Die Zahl der Hackerangriffe in Deutschland steigt. Auch Kommunen sind betroffen. Welche Folgen ein Hackerangriff haben kann, zeigt ein Blick nach Ludwigshafen.
Am späten Abend des 21. Oktober 2022 bemerkt Martin Frank über sein Diensthandy einen großen Datenabfluss im IT-System der Verwaltung des Rhein-Pfalz-Kreises. Dass da etwas Merkwürdiges passiert, wird dem Technik-Chef der Kreisverwaltung schnell klar, aber ein Hackerangriff? “Man hat im Hinterkopf, dass so etwas passieren kann. Aber dass es einen selbst trifft, muss man erst einmal realisieren”, erzählt Frank.
Glücklicherweise reagiert er schnell und zieht dem gesamten System den Stecker. Doch dass die Kriminellen Daten abziehen und auf den Rechnern der Kommune verschlüsseln, lässt sich damit nicht mehr verhindern. Seit diesem Abend vor knapp einem halben Jahr ist für die Verwaltung der Ausnahmezustand zum Alltag geworden.
Erst für den Sommer rechnet die Verwaltung wieder mit Normalbetrieb. Eine Zeit lang funktionierte kein Rechner, kein Telefon. Derzeit bespielen IT-Techniker um Frank etwa 750 neue Laptops mit Software für die Verwaltungsmitarbeiterinnen und -mitarbeiter. Davor mussten die sich noch Funktionslaptops teilen.
Noch immer nicht alle Bereiche funktionsfähig
“In zwei, drei Wochen dürften wir mit dem Gröbsten durch sein”, schätzt Landrat Clemens Körner die Lage ein. Die alten Rechner wurden vollständig entsorgt, wie der CDU-Politiker schildert – zu groß die Gefahr, dass sich dort noch irgendwo Schadsoftware versteckt.
Noch immer sind bei der Verwaltung in Ludwigshafen nicht alle Bereiche funktionsfähig: Der Zulassungsstelle etwa fehlt noch der digitale Zugang zum Kraftfahrt-Bundesamt. Ohne die Außenstellen der Kreisverwaltung wäre in diesem Bereich über Monate gar nichts gegangen, wie Körner schildert.
Der Verwaltung ist seit jenem Abend im Oktober kaum etwas anderes übriggeblieben, als zu improvisieren. “Direkt am Montag nach dem Angriff haben wir ein kleines Not-Netz aufgebaut”, erzählt Landrat Körner. “Es war klar: Wir mussten so schnell wie möglich wieder digital arbeiten.”
Doch das ist alles andere als einfach, wenn Daten verschlüsselt sind und Anwendungen noch nicht funktionieren. “Nach dem Angriff waren in wenigen Tagen die Zahlungen für die Sozialleistungen fällig. 1100 Empfänger brauchten ihr Geld”, erzählt Körner. Die Beschäftigten des Kreises erfragten daraufhin Kontoverbindungen, füllten Excel-Tabellen aus – von Hand, 1100 Mal. “Die ganze Verwaltung hat da mitgearbeitet”, sagt Körner.
Der Kreis zahlte die geforderte Summe nicht
Wie genau der Angriff im Oktober ablief, lasse sich wohl nicht mehr rekonstruieren, meint der Landrat. Vermutlich war es ein Laptop oder ein PC im Home-Office, über den die Angreifer ins System gelangten. Klar ist: Die Hacker forderten nach dem Zugriff Lösegeld für die Freigabe der Daten. Wie viel? Das will der Landrat nicht sagen, es solle keinen “Marktwert” für die Erpressung von Kommunen geben.
Der Kreis zahlte die geforderte Summe nicht, woraufhin um die 100 Gigabyte an Daten im Darknet veröffentlicht wurden. Darunter Informationen zu Geflüchteten aus der Ukraine, aber zum Beispiel auch zur Bevölkerungszählung im vergangenen Jahr.
