Podcast "Digital leben" Expertengespräch in Halle: Cyberkatastrophe. Und jetzt?

Professor Thomas Leich von der Hochschule Harz war im Juli 2021 einer der ersten externen IT-Helfer im Landkreis Anhalt-Bitterfeld. Heute sagt er, die Dimension des Angriffs und seine Auswirkungen hätte er sich damals nicht vorstellen können: "Hätte ich das in einer Vorlesung erzählt, hätten meine Studierenden gesagt, ich fantasiere. Das ist doch eine öffentliche Verwaltung. Da passiert das nicht."

Aber es ist passiert: In der Verwaltung vom Landkreis Anhalt-Bitterfeld standen alle Rechner still. Und: Es gab keinen Notfallplan. "Der war veraltet und lag auf verschlüsselten Servern", sagt Leich im MDR-SACHSEN-ANHALT-Podcast "Digital leben", der zur Langen Nacht der Wissenschaften in Halle live vor Publikum in der Cyberagentur des Bundes aufgenommen wurde.

Valentina Kerst, 2021 Digital-Staatssekretärin in Thüringen: "Wir haben die Kollegen in Anhalt-Bitterfeld nicht beneidet und hatten Sorge, selbst Opfer zu werden." Bildrechte: privat

Während Deutschlands erster Cyberkatastrophe im Sommer 2021 war Valentina Kerst Staatssekretärin für digitale Gesellschaft im Wirtschaftsministerium von Thüringen. Sie erinnert sich, dass solche Angriffe normalerweise unter den Teppich gekehrt wurden. "Aber plötzlich war Anhalt-Bitterfeld in aller Munde. Wir haben die Kollegen in Anhalt-Bitterfeld nicht beneidet und waren sehr froh, dass wir nicht selbst betroffen waren." In Thüringen sei man damals aktiv geworden und habe die Rechenzentren kontaktiert. Kerst sei 2021 besorgt gewesen, dass es auch Gotha, Altenburg oder Nordhausen treffen könnte.

"Ich befürchte, Anhalt-Bitterfeld ist einer von vielen Fällen", sagt Professorin Katja Andresen. Sie leitet in der Cyberagentur des Bundes die Abteilung "Sichere Gesellschaft" und sagt, solche Angriffe seinen Teil des Spiels: "Wir müssen immer gucken, wie die Gefährdungslage ist. Und dass es uns als Cyberagentur gibt, stimmt mich optimistisch." In der Cyberagentur würde die Frage gestellt, wie sich das zukünftige Verwaltungshandeln sicherer gestalten lassen.

Professorin Katja Andresen leitet bei der Cyberagentur des Bundes in Halle die Abteilung "Sichere Gesellschaft". Sie sagt, bei Cyberangriffen muss man auch auf organisatorische Maßnahmen vorbereitet sein. Bildrechte: Cyberagentur

Andresen sagt, es sei keine Frage, ob es eine Institution erwische, sondern wann. Darauf müsse man sich vorbereiten. "Das professionelle Management von solchen Vorfällen besteht nicht nur darin, auf Abwehr zu setzen, sondern auch in organisatorische Maßnahmen zu investieren."

Eine Erkenntnis der Expertenrunde: Hat eine Behörde ihre Prozesse durchdacht und digitalisiert, ist sie besser geschützt. Denn dadurch gibt es in der Behörde mehr Digital-Verständnis und Hacker haben weniger Chancen. Und falls Hacker doch zuschlagen, kann eine Behörde schneller mit Alternativen arbeiten, weil sie ihre Vorgänge genau kennt.

Dass das nötig ist, zeigt der MDR-Podcast "You are fucked - Deutschlands erste Cyberkatastrophe" über den Hackerangriff auf Anhalt-Bitterfeld. IT-Helfer Thomas Leich sagt zum Beispiel: "In einer Besprechung haben damals wir gefragt, was die wichtigsten Verwaltungsdienstleistungen sind." Zunächst seien 85 Prozent aller Prozesse wichtig gewesen, sagt Leich. "Auch die Hundesteuer oder so etwas."

Prioritäten für den Fall einer Cyberkatastrophe setzen – das empfiehlt auch Heli Tiirmaa-Klaar. Sie war unter anderem estnische Botschafterin für Cyberdiplomatie, Leiterin der Koordinierung der Cyber-Politik im Auswärtigen Dienst der EU und hat die NATO zu Cyber-Verteidigungspolitik beraten. Heute lehrt sie an der ESMT in Berlin.

Estnische Cyber-Expertin Heli Tiirmaa-Klaar: Personalmangel in IT-Sicherheit mit Freiwilligen-Organisation begegnen. Gemeinsame Trainings schaffen Vertrauen. Bildrechte: ESMT Berlin

"Man kann nicht alles schützen. Man muss priorisieren. Ist die Wasserversorgung wichtiger oder Bibliothek?", sagt Tiirmaa-Klaar. In Estland gebe es eine "Cyber Defense League" Das sei eine freiwillige Cyber-Verteidigungs-Organisation des Landes. Darin seien IT-Expertinnen und Experten versammelt, die an Wochenenden trainieren oder ihr Wissen weiter geben. "Das ist ein Weg, dem Personalmangel zu begegnen, den wir in der Cybersicherheit immer haben."

Ein enges Netzwerk und regelmäßige Treffen empfiehlt Tiirmaa-Klaar auch deutschen Kommunen und Regionen. "Das gegenseitiges Verständnis ist wichtig. Und die Menschen sollten sich kennen, bevor eine Cyberattacke passiert". Wenn die Krise eintritt, ist es gut, die Menschen schon zu kennen und ihnen zu vertrauen.

