Podcast "Digital leben" Expertengespräch in Halle: Cyberkatastrophe. Und jetzt?
Hauptinhalt
11. Juli 2023, 07:00 Uhr
Die Cyberkatastrophe von Anhalt-Bitterfeld hatte ungeahnte Auswirkungen auf die Arbeit einer Verwaltung. Der Wiederaufbau hat fast zwei Jahre gedauert. Der Fall zeigt: Bei Cybersicherheit sind Föderalismus und politische Strukturen herausgefordert. In einer Live-Aufnahme vor Publikum haben Expertinnen und Experten im MDR-SACHSEN-ANHALT-Podcast "Digital leben" diskutiert, wie sich die Cybersicherheit von Behörden verbessern lässt.
Professor Thomas Leich von der Hochschule Harz war im Juli 2021 einer der ersten externen IT-Helfer im Landkreis Anhalt-Bitterfeld. Heute sagt er, die Dimension des Angriffs und seine Auswirkungen hätte er sich damals nicht vorstellen können: "Hätte ich das in einer Vorlesung erzählt, hätten meine Studierenden gesagt, ich fantasiere. Das ist doch eine öffentliche Verwaltung. Da passiert das nicht."
Aber es ist passiert: In der Verwaltung vom Landkreis Anhalt-Bitterfeld standen alle Rechner still. Und: Es gab keinen Notfallplan. "Der war veraltet und lag auf verschlüsselten Servern", sagt Leich im MDR-SACHSEN-ANHALT-Podcast "Digital leben", der zur Langen Nacht der Wissenschaften in Halle live vor Publikum in der Cyberagentur des Bundes aufgenommen wurde.
Wir haben die Kollegen in Anhalt-Bitterfeld nicht beneidet und waren sehr froh, dass wir nicht selbst betroffen waren.
Während Deutschlands erster Cyberkatastrophe im Sommer 2021 war Valentina Kerst Staatssekretärin für digitale Gesellschaft im Wirtschaftsministerium von Thüringen. Sie erinnert sich, dass solche Angriffe normalerweise unter den Teppich gekehrt wurden. "Aber plötzlich war Anhalt-Bitterfeld in aller Munde. Wir haben die Kollegen in Anhalt-Bitterfeld nicht beneidet und waren sehr froh, dass wir nicht selbst betroffen waren." In Thüringen sei man damals aktiv geworden und habe die Rechenzentren kontaktiert. Kerst sei 2021 besorgt gewesen, dass es auch Gotha, Altenburg oder Nordhausen treffen könnte.
Cyberkatastrophe wie in Anhalt-Bitterfeld kann überall passieren
"Ich befürchte, Anhalt-Bitterfeld ist einer von vielen Fällen", sagt Professorin Katja Andresen. Sie leitet in der Cyberagentur des Bundes die Abteilung "Sichere Gesellschaft" und sagt, solche Angriffe seinen Teil des Spiels: "Wir müssen immer gucken, wie die Gefährdungslage ist. Und dass es uns als Cyberagentur gibt, stimmt mich optimistisch." In der Cyberagentur würde die Frage gestellt, wie sich das zukünftige Verwaltungshandeln sicherer gestalten lassen.
Andresen sagt, es sei keine Frage, ob es eine Institution erwische, sondern wann. Darauf müsse man sich vorbereiten. "Das professionelle Management von solchen Vorfällen besteht nicht nur darin, auf Abwehr zu setzen, sondern auch in organisatorische Maßnahmen zu investieren."
Eine Erkenntnis der Expertenrunde: Hat eine Behörde ihre Prozesse durchdacht und digitalisiert, ist sie besser geschützt. Denn dadurch gibt es in der Behörde mehr Digital-Verständnis und Hacker haben weniger Chancen. Und falls Hacker doch zuschlagen, kann eine Behörde schneller mit Alternativen arbeiten, weil sie ihre Vorgänge genau kennt.
Die wichtigsten Dinge einer Verwaltung
Dass das nötig ist, zeigt der MDR-Podcast "You are fucked - Deutschlands erste Cyberkatastrophe" über den Hackerangriff auf Anhalt-Bitterfeld. IT-Helfer Thomas Leich sagt zum Beispiel: "In einer Besprechung haben damals wir gefragt, was die wichtigsten Verwaltungsdienstleistungen sind." Zunächst seien 85 Prozent aller Prozesse wichtig gewesen, sagt Leich. "Auch die Hundesteuer oder so etwas."
Man kann nicht alles schützen. Man muss priorisieren.
Prioritäten für den Fall einer Cyberkatastrophe setzen – das empfiehlt auch Heli Tiirmaa-Klaar. Sie war unter anderem estnische Botschafterin für Cyberdiplomatie, Leiterin der Koordinierung der Cyber-Politik im Auswärtigen Dienst der EU und hat die NATO zu Cyber-Verteidigungspolitik beraten. Heute lehrt sie an der ESMT in Berlin.
"Man kann nicht alles schützen. Man muss priorisieren. Ist die Wasserversorgung wichtiger oder Bibliothek?", sagt Tiirmaa-Klaar. In Estland gebe es eine "Cyber Defense League" Das sei eine freiwillige Cyber-Verteidigungs-Organisation des Landes. Darin seien IT-Expertinnen und Experten versammelt, die an Wochenenden trainieren oder ihr Wissen weiter geben. "Das ist ein Weg, dem Personalmangel zu begegnen, den wir in der Cybersicherheit immer haben."
Cyber-Trainings schaffen Vertrauen
Ein enges Netzwerk und regelmäßige Treffen empfiehlt Tiirmaa-Klaar auch deutschen Kommunen und Regionen. "Das gegenseitiges Verständnis ist wichtig. Und die Menschen sollten sich kennen, bevor eine Cyberattacke passiert". Wenn die Krise eintritt, ist es gut, die Menschen schon zu kennen und ihnen zu vertrauen.