Die Hackergruppe “Vice Society” hatte sich zu dem Angriff bekannt. Ihr werden Verbindungen nach Russland nachgesagt. In dem Vorfall ermitteln die Generalstaatsanwaltschaft in Koblenz sowie das Landeskriminalamt in Rheinland-Pfalz, aber die Täter aufzuspüren ist alles andere als leicht.
Immer mehr Cyberangriffe
Nach der Veröffentlichung der Daten im Darknet war auch die Kreisverwaltung gefordert: “Mehr als 30 Mitarbeiter waren über Monate damit beschäftigt, jede dieser Dateien zu öffnen und auf personenbezogene Daten zu überprüfen”, sagt Landrat Körner. “Jeder Einzelne wurde dann angeschrieben und informiert. An die 14.000 Anschreiben an betroffene Bürger waren das.” Dass die Verwaltung nicht völlig zum Erliegen kam, habe am Engagement der Beschäftigten und an der Unterstützung von Nachbarkommunen gelegen.
Cyberangriffe auf Unternehmen und öffentliche Einrichtungen, wie sie der Rhein-Pfalz-Kreis erlebt hat, nehmen zu: “Quantität und Qualität der Cyberangriffe steigen seit Jahren an, gerade auch durch Ransomware”, erklärt Carsten Meywirth, Leiter der Abteilung Cybercrime im Bundeskriminalamt.
Ransomware ist Software, die beispielsweise Daten verschlüsselt, um so Lösegeld zu erpressen – wie im Rhein-Pfalz-Kreis. Von Mitte 2021 bis Ende 2022 haben die Behörden nach BKA-Angaben mehr als zwei Dutzend Cyberangriffe auf kommunale Verwaltungen, Stadtwerke und Gesundheitseinrichtungen registriert.
“Grund für die steigende Bedrohung ist neben der voranschreitenden Digitalisierung und der Verlagerung der Kriminalität in den Cyberraum auch eine zunehmende Professionalisierung der Täter”, sagt Meywirth. “Während Cyberkriminelle früher ihre Taten alleine begingen, gibt es heute hochspezialisierte Dienstleister für einzelne Komponenten eines Cyberangriffs.”
Es geht auch um “Chaos und Verunsicherung”
Die Kriminellen tauschen sich untereinander aus, führen die Angriffe quasi arbeitsteilig aus. Dabei gehe es nicht nur um finanzielle Interessen, sondern auch darum, “Chaos und Verunsicherung” auszulösen, meint der Cybersecurity-Experte Christian Dörr vom Hasso-Plattner-Institut.
Um sich künftig besser zu wappnen, hat der Rhein-Pfalz-Kreis seine IT-Architektur neu aufgestellt. Das zu planen und umzusetzen sei ein “Kraftakt”, meint IT-Chef Frank. Die Server stehen nun in einem externen Rechenzenter. Zudem überwacht ein Dienstleister 24 Stunden am Tag das System auf auffällige Aktivitäten.
Wichtig sei zudem die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter, meint Frank. Es brauche Schulungen zu Fragen wie: “Wo darf ich in einer Mail draufklicken? Wann informiere ich die IT?”
Einheitliche Zertifizierung
Der Angriff sei ein Weckruf gewesen, sagt Landrat Körner. Diesen Weckruf hätten jedoch noch nicht alle Kommunen gehört. Dabei soll die Kommunikation mit den Behörden künftig digitaler werden, das dürfe nicht zu Lasten der Sicherheit gehen. Wichtig sei etwa eine einheitliche Zertifizierung der Behörden durch das Bundesamt für Sicherheit in der Informationstechnik.
“Das kostet Zeit, Aufwand und Geld”, sagt Körner. Aber die Folgen eines Hackerangriffs sind um einiges teurer: Für seinen Kreis rechnet Körner mit mindestens 1,7 Millionen Euro – die Kosten für die neue 24-Stunden-Überwachung noch nicht eingerechnet.