss ich jetzt tun. Das existiert nicht, das existierte zu dem Zeitpunkt einfach nicht.“
Vertrauen in Digitalisierung geht verloren
Stattdessen wird mit Unterstützung von Expertinnen und Experten möglichst schnell versucht, wieder arbeitsfähig zu werden. Die Datenbestände werden mehrfach geprüft, um auszuschließen, dass sie nicht befallen sind. Parallel werden ein Notnetz aufgebaut und neue Mailserver angemietet, um wieder kommunizieren zu können. Nach zwei Wochen steht die Notlösung.
Aber: Die einzelnen Anwendungen, zum Beispiel Autos anmelden zu können, müssen erst Stück für Stück wieder aufgesetzt werden. Tausende Vorgänge stapeln sich an. All das abzuarbeiten, dauert. Der Ärger bei den Bürgerinnen und Bürgern wächst.
Landrat Andy Grabner erinnert sich.
Wie man das heutzutage kennt, lief viel über soziale Medien. Da wurden dann schon mal sehr lustige oder bösartige Kommentare verfasst, nach dem Motto: ‚Na gucke mal, öffentliche Verwaltung! Sind zu nichts in der Lage.‘ Das war noch sehr milde und human ausgedrückt. Aber gut, das war nun mal so.
Klar, waren dann auch Verschwörungstheorien im Gange: ‚Das war doch gar kein Hackerangriff.‘ Was dann alles so publiziert worden ist, worüber man sich ausgetauscht hat, das war dann teilweise schlimm anzusehen.
Es ist jetzt Frühjahr 2022 – und noch immer sind nicht alle Dienste am Netz. Warum dauert das so lange?
„Das ist einfach ein System, das über 20 Jahre zu so einer Komplexität angewachsen ist, die einfach dafür sorgte, dass ein Stellvertreter Jahre auch braucht, um sich da einzuarbeiten. Neue Mitarbeiter können da einfach gar nicht so schnell wirken“, erklärt Sabine Griebsch.
Sie hat als Chief Digital Officer die Krisenlage koordiniert. Auf ihrem silbernen Macbook am lang gezogenen Konferenztisch im War-Room klebt neben dem Wappen vom Landkreis Anhalt-Bitterfeld mit Bär und Löwe ein roter „Cyber“-Sticker. Griebsch hatte den Überblick, plante wichtige Schalten und sorgte dafür, dass die Fäden richtig zusammenliefen. Sie befürchtet länger anhaltende Konsequenzen.
Es ist natürlich dieser Vertrauensverlust in die Digitalisierung. Einmal betrifft das die Mitarbeiter, die nicht wissen, ob sie morgen noch arbeiten können. Die kommen jetzt quasi mit dem Gefühl zur Arbeit: Mal gucken, wann wir den nächsten Angriff haben. Und auf der andern Seite sind es die Daten unserer Bürger. Es sind personenbezogene Daten und das, glaube ich, wird noch weitreichende Folgen haben.
Die Verkaufsmaschine im Autohaus stand still
Eine halbe Autostunde von Köthen entfernt liegt Bitterfeld. Industriestandort und mit rund 40.000 Einwohnerinnen und Einwohnern die größte Stadt im Landkreis. Es geht vorbei an großen, martialischen Backsteingebäuden des Chemieparks, Tankstellen und – Autohäusern.
„Also wir waren insofern betroffen, dass drei oder fünf Wochen gar keine Zulassungen in Anhalt-Bitterfeld möglich waren. Somit konnten alle Autos, die angekommen sind, nicht zugelassen werden, standen auf Halde“, erzählt Eileen Metz. „Wir mussten warten, bis es da eine Lösung gab. Die Lösung war, dass die Zulassungen dann in Köthen stattfinden konnten. Aber es war dann fünf Wochen geschlossen.“
Sie ist Neuwagen- und Gebrauchtwagen-Disponentin im Autohaus Grimm. Dunkle Locken, Brille, Handy und Büroschlüssel in der Hand. Ihr Arbeitgeber ist eines der größten Autohäuser der Gegend. Durch den Hackerangriff konnten die Daten für den Fahrzeugbrief plötzlich nicht mehr übermittelt werden. Die Verkaufsmaschine stand still.
