Anhalt-Bitterfeld: Cybersicherheitsarchitektur am Limit

- Der folgende Beitrag ist im Newsletter "Tagesspiegel Background" erschienen - 

In Anhalt-Bitterfeld ist es Cyberkriminellen gelungen, eine Verwaltung in bisher ungekanntem Ausmaß lahmzulegen. Dass die Bundeswehr hier Amtshilfe leisten musste zeigt, wie wenig die zuständigen Landesbehörden vorbereitet sind. Das muss sich dringend ändern, fordert Sven Herpig in einem Gastbeitrag im Newsletter "Tagesspiegel Background" – und gibt Tipps für Städte und Kommunen.

Handynummern, Bankverbindungen und nicht-öffentliche Sitzungsprotokolle im Darknet, dazu ein Komplettausfall der IT: Ein Alptraum für jede öffentliche Verwaltung. Im Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt ist er wahr geworden. Am 6. Juli drangen Cyberkriminelle in die Systeme ein, verschlüsselten die Daten und übermittelten ein Erpresserschreiben. Wenn der Landkreis kein Lösegeld zahle, würden sie persönliche Daten von Abgeordneten und Mitarbeiter:innen der Kreisverwaltung im Darknet veröffentlichen. 

Der Landkreis kam der Forderung nicht nach. Daraufhin stellten die Kriminellen personenbezogene Daten von 92 Personen – darunter 42 Mitgliedern des Kreistags – ins Darknet. Die Verwaltung in Anhalt-Bitterfeld lag wochenlang lahm. Mitarbeiter:innen konnten nicht mehr auf die benötigten Daten zugreifen. Gehälter auszahlen, Sozialgeld, Bafög, ging alles nicht.

Erstmals Bundeswehr im Cyber-Notfalleinsatz

IT-Sicherheitsvorfälle gibt es ständig, auch in Deutschland. Der Fall Anhalt-Bitterfeld besitzt jedoch eine völlig neue Dimension. Zum Einen war das Ausmaß, in dem die öffentliche Verwaltung im Landkreis in Mitleidenschaft gezogen wurde, enorm. Und dass ein Landrat wegen eines IT-Vorfalls den Katastrophenfall ausruft und die Bundeswehr um Amtshilfe bittet – das gab in Deutschland noch nie.

Auch wenn die Amtshilfe mittlerweile wieder beendet ist, befindet sich der Landkreis bis heute im Ausnahmezustand. Die IT-Aufräumarbeiten werden noch mehrere Wochen bis Monate andauern. Dabei kommen wir nicht umhin, die Frage zu stellen, ob die deutsche Cybersicherheitsarchitektur für derlei Vorfälle gerüstet ist.

Digitale Sandsäcke schleppen

Unterstützt haben den Landkreis verschiedene Akteure der Landesebene: das Computer Emergency Response Team Nord (CERT Nord), das Landeskriminalamt mit seinem Cybercrime Competence Center (4C) und die Zentrale Ansprechstelle Cybercrime (ZAC) sowie das Finanzministerium mit dem IT-Sicherheitsbeauftragten (IT-SiBe). Außerdem war von Anfang an eine Bundesbehörde vor Ort: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schickte auf Ersuchen von Anhalt-Bitterfeld sein „Mobile Incident Response Team“ (MIRT).

Laut BSI-Gesetz unterstützt das MIRT bei einem IT-Sicherheitsvorfall in „besonders herausgehobenen Fällen“. Es ist auf forensische Untersuchungen der IT-Systeme spezialisiert und unterstützt beim Krisenmanagement. Was das MIRT nicht übernimmt, ist das Einrichten einer ersten Notfallinfrastruktur sowie das Neuaufsetzen von hunderten Arbeitsplatzrechnern. Das übernahm in Anhalt-Bitterfeld die Bundeswehr. Sie unterstützte den Landkreis vor allem beim Wiederaufbau der Netze.

Die Unterstützung ist nicht unumstritten. Der Einsatz der Bundeswehr im Inneren ist generell ein Reizthema, militärische Operationen im Cyberraum sowieso. Vertreter:innen der Zivilgesellschaft fragten unter anderem, warum der Landkreis beim Wiederaufbau der Netze nicht ausschließlich auf am Markt verfügbare IT-Sicherheitsdienstleister gesetzt hat.

