Das Bundesamt für Sicherheit in der Informationstechnik in Bonn.
210 Tage dauerte der Katastrophenalarm im Landkreis Anhalt-Bitterfeld nach dem Cyberangriff im Sommer 2021. Im MDR-Podcast werden die Ereignisse aufgearbeitet. Bildrechte: picture alliance/dpa

Internes Papier des BSI Abschlussbericht: Anhalt-Bitterfeld durch Cyberattacke zu lange lahmgelegt

27. Juli 2023, 15:39 Uhr

Zweieinhalb Millionen Euro hat der Wiederaufbau der IT den Landkreis Anhalt-Bitterfeld gekostet. Dabei geholfen haben nicht nur Unternehmen – sondern auch die Bundeswehr und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Nach der Cyber-Katastrophe kritisiert das BSI in einem internen Abschlussbericht den Landkreis. Darum geht es in Folge 4 des MDR-Podcasts "You are fucked". Die Zusammenarbeit sei herausfordernd gewesen, urteilen die Experten.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Die Auswirkungen der Cyberattacke auf die Verwaltung des Landkreises Anhalt-Bitterfeld vor zwei Jahren hätten möglicherweise schneller behoben werden können. Diesen Schluss lässt ein interner Abschlussbericht zu, der MDR SACHSEN-ANHALT vorliegt. Er kommt vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der Abschlussbericht ist am 24. Januar 2022 datiert – genau eine Woche, bevor der Landkreis den Katastrophenalarm nach 210 Tagen wieder aufgehoben hat. Und das BSI schreibt darin nicht nur, was es in Anhalt-Bitterfeld gemacht hat, sondern bewertet auch die Lage. An einigen Stellen übt es deutliche Kritik.

Warum das BSI den Landkreis kritisiert

Hände tippen an einem Laptop (Symbolbild)
Da es um sensible Daten geht, sind bei Cyberattacken Experten gefragt. (Symbolbild) Bildrechte: IMAGO / STPP

Das BSI kritisiert zum Beispiel, dass der Landkreis schon einen Tag nach dem Vorfall öffentlich darüber spekuliert hat, welche Schwachstelle die Hacker benutzt haben. Das BSI schreibt auch, dass die Zusammenarbeit mit dem Krisenstab "herausfordernd" gewesen sei und, dass man die Verantwortlichen in Anhalt-Bitterfeld "wiederholt und ausdrücklich" auf die möglichen Probleme und Risiken hingewiesen habe, die entstehen würden, wenn sie nicht den BSI-Empfehlungen folgten. Es wird auch kritisiert, dass die Liste der Fach-Software-Verfahren nicht vollständig war und, dass es zwei technische Einsatzleitungen im Landkreis gab.

Aus dem BSI-Bericht lässt sich schließen, dass der Landkreis in Deutschlands erster Cyber-Katastrophe besser hätte handeln können. Vermutlich hätte die Verwaltung dann auch wieder schneller arbeiten können. Zwar hebt der Landkreis den Katastrophenfall Ende Januar 2022 auf, aber nicht alle Ämter des Landkreises können da schon wieder wie gewohnt arbeiten.

Der Abschlussbericht wurde MDR SACHSEN-ANHALT von anonymer Quelle zugespielt. Es ist ein Schreiben, das Ende Januar 2022 an den Landrat von Anhalt-Bitterfeld persönlich gerichtet war und nicht an Dritte weitergegeben werden sollte. MDR SACHSEN-ANHALT berichtet darüber, weil es die verzwickte Lage für alle Beteiligten deutlich macht. Ein Landkreis, der sich nicht helfen kann und den Katastrophenfall ausruft – und eine Bundesbehörde – das BSI –, die eigentlich nicht zuständig ist.