„Das ist schon eine schwierige Situation, zumal wir vorher schon die Halbleiter-Situation hatten, dass die Autos auch sehr unregelmäßig geliefert worden sind“, sagt sie. „Dann waren wir natürlich froh, wenn die Autos da waren und dann konnten wir sie nicht ausliefern. Bei uns im Autohaus ist es ja auch so, dass die Autos bezahlt werden müssen. Die Audi und VW AG möchten ihr Geld haben. Das ist schon schwierig.“
Abteilung Cybercrime beim BKA mit 200 IT-Profis
Mittlerweile läuft die Anmeldung wieder, nicht nur in der Zweigstelle in Köthen, sondern auch in der Hauptfiliale in Bitterfeld.
Was uns am meisten überrascht hat, ist die Intensität, dass es auch wirklich so lange dauert. Man kann ja nichts machen, es ist ja auch keiner schuld. Man kann ja nicht sagen: Landratsamt beeilt euch! Die sind ja dran. Aber man hat es ja von anderen Firmen gehört, dass so was passiert.
Dass so was passiert – das haben mittlerweile wahrscheinlich viele Menschen in Deutschland mitbekommen. Trotzdem laufen Kommunen und Unternehmen immer wieder in die Ransomware-Falle. Die Täter und Strukturen dahinter zu ermitteln, ist der Job von Carsten Meywirth und seinem Team.
Ich bin in meinem Berliner Büro per Video-Call mit Carsten Meywirth in Wiesbaden verbunden. Seit zwei Jahren gibt es die Abteilung Cybercrime im Bundeskriminalamt, 200 IT-Profis arbeiten hier. Ransomware-Attacken gehören zum Alltagsgeschäft.
Eine Schnelleingreiftruppe hilft betroffenen Unternehmen und versucht, die Täter zu ermitteln. Angriffsweg Nummer eins: die klassische Spam-Mail. „Das heißt, sie bekommen als Opfer eine E-Mail, die sieht ziemlich echt aus. Und der E-Mail beigefügt ist entweder ein Link oder ein Dokument“, erklärt Carsten Meywirth.
„Sie werden so angesprochen, dass Sie nach Möglichkeit diesen Link anklicken, das angefügte Dokument öffnen und wenn sie das tun, laden sie sich im Nachgang eine Schadsoftware runter. Diese Täter sind dann im System drin, schauen sich in den Systemen um.“
Erpresserschreiben im Netzwerkdrucker
Dann setzt das sogenannte „Big Game Hunting“ ein. Denn das Ziel der Kriminellen ist nicht Max Mustermann, sondern die großen Fische: Unternehmen mit hohen Umsatzzahlen, da, wo was zu holen ist.
Verschlüsselt wird gerne am Wochenende, wenn das System nicht so stark genutzt wird. Am Montag folgt dann das böse Erwachen, inklusive Erpresserschreiben. Digital hinterlegt oder auch mal massenhaft ausgedruckt über die Netzwerkdrucker. Beim Verschlüsseln belassen es die Hacker nicht.
Die Hacker ziehen vorher auch alle Daten aus dem System ab. Das heißt, sie wollen das Opfer zweimal erpressen. Einmal damit, dass sie die Daten entschlüsseln können. Und zum Zweiten erpressen sie das Opfer damit, dass sie die Daten veröffentlichen werden.
Das BKA rät, die oft sechsstelligen Summen nicht zu zahlen, um das kriminelle Business nicht zu stärken. Viele Firmen tun es trotzdem, um wieder schneller an ihre Daten zu kommen oder eine Veröffentlichung zu verhindern.
Laut einer Studie der britischen Sicherheitsfirma Sophos zahlten fast die Hälfte der angegriffenen Unternehmen in Deutschland ein Lösegeld.
Kriminelle Dienstleistungsindustrie
Hinter den Attacken stehen ausgefeilte Strukturen. Seit 2015 hat sich die Ransomware-Szene stark gewandelt: Weniger Einzeltäter, die auf eigene Faust handeln, stattdessen ist ein regelrechter Malware-Marktplatz entstanden.
