FAQ "You are fucked": MDR startet Podcast über Cyberangriff auf Anhalt-Bitterfeld

06. Juli 2023, 10:39 Uhr

Es war Deutschlands erste Cyberkatastrophe: der Hackerangriff auf den Landkreis Anhalt-Bitterfeld im Juli 2021. Wochen – mitunter gar monatelang ging in der Verwaltung alles nur sehr, sehr langsam. Zwei Jahre danach fragen wir, wie konnte es so weit kommen und was heißt das für die IT-Sicherheit von Deutschlands Verwaltungen? Darum geht es im Podcast "You are fucked – Deutschlands erste Cyberkatastrophe". Fragen und Antworten zum Podcast.

Womit befasst sich der Podcast?

Im Podcast dokumentieren wir, was ab dem 6. Juli 2021 in der IT-Abteilung und der Verwaltung des Landkreises Anhalt-Bitterfeld passiert. An diesem Dienstag ist dort nämlich aufgefallen, dass die Rechner nicht mehr auf Daten zugreifen können, weil sie verschlüsselt sind. Schuld daran ist ein Ransomware-Angriff krimineller Hacker. Sie wollen Geld vom Landkreis erpressen. Wir erzählen außerdem, wie die Landkreisverwaltung auf den Angriff reagiert, wie sie wieder auf die Beine gekommen ist, was das für die Menschen im Landkreis heißt, wer die Hacker sind und was der Fall für die Cybersicherheit der deutschen Kommunen und Landkreise bedeutet.

You are fucked – Deutschlands erste Cyberkatastrophe

Logo MDR
Bildrechte: MITTELDEUTSCHER RUNDFUNK
Logo MDR
Bildrechte: MITTELDEUTSCHER RUNDFUNK
51 min

Der Landkreis Anhalt-Bitterfeld hat den Katastrophenfall ausgerufen. Aber gelöst ist dadurch nicht ein einziges IT-Problem. Außerdem: Das BSI kommt und eine IT-Firma ist nach neun Tagen wieder weg.

MDR SACHSEN-ANHALT Do 13.07.2023 00:01Uhr 50:59 min

Audio herunterladen [MP3 | 46,7 MB | 128 kbit/s] Audio herunterladen [MP4 | 93,6 MB | AAC | 256 kbit/s] https://www.mdr.de/mdr-sachsen-anhalt/podcast/you-are-fucked/audio-die-zerbrochene-vase-folge-zwei-100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio
Logo MDR
Bildrechte: MITTELDEUTSCHER RUNDFUNK
Alle anzeigen (7)

Warum heißt der Podcast so?

Die Cyberkriminellen haben die Daten des Landkreises Anhalt-Bitterfeld auf ihre Rechner kopiert und auf den Rechner des Landkreises verschlüsselt. Dort haben sie einen Link ins Darknet hinterlassen. Dazu schreiben sie: "Landkreis Anhalt-Bitterfeld, you are fucked. Do not touch anything."

Vier Tage, nachdem diese Nachricht hinterlassen wurde, erklärt der Landkreis den Katastrophenfall – Deutschlands erste Cyberkatastrophe.

Welche Folgen hatte die Cyberattacke von Anhalt-Bitterfeld?

Zunächst einmal konnten 950 Menschen in einer Verwaltung nicht arbeiten. Nur die IT-Abteilung stand wochen-, gar monatelang unter Strom. Und wenn eine Kreisverwaltung nicht arbeiten kann, wirkt sich das auf die Menschen aus. Zum Beispiel auf Fahrschüler, weil der Landkreis ihnen keine Nummern zuteilen kann, die sie brauchen, um sich zur Prüfung anzumelden.

Oder auf ausländische Studierende, die nach einem Urlaub in ihren Heimatländern stranden – weil die Ausländerbehörde des Landkreises ihnen nicht anerkannte Papiere in die Hand gedrückt hat. Oder auf Kreistagsabgeordnete, denen Informationen aus dem digitalen Ratsinfosystem fehlen. Kurzzeitig gab es im Sommer 2021 sogar die Sorge, dass Sozialleistungen nicht ausgezahlt werden können.

Wer steckt hinter dem Angriff?

Alle Experten gehen davon aus, dass die Täter aus Russland kommen. Sie können das anhand der "Handschrift" der Software nachweisen und ziehen eine Art Entwicklungslinie seit 2007. Die Angreifer selbst haben sich "PayOrGrief" genannt. In einem internen Bericht geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon aus, dass die Software starke Ähnlichkeit mit der Software der Gruppe Doppelpaymer hat. Das LKA Nordrhein-Westfalen hat im März drei Beschuldigte zur internationalen Fahndung ausgeschrieben. Im Podcast sammeln wir Indizien dafür, ob einer der Beschuldigten Kontakte zu russischen Nachrichtendiensten und der Wagner-Gruppe hat.

