Podcastcover Hackingangriff
Bildrechte: picture alliance/dpa/dpa-Zentralbild | Annette Riedl

MDR INVESTIGATIV - Hinter der Recherche (Folge 51) Podcast-Transkript: Hackingangriffe auf Kommunen: Wie sicher ist die kritische Infrastruktur?

Audiotranskription

Wenn die Computersysteme von Kommunen von Hackern angegriffen werden, dann stellt das die Behörden vor ernstzunehmende Probleme. Die persönlichen Daten der Bürgerinnen und Bürger und eine funktionierende Verwaltung stehen auf dem Spiel. Sind Kommunen ausreichend auf solche Angriffe vorbereitet?

Esther Stephan (ES): Sie hören den Podcast "MDR Investigativ - Hinter der Recherche". In diesem Podcast sprechen wir mit Journalist*innen über ihre Recherchen. Es geht um das Thema und darum, wie die Reporter*innen zum Beispiel Menschen gefunden haben, die mit ihnen sprechen. Und es geht um ihre persönlichen Eindrücke und Erlebnisse während der Dreharbeiten.

Ich bin Esther Stephan, ich arbeite für die politischen Magazinen des Mitteldeutschen Rundfunks, und ich freue mich, dass Sie zuhören!

In dieser Folge sprechen wir über Hacking-Angriffe auf Kommunen. Die sind in den letzten Jahren immer häufiger geworden, wie auch Hacking-Angriffe insgesamt. Es gibt allerdings Angriffe auf Kommunen, wie zum Beispiel in Anhalt-Bitterfeld in Sachsen-Anhalt, und das stellt dann die Behörden vor ernstzunehmende Probleme. Persönliche Daten der Bürgerinnen und Bürger und eine funktionierende Verwaltung stehen auf dem Spiel. Die Journalistinnen Julia Cruschwitz und Carolin Haentjes haben für Exakt zu Cyberangriffen auf Kommunen recherchiert. Hallo!

Carolin Haentjes (CH): Hi!

Julia Cruschwitz (JC): Hallo!

Nachrichten

Podcastcover Hackingangriff 32 min
Bildrechte: picture alliance/dpa/dpa-Zentralbild | Annette Riedl

ES: Lasst uns genau auf so einen Angriff schauen. So ein relativ drastisches Beispiel, das nennt ihr in eurem Film, das ist der Angriff auf den Landkreis Anhalt-Bitterfeld. Was es da im vergangenen Jahr passiert?

CH: Am 9. Juni 2021 waren die Computer in der Kommunalverwaltung blockiert. Also es gibt Berichte darüber, die Mitarbeiterinnen und Mitarbeiter kamen dorthin, haben den Computer eingeschaltet und dann erschien ein Satz: "Landkreis Anhalt-Bitterfeld you are fucked". Und daraufhin waren dann 144 Server und 900 Mitarbeiter-Arbeitsplätze quasi gekidnappt. Also die waren einfach nicht mehr zu gebrauchen für den Arbeitsalltag dort. Und die Behörden des Landkreises waren damit quasi lahmgelegt. Und die Angreifer, die diesen oder deren Programm das dort verursacht hatte, haben dann Lösegeld gefordert. Und so wurde dort der erstes Cyberkatastrophenfall im Deutschland ausgelöst.

ES: Welche Folgen hatten denn das? Also ich stelle mir vor: Gut, dann kann ich mein Auto vielleicht nicht mehr bei der Kommune anmelden, dann warte ich halt ein paar Wochen, muss ich dann mal geduldig sein. Klingt jetzt erst mal nicht so schlimm.