Was der Landkreis zur BSI-Kritik sagt

Mit der Kritik des BSI konfrontiert, schreibt der Landrat von Anhalt-Bitterfeld, ihm sei der Bericht bekannt. "Da keine Weitergabe an Dritte gewünscht wird, kann ich keine Angaben zum Inhalt des Berichtes machen." Er will die Zusammenarbeit mit Unternehmen oder Institutionen nicht bewerten. "Der Landkreis beachtet bei der Bearbeitung von Krisen die vorab festgelegten und geübten Verfahrensweisen/Regelungen des Fachbereiches für Brand-, Katastrophenschutz und Rettungswesen."

Mehr Details hören Sie in Folge 4 des MDR-Podcasts "Your are fucked" zur Cyber-Katastrophe in Anhalt-Bitterfeld:

Ein stilisierter Totenkopf und ein Bildschirm, der ein Hufeisen zeigt. 54 min
Bildrechte: MDR/Stefan Schwarz, Max Schörm
54 min

Das BSI kommt noch einmal. Bundeswehrsoldaten sind im Einsatz. Beim Wiederaufbau der IT fallen Fehler der Vergangenheit auf. Und: Marcel Roth bekommt den internen und brisanten BSI-Abschlussbericht.

MDR SACHSEN-ANHALT Do 27.07.2023 00:01Uhr 54:28 min

Audio herunterladen [MP3 | 49,9 MB | 128 kbit/s] Audio herunterladen [MP4 | 101 MB | AAC | 256 kbit/s] https://www.mdr.de/mdr-sachsen-anhalt/podcast/you-are-fucked/audio-die-cyberkavallerie-folge-vier-100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio

Das war geschehen:

Am 6. Juli 2021 wird die Landkreisverwaltung Anhalt-Bitterfeld Opfer eines Hackerangriffs: Alle Daten sind verschlüsselt – nichts geht mehr. Die Hacker hinterlassen ein Erpresser-Schreiben im Darknet und verlangen eine halbe Million Dollar.

Der Landkreis erstattet Anzeige und ruft am 9. Juli 2021 den Katastrophenfall aus – Deutschlands erste Cyber-Katastrophe. Damit kann der Landkreis andere staatliche Institutionen um Hilfe bitten. Und das tut er: Ein Mitarbeiter des Bundesamts für Sicherheit in der Informationstechnik (BSI) kommt bereits am selben Tag nach Köthen.

Dirk Häger, Porträt, Mann mit Halbglatz und kleiner Brille.
Plädiert für Hilfe zur Selbsthilfe: Dirk Häger vom BSI. Bildrechte: BSI

"Unsere Aufgabe in so einer Situation ist es, das Opfer in eine stabile Seitenlage zu bringen", sagt Dirk Häger vom BSI im Podcast "You are Fucked – Deutschlands erste Cyber-Katastrophe". Er leitet beim BSI die Abteilung operative Cybersicherheit, seine Mitarbeiter waren vor Ort in Anhalt-Bitterfeld, er selbst nicht. Es sei ein Langlauf, einen solchen Ransomware-Vorfall zu überwinden, sagt Häger. Aber Häger sagt auch, es dürfe nicht der Normalfall sein, dass das BSI vor Ort aufräumt. "Das müssen die Opfer eines Angriffs schon selber tun", sagt Dirk Häger.

Was ist Ransomware? Der Begriff Ransomware setzt sich aus den englischen Begriffen Ransom, Lösegeld, und Software zusammen. Es handelt sich dabei also um ein Programm, mit dem Geld erpresst werden soll. Meist läuft es darauf hinaus, dass ein mit dieser Software infiziertes System gesperrt und für die Wiederfreigabe dann eine Gegenleistung verlangt wird.

Aber die Experten des BSI kennen solche Fälle aus ihren alltäglichen Erfahrungen. Sie wissen, welche Maßnahmen am besten funktionieren. Dirk Häger sagt zum Beispiel im Podcast: "Für uns war es ein ganz normaler Ransomware-Vorfall, technisch nichts besonderes."

Hägers Mitarbeiter reist nach zwei Tagen wieder ab. Denn er sieht den Landkreis in guten Händen – weil eine spezialisierte IT-Firma aus Nordrhein-Westfalen nach Köthen kommt.