„Im Clear-Web teilweise auch im Darknet, haben sich Strukturen gebildet. Wir nennen das ‚Crime as a Service‘. Das heißt, es gibt kriminelle Dienste in einer Underground-Economy. Wenn sie so wollen, ist das eine kriminelle Dienstleistungsindustrie, die sich hier gebildet hat“, sagt Carsten Meywirth.
„Wir haben als BKA neun Branchen identifiziert und in jeder dieser Säulen bieten kriminelle Dienstleister ihre Services an. Und jeder, der hier tätig werden will, kann sich dieser Services kaufen.“
Die Schadsoftware wird programmiert, zum Kauf angeboten und jeder der will, kann zugreifen. Bei erfolgreichen Angriffen werden 10 bis 20 Prozent des Lösegeldes fällig. Als Provision. Ein kriminelles Franchise-System mit enormem Schadenspotenzial.
Aber es gibt auch die großen Ransomware-Gruppen, aufgebaut wie mittelständische Unternehmen mit verschiedenen Abteilungen und Namen wie „Conti“, „REvil“ oder „DoppelPaymer“ Die Spur der Täter führt oft nach Osteuropa, in den russischsprachigen Raum. Gebiete mit guter Infrastruktur und geringer Strafverfolgung. Ihnen das Handwerk zu legen? Extrem schwer.
Um die Schadsoftware „Emotet“ und das Netzwerk dahinter zu zerstören, ermittelte das BKA zusammen mit internationalen Behörden zweieinhalb Jahre lang. Solche Erfolge sind oft nur ein Tropfen auf dem heißen Stein, zu schnell kommt neue Malware auf den Markt, zu diffus sind die kriminellen Strukturen.
Die Täter verbinden sich oft anonym in illegalen Foren. „Dann kommunizieren die miteinander, verabreden Preis und Serviceleistung und dann wird die auch erbracht“, erklärt Carsten Meywirth.
Auf diesen kriminellen Foren ist es auch so: Du kannst dann auch raten. Das ist wie bei Amazon oder Netflix. Dann ratet man einen kriminellen Service. Derjenige, der schlecht geratet wird, der wird dann auch nicht mehr in Anspruch genommen. Also, das ist, wenn Sie so wollen, die ganz neue Welt des Verbrechens.
"Arndt, wir sind verschlüsselt worden!"
Eine neue Welt des Verbrechens, die bis in deutsche Industriegebiete im Speckgürtel von Hamburg vorgedrungen ist. Die Basler AG hat das mit Abstand größte Gebäude in dem relativ tristen Industriegebiet in Ahrensburg.
Der Hersteller für Industriekameras, die unter anderem in der Medizintechnik eingesetzt werden oder in Fabriken oder für die Verkehrsüberwachung war vor kurzer Zeit Opfer einer Hacking-Attacke.
Die Produktion stand zwei Wochen lang komplett still: Die Basler AG, ein Hersteller für Industriekameras, wurde Opfer einer Cyberattacke.© Basler AG
Von draußen: Ovalförmig, drei Stockwerke, viel Glas und graue, rechteckige Elemente an der Fassade. Auf dem Parkplatz davor klackern mehrere Fahnen mit dem blauen Schriftzug der Firma im Wind. Drinnen am Empfang zwei Drehkreuze mit Chipkarten-Sensor. Hell gefliester Boden. Aus der Betriebskantine weht leichter Essensgeruch.
„Wir sind in der Zentrale, unser Headquarter, wir sind international tätig. Wir haben in der Gruppe ungefähr einen Umsatz von 200 Millionen, recht gleich verteilt über die Welt. Das heißt, wir sind in Amerika, Westasien und Europa tätig“, erzählt Arndt Bake.
Er arbeitet seit 20 Jahren bei Basler, seit zehn Jahren ist er im Vorstand für die Themen Digitalisierung und Innovation zuständig. Kurze Haare, hohe Stirn, Hemd, hanseatisch ruhige Art. Seine bislang stressigsten Monate beginnen in den frühen Morgenstunden, Mitte November 2021.