CH: Es hatte einmal Folgen, naja, also weil einfach quasi alle Behörden arbeitsunfähig waren. Und das muss man sich dann mal vor Augen führen. Also es geht um das Sozialamt, das Bafög-Amt, das Jugendamt, die Wohngeldstelle, das Gesundheitsamt also, die alle können nicht auf ihre Arbeitsgeräte zugreifen. Die mussten Zettel und Stift in die Hand nehmen und irgendwie versuchen, mit der Situation zurechtzukommen. Aber wir wissen ja alle, wie wir heute arbeiten. Also auf unserem Computern, ist das, womit wir arbeiten. Und in mancherlei Hinsicht kann man, glaube ich sagen, dass viel Glück auch im Spiel war. Dass nämlich gerade, ich nenne es mal, der Zahltag der Ämter gewesen war. Weil es dann nämlich fast drei Wochen gedauert hat, bis die Behörden sich wieder soweit aufgestellt hatten, dass sie regulär die Zahlungen leisten konnten. Wohngeld, Hartz IV, Bafög und Ähnliches. Und wenn das jetzt nicht gelungen wäre, das muss man sich mal vorstellen. Es ist auch ein relativ armer Landkreis, aber auch unabhängig davon. Das betrifft dann sehr viele Menschen und wird sehr schnell existenziell. So also das war quasi das Szenario, das sich dort abgespielt hat. Das ist die eine Sache. Die Behörden waren blockiert, konnten ihre Arbeit nicht leisten und das andere ist, dass Daten erbeutet wurden. Und da eben auch sehr sensible Daten. Und wie sensibel diese Daten sind, hat man dann gesehen, weil die Erpresser versucht haben, damit ihrer Lösegeldforderung Nachdruck zu verleihen. Da sind dann nämlich kurz vor Ablauf der Frist private Handynummern, Adressen, Kontoverbindungen von Abgeordneten des Kreistags im Internet erschienen. Und wie das sich auswirken kann, also das kann man sich halt ausmalen. Aber es ist ja auch, also man weiß inzwischen, dass viele Kommunalpolitikerinnen und Kommunalpolitiker ja auch nicht ganz so ungefährlich leben. Also das hat dann im Zweifel sehr direkte Folgen für Leute. Zumal das eben auch dann wieder nicht nur die Abgeordneten betrifft, sondern das sind ja auch, weiß ich nicht, Fördertabellen aus dem Schulamt oder Ähnliches veröffentlicht worden, Auftragsvergaben für Bauvorhaben. Also da wird sehr viel, sehr schnell öffentlich und kann dann Nachwirkungen haben für alle. Das kann man gar nicht vorhersagen. Welche aber das ist, das ist auf jeden Fall ziemlich krass, würde ich sagen.

JC: Und was man noch dazu sagen muss, ist auch der finanzielle Schaden. Also die mussten alle Rechner austauschen, alle Software austauschen, und es ist einfach rein händisch, rein technisch ein wahnsinniger Aufwand. Das schätzt man, sind 2 Millionen Euro Schaden. Und 2 Millionen Euro Schaden, das für einen Landkreis Anhalt-Bitterfeld, der sowieso finanziell nicht besonders gut aufgestellt ist, ein richtig dicker Brocken. Das muss vom Haushalt abgezwackt werden, und das muss im Zweifel von anderen freiwilligen Leistungen gekürzt werden. Also die freiwilligen Leistungen, das wissen wir alles, das betrifft Kindergärten, Beratungsstellen zum Beispiel für Betroffene von Gewalt, Opferhilfe und auch Jugendarbeit. Irgendwo muss dieses Geld abgezwackt werden. Das heißt, der Stadtkämmerer muss sagen: okay, ich oder natürlich in Abstimmung mit dem Stadtrat, aber das Geld muss beschafft werden, weil die Arbeit muss weitergehen. Die Kommunen sind auch gesetzlich verpflichtet, diese Daten wiederherzustellen und Arbeitssicherheit zu gewährleisten. Das heißt, das hat dann Vorrang vor den anderen Sachen, wo dann gekürzt wird, zusätzlich zu den ganzen Ausgaben, die durch Corona noch dazu kamen. Das heißt, es kommt für diese extrem klamme Kommune dann noch obendrauf.

ES: Was passiert denn überhaupt bei so einem Hacking-Angriff? CH: Cyber-Angriff ist erst einmal definiert als ein Angriff, der durch den Cyberraum passiert und deswegen sozusagen auch auf IT-Systeme wirkt. Und das ist eigentlich erst einmal alles, was das bedeutet. Also es kann von Einzelpersonen durchgeführt werden, das kann von Gruppen durchgeführt werden. Es gibt inzwischen auch ganz viele automatisierte Programme, die einfach mal schauen, ob es irgendwo eine Schwachstelle gibt. Und da reingehen, die sind dann quasi programmiert. Genau das ist erstmal das, was wir als Cyberangriff bezeichnen.

ES: Jetzt sprechen wir ja explizit über die Hacking-Angriffe auf Kommunen. Die unterscheiden sich aber ja auch noch mal von den auf Einzelpersonen. Warum sind Kommunen so interessante Ziele für Hacking-Angriffe?

