Internes Papier des BSIAbschlussbericht: Anhalt-Bitterfeld durch Cyberattacke zu lange lahmgelegt

• Der Hackerangriff auf den Landkreis Anhalt-Bitterfeld vor zwei Jahren hätte möglicherweise schneller bekämpft werden können.
• Damals war das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Experten eingesprungen, obwohl es nicht zuständig war.
• Die Zusammenarbeit mit dem Krisenstab sei herausfordernd gewesen, heißt es. BSI und Landkreis arbeiten aber weiterhin zusammen.

Die Auswirkungen der Cyberattacke auf die Verwaltung des Landkreises Anhalt-Bitterfeld vor zwei Jahren hätten möglicherweise schneller behoben werden können. Diesen Schluss lässt ein interner Abschlussbericht zu, der MDR SACHSEN-ANHALT vorliegt. Er kommt vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der Abschlussbericht ist am 24. Januar 2022 datiert – genau eine Woche, bevor der Landkreis den Katastrophenalarm nach 210 Tagen wieder aufgehoben hat. Und das BSI schreibt darin nicht nur, was es in Anhalt-Bitterfeld gemacht hat, sondern bewertet auch die Lage. An einigen Stellen übt es deutliche Kritik.

Das BSI kritisiert zum Beispiel, dass der Landkreis schon einen Tag nach dem Vorfall öffentlich darüber spekuliert hat, welche Schwachstelle die Hacker benutzt haben. Das BSI schreibt auch, dass die Zusammenarbeit mit dem Krisenstab "herausfordernd" gewesen sei und, dass man die Verantwortlichen in Anhalt-Bitterfeld "wiederholt und ausdrücklich" auf die möglichen Probleme und Risiken hingewiesen habe, die entstehen würden, wenn sie nicht den BSI-Empfehlungen folgten. Es wird auch kritisiert, dass die Liste der Fach-Software-Verfahren nicht vollständig war und, dass es zwei technische Einsatzleitungen im Landkreis gab.

Aus dem BSI-Bericht lässt sich schließen, dass der Landkreis in Deutschlands erster Cyber-Katastrophe besser hätte handeln können. Vermutlich hätte die Verwaltung dann auch wieder schneller arbeiten können. Zwar hebt der Landkreis den Katastrophenfall Ende Januar 2022 auf, aber nicht alle Ämter des Landkreises können da schon wieder wie gewohnt arbeiten.

Der Abschlussbericht wurde MDR SACHSEN-ANHALT von anonymer Quelle zugespielt. Es ist ein Schreiben, das Ende Januar 2022 an den Landrat von Anhalt-Bitterfeld persönlich gerichtet war und nicht an Dritte weitergegeben werden sollte. MDR SACHSEN-ANHALT berichtet darüber, weil es die verzwickte Lage für alle Beteiligten deutlich macht. Ein Landkreis, der sich nicht helfen kann und den Katastrophenfall ausruft – und eine Bundesbehörde – das BSI –, die eigentlich nicht zuständig ist.

Mit der Kritik des BSI konfrontiert, schreibt der Landrat von Anhalt-Bitterfeld, ihm sei der Bericht bekannt. "Da keine Weitergabe an Dritte gewünscht wird, kann ich keine Angaben zum Inhalt des Berichtes machen." Er will die Zusammenarbeit mit Unternehmen oder Institutionen nicht bewerten. "Der Landkreis beachtet bei der Bearbeitung von Krisen die vorab festgelegten und geübten Verfahrensweisen/Regelungen des Fachbereiches für Brand-, Katastrophenschutz und Rettungswesen."

Mehr Details hören Sie in Folge 4 des MDR-Podcasts "Your are fucked" zur Cyber-Katastrophe in Anhalt-Bitterfeld:

Am 6. Juli 2021 wird die Landkreisverwaltung Anhalt-Bitterfeld Opfer eines Hackerangriffs: Alle Daten sind verschlüsselt – nichts geht mehr. Die Hacker hinterlassen ein Erpresser-Schreiben im Darknet und verlangen eine halbe Million Dollar.

Der Landkreis erstattet Anzeige und ruft am 9. Juli 2021 den Katastrophenfall aus – Deutschlands erste Cyber-Katastrophe. Damit kann der Landkreis andere staatliche Institutionen um Hilfe bitten. Und das tut er: Ein Mitarbeiter des Bundesamts für Sicherheit in der Informationstechnik (BSI) kommt bereits am selben Tag nach Köthen.

