Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Cyberkriminalität Erpressung von Städten und Kommunen – das raten BSI und BKA

BSI und BKA warnen Kommunen, dass sie nicht auf Erpressungen von Cyberkriminellen eingehen sollen. Doch wenn die IT stillsteht, wird der Druck immens.
04.03.2020 - 10:25 Uhr Kommentieren
IT-Security-Wissenschaftler trainieren, wie eingeschleuste Erpresser-Programme (Ransomware) unschädlich gemacht werden können. Quelle: dpa
Schadsoftware

IT-Security-Wissenschaftler trainieren, wie eingeschleuste Erpresser-Programme (Ransomware) unschädlich gemacht werden können.

(Foto: dpa)

Düsseldorf, Berlin Der Tag des Ausnahmezustands begann für Maic Schillack mit einem Anruf zu früher Stunde. Es war Freitag, der 6. September, als sich um 6.45 Uhr beim Ersten Stadtrat von Neustadt am Rübenberge ein Kollege aus der IT-Abteilung meldete. Über Nacht habe es unheimliche Aktivitäten auf den Servern der Stadt gegeben, berichtete der Mann. Schillack, der neben Personal und Finanzen, Feuerwehr und Bildung auch die IT verantwortet, eilte ins Rathaus.

Dort bestätigten sich schlimmste Befürchtungen: Hacker hatten die Rechner der Stadt systematisch infiziert und rund eine halbe Million Datensätze verschlüsselt. Die schädliche Software war noch aktiv. Schillack entschied, kurzfristig alle Systeme abzuschalten – und legte damit Einrichtungen wie das Bürgeramt, die Steuerbehörde und die Bibliothek lahm.

Neustadt am Rübenberge, eine Kleinstadt zwischen Bremen und Hannover mit 45.000 Einwohnern, ist nur ein Fall von vielen, und doch so typisch: Cyberkriminelle erpressen Städte und kommunale Einrichtungen in aller Welt. Sie schleusen schädliche Software – Ransomware genannt – ein, die wichtige Dateien blockiert, und fordern für die Freigabe ein Lösegeld. Ein „beispielloses und unerbittliches Sperrfeuer“ beobachtet IT-Sicherheitsdienstleister Emsisoft.

Auf dieses grassierende Problem reagieren nun mehrere Behörden und Verbände mit einem ungewöhnlichen Appell. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) und die Bundesvereinigung der kommunalen Spitzenverbände haben am Dienstag „Empfehlungen bei IT-Angriffen auf kommunale Verwaltungen“ veröffentlicht. Der wohl wichtigste Punkt: Kommunen sollten in keinem Fall auf die Forderungen der Kriminellen eingehen.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Damit „unterstützen sie das Geschäftsmodell der Erpresser“, betonte BKA-Präsident Holger Münch. Kommunalverwaltungen müssten dazu beitragen, die kriminellen Pläne zu durchkreuzen, „indem sie die zuständigen Behörden alarmieren und damit die Strafverfolgung ermöglichen.“ Zudem seien präventive Maßnahmen wichtig, um Computersysteme zu schützen. Der Fall Neustadt zeigt indes: Der Druck auf die Opfer ist enorm.

    Infiziert waren die Rechner im Bürgeramt der Stadt, in der Bibliothek, bei der KFZ-Anmeldung und der Steuerbehörde – insgesamt rund 330 PC-Arbeitsplätze. „Ich habe alle städtischen Konten gesperrt, aus Sorge, die Hacker könnten Kontodaten erbeutet haben“, sagt Schillack. Die Stadt war nun nicht nur vom Internet abgeschnitten, sondern auch von ihren Finanzen. Schillack griff zum Handy und tippte 110.

    Emotet: vielseitiges Einbruchwerkzeug

    Gegen 11 Uhr trafen die Cyberfahnder des Landeskriminalamts ein. Ihre erste Analyse: Die Täter befanden sich länger im System. Mit dem Programm Emotet hatten sie sich zunächst Zugriff aufs System verschafft, anschließend den Verschlüsselungstrojaner Ryuk eingeschleust. Diese Kombination nutzten Hacker zuletzt häufig.

    Emotet dient als vielseitiges Einbruchwerkzeug: Ist es einmal installiert, kann es weitere Module nachladen, etwa zur Verschlüsselung von Dateien oder zum Auslesen von Passwörtern. Zudem sind aktuelle Varianten in der Lage, sich selbst an die Kontakte im Adressbuch zu verschicken – die präparierten Nachrichten stammen daher scheinbar von Freunden, Kollegen oder Geschäftspartnern. Das BSI bezeichnet das Programm als „gefährlichste Schadsoftware der Welt“.

    Wie groß das Problem ist, lässt sich schwer beziffern. Die Dunkelziffer ist hoch. Emsisoft schätzt, dass es 2019 in Deutschland 10.000 Ransomware-Angriffe gegeben haben dürfte. Die Kosten durch Betriebsausfall und Lösegelder könnten zwischen 900 Millionen und 3,7 Milliarden Euro betragen haben.

    Der russische IT-Sicherheitsdienstleister Kaspersky verzeichnete einen Anstieg der Angriffe auf städtische Einrichtungen um 60 Prozent, vor allem auf Schulen, Rathäuser und Krankenhäuser. In Deutschland traf es 2019 das Kammergericht Berlin, die Universität Gießen, die Stadtverwaltung Frankfurt sowie diverse Kliniken. Die Täter suchen sich gezielt Organisationen aus, die wichtige Infrastrukturen betreiben und somit ihre IT schnell wieder ans Laufen bekommen müssen – dann ist der Druck groß genug, Summen im sechs- oder siebenstelligen Bereich zu zahlen.