JC: Vielleicht würde ich gar nicht sagen, dass es unbedingt - es sind nicht immer gezielte Angriffe. Also, das muss man vielleicht auch dazu wissen. Carolin hat ja gerade erzählt, dass es häufig automatisierte Software ist, die nach Schwachstellen sucht. Und das kann man im Nachhinein natürlich schlecht feststellen, ob ein Angriff gezielt, dann also sozusagen auf eine bestimmte Kommune vorbereitet wurde oder ob es eben einen, ich nenne es jetzt mal Zufallstreffer, war. Vieles spricht für Letzteres, auch bei vielen Kommunen. Und da ist das Problem, dass gerade die kleineren Kommunen sehr schlecht aufgestellt sind, was die IT Sicherheit betrifft. Und daher können sie von so automatisierter Schadsoftware, die im Cyberraum sucht, nach Schwachstellen, an denen sie andocken kann. Deswegen werden sie da häufiger das Ziel. Also es gibt einen Fall in Düsseldorf, das war, glaube ich, letztes Jahr oder vorletztes Jahr, wo die Uniklinik angegriffen wurde und auch dann wirklich das zu Problemen kam, dass sie ihre Not-, also die Rettungswagen konnten nicht mehr rausfahren und so weiter. Da gab es größere Probleme. Und da haben sich dann anscheinend die Hacker dann tatsächlich entschuldigt und haben gesagt: "Nein, das wollten wir gar nicht. Wir wollten keine Klinik angreifen." Und haben die Lösegeldforderung zurückgezogen. Dass ist bei Firmen noch viel, viel häufiger. Also es gibt inzwischen Studien und Untersuchungen auch von BKA, dass eigentlich neun von zehn mittelständischen Unternehmen von Hackerangriffen schon betroffen worden sind. Also dass ist ein unglaublich breites Problem, dass ist diese eben sogenannte Ransomware. Und viele Unternehmen hängen das gar nicht an die große Glocke, weil sie natürlich auch Imageschaden befürchten. Bei einer Kommune, wenn es ein großer Angriff war, dann lässt sich das natürlich nicht verheimlichen, weil Daten betroffen sind, Bürger betroffen sind. Man muss sie per Gesetz eigentlich informieren, dass Daten gestohlen wurden. Und so kann das natürlich nicht verborgen bleiben. Und deswegen ist es vielleicht auch so, dass diese großen Angriffe auf Kommunen halt auch so publik wurden.

ES: Genau, du hast gerade schon gesagt Julia, diese Angriffe, die betreffen mich dann ja im schlimmsten Fall auch persönlich als Privatpersonen. Also wenn zum Beispiel dann meine eigenen Daten abgegriffen werden. Kann ich denn da irgendetwas machen, um mich zu schützen, dass das eben nicht passiert?

CH: Nein, also ich würde sagen: Genau das ist der Punkt auch, warum Kommunen für uns auch politisch nochmal relevanter waren. Weil Kommunen zählen zu dem, was man in Deutschland kritische Infrastrukturen nennt. Also das, was funktionieren muss, um das gesellschaftliche Leben aufrechtzuerhalten. Es geht sogar bei den Angriffen auf Kommunen nicht nur um die sensiblen Daten. Das ist ein riesiger Punkt. Das ist total wichtig. Aber es geht auch um all die, ich sage mal Services oder Dienstleistung. All das, was Kommunen machen, und das ist ja total viel. Also es geht dabei um das Ausstellen von Pässen. Es geht um das Auszahlen von Sozialleistungen. Es geht auch um so ganz sensible Dinge wie die Arbeit vom Jugendamt oder ähnliches. Und wenn da das blockiert wird, das betrifft natürlich im Zweifel ganz viele Leute. Das kann man auch gar nicht so im Vorhinein sagen, wen es betreffen wird. Aber das Problem ist natürlich: Da kann ich als Einzelperson gar nichts machen, weil ich muss mich ja vor den Ämtern an vielen Stellen, ich sage mal, recht nackig machen. Na ja, also allein, wenn ich irgendeine Leistung beantrage, muss ich ja total viel von mir preisgeben. Und wie diese Daten dann geschützt werden, liegt alleine bei den Behörden.

ES: Wenn jetzt aber immer mehr Kommunen angegriffen werden. Was würde das denn bedeuten?

