Cyberangriffe auf Gebietskörperschaften sowie ihre Betriebe und Dienstleister nehmen zu
Am 5. Juli 2021 fielen in der Verwaltung des Landkreises Anhalt-Bitterfeld schlagartig die IT-Systeme aus. Die Folgen waren weitreichend und langanhaltend: Es wurde berichtet, dass unter anderem Sozial- und Unterhaltsleistungen nicht mehr an die Bürgerinnen und Bürger ausgezahlt, Fahrzeuge nicht mehr zugelassen oder auf die Online-Terminvergabe zugegriffen werden konnte. Die Landkreisverwaltung Anhalt-Bitterfeld war Opfer eines Ransomware-Angriffs geworden. Kriminelle hatten durch eine eingeschleuste Schadsoftware sämtliche Daten im Netzwerk der Verwaltung verschlüsselt und damit unzugänglich gemacht. Für die Wiederherstellung der Daten – und damit der Arbeitsfähigkeit der Kreisverwaltung – forderte sie ein beträchtliches Lösegeld. Doch die Täter hatten die Systeme der Landkreisverwaltung nicht nur verschlüsselt; sie hatten auch unbemerkt viele, teils sensible Daten heruntergeladen. Einen kleinen Teil davon veröffentlichten sie im Darknet – zunächst im Verborgenen, nur auffindbar durch einen speziellen Link, mit dem sie ihrer Forderung Nachdruck verliehen: Sollte nicht bezahlt werden, würden viele weitere vertrauliche Daten veröffentlicht, so die Drohung. Als Behörde kam die Landkreisverwaltung der Lösegeldforderung nicht nach und schaltete umgehend die Polizei sowie ihre IT-Dienstleister ein. Um umfassendere Reaktionsmöglichkeiten zur Schadensminimierung zu erhalten, wurde wenige Tage später der erste durch einen Cyberangriff verursachte Katastrophenfall in der Geschichte der Bundesrepublik ausgerufen. Dieser sollte erst am 31. Januar 2022 für beendet erklärt werden – übrigens ohne, dass alle betroffenen Systeme bis dahin vollständig wiederhergestellt worden wären.
Dieser Fall ist nur eines von mehreren Dutzend Beispielen in Deutschland aus den vergangenen beiden Jahren und zeigt, wie real die Bedrohungen aus dem Cyberraum für kommunale Verwaltungen und ihre Betriebe in Deutschland geworden sind. Kriminelle drangen dabei in die Datensysteme der Opfer ein, kompromittierten deren Netzwerke und setzen letztlich eine Ransomware ein. Diese Form von Schadsoftware existiert in vielen unterschiedlichen Varianten. Allen ist gemein, dass sie die Opfer durch eine digitale Verschlüsselung von ihren eigenen Systemen aussperrt. In der Regel wird gegen ein Entgelt dann eine Entsperrung angeboten. Immer häufiger werden zunächst Daten aus den Opfersystemen ausgeleitet und kopiert, um sie später für neue Erpressungsversuche nutzen zu können oder diese im Darknet an Dritte zu verkaufen.
Wir gehen davon aus, dass die für Gesellschaft und Ordnung essenziellen Dienste der kommunalen Daseinsfürsorge sowie der Verwaltungen auf Gemeinde- und Kreisebene mit vielen, teils sensiblen Daten auch in Zukunft eine attraktive Zielscheibe für Cyberkriminelle bilden. Vor dem Hintergrund einer zumindest propagierten hybriden Kriegsführung Russlands und der Ukraine auch im Cyberraum ist daher insgesamt von einer ernsten Bedrohungslage auszugehen. Der Prävention kommt deshalb eine besonders hohe Bedeutung zu.
Aktuelle Erkenntnisse weisen darauf hin, dass die fundierte Absicherung der IT-Infrastrukturen die Resilienz gegenüber Cyberangriffen bzw. hiermit gekoppelten Erpressungsversuchen durchaus erhöht.
Wirksame Vorbeugung beginnt damit, sich der Gefahren der Cyberkriminalität bewusst zu sein. In allen Organisationen sollte dieses Bewusstsein, beispielsweise durch entsprechende Schulungen, wach und aktuell gehalten werden. Das Bundesamt für Sicherheit in der Informationstechnik, das Bundeskriminalamt und weitere Sicherheitsbehörden veröffentlichen zu diesem Zweck regelmäßig Warnmeldungen, Auswertungen und Empfehlungen, um die Bevölkerung und Institutionen schnell über neue Gefahren zu informieren und zu sensibilisieren. Bereits eine einzelne Phishing-Mail, die von einer Einzelperson nicht sofort als solche erkannt wird, kann die Integrität eines gesamten Organisationsnetzwerkes gefährden. Wer zudem seine IT-Systeme und insbesondere die darauf betriebenen Betriebssysteme und Programme stets auf dem neuesten Stand hält, hat bereits einige Sicherheit gewonnen. Darüber hinaus ist eine fortlaufende und fachkundige Absicherung der Netzwerke unerlässlich. Wer dies nicht selbst leisten kann, ist gut beraten, dafür spezialisierte Dienstleister zu beauftragen.
Zusätzlich empfehlen wir Wirtschaftsbetrieben, rein vorsorglich einen Kontakt zur Zentralen Ansprechstelle Cybercrime (ZAC) des jeweiligen Landeskriminalamts zu etablieren. Ihre Rufnummern und E-Mail-Adressen sind auf www.polizei.de zu finden.