FAQ "You are fucked": MDR startet Podcast über Cyberangriff auf Anhalt-Bitterfeld

Im Podcast dokumentieren wir, was ab dem 6. Juli 2021 in der IT-Abteilung und der Verwaltung des Landkreises Anhalt-Bitterfeld passiert. An diesem Dienstag ist dort nämlich aufgefallen, dass die Rechner nicht mehr auf Daten zugreifen können, weil sie verschlüsselt sind. Schuld daran ist ein Ransomware-Angriff krimineller Hacker. Sie wollen Geld vom Landkreis erpressen. Wir erzählen außerdem, wie die Landkreisverwaltung auf den Angriff reagiert, wie sie wieder auf die Beine gekommen ist, was das für die Menschen im Landkreis heißt, wer die Hacker sind und was der Fall für die Cybersicherheit der deutschen Kommunen und Landkreise bedeutet.

Die Cyberkriminellen haben die Daten des Landkreises Anhalt-Bitterfeld auf ihre Rechner kopiert und auf den Rechner des Landkreises verschlüsselt. Dort haben sie einen Link ins Darknet hinterlassen. Dazu schreiben sie: "Landkreis Anhalt-Bitterfeld, you are fucked. Do not touch anything."

So sah die Meldung auf den Rechnern der Kreisverwaltung Anhalt-Bitterfeld aus. Bildrechte: MDR

Vier Tage, nachdem diese Nachricht hinterlassen wurde, erklärt der Landkreis den Katastrophenfall – Deutschlands erste Cyberkatastrophe.

Zunächst einmal konnten 950 Menschen in einer Verwaltung nicht arbeiten. Nur die IT-Abteilung stand wochen-, gar monatelang unter Strom. Und wenn eine Kreisverwaltung nicht arbeiten kann, wirkt sich das auf die Menschen aus. Zum Beispiel auf Fahrschüler, weil der Landkreis ihnen keine Nummern zuteilen kann, die sie brauchen, um sich zur Prüfung anzumelden.

Oder auf ausländische Studierende, die nach einem Urlaub in ihren Heimatländern stranden – weil die Ausländerbehörde des Landkreises ihnen nicht anerkannte Papiere in die Hand gedrückt hat. Oder auf Kreistagsabgeordnete, denen Informationen aus dem digitalen Ratsinfosystem fehlen. Kurzzeitig gab es im Sommer 2021 sogar die Sorge, dass Sozialleistungen nicht ausgezahlt werden können.

Der Screenshot einer Website im Darknet mit der Forderung der Erpresser sowie einem Chatfenster Bildrechte: LKA Sachsen-Anhalt

Alle Experten gehen davon aus, dass die Täter aus Russland kommen. Sie können das anhand der "Handschrift" der Software nachweisen und ziehen eine Art Entwicklungslinie seit 2007. Die Angreifer selbst haben sich "PayOrGrief" genannt. In einem internen Bericht geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon aus, dass die Software starke Ähnlichkeit mit der Software der Gruppe Doppelpaymer hat. Das LKA Nordrhein-Westfalen hat im März drei Beschuldigte zur internationalen Fahndung ausgeschrieben. Im Podcast sammeln wir Indizien dafür, ob einer der Beschuldigten Kontakte zu russischen Nachrichtendiensten und der Wagner-Gruppe hat.

Aus heutiger Sicht hätte sie sicher besser handeln können. Damals war im Landkreis niemand auf einen solchen Angriff vorbereitet. Es gab kein Buch, das sich aus einer Schublade hätte ziehen lassen können. In "You are Fucked – Deutschlands erste Cyberkatastrophe" benennt die IT-Abteilung eigene Fehler, die sie im Vorfeld des Angriffs gemacht hat. Was im Podcast-Projekt aber deutlich wird: Die eigentliche Verwaltung hätte auch anders reagieren können. Das belegt ein Schreiben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an den Landrat, über das wir erstmals berichten. Außerdem steht nach wie vor die Frage im Raum, ob das Ausrufen des Katastrophenfalls und der Einsatz der Bundeswehr gerechtfertigt war.