JC: Vielleicht noch mal anders angefangen. Es ist ja so, dass wir uns das vor dem Hintergrund des Ukraine-Krieges gefragt haben. Also das kam in der Redaktionskonferenz auf, dass wir natürlich über dieses Thema Ukraine-Krieg ist natürlich seit dem Angriff präsent, die ganze Zeit bei uns, das ist ja klar. Und die Frage: Unter welchen Aspekten beleuchten wir das? Und was ist wichtig? Und da kam natürlich auch die Frage auf: Was es sind die Cyberangriffe? Alle reden darüber. Wie ist das denn? Was hängt mit was zusammen? Sind wir da gefährdet? Also, das war sozusagen die Ausgangslage. Und um das zu verstehen, mussten wir erstmal gucken, was ist denn in der Ukraine überhaupt passiert? Und haben da mit verschiedensten Experten telefoniert, Expertinnen und uns da schlaugemacht, was es gibt an Informationen über die Ukraine. Und da war es dann so, dass wir auch sehr lange mit einer Firma in Jena zum Beispiel telefoniert haben, Eset, die das ja gründlich beobachten, was da passiert ist. Und da muss man halt sagen das ist tatsächlich ein hybrider Krieg, der dort passiert, auch schon vor dem Einmarsch quasi gezielt vorbereitet ist. Und das sind dann gezielte Angriffe auf kritische Infrastruktur, wie es Carolin schon gesagt hat. Stromversorger, Kassensysteme also. Das war in der Ukraine dann so, dass es, ich glaube, mehrere Blackouts gab. Also zwei, von denen ich zumindest weiß. Ganze Landesteile hatten keinen Strom, dass gezielt die Stromversorgung angegriffen wurde, Umspannwerke in dem Fall und dass auch ganz gezielt Kassensysteme, also so Bezahlsysteme angegriffen wurden, sodass die Leute in den Supermarktkassen nichts mehr einkaufen konnten und auch eben Regierungsbehörden, dann kurz vor dem Angriff. Und dieser Experte von der Firma Eset, der hat uns dann noch erzählt, dass das auch natürlich jederzeit in Deutschland passieren könnte. Da sind sich eigentlich auch andere Expert*innen, mit denen wir telefoniert haben, sich sehr einig. Dass sozusagen ein Stromausfall produziert wird, dass bestimmte Bezahlsysteme nicht mehr funktionieren. In den USA gab es auch einen großen Ausfall der Tank-Systeme. Also, dass man dort auch nicht mehr tanken konnte, solche Dinge. Und wenn das konzertiert gemacht wird... Und da hat eben dieser eine Experte noch gesagt, das sind auch schon so kleine Sachen wie zum Beispiel, wenn die Parkhaus-Schranken nicht mehr aufgehen, also solche kleinen Systeme können relativ einfach gehacked werden. Aber auch damit kann man ganz viel Verunsicherung stiften. Und das ist der Unterschied sozusagen zwischen einer terroristischen oder staatlich gesteuerten Aktion. Dieses: Wir wollen Verunsicherung stiften. Wir wollen zeigen, dass wir Macht haben. Wir wollen die Bevölkerung und die Behörden dazu bringen, sich mit sich selbst zu beschäftigen und diesen Schaden dann zu reparieren. Also das ist der große Unterschied. Und da waren sich alle Expert*innen einig, dass, wenn ein Land Interesse hätte oder ein bestimmter staatlicher oder terroristische Akteur, dann wäre das in Deutschland überhaupt kein Problem, das herbeizuführen. Man geht sogar davon aus, dass viele Systeme schon infiltriert sind. Also das, was ich so aus den vielen Gesprächen rausgehört habe, waren jetzt nicht die großen riesigen Anlagen. Die sollen wohl relativ gut geschützt sein. Aber so ganz viele kleine Sachen, und da gehören dann eben die Kommunen wieder mit rein. Und da wird es dann interessant.

CH: Und wenn ich noch was ergänzen darf: In dem Kontext steht unser Beitrag. Nicht, weil die Angriffe, die wir untersucht haben, tatsächlich so einzuordnen wären. Sondern das sind Ransomware-Angriffe gewesen von kriminellen Hackergruppen, die einfach versuchen, Daten zu erbeuten, die versuchen, Geld zu erpressen, also die einfach ein finanzielles Interesse haben. Die Frage, die uns aber beschäftigt hat, ist: Deutet das auf eine Schwachstelle in der kritischen Infrastruktur hin, über die dann ein größerer komplexerer Angriff gestartet werden könnte, der uns eben sozusagen über die eine Kommune hinaus auch beschäftigen könnte.

ES: Über die Bedeutung von Hackingangriffen habe ich außerdem mit Manuel Atug gesprochen. Er ist Gründer und Sprecher der unabhängigen Arbeitsgemeinschaft kritische Infrastrukturen, die sich zusammensetzt aus einer Gruppe von Fachleuten, die zur Sicherung wichtiger Infrastrukturen und IT-Sicherheit insgesamt arbeiten. Im Interview habe ich auch ihn zunächst einmal gefragt, was denn bei einem Hacking-Angriff eigentlich passiert.

Manuel Atug (MA): Zunächst einmal ja nicht direkt ein Hackerangriff, sondern ein Angriff einer organisierten Kriminalität, also Bandenstrukturen. Das sind Ransomware-Gruppen, die versuchen, über eine Lücke in den System in die Systemlandschaft einzudringen oder durch eine Phishing-Mail, jemand dazu zu bewegen, eine Schadsoftware anzuklicken oder herunterzuladen. Und von diesem System aus wird dann die gesamte Infrastruktur versucht zu übernehmen, sozusagen die höchsten administrativen Rechte zu erhalten. Wenn man das geschafft hat, dann analysiert man eben wo, in welcher Reihenfolge verschlüsselt man erst die Backups, dann die Systeme und zieht vorher vielleicht noch die Daten ab, damit man die eben auch noch mal gegen das Opfer, sozusagen als Erpressungs-Druckmittel nutzen kann. Und dann wird eben eine Zahlungs-, eine Lösegeldforderung aufgestellt und gesagt: Liebe Leute, ihr könnt euch hier bei uns im Chat für den Support melden. Aber wir hätten jetzt gern bis dann und dann soundsoviel Euro oder in umgerechnet Dollar über Kryptogeld, über Kryptowährungen wie Bitcoin, Monero et cetera und darüber wird dann sozusagen die Lösegeldforderung erst mal als Druck aufgebaut und versucht einzuholen.

