Deutschlands erste Cyberkatastrophe Bilanz nach Cyberangriff: Wie schlimm ist es wirklich?

10. August 2023, 05:00 Uhr

Die russischen Cyberkriminellen, die den Landkreis Anhalt-Bitterfeld lahmgelegt haben, haben sich "PayOrGrief" genannt. In ihrem Erpresserschreiben haben sie dem Landkreis gesagt: "You are fucked". Ist die deutsche Verwaltung insgesamt schlecht dran? Welche Lehren lassen sich aus Anhalt-Bitterfeld – Deutschlands erster Cyberkatastrophe – ziehen? Podcast-Macher Marcel Roth ist besorgt. Aber nicht wegen ausländischer Hacker.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Ja, der Landkreis Anhalt-Bitterfeld war fuc… Nicht einer der Rechner konnte mehr benutzt werden. Niemand in der Verwaltung konnte arbeiten. Auch die IT im Filmmuseum in Bitterfeld und in Musikschulen ging nicht mehr. Fast zwei Jahre lang war das gewohnte Arbeiten gestört. Das Schlimmste aber: Niemand war darauf vorbereitet. Es gibt kein Buch mit Anweisungen, das jemand aus der Schublade ziehen konnte.

Niemand wusste, was zu tun ist

Und das ist das größte Versäumnis damals und heute: Verwaltungen, Unternehmen und auch Privatpersonen, die nicht auf den schlimmsten Fall vorbereitet sind. Und die sich nicht fragen, wie sie schnellstmöglich wieder das tun, wofür sie da sind.

Deutschlands erste Cyberkatastrophe war für solche Fragen ein Weckruf. Aber das heißt nicht, dass zwei Jahre danach alle Kommunen und Landkreise besser auf solche Fälle vorbereitet sind. Sie wissen nur, welche Aufgaben sie zu erledigen haben. Und die sind enorm: Jede einzelne Gemeinde muss ihre IT-Infrastruktur selbst schützen – vor Akteuren, die mit krimineller Energie und womöglich mit staatlicher Unterstützung handeln.

Cyberangriffe rütteln am Föderalismus

Im Podcast "You are fucked – Deutschlands erste Cyberkatastrophe" sagt ein Experte, dass die Oberbürgermeisterin von Magdeburg nicht dafür zuständig ist, ihre Elbbrücken vor Luftangriffen zu schützen. Für den Schutz der IT der Stadtverwaltung Magdeburg, die aus dem internationalen Cyberraum bedroht wird, ist sie sehr wohl zuständig. Hat sie dafür genug Geld? Genug Expertise in IT-Abteilung und Verwaltung? Vorgaben hat sie dafür bislang nicht. Nur Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Aber BSI und Bund können Städten und Gemeinden keine Vorgaben für die IT-Sicherheit machen. Das können nur die Bundesländer. Möglicherweise könnten deshalb demnächst unterschiedliche Vorgaben in den einzelnen Bundesländern gelten: Die IT der Stadt Halle muss dann andere Vorgaben erfüllen als die in Leipzig. Das wäre absurd. Der Cyberraum ist international.

Stand der IT-Sicherheit: unbekannt

Aber darauf sind wohl unsere Verwaltungen auch zwei Jahre nach der ersten Cyberkatastrophe nicht genügend vorbereitet. Das ist meine persönliche Bewertung. Objektiv und faktenbasiert kann das niemand in diesem Land ernsthaft bewerten. Denn niemand weiß wirklich, wie gut unsere Städte und Gemeinden, unsere Landkreise vor Cyberangriffen geschützt sind. Niemand fragt strukturiert ab, wie IT-sicher die deutschen Verwaltungen sind.

Sachsen-Anhalts Digitalministerium musste bei der Kommunalen IT-Union anklopfen, einer Genossenschaft, in der Kommunen, Landkreise und das Land IT betreiben. "Auf kommunaler Ebene ist ein sehr unzureichendes Informationssicherheitsniveau gegeben", so das Digitalministerium. Man sei deshalb auch nur unzureichend auf Sicherheitsvorfälle vorbereitet. Auch für Teile der Landesverwaltung sieht das Digitalministerium die IT-Sicherheit durchschnittlich als unzureichend an.

Bemerkenswert: Die Antwort kommt vom Digitalministerium und nicht vom Innenministerium – dem "Sicherheitsministerium", wie es auf der Webseite heißt. Dabei steckt in "IT-Sicherheit" derselbe Begriff. Aber das Digitale – und damit auch die digitale Sicherheit – lässt sich nicht delegieren. Jedes Ministerium muss sich für seinen Bereich darum kümmern. 