Das sieht auch Thomas Leich so. Bei der Cyberkatastrophe von Anhalt-Bitterfeld kannten sich nicht alle Experten vorher. "Es ist wichtig, handwerklich ein paar Sachen auszuprobieren und so auf die Fähigkeiten des anderen vertrauen zu können."
Die Idee für einen freiwilligen Zusammenschluss von IT-Sicherheitsexperten, die in einer Krise helfen, gibt es bereits. Die AG KRITIS, ein Zusammenschluss von Cybersicherheits-Experten, hat dafür ein Konzept für ein Cyberhilfswerk entworfen. "Beim Technischen Hilfswerk wird dazu gerade eine Machbarkeitsstudie erstellt", sagt Manuel Atug, Sprecher der AG KRITIS.
IT-Experte Thomas Leich gibt aber zu Bedenken: "Ich will mir nicht vorstellen, dass mein Name dort auftaucht und ich dann Ziel der bösen Buben bin, die mich persönlich digital angreifen." Er sei sich aber sich, dass es dazu bereits Bestrebungen gebe, die in die richtige Richtung gingen und nicht so publik gemacht würden.
Unkoordinierte Verwaltungsdigitalisierung in Deutschland
Valentina Kerst, die ehemalige Digital-Staatssekretärin aus Thüringen, würde ein Cyberhilfswerk begrüßen. Sie hat gerade das Buch "Schleichender Blackout" veröffentlicht. Darin kritisiert sie, dass die Verwaltungen in Deutschland unkoordiniert vor sich hin digitalisiert würden.
Das liege auch an den politischen Prozessen und dem Föderalismus. "Wir haben im Bereich Digitalisierung noch nicht die politischen Strukturen geschaffen", sagt Kerst. Kommunen, Länder und Bund würden unterschiedlich agieren. "Die politischen Ebenen müssen sich dringend einig werden, wohin es gehen soll." Kerst verlangt mehr Einheitlichkeit und dass Verwaltungen mehr im Sinne der Bürger denken.
Wir haben im Bereich Digitalisierung noch nicht die politischen Strukturen geschaffen.
"Wer zum Beispiel in Hamburg ein Kind bekommt, kann an einem Terminal im Kinderkrankenhaus Bescheid geben und erhält ein paar Tage später die Geburtsurkunde. So erwarten das die Menschen!" Kerst bestätigt, dass ein einheitlicher deutschlandweiter Online-Antrag für das Elterngeld auch an einer Lappalie gescheitert sei: Man habe sich unter den Bundesländern nicht darauf einigen können, ob ein Feld als "Anschrift" oder "Adresse" bezeichnet wird.
Stört der Föderalismus im Cyberraum?
Föderalismus könne aber auch gut für die Cybersicherheit sein, findet Thomas Leich: "Die Architektur des Internets ist föderal. Aber ein zentrales Bundesrechenzentrum, in dem alle Daten von Kommunen und Ländern sind, stellt ein Risiko dar. Das möchte ich nicht tragen."
Sorge macht Leich die sehr geringe Zahl der Menschen, die in Sachsen-Anhalt im Bereich Verwaltungsdigitalisierung studieren. "Im vergangenen Herbst haben nur acht Studierende angefangen. Und die arbeiten bei Kommunen. Niemand von ihnen arbeitet für die Landesverwaltung in Sachsen-Anhalt."
Zur Weiterbildung in Behörden und Unternehmen gehören auch sogenannte Awareness-Trainings, sagt Leich. Dabei werden Beschäftigten zum Beispiel E-Mails geschickt, die sie als gefährlich erkennen sollen. Sie sollen so trainieren, dass kriminelle Hacker so genannte Phishing-Mails verschicken, um in die Systeme von Organisationen zu kommen.
Allerdings sagt Eva Wolfangel, Tech-Journalistin im Podcast "Digital leben" von MDR SACHSEN-ANHALT, dass diese Art von Training nicht funktioniere: "Psychologie und Hirnforschung zeigen, dass wir so nicht lernen." Wer nämlich auf eine solche Trainings-Mail klicke, hätte einen Misserfolg und würde nur lernen, dass er es nicht kann.
Phishing-Mails: Der Mensch ist nicht das Problem
Wolfangel gesteht, dass sie selbst auf ein solches Training hereingefallen sei. Darüber hat sie einen Vortrag auf der Republica 2023 gehalten. Der Titel: "Der Mensch ist nicht das Problem". Dass das Problem immer vor dem Rechner sitzt, ist ein alter Spruch unter IT-lern. Sie meinen damit den Nutzer, den Menschen. Aber Wolfangel sagt, Phising-E-Mails seien gerade deshalb so erfolgreich, weil sie uns als Menschen, als soziale Wesen ansprechen. "Und ich möchte nicht, dass wir uns das abtrainieren, das wäre superschade", sagt Wolfangel. Vielmehr müssten alle Möglichkeiten der technischen Sicherheit ausgeschöpft werden.
Für Thomas Leich von der Hochschule Harz sind Awareness-Trainings dann erfolgreich, wenn die Mitarbeiter mitdenken: Wenn sie glauben, einer ihrer Klicks könnte dem Unternehmen schaden, sollten sie keine Angst haben müssen, als Buhmann dazustehen, sondern sofort der IT Bescheid geben. "Denn der Mensch wird auch weiter auf Phishing-Mails hereinfallen. Wir müssen ihm die Angst nehmen, dass er sagt, dass er darauf reingefallen ist."
MDR (Marcel Roth)