ES: Das heißt bei Kommunen geht es tatsächlich eher um die Daten, die da abgegriffen werden, als dass da Infrastruktur auch tatsächlich lahmgelegt wird?

MA: Die Infrastruktur wird lahmgelegt, und man versucht damit natürlich das Lösegeld zu bekommen. Da aber die Tätergruppierungen natürlich in den vergangenen Jahren gelernt haben, dass manche Leute tatsächlich auch ein Backup haben und das sogar einspielen können und es sogar funktioniert, haben die also als Optimierung des Prozesses Anreizes, dass ihre Kunden auch zahlen, sozusagen erweitert, dass sie sagen, sie stehlen erstmal jede Menge Daten oder kopieren die runter. Und dann wird die Lösegeldforderung gesetzt. Und wenn jemand sagt: "Von uns kriegt ihr gar nichts. Wir haben ja das Backup." Dann sagen die: "Ja, wir haben auch eins. Und wenn ihr nicht wollt, dass das im Internet steht und da sind teilweise dann vertrauliche Daten drinnen und hochbrisante Daten", dann kann man dadurch vielleicht das Opfer doch dazu bringen, dass es eben doch die Lösegeldforderung zahlt.

ES: Sie haben schon gesagt, es geht da um organisierte Kriminalität. Wer greift denn da überhaupt an? Weiß man wer diese Gruppierungen sind?

MA: Die Gruppierung insgesamt sind natürlich schon bekannt. Die haben ja bestimmte Namen und geben sich als das ja auch in der Lösegeldforderung zu erkennen. Aber es ist eben so, dass beispielsweise über die Conti-Gruppe bekannt geworden ist, dass das ein internationaler Haufen von Menschen ist, die keine Ethik und Moral kennen, dafür aber ein korruptes Gehen besitzen. Das heißt, die nennen sich Programmierer und Entwickler, die weltweit aus USA, Europa, Ukraine, Russland und so weiter kommen. Und dieser bunte Mix, den eint eigentlich, dass sie viele Millionen Dollar erpressen wollen, um eben Geld zu verdienen. Bei dieser Gruppe wird speziell sogar noch festgestellt, dass sie einen Kontakt zum russischen Geheimdienst offenbar haben. Es sieht so aus, dass sie mit dem FSB gemeinsame Sache machen. Das heißt, manche Gruppierungen sind reine Cybercrime-Banden, die also wirklich nur auf Geld sind, manche haben einen Park geschlossen, mit Geheimdiensten oder mit Regierungen. Sodass sie also da auch freier operieren können, dafür aber vielleicht die eine oder andere Handlung für diese Regierung vornehmen. Insofern sind das wirklich sehr unterschiedliche Akteure. Oder eigentlich machen sie alle dasselbe: Erpressung. Aber sie haben eben unterschiedliche Ziele und Aufgabenstellungen oder Hintergrund-Sichtweisen.

ES: Wenn Sie sagen, Russland: Wie spielt denn dann der Krieg, der gerade in der Ukraine ist, damit rein? Sind wir schon im Cyberwar?

MA: Den Cyberwar als Begriff für sich gibt es nicht. Das ist das, was die Rüstungsindustrie und ahnungslose Militärberater*innen, oder hauptsächlich Berater, es ist tatsächlich eher das alte weiße Männer Syndrom, die das auf bunte Powerpoint-Folien malen. Die erzählen "Cyberwar! Cyberwar! Und jetzt können wir alleswegcybern. Und dann ist alles total toll!" Die Realität sieht so aus, dass das überhaupt keine Relevanz hat. Denn das Kriegsgeschehen wird nicht im Cyberraum irgendwie erledigt. Und man kann auch nicht kritische Infrastrukturen wegcybern und die Ukraine besiegen. Sondern tatsächlich passiert das, indem klassisch Raketen und Bomben auf Stadtwerke geworfen werden und dann eben einen Großteil der ukrainischen Bevölkerung kein Wasser oder keinen Strom mehr hat. Wenn man allerdings das ganze erweitert um den hybrid warfare, also den Mix, das heißt, die den Cyberraum als Dimension mit nutzt, um einen Krieg zu unterstützen, dann kann man natürlich auch sagen, dass das findet Einklang in dem Bereich der information warfare genannt wird. Das heißt, Propaganda, die man vorher mit Flugblättern aus dem Flieger geworfen hat. Macht man jetzt über Online-Systeme über Social Media, über Memes die man verteilt, Videos, Fake-News und Deepfakes teilweise. Und das ist natürlich ein Teil, der genutzt wird. Wenn also jemand von information warfare redet, dann scheint er Ahnung zu haben. Wenn jemand Cyberwar erwähnt, dann müssen Sie vorsichtig werden. Das sind meist Ahnungslose, die bunte Folien malen. Aber es ist eben ein weiterer Raum im Kriegsgeschehen, der genutzt wird. Und der wird natürlich auch aus diesen Aspekten zu eigenen Vorteilen genutzt. Sei es aus der Ukraine, sei es aus Putin und seinen Akteuren, die den Angriffskrieg leiten. Und es kann natürlich auch alle anderen Länder weltweit drumherum adressieren. Denn es gibt nur einen Cyberspace für alle. Und da sitzen nun mal von Militär über Geheimdienste und Nachrichtendienste bis hin zu kritische Infrastrukturen, die genannten Kommunen oder Landkreise, aber auch eben die Zivilgesellschaft und Hackerkollektive wie Anonymus zum Beispiel drin. Und da kann natürlich jeder gegenüber jedem auftreten und agieren.