    Gerade öffentliche Einrichtungen sind gefährdet. „Die kleinen Kommunen haben kleine IT-Abteilungen – für das Personal ist es schwer, bei der Vielzahl der Themen immer auf der Höhe der Zeit zu bleiben“, erläutert Heino Sauerbrey vom Deutschen Landkreistag dem Handelsblatt. Er fordert daher, dass die Landkreise ihre Gemeinden bei der Informationssicherheit „wie bei allen Fragen der Digitalisierung“ unterstützen sollten: „Am Ende geht es nur gemeinsam.“

    Angst um die Steuerakten

    So wie in Neustadt am Rübenberg. Die Sorgen von Stadtrat Schillack wuchsen von Stunde zu Stunde. Ihm kamen die 220.000 Steuerakten in den Sinn. Von der Hunde- bis zur Gewerbesteuer läuft in Rübenberge alles über digitale Prozesse. „Wenn die Akten weg sind, das kriegt man nie wieder in den Griff“, sagt er heute. Am Katastrophentag kam gegen 19 Uhr die erlösende Nachricht. „Wir haben schnell genug abgeschaltet, sonst wären die auch weg gewesen“, sagt Schillack heute.

    Damals atmete er tief durch. „Und da sitzt man dann freitagabends allein im Büro und denkt sich: Alter Schwede, jetzt kannst du den Deutschen Herbst nachvollziehen.“ Sicher, in Neustadt gab es keine Toten wie beim RAF-Terror, aber wie mies und hilflos es sich anfühlt, als Staatsvertreter erpresst zu werden, wird Schillack nie vergessen.

    Wochenlang waren Flipchart, Stift, Papier plötzlich die einzige Möglichkeit, die Stadt am Laufen zu halten. Wenn Bürger eilig einen neuen Pass benötigten oder ein Auto anmelden wollten, mussten sie auf Nachbargemeinden ausweichen. Die Überweisung des Elterngeldes kam drei Tage zu spät. Trotzdem hätten die Bürger viel Verständnis gezeigt, sagt Schillack.

    Den Gesamtschaden zu schätzen, ist nicht möglich. Das Netzwerk musste komplett neu aufgesetzt werden. Danach galt es, die verlorenen Daten wiederzubeschaffen. Allein das digitale Neuzeichnen der Pläne städtischer Immobilien würde mehr als fünf Millionen Euro verschlingen. So klapperte die Stadt Architektenbüros ab, ob die Pläne dort vielleicht noch gespeichert sind.

    Es gilt für Kommunen wie für Unternehmen: Die Investitionen in den Neuaufbau der IT sind erheblich. Zudem können Betriebsausfälle teuer werden. Zwölf Prozent der Firmen beziffern die Kosten mit mehr als 50.000 Euro, wie die Wirtschaftsprüfungsgesellschaft KPMG in einer Umfrage ermittelt hat, zwei Prozent gar mit mehr als 500.000 Euro. Die geforderten Lösegelder liegen meist darunter.

    Über eine Lösegeldforderung möchte Schillack nicht sprechen. Nur so viel: „Dem Staat ist es verboten, kriminelle Vereinigungen zu unterstützen.“ Damit ist er auf Linie mit BSI und BKA. Die Behörden betonen, dass jede Zahlung das kriminelle Geschäftsmodell lukrativer mache – und somit für eine „Fortsetzung und Weiterentwicklung der Angriffe“ sorge. „Außerdem besteht das Risiko, dass nach einer Zahlung nicht das erhoffte Ergebnis eintritt oder weitere Forderungen erhoben werden“, heißt es in den Empfehlungen.

    Doch die Opfer stecken in der Zwickmühle. Bis zu 30 Prozent der bekannten Fälle zahlten wohl Lösegeld, wie es bei Emsisoft heißt. Die Dunkelziffer könnte indes groß sein. Der IT-Dienstleister Coveware berichtet, dass 97 Prozent der zahlenden Unternehmen im vierten Quartal 2019 wieder an ihre Dateien gelangten. Bei den Kriminellen, die die meiste Ransomware verbreiten, handle es sich um professionelle Akteure, kommentiert das Unternehmen.

    Darüber will Schillack nie wieder nachdenken müssen. Neustadt hat die IT-Sicherheit ausgebaut. Früher gab es ein „Superpasswort“, das es Hackern leicht machte. Damit ist es vorbei. Das „Neueste vom Neuesten“ sei die Losung, sagt Schillack und listet auf: Firewall, Sandbox, revisionssichere Speicher und regelmäßige Penetrationstests, also simulierte Angriffe von außen. Einmal in der Woche werden die Daten auf einem Magnetband abgelegt, das in einem Schließfach bei der Bank lagert.

    Damit ist die Stadt ein Vorbild. Das BSI mahnt öffentliche Einrichtungen, in die IT-Sicherheit zu investieren. Die Behörde empfiehlt Organisationen, Konzepte wie den IT-Grundschutz einzuführen, der ein Vorgehen für die Datensicherung enthält.

    Bundesländer und Bund trainieren die Abwehr ziviler Krisen regelmäßig in den sogenannten Lükex-Planspielen. Dabei werden Szenarien simuliert: eine Sturmflut an der Nordsee, ein Terroranschlag mit Atomwaffen oder eine weltweite Influenza-Pandemie. Die nächste Simulation befasst sich mit einem „Cyberangriff auf Regierungshandeln“. Maic Schillack haben sie schon eingeladen. Als Keynote-Sprecher.

    Mehr: Angriff auf Ransomware: Das ist der Mann, der die Hacker hackt.

    Startseite
    Mehr zu: Cyberkriminalität - Erpressung von Städten und Kommunen – das raten BSI und BKA
    0 Kommentare zu "Cyberkriminalität: Erpressung von Städten und Kommunen – das raten BSI und BKA"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%