„Ich habe davon morgens um sechs erfahren, wurde von meinem Vorstandskollegen angerufen, der hat gesagt: ‚Arndt, wir sind verschlüsselt worden!‘ Ich habe dann unseren IT-Leiter informiert. Wir haben uns dann um sieben Uhr morgens in unsere Kerngruppe versammelt und weitere Schritte eingeleitet“, sagt er.
Man kappt sofort alle Verbindungen. Das heißt, die Kollegen, die vor Ort waren, haben die Stecker gezogen. Man geht da an die Physik ran, um sicherzugehen, dass die Netze getrennt sind. Ist dann weder arbeitsfähig. Sie können nicht mehr produzieren, keine Aufträge annehmen, keine Aufträge ausliefern, können auch nicht mehr mit Mitarbeitern kommunizieren.
Mit Ferraris auf Instagram
Eine große Hilfe für die Basler AG: die abgeschlossene Cybersecurity-Versicherung. Diese vermittelt den Kontakt zu einer holländischen Schnelleingreiftruppe, die sofort anreist und Bake und seine Kolleginnen und Kollegen unterstützt. Auch in der Kommunikation mit den Erpressern.
„Man kommt auf diese Internetseite und findet eine sehr professionelle Internetseite vor. Da gibt es dann dieses Chat-Tool, ähnlich wie bei Whatsapp oder bei so einem Messengerdienst. Bei uns war es so, dass während des ganzen Vorfalls die Chatplattform der Gruppe von den Schweizer Sicherheitsbehörden ausgehoben wurde“, erzählt Arndt Bake.
„Woraufhin die Kollegen uns dann persönlich kontaktiert haben, sie haben uns schlichtweg angerufen. Das heißt, wir haben uns dann mit einer Dame mit leicht russischem Akzent unterhalten können. Sie haben tatsächlich unten am Empfang angerufen. Die haben sich sogar identifiziert, wer sie sind: ‚Wollen gerne mit der Geschäftsführung sprechen‘.“
Die kriminellen Hacker fühlen sich sicher. Auf Seiten im Darknet prahlen sie gerne damit, welche Firmen sie gerade erpressen. Auf Instagram wird vor Ferraris gepostet. Die Täter bei Basler sind schon Wochen vorher eingedrungen, um sich Stück für Stück ins System zu fressen. Parallel zur Spurensuche und den Verhandlungen mit den Kriminellen wird die gesamte PC-Technik gescannt.
Arndt Bake erklärt: „Man macht Forensik, parallel dazu wird gereinigt, dafür werden sogenannte Waschstraßen aufgesetzt. Das sind Prozesse, bei denen kontaminierte Elektronik vorne reingeht und dann bestimmte Prozeduren durchlaufen werden, wo dann sichergestellt ist, dass auf diesen Geräten dann keine Schadsoftware mehr vorhanden ist.“
Kriminelle, die wie Geschäftsleute agieren
Intern wird am Anfang über Whatsapp-Gruppen kommuniziert, dann über Cloud-Mail-Lösungen. Die Stränge laufen – wie beim Landkreis Anhalt-Bitterfeld – in einem War-Room zusammen, einem Konferenzraum in der dritten Etage.
„Es ist eine eigenartige Mischung aus zum einen angespannt und stressig, weil man auch gravierende Entscheidungen treffen musste. Auf der anderen Seite war es aber auch ein sehr lockerer Umgang, wir haben versucht auch mal ein Witz oder das Ganze auch erträglich zu machen“, erzählt Arndt Bake.
„Das hat die Gruppe auch zusammengeschweißt. Aber es war auch eine der anstrengendsten Wochen, die ich je erlebt habe. Das waren dann schon Arbeitstage von 16 Stunden am Tag.“
"Man kappt sofort alle Verbindungen": Arndt Bake ist seit zehn Jahren im Vorstand der Basler AG für die Themen Digitalisierung und Innovation zuständig.© Michaela Plambeck
Glück für das Unternehmen: Eines der Back-ups hatte überlebt und eine Analyse ergibt, die geklauten Daten für die doppelte Erpressung sind nicht personenbezogen. Trotzdem steht die Produktion zwei Wochen lang komplett still, dann erst geht es Stück für Stück wieder los. Der Produktionsausfall wird zwar noch im Dezember wettgemacht. Aber erst im Februar, drei Monate nach dem Angriff, sind 90 Prozent des Unternehmens wieder arbeitsfähig.
