Cyberattacke
Was tun nach einem Hackerangriff?
Hackerangriff: So reagieren die betroffenen Kommunen
Während Mike Schubert in Potsdam die To-Do-Liste für die Rückkehr zu einem Normalbetrieb nach einem Hackerangriff aus schmerzlicher Erfahrung heraus in der Schublade hatte, konnte sich Clemens Körner zunächst nur langsam in dem üblen Szenario vortasten. Der Landrat des Rhein-Pfalz-Kreises arbeitet seit Oktober 2022 daran, die Folgen einer Ransomware-Attacke auf seine Verwaltung zu bewältigen. Damals verschlüsselten Kriminelle die Server des Landkreises.
Drei wichtige Überlegungen vor Hackerangriff
„Eine Hackergruppe verlangte Geld und drohte, die Daten im Darknet zu veröffentlichen“, berichtet Clemens Körner. Der Rhein-Pfalz-Kreis verweigerte ein Lösegeld und bald darauf veröffentlichten die Erpresser Dokumente von mehr als 3.500 Bürgerinnen und Bürgern. „Seit dem Angriff ist unsere wichtigste Frage: Wann können wir wieder hochfahren? Wann sind wir voll funktionsfähig?“, erzählt der Landrat.
Immer häufiger müssen sich Kommunen mit Sicherheitsvorfällen herumschlagen.Verantwortliche sollten mit einer gezielten Vorbereitung auf die Bewältigung früh anfangen und vor allem drei wichtige Überlegungen anstellen: Was kann ich vorbereiten, dass mir in der aufgeheizten Situation eines Hackerangriffs schnell und wirksam hilft? Welche organisatorischen und technischen Schritte gehe ich, um die hektische Lage zu stabilisieren? Und: Wen kann ich um (Amts-)Hilfe bitten? Wenn der akute Angriff geschieht, sollte eine Kommune dessen Bewältigung schnell und überlegt mit den gewohnten Mitteln des Projektmanagements angehen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Krisenstab könnten Projektmanager und Bürofachkräfte die IT-Spezialisten bei vielen organisatorischen, planerischen, kommunikationsrelevanten oder logistischen Aufgaben entlasten. Die IT-Fachleute selbst würden aber an anderer Stelle dringender gebraucht.
Krisenstab im Rhein-Pfalz-Kreis
Der Rhein-Pfalz-Kreis hat einen Krisenstab aus Landrat, den Beigeordneten und allen Abteilungsleitungen gebildet. „Wir trafen uns anfangs täglich, jetzt drei Mal die Woche oder bei Bedarf“, berichtet Landrat Körner. „Und man kennt das ja: Man hat ängstliche Abteilungsleiter, pragmatische Abteilungsleiter, manche sind offensiv, manche haben panische Angst. In so einer Krisensituation wird der Ängstliche noch ängstlicher, der Forsche noch forscher, der Stratege baut ständig Priorisierungslisten auf.“ Körner organisiert mehrere Baustellen seiner Verwaltung: Es gilt, sich um die datenschutzkonforme Behandlung der tausenden Einzeldateien zu kümmern, die die Kriminellen offen ins Darknet gestellt hatten. Gleichzeitig will der Landkreis eine saubere Netzinfrastruktur aufbauen und muss den alltäglichen Service für die Bürger möglich machen.
Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik
Für die technische Bewältigung empfiehlt das BSI, eher einen durchdachten Plan für den Neuanfang auszuarbeiten und nicht übereilt zu handeln. Kommunen sollten zwar ein modernes Konzept aufsetzen, aber keine Experimente oder etwas für sie völlig Neues aufbauen – und sie müssten davon ausgehen, dass irgendwann der nächste Angreifer durchkommt. So wie in Potsdam. Hier hat man sich nach dem ersten Vorfall überlegt, wie künftig wichtige Vorgänge auch bei einem Hackerangriff technisch weiterlaufen könnten. Der Verwaltungsstab sei daher in der Lage gewesen, kritische Vorgänge und Fachverfahren, wie den Zahlungsverkehr, beinahe unterbrechungsfrei durch eine BypassLösung zu gewährleisten. Zudem könne man bei den Untersuchungen und Prüfungen des Systems auf die damaligen Dokumentationen zurückgreifen. Bereits Ende Januar ging die Verwaltung erstmals wieder ans Netz. Allerdings nur kurz, denn ein erneuter Virencheck schlug wieder Alarm. Die Bedrohung war noch nicht vorbei.
