Nachrichten & Themen
Mediathek & TV
Audio & Radio
SachsenSachsen-AnhaltThüringenDeutschlandWeltLeben
Der bisher schwerwiegendste Cyber-Angriff auf eine Kommune ist im Juni 2021 auf den Landkreis Anhalt-Bitterfeld erfolgt. Bildrechte: dpa

Hacker-Attacken in DeutschlandIT-Angriffe: Kleine Kommunen, große Gefahr

von Julia Cruschwitz und Carolin Haentjes, MDR exakt

Stand: 17. April 2022, 06:00 Uhr

Bei Cyber-Attacken geraten immer wieder Kommunen ins Visier der Hacker – dabei ist der Katastrophenfall von Bitterfeld nur ein Beispiel. Bei solch einem Angriff können nicht nur viele sensible Daten gestohlen werden, es droht eine noch größere Gefahr.

Die erst kürzlich ausrangierten Computer in der Stadtverwaltung von Wolmirstedt bei Magdeburg sind fast museumsreif. "Es ist die Technik, mit der wir vor kurzem noch gearbeitet haben", sagt der stellvertretende Bürgermeister Marko Kohlrausch (parteilos). Doch im Rathaus macht man sich Gedanken um die Cyber-Sicherheit – nun soll digital aufgerüstet werden.

Nach jahrelanger Vernachlässigung hat die Stadt Wolmirstedt  über 140.000 Euro für neue Hardware in die Hand genommen. Corona war ein Auslöser, weil viel mehr digital ablief. Dazu kamen immer mehr Stadtverwaltungen, die durch Cyber-Attacken lahmgelegt wurden. "Also das sind sensible Daten, die wir hier verarbeiten", erklärt Kohlrausch. "Und das ist schon ein Super-GAU wenn das nach draußen geht."

Kleine Kommunen, große Sicherheitslücken

Die Pflege der Software und die Cyber-Sicherheit kosten nochmal rund 100.000 Euro pro Jahr. Darum kümmern sich nun externe Dienstleister – vor allem die Firma von Marco Langhof. Der Unternehmer und IT-Sicherheitsexperte sieht gerade bei kleinen Kommunen häufig sehr große Sicherheitslücken. Er meint, seit dem Ukraine-Krieg gäbe es insgesamt mehr Angriffsversuche, auch auf Kommunen.

Dies geschehe vor allem durch automatisierte Schadsoftware, die nach Schwachstellen suche und dort andocke. "Wir sehen eine Verschiebung der Angriffsmethodik, was das Ziel hat, das Vertrauen von Bürgern in den Staat zu erschüttern", sagt Langhof, der als Vorsitzender des Digitalisierungsbeirates des Landes Sachsen-Anhalt die Landespolitik beraten hatte. Mit dieser Methode sollten andere Länder dazu gebracht werden, sich mit sich zu beschäftigen, statt etwa Hilfe zu leisten.

Ukraine-Krieg: Der große Konflikt in kleine Kommunen getragen

So könnte der weltpolitische Konflikt in kleine Kommunen getragen werden. Ihre oft schlecht gesicherten IT-Strukturen sind ideale Ziele. Stellen also Cyber-Angriffe auf Kommunen ein ernstzunehmendes Sicherheitsproblem dar?

Nach Recherchen von MDR exakt hat es bundesweit acht erfolgreiche Angriffe auf Kommunalverwaltungen in den letzten neun Monaten gegeben. Der jüngste erfolgte im thüringischen Suhl: Dort wurden am 10. März mit einem Trojaner die Festplatten der Stadt verschlüsselt. Die gesamte Stadtverwaltung war zunächst lahmgelegt. Es konnten keine Dokumente wie Reisepässe ausgestellt werden.

Der bisher schwerwiegendste Angriff hat den Landkreis Anhalt-Bitterfeld im Juni 2021 getroffen. Dort wurde der erste Cyber-Katastrophenfall Deutschlands ausgerufen. Alle 160 Software-Programme waren betroffen, 900 Rechner mussten vom Netz. Eine Gruppe namens "Pay or Grief" forderte Lösegeld in Kryptowährung. Dokumente aus dem Innersten der Kreisverwaltung wurden veröffentlicht. Der Schaden beträgt zwei Millionen Euro.

In Bitterfeld kämpft man heute noch mit den Folgen. In der Kfz-Zulassungsstelle stapeln sich tausende unbearbeitete Aufträge. Nur rund ein Drittel der Verwaltungsrechner sind wieder im IT-Netz integriert.

Eine Sicherheitslücke: Viele kleine Kommunen können große Gefahr sein

Die Bundestagsabgeordnete der Linken: Anke Domscheit-Berg. Bildrechte: MITTELDEUTSCHER RUNDFUNK

"Bitterfeld war, glaube ich, eine wichtige Warnung für alle anderen Kommunen", sagt die Bundestagsabgeordnete der Linken, Anke Domscheit-Berg. Besonders kleinere und ärmere Kommunen seien schlecht aufgestellt – und es komme ein weiteres Problem hinzu: "Sehr viele Kommunen benutzen ähnliche Software und manchmal sogar den gleichen IT-Dienstleister." So könne eine Schadsoftware die gleichen Programme bei unterschiedlichen Kommunen attackieren. "Das heißt, wir können auch in eine Situation kommen, wo nicht eine Kommune, sondern hundert oder tausend betroffen sind. Und dann wird das gleich ein Flächenbrand."