You are fucked – Deutschlands erste Cyberkatastrophe

Ein stilisierter Totenkopf und ein Bildschir, der ein berühren-verboten-Schild zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
Ein stilisierter Totenkopf und ein Bildschirm, der eine zerbrochene Vase zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
51 min

Der Landkreis Anhalt-Bitterfeld hat den Katastrophenfall ausgerufen. Aber gelöst ist dadurch nicht ein einziges IT-Problem. Außerdem: Das BSI kommt und eine IT-Firma ist nach neun Tagen wieder weg.

MDR SACHSEN-ANHALT Do 13.07.2023 00:01Uhr 50:59 min

Audio herunterladen [MP3 | 46,7 MB | 128 kbit/s] Audio herunterladen [MP4 | 93,6 MB | AAC | 256 kbit/s] https://www.mdr.de/mdr-sachsen-anhalt/podcast/you-are-fucked/audio-die-zerbrochene-vase-folge-zwei-100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio
Ein stilisierter Totenkopf und ein Bildschirm, der ein Dokument zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
Alle anzeigen (7)

Geld alle – Experten weg

Sie sollen herausfinden, was die Täter angerichtet haben: Wie sind sie in die Systeme eingedrungen? Welche Daten lassen sich wiederherstellen? Wie kommt die IT wieder auf die Beine? Mit sechs Beschäftigten ist die Firma vor Ort. IT-Forensik nennt sich ihre Expertise. Um die Firma zu bezahlen, hat der Landkreis Anhalt-Bitterfeld die Zusage von Sachsen-Anhalts Finanzministerium. Bis zu 250.000 Euro stellt die Landesregierung dafür zur Verfügung. Nur: Das Budget hat die Firma mit ihren vielen Spezialisten bereits nach neun Tagen aufgebraucht.

Man trennt sich und es kommen erneut Experten vom BSI – erst fünf, eine Woche später sechs. "Dass der Dienstleister verschwunden ist und man sich so um das Geld gestritten hat – das habe ich bisher auch noch nicht erlebt", sagt Dirk Häger vom BSI. Er sagt aber auch: IT-Forensik-Firmen sind teuer, aber eben auch qualifiziert und jederzeit einsatzbereit.

Was das BSI in Anhalt-Bitterfeld getan hat Und so übernehmen die BSI-Experten wichtige Aufgaben: Sie geben Hilfe beim Krisenmanagement. Sie unterstützen beim Wiederaufbau. Sie führen technische Analysen durch. Konkret heißt das zum Beispiel: Das BSI rät dem Landkreis, welche Fachsoftware in welcher Reihenfolge wieder in Betrieb genommen werden kann, wie sich die Einsatzleitung am besten organisieren und wie am besten kommuniziert werden sollte.

Außerdem berät das BSI die Landkreisverwaltung, wie sie geeignete Firmen finden kann, wie sie mit infizierten Systemen umgehen soll und wie sich der Überblick über die vielen Aufgaben behalten lässt. Das BSI analysiert die Schadsoftware der Angreifer, schult die Landkreisverwaltung, wie sich Backups überprüfen lassen und wie sich Dateien aus sogenannten Schattenkopien wiederherstellen lassen.

BSI als Bundesbehörde unterstützt Landkreis mit hohem Personaleinsatz

Im Abschlussbericht steht, dass das BSI insgesamt 41 Personentage vor Ort investiert hat. Hinzukommen 25 Personentage in den BSI-Büros. Dabei sind auch die Ressourcen des BSI begrenzt. Und das Amt hätte nicht einmal Experten schicken müssen – denn es ist nur für die Netze des Bundes zuständig, hilft aber auch anderen Institutionen und Firmen der kritischen Infrastruktur. Die BSI-Experten können Mitarbeitern in einem Landkreis allerdings keine Anweisungen geben.

Nach den Erfahrungen aus dem Cyber-Vorfall habe der Landkreis die Notfall-Konzepte für Krisen angepasst, heißt es. An einem IT-Sicherheitskonzept würde gearbeitet. Ein solches Konzept betrachte der Landkreis allerdings nie als fertig, weil es permanent angepasst werden müsse.