IT-Spezialisten unterstützen
Man sollte sich nicht der Illusion hingeben, dass im Notfall problemlos die Kavallerie einreitet, um die IT einer Kommune wieder ans Laufen zu bringen: Zwar beraten und unterstützen die Spezialisten von Landes- und Bundesbehörden nach Kräften, aber praktische technische Hilfe direkt vor Ort leisten sie selten. Beispiel Rhein-Pfalz-Kreis: „Die Kommunen in Rheinland-Pfalz betreiben im Rahmen der kommunalen Selbstverwaltung eigene IT-Infrastrukturen. Sie sind daher auch für die Themen Informations- beziehungsweise IT-Sicherheit eigenverantwortlich“, so der Landesbetrieb Daten und Information (LDI).
Nach dem Cyberangriff habe die Kreisverwaltung den direkten Kontakt zu den Spezialisten für Cybersicherheit des Landes und des BSI aufnehmen und Fragen klären können, berichtet das LDI. Zum anderen hat das Digitalisierungsministerium dem Landkreis die Möglichkeit gegeben, auf Rahmenverträge des Landes zu ITDienstleistungen zuzugreifen“.
Da, wo sie bereits aufgestellt sind, kommen bei IT-Sicherheitsvorfällen die Computer Emergency Response Teams (CERT) der jeweiligen Länder oder des Bundes zum Zuge, um die Kommunen bei den nötigen technischen und organisatorischen Maßnahmen zu unterstützen.
Mobile Reaktionsteams im Aufbau
Mobile Reaktionsteams, die zur Hilfe ausrücken, sind beispielsweise in Rheinland-Pfalz zwar im Aufbau. Die Kommunen brauchen also in erster Linie die Hilfe von kundigen IT-Dienstleistern, um die technischen Probleme schnell und professionell zu lösen. Das BSI stellt eine Liste mit Dienstleistern zur Verfügung, kann selber laut gesetzlicher Aufgabenbeschreibung aber nur in „herausgehobenen Fällen“ auf kommunaler Ebene praktisch bei Cyberangriffen helfen. Ein solcher Sonderfall war der Ransomware-Angriff im Landkreis Anhalt-Bitterfeld, nach dem der Landrat den ersten deutschen Cyber-Katastrophenfall ausgerufen hatte. Da eilten nicht nur Fachleute des BSI sondern sogar der Bundeswehr herbei.
Eine gute Idee für die Vorbereitung auf eine Krise ist es deshalb auch, Netzwerken beitreten.
Allianz für Cyber-Sicherheit (ACS)
Wer schon frühzeitig den Austausch mit erfahrenen Praktikern pflegt, wird sensibler für die Cybergefahren und hat schneller Zugriff auf zuverlässigen Rat, wenn er nötig wird. So gehören zurzeit rund 170 Kommunen zu den Mitgliedern der Allianz für Cyber-Sicherheit (ACS), die das Bundesamt für Sicherheit in der Informationstechnik organisiert und zu der auch Unternehmen und Institutionen gehören. Hier tauscht man sich darüber aus, wie Hacker arbeiten, wie man Schutzmaßnahmen trifft und welche Schritte im Angriffsfall zu gehen sind.
Landrat Clemens Körner hat sich inzwischen tief in die Materie eingearbeitet und will schnell eine externe24/7-Netzwerkdatenüberwachung einrichten lassen und mit einem kompletten Neuaufbau des Systems künftig in Sachen Datensicherheit alles richtig machen. Er trommelt in anderen rheinland-pfälzischen Kommunen dafür, sich zusammenzuschließen und einen kommunalen Hilfsschirm zu spannen: „Was, wenn wir uns das Geld für eine 24/7-Überwachung gemeinsam in eine Schatulle legen und den Schutz als eine kommunale Gesellschaft/GmbH bezahlen, damit sich das alle leisten können?“ Körner will das anpacken. Denn der nächste Cyberangriff wird kommen, soviel ist sicher.
