Bei der Analyse des Cyberangriffs auf den Landkreis Anhalt-Bitterfeld arbeiten die Forensiker noch auf Hochtouren. Digitale Spuren werden gesichert, Hinweise auf die Täter gesammelt. Bis es gesicherte Erkenntnisse gibt, kann es laut Landeskriminalamt noch dauern. Vergangene Woche hatte ein Schadprogramm die Systeme infiltriert und auf Eis gelegt. Um schnell Hilfe zu bekommen, wurde sogar der Katastrophenfall ausgerufen.
Der Landkreis redet mittlerweile von einer Sicherheitslücke. Eine Schwachstelle im Druckersystem von Windows könnte im Zusammenhang mit einer erfolgreichen Phishing-Attacke eine Erklärung sein - muss es aber nicht. Windows hatte davor Anfang Juli gewarnt und letzte Woche Updates zur Verfügung gestellt. «Es könnte aber auch sein, dass das Virus schon Tage zuvor im Netz gelandet ist», sagte Landrat Andy Grabner (CDU).
Die eine Ursache gibt es aus Sicht von Manuel Atug vom Chaos Computer Club aber sowieso nicht. Probleme mit sogenannter Ransomware und auch die Defizite in den Systemen seien nicht über Nacht entstanden, sagte der IT-Sicherheitsexperte der Deutschen Presse-Agentur. Das sei ein langjähriger, fast schon jahrzehntelanger Prozess. Viele Kommunen würden mit alter Soft- und Hardware arbeiten, die seit Jahren nicht mehr geupdatet worden seien.
Die Server des Landkreises waren vergangene Woche mit Ransomware infiziert worden. Das sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Nach einer Geldzahlung sollen die Daten dann üblicherweise wieder freigegeben werden. Eine Garantie, dass nach Zahlung der Erpressungssumme wieder Zugriff auf die Daten besteht, gibt es allerdings nicht.
Landrat Andy Grabner (CDU) hatte am Mittwoch klar gesagt, dass der Landkreis keine Forderungen begleichen wird. Als öffentliche Hand lasse man sich nicht erpressbar machen. Die genaue Höhe des verlangten Betrags war zunächst unklar. Oft haben solche Lösegeldforderungen eine sechs- oder siebenstellige Höhe.
Vor wenigen Tagen sind laut Chaos Computer Club 200 Megabyte der Daten aus Anhalt-Bitterfeld in einem Forum veröffentlicht worden. Für Manuel Atug spricht vieles dafür, dass es sich dabei um eine Reaktion auf die Absage einer Lösegeldzahlung handelt. Der Landkreis bestätigte am Freitag, dass entsprechende Daten im sogenannten Darknet - einem schwieriger zugänglichen und oft für kriminelle Zwecke genutzten Teil des Internets - veröffentlicht wurden. Dabei handele es sich beispielsweise um Sitzungsprotokolle von Ausschuss- und Kreistagssitzungen, auch aus dem nicht öffentlichen Teil, teilte der Landkreis mit. Daten aus Verwaltungsverfahren sollen demnach nach aktuellem Erkenntnisstand nicht veröffentlicht worden sein.
Hinter solchen Angriffen stecken meist Ransomware-Banden. «Das sind hochkriminelle Bandenstrukturen und nicht irgendwie so Gelegenheitsdiebe oder Hacker», sagte Atug weiter. In der Regel würden sie zuvor ihre Ziele auskundschaften und prüfen, ob und wie sie Daten verschlüsseln. Ob das auch in Anhalt-Bitterfeld so war, wird sich noch zeigen.
Es gebe etliche Sicherheitslücken in kommunalen Systemen, die mit schlechter IT-Sicherheit betrieben würden, sagte Atug. Das sei aber auch in allen anderen Branchen der Fall. Unternehmen und Behörden sollten aus seiner Sicht deshalb aktiv und überall IT-Sicherheit integrieren. Außerdem sei eine offene Fehlerkultur wichtig, damit das auch mit allen Mitarbeiterinnen und Mitarbeitern gemeinsam realisiert werden könne.
Eine hundertprozentige Sicherheit gibt es aber auch mit viel Prävention nie. «Das ist wie bei einem Airbag oder einer Bremse. Normalerweise funktionieren die in ganz seltenen Ausnahmefällen halt nicht», sagte Atug. «Auch die Bremse funktioniert in Kombination mit einem Airbag und einem Gurt besser als ohne.» Mit der richtigen Kombination aus Maßnahmen könne die Sicherheit so hoch werden, dass das Restrisiko, was übrig bleibt, vertretbar oder akzeptabel sei.