BSI unterstützt den Landkreis weiter

Der Landkreis schreibt auch, Anhalt-Bitterfeld fungiere als Pilot-Kommune des BSI, um das IT-Grund-Schutz-Profil "Basisabsicherung Kommunalverwaltung" voraussichtlich bis zum Jahresende 2023 umzusetzen. Das macht der Landkreis mit dem BSI in einem Modellprojekt, weil das BSI als Bundeseinrichtung nicht ohne weiteres mit einem Landkreis zusammenarbeiten kann. Erneut lässt also das BSI dem Landkreis Hilfe zukommen. Ziel des einzigen Modellprojektes dieser Art ist es, dass Arbeitshilfen für andere Kommunen und Landkreise entstehen.

Für das Projekt zentral ist eine Informationssicherheits-Beauftragte des Landkreises, die im August 2022 ernannt wurde – mehr als ein Jahr nach Deutschlands erster Cyber-Katastrophe. Um IT-Sicherheit kümmert sie sich, wie der Landkreis schreibt, mit einem Stellen-Anteil von 50 Prozent. Sie hat eine Stellvertretung, die sich auch mit 50 Prozent um das Thema kümmert. Der Landkreis schreibt außerdem, dass auch ein leitender Mitarbeiter des IT-Bereichs für IT-Sicherheit zuständig ist.

Auf der Internetseite des BSI heißt es, dass Informationssicherheits-Beauftragte unabhängig von der IT-Abteilung sein sollten. Zusätzlich zur IT-Abteilung benötigt eine Verwaltung also eine weitere IT-Fachkraft. Ein Problem, das vermutlich auch in anderen Kreisen und Kommunen besteht - haben sie doch erhebliche Probleme, Stellen zu besetzen.

MDR (Marcel Roth, André Plaul)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 27. Juli 2023 | 09:00 Uhr

2 Kommentare

weils so nicht unwidersprochen bleiben darf vor 42 Wochen

"ein interner Abschlussbericht (...), der MDR SACHSEN-ANHALT vorliegt .."
und
"Der Abschlussbericht wurde MDR SACHSEN-ANHALT von anonymer Quelle
zugespielt. Es ist ein Schreiben, das Ende Januar 2022 an den Landrat von
Anhalt-Bitterfeld persönlich gerichtet war und nicht an Dritte weitergegeben
werden sollte."

Ein "Bundesamt für Sicherheit" also, das interne Berichte an den Landrat "persönlich" weitergibt (also wohl nicht einmal an ihn in seiner Funktion als Landrat, sondern an die "Person", der man so wohl einen "Vorsprung" zur Vorbereitung auf unangenehme Fragen geben wollte);
also das Amt für "Sicherheit" als organisiertes Datenleck!

Da sind Hacker-Angriffe wohl eigentlich überflüssig. Man wird also auch das "Lahmlegen" selbst künftig wohl getrost den Amtsmitarbeitern überlassen können.

Copper vor 42 Wochen

Das Backup- und Rechte-Konzept der Landkreisverwaltung war offensichtlich unzureichend. Im Gegensatz dazu ist unsere Firma kleiner, aber ich bin bezüglich Verschlüsselungstrojanern völlig sorgenfrei. Das liegt daran, dass ich aktuelle Backups habe und sie regelmäßig teste. Außerdem kann sich ein Trojaner von einer Arbeitsstation nur so weit ausbreiten, wie es die Rechte des angemeldeten Benutzers zulassen. Offensichtlich wurden dort auch einige Sicherheitsaspekte vernachlässigt. Insgesamt ist dies ein bedauerliches Zeugnis für die Digitalisierung einer Behörde.

Mehr aus der Region Dessau-Roßlau

Pfingstreiten 2 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK
Ein Ärzteteam mit einem soeben geborenen Kind 5 min
Ein Kaiserschnitt an der Uni Halle. (Symbolbild) Bildrechte: MDR/Andreas Manke

Mehr aus Sachsen-Anhalt