Vorbereitung auf weitere Angriffe Drei Jahre nach dem Hackerangriff auf Anhalt-Bitterfeld: Bedrohliche Cyberlage
Hauptinhalt
09. Juli 2024, 15:46 Uhr
Russischsprachige Hacker griffen den Landkreis Anhalt-Bitterfeld an, die Bundeswehr war vor Ort und die Landesregierung stellte eine Viertelmillion Euro bereit. Drei Jahre ist das nun her. Doch noch immer gibt es digitale Angriffe auf die Städte und Landkreise in Deutschland. Ideen zum Schutz sind vorhanden. Das Problem: Sie kommen nicht voran.
- Der Landkreis Anhalt-Bitterfeld fühlt sich für zukünftige IT-Krisen besser gewappnet. Sachsen-Anhalts Digitalministerium sieht bei Kommunen und Landkreisen aber eher schlechte IT-Sicherheit.
- Polizei und Zivilgesellschaft unterstützen Kommunen mit ihren Methoden und auch das Bundesamt in der Informationstechnik (BSI) will mehr tun.
- Das Amt soll eine Zentralstelle werden und könnte dann viel konkreter und unbürokratischer helfen. Dafür müsste das Grundgesetz geändert werden. Kommunalvertreter begrüßen das. Die mitteldeutschen Landesregierungen sind zurückhaltender.
Es ist eine klare Aussage von Sachsen-Anhalts FDP-geführtem Digitalministerium: Kommunen und Landkreise werden nicht ausreichend über die aktuellen Cyber-Bedrohungen informiert, schreibt das Ministerium auf MDR-Anfrage. Auch eine andere MDR-Frage wird deutlich beantwortet: Sind Kommunen in der Lage, gut auf Hackerangriffe zu reagieren? "Vor allem größere Kommunen und Landkreise sind gut aufgestellt, die überwiegende Mehrzahl schlecht bis sehr schlecht", so das Digitalministerium. Cybersicherheit müsse Chefsache werden.
Ohne den Hackerangriff auf den Landkreis Anhalt-Bitterfeld vor drei Jahren wäre wohl die Unterstützung für ein Informationssicherheitsgesetz im Land nicht so groß, vermutet das Ministerium. Allerdings hat das Digitalministerium bislang keinen Gesetzentwurf vorgelegt. In Mitteldeutschland ist Sachsen das einzige Bundesland mit einem IT-Sicherheitsgesetz. Das trat 2019 in Kraft und erhielt vor Kurzem ein Update.
Die Polizei und die Täter von Anhalt-Bitterfeld
Das Landeskriminalamt Nordrhein-Westfalen hat als Täter von Anhalt-Bitterfeld die Gruppe "PayORGrief" genannt. Sie hatten auch die Uniklinik Düsseldorf, die Funke-Mediengruppe und die Firma "Matratzen Concord" angegriffen und Lösegeld gefordert. Das LKA NRW und viele IT-Sicherheitsexperten sagen, die Täter seien in Russland. Nach ihnen wird international gefahndet.
Anders als der Landkreis Anhalt-Bitterfeld haben einige Opfer von "PayORGrief" Lösegeld gezahlt. Experten gehen davon aus, dass die Gruppe insgesamt zehn Millionen Euro erpresst hat. Die Zahlungen werden in einer Kryptowährung abgewickelt. Aber die Polizei sagt, sie beobachte die Zahlungen genau. Im vergangenen Herbst hat das LKA NRW so zwei Personen ermittelt und ihre Wohnungen durchsucht. Dirk Kunze vom LKA NRW: "Wir haben einen 44-jährigen Ukrainer durchsucht, der für uns im Täter-Netzwerk eine Schlüsselfigur eingenommen hat und einen 45-jährigen Mann aus Süddeutschland, der für uns da im Zusammenhang mit Geldwäsche steht." Beide hätten anteilig Gewinne aus den Taten bekommen. Zwei der Drahtzieher von Anhalt-Bitterfeld sind mit einem Fahndungs-Plakat international ausgeschrieben. Im Hauptbahnhof Magdeburg hängt zum Beispiel eines. Kunze vom LKA NRW geht davon aus, dass die Täter von Anhalt-Bitterfeld mittlerweile für andere Hacker-Gruppen arbeiten: "Das ist ein kriminelles Ökosystem."