ES: Jetzt werden wir in Deutschland ja in Zukunft eher mehr statt weniger Digitalisierung sehen. Vor allem auch in der Verwaltung. Sind wir denn auch vorbereitet auf, dann mehr Hacks?

MA: Dass wir mehr Digitalisierung in der Verwaltung sehen, das warte ich noch ab. Bisher sehe ich immer nur fachmännisches Staatsversagen. Wir haben nicht geschafft, Digitalisierung in die Verwaltung reinzubringen, als Know-how in die Verwaltung, sondern Digitalisierung ist immer so ein Projekt, was man kauft. Und dann kommen irgendwelche Dienstleistungen, stellen da irgendwo ein digitales Produkt hin und das ist kaputt. Und wir können es selber gar nicht betreiben, weil die Verwaltung das Know-how nicht hat. Insofern glaube ich, muss dieser Gedanken Wechsel erst mal passieren, das Know-how in die Verwaltung zu bringen. Dann können wir auch mal darüber reden, dass digitalisiert wird. Aktuell sind wir da eher in der Denkweise auf der Höhe eines Fax-Niveaus.

ES: Haben Sie denn Beispiele, wo es besonders gut läuft? Also gibt es Kommunen in Deutschland, wo man sich da mal was abschauen könnte? Oder im Ausland zum Beispiel. Haben Sie da Beispiele, wie so etwas aussehen könnte, dass es eben auch gut funktioniert und eben auch langfristig funktioniert?

MA: Ja, also im Ausland gibt es definitiv gute Beispiele. Estland ist ja ganz massiv angegriffen worden damals und hat danach gesagt Cyber Security ist jetzt Prio Nummer Eins und wir werden alles digitalisieren, und zwar hochsicher um die sind ein extrem digitalisiertes Land. Die Bevölkerung kann sämtliche Behördengänge irgendwie digital abwickeln, und die Bevölkerung weiß es sogar und kann es machen. Auch da ist die Kompetenz in die gesamte Zivilgesellschaft integriert worden, sodass das für alle einfach ein normaler Vorgang ist und nicht ein: "Oh, da ist jetzt ein digitaler Prozess. Und da brauche ich ein Telefon für oder ich brauche Internet. Oder ich muss irgendwie mit einer App agieren", das ist für die normal geworden, ja, die können das einfach machen. Und Prio Eins war halt, das Ganze sicher aufzusetzen. Die haben halt IT und Digitalisierungskompetenz in alle Köpfe integriert. Und dann ist halt der Benefit: Egal, wer dann bei der Verwaltung anfängt, ein gewisses Grund-Know-how an IT ist gegeben. Das zeigen ja die anderen Länder, die erfolgreich an der Stelle sind.

ES: Manuel Atug, vielen Dank!

MA: Bitte.

ES: Auch Julia und Carolin habe ich gefragt, was die Kommunen denn überhaupt tun können, damit es in Zukunft eben nicht mehr zu solchen Katastrophenfällen wie in Anhalt-Bitterfeld kommen kann.