Das sieht auch Thomas Leich so. Bei der Cyberkatastrophe von Anhalt-Bitterfeld kannten sich nicht alle Experten vorher. "Es ist wichtig, handwerklich ein paar Sachen auszuprobieren und so auf die Fähigkeiten des anderen vertrauen zu können."

Professor Thomas Leich war der erste externe IT-Helfer bei der Cyberkatastrophe in Anhalt-Bitterfeld. Bildrechte: Cyberagentur

Die Idee für einen freiwilligen Zusammenschluss von IT-Sicherheitsexperten, die in einer Krise helfen, gibt es bereits. Die AG KRITIS, ein Zusammenschluss von Cybersicherheits-Experten, hat dafür ein Konzept für ein Cyberhilfswerk entworfen. "Beim Technischen Hilfswerk wird dazu gerade eine Machbarkeitsstudie erstellt", sagt Manuel Atug, Sprecher der AG KRITIS.

IT-Experte Thomas Leich gibt aber zu Bedenken: "Ich will mir nicht vorstellen, dass mein Name dort auftaucht und ich dann Ziel der bösen Buben bin, die mich persönlich digital angreifen." Er sei sich aber sich, dass es dazu bereits Bestrebungen gebe, die in die richtige Richtung gingen und nicht so publik gemacht würden.

Valentina Kerst, die ehemalige Digital-Staatssekretärin aus Thüringen, würde ein Cyberhilfswerk begrüßen. Sie hat gerade das Buch "Schleichender Blackout" veröffentlicht. Darin kritisiert sie, dass die Verwaltungen in Deutschland unkoordiniert vor sich hin digitalisiert würden.

Das liege auch an den politischen Prozessen und dem Föderalismus. "Wir haben im Bereich Digitalisierung noch nicht die politischen Strukturen geschaffen", sagt Kerst. Kommunen, Länder und Bund würden unterschiedlich agieren. "Die politischen Ebenen müssen sich dringend einig werden, wohin es gehen soll." Kerst verlangt mehr Einheitlichkeit und dass Verwaltungen mehr im Sinne der Bürger denken.

"Wer zum Beispiel in Hamburg ein Kind bekommt, kann an einem Terminal im Kinderkrankenhaus Bescheid geben und erhält ein paar Tage später die Geburtsurkunde. So erwarten das die Menschen!" Kerst bestätigt, dass ein einheitlicher deutschlandweiter Online-Antrag für das Elterngeld auch an einer Lappalie gescheitert sei: Man habe sich unter den Bundesländern nicht darauf einigen können, ob ein Feld als "Anschrift" oder "Adresse" bezeichnet wird.

Föderalismus könne aber auch gut für die Cybersicherheit sein, findet Thomas Leich: "Die Architektur des Internets ist föderal. Aber ein zentrales Bundesrechenzentrum, in dem alle Daten von Kommunen und Ländern sind, stellt ein Risiko dar. Das möchte ich nicht tragen."

Sorge macht Leich die sehr geringe Zahl der Menschen, die in Sachsen-Anhalt im Bereich Verwaltungsdigitalisierung studieren. "Im vergangenen Herbst haben nur acht Studierende angefangen. Und die arbeiten bei Kommunen. Niemand von ihnen arbeitet für die Landesverwaltung in Sachsen-Anhalt."

Zur Weiterbildung in Behörden und Unternehmen gehören auch sogenannte Awareness-Trainings, sagt Leich. Dabei werden Beschäftigten zum Beispiel E-Mails geschickt, die sie als gefährlich erkennen sollen. Sie sollen so trainieren, dass kriminelle Hacker so genannte Phishing-Mails verschicken, um in die Systeme von Organisationen zu kommen.

Tech-Journalistin Eva Wolfangel: "Der Mensch ist nicht das Problem. Es braucht mehr technische IT-Sicherheit." Bildrechte: Helena Ebel

Allerdings sagt Eva Wolfangel, Tech-Journalistin im Podcast "Digital leben" von MDR SACHSEN-ANHALT, dass diese Art von Training nicht funktioniere: "Psychologie und Hirnforschung zeigen, dass wir so nicht lernen." Wer nämlich auf eine solche Trainings-Mail klicke, hätte einen Misserfolg und würde nur lernen, dass er es nicht kann.

Wolfangel gesteht, dass sie selbst auf ein solches Training hereingefallen sei. Darüber hat sie einen Vortrag auf der Republica 2023 gehalten. Der Titel: "Der Mensch ist nicht das Problem". Dass das Problem immer vor dem Rechner sitzt, ist ein alter Spruch unter IT-lern. Sie meinen damit den Nutzer, den Menschen. Aber Wolfangel sagt, Phising-E-Mails seien gerade deshalb so erfolgreich, weil sie uns als Menschen, als soziale Wesen ansprechen. "Und ich möchte nicht, dass wir uns das abtrainieren, das wäre superschade", sagt Wolfangel. Vielmehr müssten alle Möglichkeiten der technischen Sicherheit ausgeschöpft werden.

Für Thomas Leich von der Hochschule Harz sind Awareness-Trainings dann erfolgreich, wenn die Mitarbeiter mitdenken: Wenn sie glauben, einer ihrer Klicks könnte dem Unternehmen schaden, sollten sie keine Angst haben müssen, als Buhmann dazustehen, sondern sofort der IT Bescheid geben. "Denn der Mensch wird auch weiter auf Phishing-Mails hereinfallen. Wir müssen ihm die Angst nehmen, dass er sagt, dass er darauf reingefallen ist."