Arbeiten die Polizeibehörden aus verschiedenen Ländern zusammen, gelingen Schläge gegen Hacker. Das hatte das Bundeskriminalamt (BKA) im Frühsommer mit seiner "Operation Endgame" gezeigt. Dabei wurden sechs verschiedene sogenannte Dropper-Familien zerstört, sagt Carsten Meywirth, der beim BKA die Abteilung Cybercrime leitet. Als Dropper bezeichnet er Hacker-Software für die Erst-Infektion von Computersystemen. Den Zugang zu einem infizierten System verkaufen die Hacker an andere Gruppen, die dann wie bei Anhalt-Bitterfeld Ransomware installieren, die die Dateien verschlüsselt.
Weil sechs Dropper nun nicht mehr funktionieren, sieht Meywirth derzeit auch weniger Ransomware-Attacken. Aber es sei nur eine Frage der Zeit, bis sie wieder zunehmen würden. Mit der Operation Endgame hat das BKA auch ein ungewöhnliches Video veröffentlicht. Hacker, die das Video sehen, würden dort Segmente, Bilder oder Namen erkennen, sagt Meywirth. "Das ist eine neue, innovative Methode, um Unsicherheit in der Community zu säen." So würde man den Hackern zeigen, dass man ihnen auf den Fersen sei.
Im Landkreis Anhalt-Bitterfeld sind offiziell alle Rechner und Verfahren wieder verfügbar. Der Vorfall hat 2,5 Millionen Euro gekostet, schreibt der Landkreis. E-Mails aus 20 Jahren und die Umwelt-Datenbank sind für immer verschwunden. Der Fall habe auch anderen Verwaltungen gezeigt, wie wichtig Cybersicherheit ist. Man habe auch bei anderen eine Verbesserung beobachtet. Die IT-Abteilung sei heute zwar besser aufgestellt, offene Stellen aber schwer zu besetzen. "Sollte es wider Erwarten zu einem weiteren Vorfall kommen, ist aufgrund der verbesserten Sicherheits-Mechanismen ein weniger schwerwiegender Verlauf zu erwarten", schreibt der Landkreis.
Sicherheits-Initiativen würden größtenteils auf Verständnis stoßen. Die IT-Abteilung muss Sicherheit und Nutzer-Freundlichkeit unter einen Hut bringen. Dabei sieht der Landkreis auch Softwarehersteller in der Pflicht. Sie sollten moderne Authentifizierungs-Methoden und Verschlüsselungs-Standards anbieten. Wenn diese nicht unterstützt werden, müssen umfassende Sicherheitsmaßnahmen implementiert werden, um den Anforderungen gerecht zu werden.
Bedrohliche Cyberlage
Seit dem Hackerangriff in Anhalt-Bitterfeld hat es immer wieder Kommunen und Landkreise getroffen: die Stadt Potsdam, den Rheinpfalzkreis und derzeit mehr als 70 Kommunen in Nordrhein-Westfalen. Das IT-Marktforschungs-Unternehmen KonBriefing spricht sogar von mehr als 150 betroffenen Stellen, davon auch einige in Niedersachsen. Seit Anhalt-Bitterfeld gab es in mindestens 82 deutschen Kommunen IT-Ausfälle, die die Internetseite "Kommunaler Notbetrieb" allein anhand von Medienberichten auflistet.
Im vergangenen Herbst haben deshalb Sachsen-Anhalt und Sachsen eine Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vereinbart. Seitdem hätte das BSI drei Einrichtungen in Sachsen-Anhalt zur Informationssicherheit beraten, bei der Landeswahlleitung die IT-Sicherheit getestet und zweimal bei IT-Vorfällen im Land im Einsatz geholfen, so das Digitalministerium in Magdeburg.