JC: Das ist sehr, sehr unterschiedlich auf der einen Seite. Ich habe jetzt mit Marco Langhoff gesprochen, der selbst IT-Sicherheitsberater, hat eine eigene Firma, berät Kommunen, war auch in dem Digitalisierungsbeirat des Landes Sachsen-Anhalt, der dann aufgelöst wurde, oder er war dort sogar der Vorsitzende. Seine Einschätzung ist, dass die Sensibilität in den Kommunen sehr stark gestiegen ist und nicht nur in den Kommunen, sondern auch in den Unternehmen. Dass man sagt: hier wir müssen jetzt einfach dieses Geld in die Hand nehmen. Wir müssen jetzt hier was tun, das kann uns passieren. Und das ist die absolute Oberkatastrophe, wenn das passiert. Aber es gibt halt dann auch immer noch viele Kommunen, die das Geld nicht haben, die das nicht einsehen, die da zu wenig involviert sind in dieses Thema. Und es ist halt nicht gesetzlich geregelt oder beziehungsweise andersrum: Es gibt keine richtige Kontrolle darüber. Das haben wir halt so festgestellt in unserer Recherche. Das ist ein absoluter Flickenteppich ist, ob jetzt eine Kommune das tut oder nicht. Umso größer die Kommune, umso größer ist natürlich auch die IT-Sicherheitsabteilung. Also man kann davon ausgehen, dass eine Stadt, eine Großstadt besser geschützt ist als jetzt so eine kleine Kommune auf dem Land. Einfach aus finanziellen Mitteln und auch aus Personalgründen. Aber wir haben auch gesehen, dass eine Stadt wie Schwerin angegriffen wurde, also Landeshauptstadt und ganz viel Schaden angerichtet wurde. Also die sind davor auch nicht gefeit. Und das war sozusagen dann der weitere Teil unserer Recherche. Zu gucken: Wer ist denn für was zuständig? Und wie ist das aufgeteilt in Deutschland? Und da muss ich sagen: also das war sehr, sehr kompliziert. Weil es wirklich ein ja, es ist schwer zu verstehen, wer für was zuständig ist. Und was es genau für Gesetze gibt und wer was machen muss. Und darin mag auch das Problem liegen. Also das hat uns zum Beispiel die Anke Domscheit-Berg von der Linken auch gesagt, dass das ein Teil des Problems ist, dass es eben relativ häufig zu solchen Angriffen kommt.

ES: Wer ist denn zuständig im Fall eines Hackerangriffs?

JC: Zuerst, wenn es jetzt ein erfolgreicher Angriff war, dann wird natürlich Anzeige erstattet. Und dann kommen die Ermittlungsbehörden der Polizei natürlich ins Spiel. Die gehen der Geschichte erst mal nach: Wer war das? Also, die machen da richtig forensische Untersuchungen, nehmen sich die Festplatten, gucken: Was sind das für Codes? Wo kommen die her? Haben wir da irgendwelche Anhaltspunkte und arbeiten dann auch mit dem Bundeskriminalamt zusammen, die da auch Expert*innen haben, die sich da auseinandersetzen mit den technischen Sachen und versuchen dann zu verifizieren: was ist das für eine Gruppe? Wo kommen die her? Gibt es da konkrete Personen, die dahinterstecken? Und wie kann man denen habhaft werden, da die eigentlich immer im Ausland sitzen, wird dann auch Interpol eingeschaltet. So, das ist erst mal die Ermittlungsebene.

CH: Und dann geht es aber natürlich auch darum: Wer geht hin und räumt auf bei dem Schaden? Und da sind einmal die CERTs zuständig. Das sind sogenanntes Cyber Emergency Response Teams, die sowohl für die Prävention verantwortlich sind, als auch in Teilen für die Schadensbehebung. Wenn sie denn entsteht. Und die gibt es für die Kommunen jetzt einerseits auf Landesebene, beziehungsweise da in Teilen sozusagen, sind es auch in Ländern, sind mehrere Länder zusammengefasst, quasi bei einer Organisation. Und dann gibt es da auch noch einmal Einheiten auf Bundesebene, die dann helfen kommen können. Und das war nach meiner Information im Bitterfeld auch der Fall. Das Problem ist aber, sagen Expertinnen und Experten, das es gar nicht genug Leute gibt die, wenn es zu einer größeren Schadenslage käme, die jetzt vielleicht auch nicht nur Bitterfeld betrifft. Und im Übrigen hat‘s in Bitterfeld ja auch wahnsinnig lange gedauert. Da ist bis heute noch nicht alles wieder hergestellt. Aber wenn das jetzt noch weitere Kreise ziehen würde: Es gibt gar nicht so viele Leute, die kommen und aufräumen, sag ich jetzt mal. Deswegen fordern auch einige Expertinnen und Experten und inzwischen auch die Grünen. Die haben dann Papier vorgelegt, fordern einen Cyberhilfswerk ähnlich so einem Technischen Hilfswerk, das also im Fall von so einer Cyberkatastrophe kommt und schaut, dass möglichst schnell die Strukturen wiederhergestellt werden, mit denen dann die nötigen Dienstleistungen und Services wieder gewährleistet werden können und da quasi nicht brachliegen über Monate.

ES: Und wer kümmern sich dann darum, dass die Kommunen zukünftig auch gut vorbereitet sind auf solche Angriffe?