"Unsere Aufgabe in so einer Situation ist es, das Opfer in eine stabile Seitenlage zu bringen", sagt Dirk Häger vom BSI im Podcast "You are Fucked – Deutschlands erste Cyber-Katastrophe". Er leitet beim BSI die Abteilung operative Cybersicherheit, seine Mitarbeiter waren vor Ort in Anhalt-Bitterfeld, er selbst nicht. Es sei ein Langlauf, einen solchen Ransomware-Vorfall zu überwinden, sagt Häger. Aber Häger sagt auch, es dürfe nicht der Normalfall sein, dass das BSI vor Ort aufräumt. "Das müssen die Opfer eines Angriffs schon selber tun", sagt Dirk Häger.

Aber die Experten des BSI kennen solche Fälle aus ihren alltäglichen Erfahrungen. Sie wissen, welche Maßnahmen am besten funktionieren. Dirk Häger sagt zum Beispiel im Podcast: "Für uns war es ein ganz normaler Ransomware-Vorfall, technisch nichts besonderes."

Hägers Mitarbeiter reist nach zwei Tagen wieder ab. Denn er sieht den Landkreis in guten Händen – weil eine spezialisierte IT-Firma aus Nordrhein-Westfalen nach Köthen kommt.

Sie sollen herausfinden, was die Täter angerichtet haben: Wie sind sie in die Systeme eingedrungen? Welche Daten lassen sich wiederherstellen? Wie kommt die IT wieder auf die Beine? Mit sechs Beschäftigten ist die Firma vor Ort. IT-Forensik nennt sich ihre Expertise. Um die Firma zu bezahlen, hat der Landkreis Anhalt-Bitterfeld die Zusage von Sachsen-Anhalts Finanzministerium. Bis zu 250.000 Euro stellt die Landesregierung dafür zur Verfügung. Nur: Das Budget hat die Firma mit ihren vielen Spezialisten bereits nach neun Tagen aufgebraucht.

Man trennt sich und es kommen erneut Experten vom BSI – erst fünf, eine Woche später sechs. "Dass der Dienstleister verschwunden ist und man sich so um das Geld gestritten hat – das habe ich bisher auch noch nicht erlebt", sagt Dirk Häger vom BSI. Er sagt aber auch: IT-Forensik-Firmen sind teuer, aber eben auch qualifiziert und jederzeit einsatzbereit.

Im Abschlussbericht steht, dass das BSI insgesamt 41 Personentage vor Ort investiert hat. Hinzukommen 25 Personentage in den BSI-Büros. Dabei sind auch die Ressourcen des BSI begrenzt. Und das Amt hätte nicht einmal Experten schicken müssen – denn es ist nur für die Netze des Bundes zuständig, hilft aber auch anderen Institutionen und Firmen der kritischen Infrastruktur. Die BSI-Experten können Mitarbeitern in einem Landkreis allerdings keine Anweisungen geben.

Nach den Erfahrungen aus dem Cyber-Vorfall habe der Landkreis die Notfall-Konzepte für Krisen angepasst, heißt es. An einem IT-Sicherheitskonzept würde gearbeitet. Ein solches Konzept betrachte der Landkreis allerdings nie als fertig, weil es permanent angepasst werden müsse.

Der Landkreis schreibt auch, Anhalt-Bitterfeld fungiere als Pilot-Kommune des BSI, um das IT-Grund-Schutz-Profil "Basisabsicherung Kommunalverwaltung" voraussichtlich bis zum Jahresende 2023 umzusetzen. Das macht der Landkreis mit dem BSI in einem Modellprojekt, weil das BSI als Bundeseinrichtung nicht ohne weiteres mit einem Landkreis zusammenarbeiten kann. Erneut lässt also das BSI dem Landkreis Hilfe zukommen. Ziel des einzigen Modellprojektes dieser Art ist es, dass Arbeitshilfen für andere Kommunen und Landkreise entstehen.

Für das Projekt zentral ist eine Informationssicherheits-Beauftragte des Landkreises, die im August 2022 ernannt wurde – mehr als ein Jahr nach Deutschlands erster Cyber-Katastrophe. Um IT-Sicherheit kümmert sie sich, wie der Landkreis schreibt, mit einem Stellen-Anteil von 50 Prozent. Sie hat eine Stellvertretung, die sich auch mit 50 Prozent um das Thema kümmert. Der Landkreis schreibt außerdem, dass auch ein leitender Mitarbeiter des IT-Bereichs für IT-Sicherheit zuständig ist.

Auf der Internetseite des BSI heißt es, dass Informationssicherheits-Beauftragte unabhängig von der IT-Abteilung sein sollten. Zusätzlich zur IT-Abteilung benötigt eine Verwaltung also eine weitere IT-Fachkraft. Ein Problem, das vermutlich auch in anderen Kreisen und Kommunen besteht - haben sie doch erhebliche Probleme, Stellen zu besetzen.

MDR (Marcel Roth, André Plaul)