Digitaler Katastrophenfall: Verwaltung von Cyberattacke getroffen

Eine Cyberattacke kann jedes Unternehmen und jede öffentliche Einrichtung treffen – jederzeit. Doch was geschieht, wenn der Ernstfall eintritt? Im Landkreis Anhalt-Bitterfeld wurde das Schreckensszenario Realität. Ein Hackerangriff legte zentrale Aufgaben der Verwaltung lahm. Die Behörde war praktisch handlungsunfähig.

(Quelle: istock / gleglory)

Bei Landkreisen, die den Katastrophenfall ausrufen, denkt man im Spätsommer 2021 automatisch an die fürchterlichen Bilder aus dem Ahrtal. Doch in Sachsen-Anhalt ereignete sich eine digitale Katastrophe. Im Landkreis Anhalt-Bitterfeld schlugen Hacker zu. Als am 6. Juli im Landratsamt der erste Computer hochgefahren wurde, aktivierte sich die installierte Schadsoftware und verschlüsselte rund 120 Rechner.

 

Handlungsunfähige Verwaltung

Der Angriff machte die öffentliche Verwaltung im Landkreis Anhalt-Bitterfeld nahezu handlungsunfähig. An den drei Standorten Köthen, Zerbst und Bitterfeld konnten etwa 800 Mitarbeiter ihrer Arbeit nicht wie gewohnt nachgehen. Viel schlimmer war der Ausfall sämtlicher Dienstleistungen: Sämtliche Sozial- oder Unterhaltszahlungen konnten nicht ausgezahlt werden. Unter anderem waren Elterngeld, Wohngeld oder verschiedene Pflegehilfen waren von dem Ausfall betroffen. Auch andere alltägliche Aufgaben konnten nicht wahrgenommen werden, etwa die Fahrzeugzulassung oder Fahrerlaubnisangelegenheiten. Lediglich die die Rettungsleitstellen und das System zur Erfassung von Corona-Fällen standen ohne Beeinträchtigung zur Verfügung.

Für ihre Attacke nutzten die Cyberkriminellen eine Schwachstelle in der IT-Infrastruktur aus. Im Microsoft Druckersystem der Windows-Versionen 7 bis 10 gab es die Lücke „PrintNightmare“. Weil das Sicherheitsupdate zu spät bereitgestellt wurde, konnten die Hacker auf mehrere Server des Landkreises zugreifen und die Systeme mit Ransomware verschlüsseln sowie wertvolle Daten stehlen. „Dieses Vorgehen ist typisch“, sagt Christian Weber, Geschäftsführer der Infraforce GmbH, „Bei Ransomware-Attacken wird die Infrastruktur sehr oft bereits vor dem eigentlichen Verschlüsseln unterwandert.“

 

Veraltete und ungepflegte Systeme

Die Gefahr für die öffentliche Verwaltung ist bekannt. Kommunen nutzen häufig veraltete und schlechte gepflegte Hard- und Software. Entsprechend schlecht sind die Systeme gegen Cyberangriffe geschützt. So auch im Landkreis Anhalt-Bitterfeld. Bereits sechs Tage vor dem Angriff warnte Microsoft seine Nutzer vor der Gefahr in der entsprechenden Druck-Funktion und riet zu einer Übergangslösung, bis ein Sicherheitsupdate installiert werden könnte. Doch weder in Köthen noch in Zerbst oder Bitterfeld gab es eine Überbrückung oder ein Back-up.

Wenige Tage nach dem Angriff folgte die Lösegeldforderung der Hacker. Auch wenn über die konkrete Summe keine Angaben gemacht wurde, gehen Experten davon aus, dass die meisten Cyberkriminellen Beträge in sechs- oder siebenstelliger Höhe von ihren Opfern verlangen. Infraforce-Geschäftsführer Christian Weber ergänzt: „Es steht fest, dass in den seltensten Fällen eine Einmalzahlung ausreicht, um die Infrastruktur zu entschlüsseln und gleichzeitig zu verhindern, dass gestohlene Daten veröffentlicht werden.“

Aus den Erpresserschreiben lässt sich selten erkennen, wofür die gehackten Unternehmen und Einrichtungen konkret zahlen. Zudem besteht keine Garantie, dass die Betroffenen nach der Zahlung wieder Zugriff auf ihre Daten erhalten. In Anhalt-Bitterfeld lehnte es der Landkreis deshalb ab, ein Lösegeld zu zahlen. Daraufhin veröffentlichten die Kriminellen etwa 10 Tage nach der Attacke rund 200 Megabyte der gestohlenen Daten aus Anhalt-Bitterfeld in einem Forum.

 

Neuaufbau nach der digitalen Katastrophe

In der Zwischenzeit hatten Forensiker bereits damit begonnen, digitale Spuren zu sichern und Hinweise auf die Täter zu sammeln. Weil der Landkreis den Katastrophenfall ausgerufen hatte, konnten andere Behörden schnell aktiv werden und Amtshilfe leisten, unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundeswehr. Cyber-Experten arbeiteten unter Hochdruck daran, den Landkreis wieder arbeitsfähig zu machen. Denn zwischenzeitlich war der Landkreis nur telefonisch oder via Fax erreichbar.

Der erste Schritt bestand darin, einen Überblick des Schadens zu erhalten. „Je schneller ein möglichst vollständiges Lagebild erstellt wird, desto stichhaltiger sind die Analysen im Hinblick auf ein Follow-Up“, erklärt Christian Weber. „Cyber-Risk-Analysten müssen schnellstmöglich herausfinden, ob Backups wiederhergestellt werden können, welche Teile der Infrastruktur noch sicher sind und wie die Korrumpierung beendet werden kann.“

Knapp zwei Wochen nach der Attacke waren eine erste IT-Notinfrastruktur einsatzbereit und die Verwaltung wieder per E-Mail erreichbar, allerdings mit neuen Adressen. Darüber hinaus konnten die Sozialleistungen wieder eigenständig ausgezahlt werden. Parallel dazu wurde ein neues Netzwerk aufgebaut, um auch Fachanwendungen wieder nutzen zu können. Doch bis der Landkreis wieder voll handlungsfähig war, dauerte es. Kfz-Zulassungen waren dank einer Übergangslösung erst vier Wochen nach der Attacke wieder möglich. Die Amtshilfe der Bundeswehr zum Aufbau der neuen IT-Infrastruktur endete sogar erst Ende August. Der Katastrophenfall wurde dagegen bis heute noch nicht aufgehoben.

 


Hinweis: Die TÜV Technische Überwachung Hessen GmbH übernimmt keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.

Informationssicherheit & Compliance

Die Digitalisierung hat massiven Einfluss auf Wirtschaft und Gesellschaft; sie verändert die Welt. Das birgt Chancen und Risiken. Gestalten Sie mit und sichern Sie Ihre Zukunft mit einem vertrauensvollen und kompetenten Partner: TÜV Hessen – Zukunft Gewissheit geben – zweifellos auch digital.

Jetzt für unseren Newsletter anmelden!

Bleiben Sie informiert und melden Sie sich zum TÜV Hessen Newsletter an! 

Kommentar schreiben

* Pflichtfeld

* Pflichtfeld

Keine Kommentare