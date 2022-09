Christoph Hofmanns Arbeit ähnelt der eines Cyber-Detektivs: Zusammen mit seinen Kollegen hat er den Überblick über die bayerische IT-Sicherheit im Lagezentrum des Landesamts für Sicherheit in der Informationstechnik (LSI) in Nürnberg. Auf sechs Bildschirmen an der Wand und jeweils zwei Bildschirmen am Arbeitsplatz gehen sie auf Spurensuche nach Internet-Kriminellen.

Zum Artikel: "Zahlreiche Fälle von digitaler Erpressung in deutschen Behörden"

Auf "Schwachstelle Mensch" abgesehen

Christoph Hofmann kümmert sich um den nächsten Cyber-Notfall – eine Kommune bittet um Hilfe. Betreff: "Überprüfung einer verdächtigen E-Mail." Hofmann soll herausfinden, ob Hacker dahinter stecken. "Die versuchen auf die Schwachstelle Mensch einzugehen", sagt Hofmann. Ein Mitarbeiter der Kommune soll also auf einen Link klicken, damit den Hackern die Tür ins Netzwerk geöffnet wird. "Ganz am Ende wird dann eine Ransomware ausgerollt, um die Gemeinde zu erpressen", erklärt Hofmann, der es gar nicht erst soweit kommen lässt.

Deutliche Zunahme bei Ransomware-Angriffen

Sogenannte "Ransomware" sind Schadprogramme, die IT-Systeme lahmlegen. Die tauchen immer öfter auf, sagt Daniel Kleffel, der Präsident des LSI: "Wir beobachten schon eine deutliche Zunahme, eine deutliche Tendenz, dass gerade Angriffe mit Ransomware zunehmen."

Wie viele Angriffe auf öffentliche Einrichtungen es genau gibt, ist jedoch schwer zu beziffern. "Wir haben im Monat Sicherheitsvorfälle im dreistelligen Bereich", sagt Kleffel über die dem LSI angeschlossenen Behörden und räumt ein, dass es dabei noch nicht um Angriffe gehe, sondern um "auffälliges Verhalten".

Bayerns Erfolgsrezept: Ein eigenes Landesamt für IT-Sicherheit

Seit 2017 hat Bayern als einziges Bundesland mit dem LSI ein eigenes Landesamt für IT-Sicherheit – und das mit Erfolg: In den angeschlossenen Behörden ist es Hackern seitdem nicht mehr gelungen Daten zu verschlüsseln.

Die Strategie ist reine Detektivarbeit: "Das Erfolgsrezept des LSI ist, dass wir auf den Log-Daten des staatlichen Rechenzentrums unmittelbar aufsitzen." Rund zwei Milliarden Datensätze spielen IT-Spezialisten wie Christoph Hofmann am Tag durch "und dann geht es eben darum, die ein, zwei, fünf oder zehn rauszufinden, die verdächtig sind", erklärt Daniel Kleffel. Diese gilt es dann zu blockieren.

Nach Hacker-Angriff: Mehr Sensibilität an der TH Nürnberg

Ein Schutzschirm, den immer öfter auch Universitäten und Hochschulen bräuchten: Im November 2021 sind die IT-Systeme der TH-Nürnberg von Hackern attackiert worden. Auch hier: ein Ransomware-Angriff. Die Bedrohung vor Cyber-Attacken sei zwar keine Überraschung gewesen, sagt der IT-Leiter Hans-Peter Flierl, aber "es war dann doch überraschend, dass wir im Fokus solcher Gruppen sind, die normalerweise kommerzielle Interessen haben." Die Hochschule reagierte schnell, trennte das System vom Internet, setzte sofort alle Passwörter zurück und konnte so verhindern, dass Daten entwendet werden.

Sicherheits-Mauern machen Angriff unwahrscheinlicher

Nachdem die Hochschule damals die Polizei eingeschalten hatte, wurde auch das LSI beratend hinzugezogen. Bei Hochschulen und Kommunen, die nicht direkt an das LSI anschlossen sind, bräuchte es vor allem ein geschärftes Bewusstsein, da sind sich Daniel Kleffel und Hans-Peter Flierl einig: "Da hat sich schon in gewisser Weise die Sensibilität erhöht, was aber natürlich nach einem Jahr auch wieder abnimmt", sagt Flierl.

Mittlerweile habe er verschiedene "Mauern" aufgebaut, die einen Angriff unwahrscheinlicher machen: "Wir sehen den Erfolg, dass wir die Angriffe weiterhin haben, aber sie kommen nicht mehr so weit. Zum Beispiel kommt von der Adresse, die uns angegriffen hat, in der letzten Woche des Monats immer der Versuch hier einzudringen."

Kommunen sollen nach und nach angeschlossen werden

Von den Fehlern anderer lernen – darauf baut auch das LSI. Auf der Website sammeln die Sicherheitsexperten öffentlich zugänglich Warnmeldungen und Schwachstellen in Systemen. Begonnen mit acht Mitarbeitenden, kümmern sich am LSI mittlerweile 115 IT-Spezialistinnen und Spezialisten um die bayerische IT-Sicherheit.

Erst vor kurzem wurde das LSI als "Trusted Introducer", einem Zusammenschluss von IT-Sicherheitsexperten auf internationaler Ebene, akkreditiert und gilt damit als besonders effektiv. Daniel Kleffel appelliert vor allem an Kommunen und Landratsämter IT-Sicherheit zur Chefsache zu machen. Außerdem seien alle Kommunen dazu eingeladen, sich dem Behördennetz anzuschließen – ein Angebot, das längst noch nicht alle bayerischen Behörden angenommen haben.

Bundesweit mehr als 100 Fälle von Daten-Verschlüsselung

Eine Bedrohung, die nicht erst seit kurzem bekannt ist: Im August ergaben Recherchen von BR und Zeit Online, dass es bundesweit in den vergangenen sechs Jahren in mehr als 100 Fällen bei Behörden, Kommunen und anderen staatlichen und öffentlichen Stellen zu Verschlüsselungen von IT-Systemen gekommen ist, also zu erfolgreichen Cyber-Angriffen. Auch bei Unternehmen "floriert" die Ransomware-Erpressung, heißt es im Bericht Cybercrime Bayern: Im Jahr 2021 gab es insgesamt 680 Ransomware-Vorfälle – das sind jedoch nur die Straftaten, die bei der Polizei zur Anzeige gebracht wurden.