JC: Na ja, das ist ja genau der Punkt, dass das nicht wirklich klar geregelt ist. Wir haben mit verschiedenen Expert*innen gesprochen und da war auch die einhellige Meinung, dass das Standards braucht. Dass eine Kommune, dass da klare Regeln gelten müssten eigentlich, einheitliche Richtlinien oder auch Gesetze, wo man sagt: das und das muss überprüft werden alle zwei Jahren von unabhängigen Expert*innen. Das muss installiert werden, das ist auf jeden Fall wichtig, dass Personen benannt werden, die dafür dann verantwortlich gemacht werden können, wenn was passiert. Das sind zum Beispiel Dinge, die werden bei der kritischen Infrastruktur eigentlich immer angewandt durch das BSI. Das ist das Bundesamt für Sicherheit in der Informationstechnik. Da gibt es ein sogenanntes BSI-Gesetz, das genau besagt, also die kritische Infrastruktur muss das und das und das tun in der Cybersicherheit damit, die gut geschützt sind. Und eigentlich fallen die Kommunen ja, wie Carolin erklärt hat, unter die kritische Infrastruktur. Aber sie fallen wiederum nicht unter dieses BSI-Gesetz, weil die Kommunen ein Selbstbestimmungsrecht haben und man da sagt: der Bund kann dann nicht eingreifen in dieses Selbstbestimmungsrecht. Was fast ein bisschen seltsam ist, weil die Kommunen Bundesaufgaben erfüllen. Also die stellen ja zum Beispiel Bundesreisepässe aus und haben Zugriff auf die Bundesdruckerei. Und deswegen wäre es, das meinen auch einige Expert*innen, sehr wichtig, dass sie eben doch unter dieses BSI-Gesetz fallen und es einheitliche Standards gibt, wie diese Kommunen ihre IT-Sicherheit organisieren.

CH: Es gibt keine wirklich funktionierende Cyber-Sicherheitsarchitektur, die die Kommunen mit einbezieht. Und das hat uns die Expertin für Cybersicherheit der Linkspartei, Anke Domscheit-Berg, so auch noch einmal gesagt.

Bitterfeld war, glaube ich, eine wichtige Warnung für alle anderen Kommunen. Außerdem ist es so, dass sehr viele Kommunen ja ähnliche Software benutzen. Dass sie manchmal sogar den gleichen IT-Dienstleister teilen. Und wenn da ähnliche Softwareprodukte verwendet werden, dann kann natürlich auch eine bestimmte Schadsoftware die gleichen Programme in unterschiedlichen Kommunen attackieren.

Anke Domscheit-Berg

CH: Mit den Informationen, die die Angreifenden durch diesen Angriff bekommen, können sie noch mehr angreifen. Und da kann dann eine Art Flächenbrand entstehen in Deutschland. Also da ist wirklich eine Schwachstelle in der gesamten Sicherheitsarchitektur.

ES: Carolin, du hast eben schon gesagt, dass in Bitterfeld noch gar nicht wieder alles hergestellt ist. Das wäre jetzt auch meine letzte Frage gewesen. Ein gutes Jahr später: Wie ist die Lage in Bitterfeld?

CH: Im März waren immer noch wieder nur ein Drittel der Verwaltungsrechner im IT-Netz integriert. Das ist natürlich schon mal nicht ganz so ideal. Ein Standort der Landkreisverwaltung in Zerbst ist komplett abgekoppelt gewesen, immer noch. Und es sind eben diese Daten veröffentlicht worden, und man weiß ja auch nicht, was mit den anderen Daten, die dort gestohlen wurden, was mit denen passiert ist. Also so ganz kann man es nicht einschätzen, wie weit das da geht. Aber eben sozusagen, die Verwaltung ist noch nicht wieder ganz hergestellt.

JC: Ja und die Kfz-Zulassungsstelle da sind über 10.000 Anträge, die da noch liegen, die einfach nacheinander abgearbeitet werden müssen. Und es wurde ja auch im MDR berichtet: Was bedeutet das für Autohäuser? Was bedeutet es für Handwerker*innen, die dringend auf die Fahrzeuge angewiesen sind? Taxiunternehmen… Das kann auch schon existenziell sein, wenn es Monate dauert, bis ein Auto angemeldet oder abgemeldet wird oder auch jeder weiß, der sagt oder die sagt: Ich möchte ein Auto verkaufen und das brauche ich vielleicht, das Geld. Und es dauert dann Monate. Das kann schon auch sehr, sehr unangenehm werden. Eben vor allem für Unternehmen, die auf diese Fahrzeuge angewiesen sind. Und 10.000 Anträge mal abzuarbeiten. Das dauert einfach sehr, sehr lange.

ES: Julia Cruschwitz und Carolin Haentjes. Danke euch!

CH: Danke dir, Esther!

JC: Vielen Dank auch an dich!

ES: Das war der Podcast "MDR Investigativ – Hinter der Recherche". Der Film zu Cyberangriffen auf Kommunen, der lief am 13. April bei Exakt. Sie finden ihn aber noch immer in der ARD Mediathek. Die nächste Folge dieses Podcasts erscheint dann in zwei Wochen am 20. Mai und dann auch wieder mit meiner Kollegin Secilia Kloppmann. Ich freue mich, dass Sie zugehört haben! Machen Sie es gut und bleiben Sie gesund.

Dieses Thema im Programm: MDR FERNSEHEN | Exakt | 13. April 2022 | 20:15 Uhr

Weitere Podcasts von MDR AKTUELL