BSI schließt Kooperationsvereinbarungen mit einzelnen Ländern
Um besser auf Hackerangriffe vorbereitet zu sein, diskutieren Expertinnen und Politiker heftig eine Idee: Das BSI soll zu einer sogenannten Zentralstelle werden. So sollen Bund und Länder besser zusammenarbeiten können. Das hatte sich im MDR SACHSEN-ANHALT- Podcast "Digital leben" die BSI-Präsidentin Claudia Plattner gewünscht.
Wie die Zivilgesellschaft helfen will
Beim Wiederaufbau in Anhalt-Bitterfeld hatte Sabine Griebsch 2021 geholfen. Sie war im Landkreis eigentlich für Verwaltungs-Digitalisierung verantwortlich. Griebsch arbeitet nicht mehr für den Landkreis und sagt, dieser habe nach dem Katastrophenfall zwar die IT-Abteilung gestärkt. Aber bei einem Hackerangriff wie vor drei Jahren müsste der Landkreis wohl wieder genauso handeln: "Wenn man im Krisenfall Ressourcen zuweisen muss, sind wir noch an der Stelle, wo wir vorher waren, nur mit mehr Leuten, aber auch mit mehr wissen."
Davon sollen auch andere Kommunen etwas haben. Griebsch hatte beim BSI deshalb ein Projekt in Gang gesetzt – im "Dialog für Cybersicherheit" (PDF). Dabei erarbeiten zivilgesellschaftliche Expertinnen und Experten praktische Hilfen, wie Kommunen und Landkreise bei einem Hackangriff am besten reagieren und handlungsfähig bleiben. Sprecherin des Projekts ist IT-Expertin Bianca Kastl, die bei einer städtischen Verwaltung in Süddeutschland angestellt ist. Sie sagt, es gebe genug Erfahrungen aus Hackerangriffen. "Aber diese Erfahrung wird meistens nicht geteilt und man spricht nicht über seine eigene Branche hinaus." Das könne man aber im BSI-Dialog für Cybersicherheit.
Seit dem Hackerangriff auf Anhalt-Bitterfeld sei zwar das Bewusstsein da, dass es jede Kommune, jeden Landkreis und jedes Bundesministerium treffen könne. "Aber entsprechend zu handeln, sich darauf vorzubereiten und Geld in die Hand zu nehmen – das braucht noch sehr viel Zeit", sagt Kastl.
Die AG KRITIS, ein zivilgesellschaftlicher Zusammenschluss von IT-Sicherheitsexperten verschiedenen Bereiche, schlägt schon seit Jahren ein Cyberhilfswerk (CHW) vor. Nach einem Hackerangriff sollen betroffene Verwaltungen dort Hilfe anfordern können. Sachsen-Anhalts Digitalstaatssekretär Bernd Schlömer hatte sich bereits dafür ausgesprochen. Derzeit erstellt das Technische Hilfswerk eine Studie, die prüft, ob ein solches CHW in den Strukturen des Technischen Hilfswerks (THW) möglich ist.
Die Gründe dafür klingen einleuchtend: Baut das BSI eine Datenbank auf, in dem es Cyber-Gefahren einträgt – dürfen die Bundesländer diese Datenbank nicht nutzen. Entwickelt das BSI eine Software zum Schutz der Netze des Bundes – dürfen Bundesländer diese Software nicht nutzen. Gibt es einen Cyberangriff, ist jede Kommune, jeder Landkreis, jedes Bundesland jeweils auf sich allein gestellt, ein Cyber-Flickenteppich.
Über die Idee, das BSI zu einer Zentralstelle zu machen, wird bereits seit 2022 diskutiert. Die Diskussion stockt und Plattner wirkt ungeduldig. "Das macht mich wahnsinnig. Ich möchte, dass wir das zusammen besser hinbekommen", sagt die BSI-Chefin. Schließlich würden die Menschen erwarten, dass der Staat sie und ihre Daten schützt. "Über das grundsätzliche Ziel sind sich alle einig. Nur nicht über den Weg dorthin".