Wieso konnte die Landesebene keine ausreichende Unterstützung leisten?

Auch wenn das Vorgehen der Verantwortlichen im Landkreis angesichts der Ausnahmesituation grundsätzlich nachvollziehbar und rechtlich zulässig ist – war insbesondere das Ersuchen auf Amtshilfe an die Bundeswehr angemessen?

Zudem stellt sich die Frage nach dem Subsidiaritätsprinzip: Warum konnten die zuständigen Akteure auf Landesebene keine ausreichende Unterstützung leisten? Wieso musste der Landkreis Bundesbehörden anrufen? Die Ressourcen des BSI sowie der Bundeswehr sind endlich. Deshalb kann und darf es nicht zum Standard werden, dass bei einer von Cyberkriminalität betroffenen Kommune – etwas überspitzt formuliert – direkt die Bundeswehr anrücken muss.

Die zuständigen Behörden von Bund und Ländern müssen hier besser vorbereitet sein. Das betrifft vor allem die Ressorts des Innern. Dass schon bei einem einzigen IT-Sicherheitsvorfall, hinter dem weder Nachrichtendienste noch Militärs stecken, die Verantwortlichen offenbar nicht die notwendige Hilfe beim direkt zuständigen Ressort bekommen, sondern nur bei der Bundeswehr und damit dem Verteidigungsressort, deutet möglicherweise auf strukturelles Versagen hin. 

In der Tat ist es so, dass sich die Landesstrukturen in diesem Bereich immer noch im Aufbau befinden. Dabei müssten sie eigentlich die erste Anlaufstelle sein. Dieses Ziel sollten und müssen wir angesichts der Gefährdungslage so schnell wie möglich erreichen. Fälle wie der in Anhalt-Bitterfeld müssen zukünftig auf Landesebene mit Unterstützung von privaten Dienstleistern beherrschbar sein. Dies gilt insbesondere, wenn nicht „nur“ kommunale Verwaltungsstrukturen, sondern kommunale Dienstleister wie Krankenhäuser oder Energie- und Wasserversorger betroffen sind.

What to do? Unterstützungsleistungen bei IT-Sicherheitsvorfällen - eine kurze Checkliste für Städte und Kommunen

1. Prüfen Sie, welche Unterstützungsleistungen auf Kommunal- und Landesebene zur Verfügung stehen, wie die Abläufe dort sind und ermitteln Sie die Ansprechpartner:innen; es geht darum „Köpfe zu kennen“. Wirken Sie gegebenenfalls auf die Landesebene ein, mehr Ressourcen aufzubauen, gerade im Bereich der mobilen Vorfallbearbeitungsteams.

2. Verschaffen Sie sich einen Überblick, welche Unterstützungsleistungen – Art und Aufgaben – auf Bundesebene zur Verfügung stehen und wie die Abläufe dort sind.

3. Nehmen Sie Kontakt mit privaten Dienstleistern auf, bevor ein Schadensfall eintritt und prüfen Sie, wer von diesen welche Hilfestellung und Unterstützung leisten kann. Eine Liste geeigneter Unternehmen gibt es auf der Seite des BSI: „Qualifizierte APT-Response Dienstleister“.

Eine Unterstützung durch das Mobile Incident Response Team des Bundesamtes für Sicherheit in der Informationstechnik können Sie ohne Amtshilfe-Antrag ersuchen. Die Bundeswehr kann per Amtshilfe „technisch“ unterstützen, im Katastrophennotstand und im Inneren Notstand aushelfen. Generell gilt auch die Erlasslage im jeweiligen Bundesland. Die Bundeswehr kann weiterhin unterstützen, wenn es im Ausbildungsinteresse der Truppe ist. Hierfür sollten Sie sich jedoch eine „Unbedenklichkeitsbescheinigung“ der lokal zuständigen Institution – zum Beispiel der Industrie- und Handelskammer – ausstellen lassen. Diese Bestätigung müssen Sie dem Antrag auf Amtshilfe beilegen.

4. Üben Sie den Ernstfall um zu prüfen, wo noch Verbesserungsbedarf besteht.