Als die Hacker kamen, sah Ernst Walter nur noch "Buchstabensalat". So erzählt es der geschäftsführende Beamte der kleinen Gemeinde Kammeltal im Landkreis Günzburg. Anfang April hatten Hacker Server verschlüsselt und wollten die Gemeinde offenbar erpressen. Daten gegen Geld.
Die Gemeinde erstattete Anzeige bei der örtlichen Polizei, nach 45 Minuten war die Kriminalpolizei im Rathaus. Doch die konnte wenig ausrichten, bis heute hat die Gemeinde keinen Zugriff auf viele Daten. Sie arbeitet mit einem Backup.
Behörden haben keinen Überblick über Hackerangriffe
"Ransomware" nennt man die Schadprogramme, die Kriminelle bei dieser Form der digitalen Erpressung einsetzen. Meistens werden sie über E-Mails verbreitet. Weltweit fließen Lösegelder in Millionenhöhe. Das Bundeskriminalamt (BKA) nennt Ransomware "die Bedrohung" für Unternehmen und öffentliche Einrichtungen. So steht es im jährlichen "Bundeslagebild Cybercrime" des BKA.
Trotzdem gibt es deutschlandweit bislang keinen genauen Überblick, wie stark die öffentliche Verwaltung von diesen Angriffen betroffen ist. Auch die Bundesregierung hat keine Kenntnis über die Zahl der Fälle, wie das Bundesinnenministerium auf Anfrage bestätigt. Eine generelle Meldepflicht für Ransomware-Angriffe gibt es bislang nicht.
Recherchen von BR und Zeit Online geben jetzt einen Eindruck von der Dimension des Problems. In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen und öffentlichen Stellen zu Verschlüsselungen von IT-Systemen gekommen. Das geht aus einer Umfrage von BR und Zeit Online unter den Innenministerien der Länder und des Bundes hervor. Die Gesamtzahl könnte jedoch deutlich höher liegen, denn mehrere Länder wie Nordrhein-Westfalen, Berlin und Hessen machten keine konkreten Angaben.
Landtage, Ministerien und Kommunen betroffen
Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Dem Bundesinnenministerium ist außerdem ein Fall innerhalb der Bundesverwaltung bekannt geworden, bei dem es zur Verschlüsselung eines Servers gekommen ist. Immer wieder trifft es zudem Kommunalverwaltungen: Großstädte wie Frankfurt am Main, mittelgroße Städte wie Neustadt am Rübenberge in Niedersachsen oder auch kleine Gemeinden wie eben Kammeltal.
In Bayern kümmert sich seit 2017 das Landesamt für Sicherheit in der Informationstechnik (LSI) um den Schutz vor Ransomware-Angriffen im bayerischen Behördennetz. Seit Gründung des LSI gab es in den angeschlossenen Behörden keine solchen Vorfälle mehr. In den Jahren zuvor hatten es Hacker geschafft, eine Vielzahl von Rechnern im Geschäftsbereich mehrerer Staatsministerien zu verschlüsseln. Betroffen waren Finanz-, Innen- und Kultusministerium. Wie viele Kommunalverwaltungen in Bayern mit Ransomware angegriffen wurden, ist unklar. Das LSI macht hierzu keine konkreten Angaben und verweist auf die Vertraulichkeit der Zusammenarbeit mit den Gemeinden.
Die kommunalen Spitzenverbände haben keinen systematischen Überblick über die Zahl der Vorfälle. Der Deutsche Städte- und Gemeindebund sieht ein wachsendes Problem und fordert eine bessere Zusammenarbeit von Kommunen und Landesbehörden. "Es stellt sich die Frage, wie schnellstmöglich die notwendige Unterstützung zur Prävention von Ransomware-Angriffen in jede Kommune kommt", heißt es auf Anfrage von BR und Zeit Online.
Aufklärungskampagne und Meldepflicht gefordert
Die Linken-Abgeordnete Anke Domscheit-Berg kritisiert, die Bundesregierung habe keine klare Strategie gegen Ransomware-Angriffe. Sie fordert eine breit angelegte Aufklärungskampagne, um Behördenmitarbeiter für die Bedrohung zu sensibilisieren: "Auch ein einziger Angriff kann unfassbare Folgen haben und ganz viele Menschen auf einmal betreffen, wenn wir an kritische Infrastrukturen denken".
Zu kritischen Infrastrukturen zählen unter anderem Wasserwerke, große Krankenhäuser und die Lebensmittelindustrie. Sie müssen Hackerangriffe an den Bund melden. Kommunen und Landesverwaltungen müssen das bislang nicht. Grünen-Politiker Konstantin von Notz fordert deshalb eine Meldepflicht für Ransomware-Vorfälle: Informationen müssten gebündelt werden und ein Warnsystem implementiert werden. "All das gibt es so nicht. Und deswegen stehen wir so schlecht da", sagt von Notz im Interview mit BR und Zeit Online.
Das Bundesinnenministerium teilt mit, "sofern Länder Behörden des Bundes über Ransomware-Vorfälle in ihrer Zuständigkeit informieren wollen, steht ihnen das frei". Die Länder träfen in eigener Zuständigkeit Maßnahmen zur Abwehr von Ransomware-Angriffen auf Behörden der Landes- und Kommunalebene.
Martin Schallbruch von der European School of Management and Technology Berlin spricht hingegen im Interview mit BR und Zeit Online von einem "Flickenteppich" in den Ländern. Er fordert einheitliche Regeln für Länder und Kommunen und eine bessere Abstimmung zwischen Bund und Ländern.
Steuergelder für Erpresser
Tatsächlich sind die Angreifer mit ihren Erpressungsversuchen in manchen Fällen auch "erfolgreich". Das bedeutet: Steuergelder fließen an Cyberkriminelle. So soll das Staatstheater Stuttgart im Jahr 2019 15.000 Euro bezahlt haben, wie lokale Medien berichteten. IT-Sicherheitsexperten und Strafverfolgungsbehörden raten davon ab, Hacker zu bezahlen, doch oft genug besteht die Alternative darin, die Daten zu verlieren.
Einen Überblick über erfolgreiche Erpressungen gibt es nicht. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlten. Das Bundesinnenministerium teilt auf Anfrage mit, Lösegeldzahlungen öffentlicher Stellen seien nicht bekannt.
In Kammeltal hat man dem Erpressungsversuch auf Anraten der örtlichen Polizei nicht nachgegeben. Stattdessen habe man die IT-Sicherheit der kleinen Gemeinde verbessert.
"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!