Grundgesetzänderung gegen den Cyber-Flickenteppich
Der Cyber-Flickenteppich lässt sich nur mit einer Grundgesetzänderung stopfen, sagt Markus Richter, Staatssekretär im Bundesinnenministerium, in dessen Geschäftsbereich das BSI fällt. Richter ist für die Verwaltungs-Digitalisierung zuständig und steuert auch das IT-Sicherheits-Managements des Bundes. Es könne nicht sein, dass IT-Sicherheit auf kleinen Inseln jeweils neu erfunden werde. "Wenn es einen konkreten, schweren Angriff wie in Anhalt-Bitterfeld gibt, dann ist die Herausforderung, ad hoc zusammenzuarbeiten", sagt er. Bislang würde das quasi über Notstands-Regeln gemacht – in Anhalt-Bitterfeld hatte der Landrat den Katastrophenfall ausgerufen, um BSI und Bundeswehr anfordern zu können.
Wenn ein Angriff in Deutschland stattfindet, dann ist es dem Zufall überlassen, wo er stattfindet und welche Behörden zuständig sind. Wir müssen sicherstellen, dass wir einheitliche Standards haben, die dann gelten und nicht erst in der Krisensituation anfangen.
BSI-Zentralstelle: einheitliches Lage-Bild, bessere Zusammenarbeit und Cyberabwehr
Richter sagt, es existiert in Deutschland kein einheitliches Lage-Bild zur Cybersicherheit. So komme man teilweise zu unterschiedlichen Ergebnissen. Deshalb müsse man ans Grundgesetz gehen: "Weil wir nicht nur Notsituationen zusammenarbeiten können, sondern vor allem im Regel-Betrieb zusammenarbeiten müssen. Dabei stehen uns noch gesetzliche Regeln im Weg."
Auf dem Weg zur Grundgesetzänderung haben die Bundesländer ein gehöriges Wörtchen mitzureden. Sie sind für die Gefahrenabwehr zuständig. So steht es im Grundgesetz. Gilt das auch für die Abwehr von Cyber-Gefahren? Darüber scheint es keine einheitliche Meinung zu geben. Geht es nach Bundesinnenministerium und BSI, müsste das Grundgesetz an zwei Stellen geändert werden. Dort soll die Passage "für die Gewährleistung der Sicherheit in der Informationstechnik" eingefügt werden. An den gleichen Stellen im Grundgesetz ist seit 1949 das Bundeskriminalamt gesetzlich geregelt. In der zweiten Jahreshälfte soll ein erster Gesetzentwurf zum BSI als Zentralstelle vorliegen.
Ein Papier, das dem MDR vorliegt, listet auf, was das BSI für die Länder leisten könnte:
- Das BSI könnte den Bundesländern genau auf sie zugeschnittene Warnmeldungen und Lage-Bilder geben.
- Das BSI könnte eine Plattform betreiben, auf der die Länder technische Informationen zu Vorfällen und Angriffs-Methoden abrufen.
- Das BSI könnte Hard- und Software im Auftrag der Länder prüfen.
- Das BSI könnte für die Netze der Landesregierungen auch ein Schadprogramm-Erkennungs-System betreiben.
- Und das BSI könnte in einer IT-Krise helfen und gemeinsam mit den Ländern entscheiden, wer welche Kapazitäten hat und wer wen unterstützen kann.
Ist das BSI eine Zentralstelle, ließe sich das ohne bürokratischen Aufwand bewerkstelligen. Der Landkreis Anhalt-Bitterfeld hatte 2021 mehrfach Amtshilfeersuchen stellen müssen.
Drei Jahre nach Anhalt-Bitterfeld: Noch immer ein Cyber-Flickenteppich
Aber gegen eine Grundgesetzänderung sträuben sich die Landesregierungen von Bayern und Baden-Württemberg. Sie haben eigene IT-Sicherheitsbehörden. Die Regierungen der mitteldeutschen Bundesländer äußern sich nicht eindeutig. Sachsens Staatskanzlei schreibt auf MDR-Anfrage, man bringe sich konstruktiv in die Abstimmungen zu einer BSI-Zentralstelle ein.