Ein Flächenbrand, der in größeren Teilen Deutschlands kritische Infrastruktur lahmlegen könnte – also etwa Strom- oder Wasserversorgung, auch Kommunen fallen darunter. Mit dem BSI-Gesetz möchte das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – die kritische Infrastruktur vor Cyber-Angriffen schützen. Merkwürdig nur: Kommunen werden nicht im BSI-Gesetz erwähnt. Weil Vorgaben durch eine Bundesbehörde in das Selbstbestimmungsrecht der Kommunen eingreifen würden.

"Ich glaube, dass die Kommunen unbedingt explizit im BSI-Gesetz erfasst werden müssen, damit für sie auch ganz konkrete Anforderungen gelten", Anke Domscheit-Berg. So sollten zur Erhöhung der IT-Sicherheit die Kommunen etwa einen Basis-IT-Grundschutz erfüllen müssen und dies sollte auch alle zwei Jahre extern überprüft werden.

Cyber-Feuerwehren sollen in Notfällen eingreifen und vorbeugen

Der Bereich der "Gefahrenabwehr" allerdings liegt bei den Ländern. Dafür sollen sie sogenannte CERTs etablieren: Diese "Cyber Emergency Response Teams” sollen eine Art Cyber-Feuerwehr sein, die Wache hält und im Notfall eingreift.

In Sachsen sitzt das Cyber-Sicherheitsnotfallteam des Freistaates – das Sax.CERT – in Dresden. "Wir haben jeden Tag so zwischen 20 und 30 Schwachstellen, die erkannt werden", sagt der Landes-Beauftragte für Informationssicherheit, Jörg Steinig. "Und regelmäßig nutzen dann unsere Kommunen oder auch die Landesverwaltungen den Dienst, den das Notfallteam hier anbietet."

Im Lagezentrum dokumentiert das Team täglich, welche Server der Landes- und Kommunalverwaltung aktuell Schwachstellen haben. Die acht Mitarbeitenden des Notfallteams versenden Aufforderungen zum Sicherheits-Update an die Kommunen, die den Dienst abonniert haben.

Sachsen hat ein eigenes Netz für Kommunen aufgebaut

Sachsen hat ein eigenes Netz aufgebaut, in dem inzwischen alle Kommunen des Bundeslandes eingebunden sind. "Das sächsische Verwaltungsnetz und das kommunale Datennetz sind am Eingang, am Übergang sozusagen zum Internet, also an der Grenze zur Bedrohungslage aus dem Cyberraum miteinander gekoppelt", erklärt Jörg Steinig. Es würden gemeinsame Dienste genutzt und durch eingebaute starke Abwehrmechanismen alle geschützt.

Sachsen hat ein Informations-Sicherheitsgesetz. Darin sind Standards für die Kommunen festgelegt, was die Cyber-Sicherheit betrifft. Außerdem werden kostenlose Schulungen für Mitarbeitende in Verwaltungen angeboten. Alle Attacken auf sächsische Kommunalverwaltungen konnten bisher abgewehrt werden. Doch erfolgreiche Angriffe auf kommunale Eigenbetriebe in Sachsen gab es durchaus, sowie auf die Stadtwerke Pirna oder die Stadtreinigung Leipzig. Denn Eigenbetriebe wiederum sind nicht an das sächsische kommunale Datennetz angeschlossen.

In Thüringen wird gefördert, in Sachsen-Anhalt keine Angebote

"Da sind im Moment unendlich viele Behörden in irgendeiner Art und Weise zuständig", sagt Linken-Politikerin Anke Domscheit-Berg. Es sei unfassbar unübersichtlich und funktioniere in der Praxis nicht. So sind nach Recherchen von MDR exakt bundesweit auch die CERTs, also die Cyber-Notfallteams, sehr unterschiedlich aufgestellt, Beispiel Mitteldeutschland: Das Thüringen CERT hat sieben Mitarbeitende. Thüringer Kommunen können sich die Einführung einer Sicherheitssoftware vom Land fördern und sich beraten lassen.

Sachsen-Anhalt dagegen hat gar kein eigenes CERT. Gemeinsam mit Schleswig-Holstein, Hamburg und Bremen gehört es zum das CERT Nord. Nur vier Personen arbeiten direkt im CERT Nord für alle diese Länder.

In Sachsen-Anhalt gibt es trotz des Katastrophenfalls von Bitterfeld kein IT-Sicherheitsgesetz und keine speziellen Angebote für Kommunen. "Grundsätzlich fallen Fragen der IT- Sicherheit in die originäre Zuständigkeit der jeweiligen Kommune", erklärt das Ministerium für Infrastruktur und Digitales von Sachsen-Anhalt auf Anfrage von MDR exakt.

"Also jeder wurstelt eigentlich für sich so ein bisschen so rum", sagt der stellvertretende Bürgermeister von Wolmirstedt. Marko Kohlrausch fühlt sich mit dem Problem der IT-Sicherheit vom Land nicht nur finanziell allein gelassen: Es fehlten auch Beratungsangebote.

Quelle: MDR exakt/ mpö

Mehr zum Thema

Dieses Thema im Programm:MDR FERNSEHEN | MDR exakt | 13. April 2022 | 20:15 Uhr