Deutschlands erste Cyberkatastrophe hat vielen Landkreisen und Kommunen gezeigt, wie verletzlich sie sind und was es konkret bedeutet, wenn Computer über Monate nicht benutzt werden können. Viele nehmen deshalb IT-Sicherheit ernster als vorher. Wie es aber um die IT-Sicherheit aller elftausend Kommunen und 400 Landkreise wirklich bestellt ist, das weiß niemand. Und es bleiben nach wie vor mehrere Grundprobleme bestehen:

• IT-Sicherheit kostet viel Geld, Fachleute kosten viel Geld, das Kommunen und Landkreise nicht haben.
• Ein Drittel der Beschäftigten der deutschen Verwaltung ist älter als 55 Jahre und geht bald in Rente.
• Die Kultur einer öffentlichen Verwaltung bietet vielen Menschen keine Anreize, dort zu arbeiten.
• In unserem föderalen Staatswesen ist derzeit jede Kommune selbst für ihre Sicherheit im Cyberraum verantwortlich. Eine Sicherheit, die sowohl von kriminellen als auch von staatlichen Hackern bedroht wird.

Ja. Und es wird auch wieder passieren. Die entscheidende Frage ist deshalb: Wie kommt eine Verwaltung oder ein Unternehmen am schnellsten wieder aus dieser Lage heraus? Darauf kann man sich vorbereiten und es trainieren. Bei zukünftigen Fällen sollte der Wiederaufbau deshalb nicht fast zwei Jahre dauern.

Mit gut gepflegter IT (Backups, Firewalls) und einer ausreichend ausgestatteten IT-Abteilung – und deutlich mehr Verständnis bei allen, die IT selbstverständlich nutzen. Zum Beispiel bei einer Personalabteilung, die der IT-Abteilung mitteilt, wenn ein Beschäftigter oder eine Beschäftigte die Verwaltung oder das Unternehmen verlässt. Im Landkreis Anhalt-Bitterfeld ist während der Cyberkatastrophe zum Beispiel aufgefallen, dass die Zahl der IT-Nutzer nicht mit der Zahl der Beschäftigten übereinstimmt: Es gab etwa 300 mehr IT-Nutzer als Beschäftigte.

Vermutlich kommt es Unternehmen und Verwaltungen zugute, wenn ihre Mitarbeitenden auch im Privaten digital kompetent sind. Vielleicht bilden Unternehmen ihre Mitarbeiter deshalb für ihre privaten Geräte weiter: IT-Sicherheit zu Hause stärkt auch IT-Sicherheit in Unternehmen und Verwaltung. Stichworte hier sind: einmalige, komplexe Passwörter, Passwort-Manager, Zwei-Faktor-Authentifizierung und ein wenig Misstrauen gegenüber E-Mails auch von bekannten Absendern.

Marcel Roth. Er ist Host des monatlichen MDR SACHSEN-ANHALT Podcasts "Digital leben", den es seit 2018 gibt und er hat dort mehrfach mit Fachleuten über Cybersicherheit gesprochen. Für "You are fucked – Deutschlands erste Cyberkatastrophe" hat er über acht Monate hinweg mit Menschen im Landkreis Anhalt-Bitterfeld gesprochen, aber auch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), mit Soldaten, Cybersicherheitsexperten aus den USA, Kanada und Italien. Insgesamt hat Marcel Roth mit mehreren Dutzend Menschen gesprochen, mit 22 von ihnen lange Interviews geführt und auch mit einer Handvoll Menschen Kontakt gehabt, die anonym bleiben wollen.

Ab dem 6. Juli 2023 veröffentlichen wir jeden Donnerstag eine Folge. Sie sind hier zu hören, in der ARD Audiothek und in allen Podcast-Apps.