Hat die Landkreisverwaltung richtig agiert?

Aus heutiger Sicht hätte sie sicher besser handeln können. Damals war im Landkreis niemand auf einen solchen Angriff vorbereitet. Es gab kein Buch, das sich aus einer Schublade hätte ziehen lassen können. In "You are Fucked – Deutschlands erste Cyberkatastrophe" benennt die IT-Abteilung eigene Fehler, die sie im Vorfeld des Angriffs gemacht hat. Was im Podcast-Projekt aber deutlich wird: Die eigentliche Verwaltung hätte auch anders reagieren können. Das belegt ein Schreiben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an den Landrat, über das wir erstmals berichten. Außerdem steht nach wie vor die Frage im Raum, ob das Ausrufen des Katastrophenfalls und der Einsatz der Bundeswehr gerechtfertigt war.

Welche Lehren wurden aus dem Angriff gezogen?

Deutschlands erste Cyberkatastrophe hat vielen Landkreisen und Kommunen gezeigt, wie verletzlich sie sind und was es konkret bedeutet, wenn Computer über Monate nicht benutzt werden können. Viele nehmen deshalb IT-Sicherheit ernster als vorher. Wie es aber um die IT-Sicherheit aller elftausend Kommunen und 400 Landkreise wirklich bestellt ist, das weiß niemand. Und es bleiben nach wie vor mehrere Grundprobleme bestehen:

  • IT-Sicherheit kostet viel Geld, Fachleute kosten viel Geld, das Kommunen und Landkreise nicht haben.
  • Ein Drittel der Beschäftigten der deutschen Verwaltung ist älter als 55 Jahre und geht bald in Rente.
  • Die Kultur einer öffentlichen Verwaltung bietet vielen Menschen keine Anreize, dort zu arbeiten.
  • In unserem föderalen Staatswesen ist derzeit jede Kommune selbst für ihre Sicherheit im Cyberraum verantwortlich. Eine Sicherheit, die sowohl von kriminellen als auch von staatlichen Hackern bedroht wird.

Könnte so etwas erneut passieren?

Ja. Und es wird auch wieder passieren. Die entscheidende Frage ist deshalb: Wie kommt eine Verwaltung oder ein Unternehmen am schnellsten wieder aus dieser Lage heraus? Darauf kann man sich vorbereiten und es trainieren. Bei zukünftigen Fällen sollte der Wiederaufbau deshalb nicht fast zwei Jahre dauern.

Wie kann man sich gegen Cyberattacken schützen?

Mit gut gepflegter IT (Backups, Firewalls) und einer ausreichend ausgestatteten IT-Abteilung – und deutlich mehr Verständnis bei allen, die IT selbstverständlich nutzen. Zum Beispiel bei einer Personalabteilung, die der IT-Abteilung mitteilt, wenn ein Beschäftigter oder eine Beschäftigte die Verwaltung oder das Unternehmen verlässt. Im Landkreis Anhalt-Bitterfeld ist während der Cyberkatastrophe zum Beispiel aufgefallen, dass die Zahl der IT-Nutzer nicht mit der Zahl der Beschäftigten übereinstimmt: Es gab etwa 300 mehr IT-Nutzer als Beschäftigte.

Vermutlich kommt es Unternehmen und Verwaltungen zugute, wenn ihre Mitarbeitenden auch im Privaten digital kompetent sind. Vielleicht bilden Unternehmen ihre Mitarbeiter deshalb für ihre privaten Geräte weiter: IT-Sicherheit zu Hause stärkt auch IT-Sicherheit in Unternehmen und Verwaltung. Stichworte hier sind: einmalige, komplexe Passwörter, Passwort-Manager, Zwei-Faktor-Authentifizierung und ein wenig Misstrauen gegenüber E-Mails auch von bekannten Absendern.

Wer hat für den Podcast recherchiert?

Marcel Roth. Er ist Host des monatlichen MDR SACHSEN-ANHALT Podcasts "Digital leben", den es seit 2018 gibt und er hat dort mehrfach mit Fachleuten über Cybersicherheit gesprochen. Für "You are fucked – Deutschlands erste Cyberkatastrophe" hat er über acht Monate hinweg mit Menschen im Landkreis Anhalt-Bitterfeld gesprochen, aber auch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), mit Soldaten, Cybersicherheitsexperten aus den USA, Kanada und Italien. Insgesamt hat Marcel Roth mit mehreren Dutzend Menschen gesprochen, mit 22 von ihnen lange Interviews geführt und auch mit einer Handvoll Menschen Kontakt gehabt, die anonym bleiben wollen.

Wo kann man die Folgen hören?

Ab dem 6. Juli 2023 veröffentlichen wir jeden Donnerstag eine Folge. Sie sind hier zu hören, in der ARD Audiothek und in allen Podcast-Apps.

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 06. Juli 2023 | 08:40 Uhr

Mehr aus Sachsen-Anhalt