Den 21. November werden die Mitarbeiter der Gemeinde Roggenburg (Landkreis Neu-Ulm) nicht vergessen. Eigentlich sollten sie an diesem Tag Rechnungen prüfen, doch plötzlich waren die Bildschirme schwarz. Wohl ein Ausfall der Server, so die erste Vermutung.
Doch das Problem ist weitaus größer. Denn Hacker der Gruppe "Akira" haben den Zweckverband gemeindliche Datenverwaltung mit zwölf schwäbischen Kommunen angegriffen. Ob Passanträge, Kassensystem oder Friedhofsverwaltung – die Beschäftigten haben plötzlich keinen Zugriff auf Programme mehr, denn Daten sind verschlüsselt. Die Täter fordern Lösegeld.
Kein Lösegeld für verschlüsselte Daten
"In den Verwaltungen gab es eine klare Haltung. Wir wollen für diese kriminellen Machenschaften nicht zahlen", sagt Mathias Stölzle, Bürgermeister von Roggenburg und Vorsitzender des Zweckverbands. Doch die Mitarbeiter haben nicht unbegrenzt Zeit, um Systeme wieder aufzusetzen und wieder an verschlüsselte Daten zu kommen. Denn ein wichtiger Termin sitzt ihnen im Nacken. Am 14. Januar soll die Landratswahl im Kreis Neu-Ulm stattfinden und vorher müssen entsprechende Wahlbenachrichtigungen an die Bürger verschickt werden.
Die Cyberattacke auf Städte und Dörfer im Landkreis Neu-Ulm ist kein Einzelfall. In Nordrhein-Westfalen hatten Hacker vergangenen November gleich 70 Kommunen lahmgelegt.
Zugriff auf sensible Informationen
Wie leicht Täter in Systeme von Gemeinden eindringen können, erklärt René Rehme. Der Webentwickler baut derzeit eine IT-Sicherheitsfirma auf und versteht sich als ethischer Hacker. Er überprüft Internetseiten auf Schwachstellen, damit sie von Kriminellen nicht ausgenutzt werden können. Rehme hatte die Webseite von Roggenburg einem Test unterzogen. "Nach ungefähr einer Minute konnte ich auf eine komplette Datenbank mit 50 Tabellen zugreifen, auch auf personenbezogene Daten", sagt Rehme. Seine Entdeckung meldet er an das Landesamt für Sicherheit in der Informationstechnik und bekam als Rückmeldung, dass eine bislang unbekannte Schwachstelle gefunden wurde. "Durch ihren Hinweis konnten viele weitere Kommunalwebseiten (mittlerer zweistelliger Bereich) identifiziert werden, die … die gleiche Möglichkeit aufwiesen", heißt es in einer E-Mail.
Eine Schwachstelle kann Einfallstor sein
Über die Suchfunktion der Internetseiten konnten nicht nur allgemeine Informationen gefunden werden, sondern auch vieles, was eigentlich gar nicht für die Öffentlichkeit bestimmt ist.
Doch warum werden Rathäuser nicht besser geschützt? Das liege einerseits an der Vielzahl der Dienstleistungen, die von Kommune zu Kommune unterschiedlich sind, sagt Rehme. "Die meisten Anwendungen garantieren auch eine gewisse Sicherheit und sind zertifiziert. Aber es genügt eine Anwendung auf einem Rechner, die nicht sicher ist, und die dann als Lücke ausgenutzt werden kann." Deshalb wird unter Experten darüber diskutiert, ob statt Einzellösungen für jede Gemeinde nicht stärker einheitliche Standards bei den Webseiten eingeführt werden sollten.
Hilfe für Kommunen
Das Bundesamt für die Sicherheit in der Informationstechnik hat mit dem Projekt WiBA (Weg in Basisabsicherung) einen Einstieg in die Cybersicherheit entwickelt. Es ist gerade auch für kleine Kommunen gedacht, denen oft das Geld fehlt, um ein Mindestmaß an Schutz zu schaffen. Anhand von Checklisten mit Prüffragen können Kommunen Probleme selbst feststellen und dann entsprechende Maßnahmen umsetzen. "Angreifer gehen oftmals den Weg des geringsten Widerstands. Schlecht geschützte Kommunen oder Dienstleister müssen davon ausgehen, dass sie früher oder später Opfer eines Cyberangriffs werden", so ein Pressesprecher des BSI. Langfristig soll ein eigenes Webtool die Verwirklichung von WiBA noch zugänglicher machen.
Cybersicherheit nicht verpflichtend
René Rehme lobt die Maßnahmen des BSI. "Würden sich Gemeinden konsequent daran halten, wäre der Schaden selbst nach einem erfolgreichen Angriff mit verschlüsselten Daten minimal. Eine Gemeinde wäre wahrscheinlich schon nach einem Tag wieder online", so seine Einschätzung. Doch er sieht auch ein Problem. Denn die Leitlinien sind derzeit lediglich eine Empfehlung, müssen also nicht verpflichtet umgesetzt werden. Wird eine Gemeinde tatsächlich gehackt, sollte sie zumindest Kontakt mit den Kriminellen aufnehmen, empfiehlt Rehme. "Die Täter drohen dann meistens mit allen Daten, die sie haben. So kann man sich ein Bild machen, ob wichtige Informationen abgeflossen sind."
Landratswahl nicht in Gefahr
Im Landkreis Neu-Ulm hatten die Gemeinden am Ende Glück im Unglück. Denn personenbezogene Daten landeten offenbar nicht im Netz. Auch das Rechenzentrum nahm mit neuer Hardware früher als gedacht den Betrieb wieder auf, weil eine Sicherungskopie existierte. Die Gemeinden konnten die Wählerverzeichnisse zur Landratswahl am Sonntag somit noch rechtzeitig erstellen und Unterlagen verschicken. Das Landesamt für Sicherheit in der Informationstechnik hatte beim Wiederaufbau der IT geholfen und will dem Zweckverband auch künftig beratend zur Seite stehen.
Dieser Artikel ist erstmals am 10. Januar 2024 auf BR24 erschienen. Das Thema ist weiterhin aktuell. Daher haben wir diesen Artikel erneut publiziert.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!