Thüringens Innenministerium schreibt, man begrüße grundsätzlich den Plan, dass Bund und Länder bei der Cybersicherheit intensiver zusammenwirken. Die Thüringer Bundestagsabgeordnete Martina Renner (Linke) ist Mitglied im Bundestagsinnenausschuss. Sie sagt, das BSI müsse als zentrale Stelle für Sicherheit, Resilienz und Wiederherstellung von IT-Systemen in Verwaltung und kritischen Infrastrukturen sorgen. Es müsse größere gesamtgesellschaftliche Schäden verhindern.
Eine BSI-Sprecherin sagte dem MDR, dass die Befugnisse der Länder nicht berührt werden würden. "Bund und Länder bleiben weiter für ihre IT-Sicherheit selbst verantwortlich. Es kommt etwas hinzu, aber es wird niemandem etwas weggenommen."
BSI-Zentralstelle: Uneinigkeit bei mitteldeutschen Ländern
Wer in Sachsen-Anhalt für Cybersicherheit zuständig ist, scheint nicht ganz klar. Es könnte das FDP-geführte Digitalministerium oder das CDU-geführte Innenministerium sein, das sich auf seiner Internetseite auch als "Sicherheitsministerium" bezeichnet. Sachsen-Anhalts Landesregierung hat deshalb keine einheitliche Meinung, ob das BSI zu einer Zentralstelle werden soll.
Das sagen Kommunalvertreter zum BSI als Zentralstelle
Der Deutsche Städte- und Gemeindebund wünscht sich drei Jahre nach Anhalt-Bitterfeld, dass die Rolle des BSI gestärkt wird. Vor allem würden Kommunen im Krisenfall schnelle und unbürokratische Unterstützung benötigen. Nicht jede Kommune könne nach einem Hackerangriff selbst schnell wieder handlungsfähig werden. "Wir brauchen daher schnelle Eingreif- und Unterstützungs.Strukturen, die im Krisenfall direkt in den Kommunen tätig werden können", schreibt der Städte- und Gemeindebund auf MDR-Anfrage. Solchen IT-Krisen-Teams müssten von den Ländern oder dem Bund, wenn das BSI entsprechende Kompetenzen erhält, für die Kommunen vorgehalten werden.
Der Deutsche Landkreistag bemängelt derzeit: "Die schnelle Information zu laufenden IT-Sicherheits-Vorfällen und den Einfallstoren könnte verbessert werden." Die Vertretung der Landkreise findet das IT-Sicherheitsgesetz von Sachsen gut, schreibt sie auf MDR-Anfrage. Man habe sich außerdem dafür ausgesprochen, dass die schärfere EU-IT-Sicherheits-Regeln auch für Kommunen gelten. Das hätten die Länder aber abgelehnt. Man wisse, dass der Großteil der Landkreise derzeit ein umfassendes Notfall-Management planen würde. "Das benötigt Ressourcen und Zeit."
Das Digitalministerium unterstützt eine starke Stellung des BSI. Es sieht allerdings auch rechtliche Hürden: Es bestehe die Gefahr, dass der Bund in die hoheitliche Kompetenz der Länder eingreife. Außerdem: "Durch eine ausschließliche Gesetzgebungs-Kompetenz des Bundes bleiben den Ländern nur sehr eingeschränkte Möglichkeiten, die Zentralstelle mitzugestalten", so das Digitalministerium. Die Sorge ist wohl: Würde das BSI weiterentwickelt, könnten die Länder nicht mehr mitreden.
Ganz anders Sachsen-Anhalts Innenministerium: Das lehnt grundsätzlich ab, das Grundgesetz zu ändern und das BSI zu einer Zentralstelle auszubauen. Das Innenministerium hatte beim Hackerangriff auf den Landkreis Anhalt-Bitterfeld 2021 nicht geholfen.
MDR (Marcel Roth)
Dieses Thema im Programm: MDR SACHSEN-ANHALT HEUTE | 06. Juli 2024 | 19:00 Uhr
DanielSBK vor 1 Wochen
2,5 Mille Schaden ... in jedem anderen Wirtschaftsbetrieb hätte es für den Verursacher die Fristlose Kündigung gegeben! Dekadent, dass für diesen Fauxpas der Steuerzahler bluten muss!
OttoDenktMit vor 1 Wochen
Wer ist der Verursacher?