Wie sicher sind also die Städte und Gemeinden? Sauber kann das niemand beantworten.

Ein stilisierter Totenkopf und ein Bildschirm, der ein Schaf zeigt. 55 min
Bildrechte: MDR/Stefan Schwarz, Max Schörm

Orientierungslos im Cyberraum

Wer nicht weiß, wo er steht, weiß auch nicht, wohin er gehen muss. Ein "100-Meter-Lauf der Orientierungslosen", so nennt Valentina Kerst die Digitalisierung in Deutschland in ihrem Buch "Schleichender Blackout" in Anlehnung an die britischen Komiker Monty Python.

Kerst schreibt, die Verwaltung ist das Betriebssystem unserer Gesellschaft. Wer sie angreift, greift unser soziales Miteinander an. Und Kerst fordert ein Update für das Betriebssystem unseres Landes.

Eine unterstützenswerte Forderung. Nur: Dafür müssen wir alle unsere Komfortzone verlassen. Wir müssen uns einbringen, unsere Meinung, unsere Werte teilen. Wir müssen sagen, wie wir uns einen digital kompetenten Staat vorstellen. Und: Wir müssen wissen, worüber wir reden. Wir müssen uns trauen, Fragen zu stellen: Wie funktioniert eigentlich so eine Smartphone-App? Wie geht maschinelles Lernen? Kann ein Smartphone ohne SIM-Karte funktionieren? Wie gehen Hacker vor? Was wollen sie? 

Wir reden zu wenig über die Zukunft

Und solche Fragen dürfen nicht nur Menschen stellen, die glauben, sie hätten "digital" verstanden – solche Fragen müssen alle, überall stellen. Viel zu ruhig ist es zum Beispiel bei der gesamtgesellschaftlichen Diskussion um die KI-Regulierung, an der die EU arbeitet. Wo wird darüber mit allen diskutiert? Wo reden wir über die Zukunft?

Was Deutschlands erste Cyberkatastrophe gezeigt hat: Wir dürfen uns nur über das ärgern, was wir in der Hand haben. Wir dürfen uns über den Landkreis Anhalt-Bitterfeld ärgern. Aber nicht, weil er angegriffen wurde, sondern weil er nicht vorbereitet war, weil Zuständigkeiten und Befindlichkeiten Zeit gekostet haben und weil gesamtstaatlich kaum jemand vorbereitet war – weder auf die IT-Probleme noch auf die organisatorischen Probleme, die eine Cyberkatastrophe verursacht.

Schon klar: Solcher Ärger und solche Diskussionen sind fürchterlich anstrengend. Aber sie lohnen sich, weil wir sie beeinflussen können. Weil wir sehen, dass wir handeln können. So werden wir selbst zu souveränen IT-Nutzern und bleiben nicht nur Konsumenten großer Konzerne. Wir haben es also in der Hand: vorbereitet zu sein auf Cyberangriffe, vorbereitet zu sein auf eine bessere digitale Welt.

You are fucked – Deutschlands erste Cyberkatastrophe

Ein stilisierter Totenkopf und ein Bildschir, der ein berühren-verboten-Schild zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
Ein stilisierter Totenkopf und ein Bildschirm, der eine zerbrochene Vase zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
51 min

Der Landkreis Anhalt-Bitterfeld hat den Katastrophenfall ausgerufen. Aber gelöst ist dadurch nicht ein einziges IT-Problem. Außerdem: Das BSI kommt und eine IT-Firma ist nach neun Tagen wieder weg.

MDR SACHSEN-ANHALT Do 13.07.2023 00:01Uhr 50:59 min

Audio herunterladen [MP3 | 46,7 MB | 128 kbit/s] Audio herunterladen [MP4 | 93,6 MB | AAC | 256 kbit/s] https://www.mdr.de/mdr-sachsen-anhalt/podcast/you-are-fucked/audio-die-zerbrochene-vase-folge-zwei-100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio
Ein stilisierter Totenkopf und ein Bildschirm, der ein Dokument zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
Alle anzeigen (7)

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 10. August 2023 | 12:00 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/d8a0ee16-0b08-41ab-9d6f-9ab0b18b695d was not found on this server.

Mehr aus der Region Dessau-Roßlau

Mehr aus Sachsen-Anhalt