Was Bake am meisten erstaunt hat: „Man hat mit Kriminellen zu tun und muss sich auf Aussagen dieser Kriminellen verlassen. Da ist es interessant zu beobachten, dass sich diese Leute hochprofessionell verhalten haben. Man muss sich das nicht so vorstellen, wie so ein Raubüberfall, wo man mit dubiosen Leute zu tun hat. Das sind eher Menschen, mit denen man dann zu tun hat, die sich so verhalten wie im Geschäftsleben.“
Trend zur doppelten Erpressung
Auch Anna Biselli beobachtet diese zunehmende Professionalisierung bei Ransomware-Gruppen. Sie ist Teil der Chefredaktion von Netzpolitik.org und recherchiert schon lange zu dem Thema. Gerade die Entwicklung hin zur doppelten Erpressung mit verschlüsselten und vorab kopierten Daten wie in Bitterfeld/Ahrensburg, hat die Lage noch mal verändert.
Denn Back-ups bringen dann nichts mehr. “Das ist natürlich eine ganz andere Drucksituationen, in der sich dann angegriffenen Personen oder Kommunen oder Verwaltungen befinden, wenn dann gesagt wird: ‚Okay, du zahlst uns jetzt eine Million oder zwei Millionen in Bitcoin oder wir stellen jetzt deine kompletten Bürger:innen-Daten ins Darknet, damit die sich jeder runterladen kann“, sagt sie.
Dass so viele Angriffe immer noch erfolgreich sind, liegt für Biselli auch daran, dass lange geschlafen wurde und bekannte Sicherheitslücken monatelang nicht geschlossen werden.
Ich glaube, das ist ein Problem, das lässt sich nicht so einfach lösen, weil man ganz lange IT-Sicherheit als Zusatz gesehen hat, der dann aufgepfropft wird. Dann hat man das Problem, dass es oft einen Personalmangel gibt: Sei es in Unternehmen, die nicht genug Menschen für IT-Sicherheit haben oder auch in Kommunen. Ich meine: Wir haben 10.000 Kommunen in Deutschland!
Schulungen der Mitarbeitenden hält sie für einen weiteren Teil des Problems. Das sei natürlich sehr wichtig, aber auch sehr lange vernachlässigt worden, glaubt sie. „Menschen einfach auch beizubringen: Was ist wichtig? Wie erkenne ich: Kann ich auf diese Mail draufklicken? Warum kann ich nicht jeden Anhang öffnen? Wie kann ich meine Passwörter sicher gestalten?“
Forderung einer Meldepflicht
Ihre Kritik richtet sich auch an die Politik, die aus Bisellis Sicht teils inkonsequent gehandelt hat. „Auf der einen Seite wollen wir IT-Sicherheit, am besten Made in Germany. Auf der anderen Seite wollen wir auch in der Lage sein, Sicherheitslücken auszunutzen, um andere Ziele zu verfolgen, wie zum Beispiel Staatstrojaner zu entwickeln. Ich hoffe, dass sich das in Zukunft ändern wird.“
Beim Staatstrojaner dürfen Polizei oder Verfassungsschutz bekannte Sicherheitslücken ausnutzen, um Überwachungssoftware auf den Rechnern von Verdächtigen zu installieren. Diese Sicherheitslücken müssen dann von Telekom-Firmen bewusst offen gehalten werden. Ein Einfallstor auch für Kriminelle.
Biselli spricht sich dafür aus, ehrenamtliche Hacker, die solche Sicherheitslücken aufspüren und melden, nicht zu kriminalisieren. Sie fordert eine Meldepflicht von Angriffen auf Kommunen mit transparenten Daten dazu.
„Ich glaube, es ist auch wichtig, da eine Fehlerkultur zu schaffen“, sagt sie. „Sowohl im Großen, dass die Landkreise oder Kommunen das auch zugeben, aber auch im Kleinen, dass dann die Mitarbeiterin, die vielleicht dann auf die falsche E-Mail geklickt hat, sich traut zu sagen: ‚Da ist irgendwas schief gegangen.‘ Und das nicht einfach zwei Wochen unterm Scheffel hält –und dann ist es zu spät.“
Schlagkräftiges Bündnis
Was sagen die Betroffenen? Was sind ihre Lehren aus den Angriffen? Die Basler AG in Ahrensburg hat mehrere Schritte unternommen. Zum einen überwacht ein externer Dienstleister ab sofort 24/7 das gesamte System und isoliert bei verdächtigen Prozessen sofort betroffene Rechner.
Außerdem wurde das gesamte Netzwerk neu aufgebaut und stark unterteilt, um mehrere Schutzschichten einzubauen, damit Hacker nicht einfach durchmarschieren können. Und: CDO Arndt Bake tauscht sich aus, hat mit anderen Unternehmen in Schleswig-Holstein ein Verteidigungsbündnis gegründet.
„Soll heißen: Wenn sie angegriffen werden, sind bestimmte Ressourcen ein absolutes Bottleneck“, erklärt er. „Diese Ressourcen hält jede Firma nur bedingt vor. Netzwerkadministratoren haben sie nicht viele von, die sind aber der Engpass in so einer Situation. So ein Bündnis unterstützt sich dann gegenseitig, das man sagt: Okay, wenn ihr angegriffen werdet, dann schicken wir unsere Leute rüber, damit ihr viel mehr Kapazität und Schlagkraft habt, um euch mit dem Problem zu befassen.“
Landrat Andy Grabner aus dem Landkreis Anhalt-Bitterfeld fordert eine Art Expert:innen-Pool vom Bund oder dem Land, um Kommunen mit Fachkräften zu versorgen. Denn die gehen oft lieber in die Privatwirtschaft, wo es mehr Geld zu verdienen gibt. Außerdem wünscht er sich, dass der IT-Bereich politisch ernst genommen wird.
"Das muss sich ändern, definitiv": Landrat Andy Grabner fordert, dass die IT-Sicherheit mehr politische Aufmerksamkeit bekommt.© Leon Ginzel
„Ich war selber 17 Jahre Mitglied im Kreistag und wenn die Entscheidung ansteht, bei der Haushaltsplanung eine Million Euro in die IT-Infrastruktur zu investieren oder eine Million Euro in die Schule, dann kommt kurz die Frage: Läufts denn?“ Es hieße dann aber: „Wir sanieren die Schule! Dann ist die Entscheidung relativ schnell getroffen. Das muss sich ändern, definitiv!“
Die Gefahr wird bleiben
Einig sind sich alle: 100 Prozent Sicherheit gibt es nicht. Angriffe können selbst bei einem sehr gut gesicherten Netz stattfinden und sie werden noch zunehmen, schätzt Carsten Meywirth vom BKA.
„Weil wir durch diese Pandemie natürlich einen Digitalisierungsschub bekommen haben und in Deutschland auch weiter digitalisieren werden. Und je mehr wir digitalisieren, desto mehr ergeben sich natürlich Möglichkeiten für Cyberakteure, hier entsprechende Angriffe zu starten und Systeme zu kompromittieren“, warnt er.
Aber, der Ermittlungsdruck steigt. Zuletzt hat das FBI ein Zehn-Millionen-Dollar Kopfgeld auf die Hackergruppe „Conti“ ausgesetzt. Führende Köpfe von „REvil“ wurden in Russland festgenommen. Die Gruppe hat sich allerdings offenbar schon wieder neu formiert. Auch Anna Biselli von Netzpolitik.org prognostiziert: Die Gefahr wird bleiben.
„Ich glaube, verschwinden werden die nicht. Ich glaube aber, wenn es weniger attraktiv wird, das zu machen, wenn der Ermittlungsdruck steigt und es schwieriger wird, Ziele zu finden, dann werden sich auch Leute zurückziehen: Weil es sich dann eben nicht mehr lohnt, damit Geld zu verdienen“, sagt sie. „Dann werden sie andere Möglichkeiten finden, damit Geld zu verdienen. Ich glaube, das war schon immer so: Es gibt im Internet Schadsoftware und die kann Menschen befallen – und das passiert, so lange es eben möglich ist.“
