Background Discussion
Hintergrundgespräch: Cyberkriminelle erpressen Anhalt-Bitterfeld - Was können wir daraus lernen?
December 2021
Wednesday
08
12:00 - 13:00
(CET)
with
Programmes
Im Hintergrundgespräch vom 03. Dezember 2021 sprach Dr. Sven Herpig, Leiter Internationale Cybersicherheitspolitik, mit Sabine Griebsch, Chief Digital Officer der Landkreisverwaltung Anhalt-Bitterfeld über die Folgen des Cyberangriffs im Sommer. Es folgen die Aufnahme und ein Transkript der Veranstaltung. Der Text wurde zur besseren Lesbarkeit bearbeitet. Es gilt das gesprochene Wort.
Sven Herpig, Leiter Internationale Cybersicherheitspolitik, Stiftung Neue Verantwortung: Herzlich willkommen zum Hintergrundgespräch der Stiftung Neue Verantwortung heute zum Thema: Cyberkriminelle erpressen Anhalt-Bitterfeld, was können wir daraus lernen? Mein Name ist Sven Herbig, ich leite bei uns bei der Stiftung Neue Verantwortung das Themenfeld Internationale Cyber-Sicherheitspolitik. Die Stiftung Neue Verantwortung ist ein unabhängiger und gemeinnütziger Thinktank für die Gesellschaft im technologischen Wandel mit Sitz in Berlin. Mein persönlicher Expertisenfokus liegt auf staatlichem Handel im Cyberraum, also von aktiver Cyber-Abwehr über Überwachungswerkzeuge durch Sicherheitsbehörden und die Cyber-Sicherheitsarchitektur bis hin zum Schutz von maschinellem Lernen, besonders in kritischen Infrastrukturen.
Die Agenda ganz kurz. Ich führe in das Thema ein wenig ein und dann gehen wir sehr schnell in eine Q and A, in Fragen und Antworten zwischen mir und Frau Griebsch über, die ungefähr die Hälfte dieser heutigen Session einnehmen wird. Die zweite Hälfte dieser Session sind Fragen aus dem Publikum. Am Ende fassen wir kurz zusammen und geben einen Ausblick. Wie Sie gemerkt haben, ist das Format sehr stark darauf ausgelegt, dass Sie sich aktiv beteiligen. Deswegen ist auch ungefähr die Hälfte der Zeit für Eure und Ihre Fragen reserviert. Zögern Sie nicht, wenn Sie Fragen haben, diese auch zu stellen.
Ganz kurz eine inhaltliche Einführung: Warum sind wir heute hier? Warum sprechen wir heute miteinander?
Anhalt-Bitterfeld ist ein Landkreis in Sachsen-Anhalt mit knapp 160 000 Einwohner:innen und mit einem Verwaltungssitz in Köthen. Am 6. Juli diesen Jahres drangen Cyberkriminelle in die Systeme der Verwaltung des Landkreises Anhalt-Bitterfeld ein, verschlüsselten dort die Daten und übermittelten ein Erpresserschreiben. Wenn der Landkreis kein Lösegeld zahle, würden sie persönliche Daten von Abgeordneten und Mitarbeiter:innen der Kreisverwaltung im sogenannten Darknet veröffentlichen, so die Kriminellen. Der Landkreis kam der Forderung nicht nach. Daraufhin stellten die Kriminellen personenbezogene Daten von 92 Personen, darunter 42 Mitgliedern des Kreistages, ins Darknet. Die Verwaltung in Anhalt-Bitterfeld lag wochenlang lahm. Mitarbeiter:innen konnten nicht mehr auf die benötigten Daten zugreifen, Gehälter, Sozialgeld, BAföG auszahlen. Während erste IT-Systeme mittlerweile wieder ans Netz gegangen sind, werden die sich Aufräumarbeiten wahrscheinlich noch weiter hinziehen. Dieser Fall ist leider nicht deswegen besonders – wir reden heute nicht nur deswegen darüber, weil es Cyberkriminelle auf eine deutsche Kommunalverwaltung abgesehen haben. Denn kommunale Institutionen werden immer häufiger Opfer von Cyberkriminellen. Nein, wir reden heute darüber, weil Anhalt-Bitterfeld, oder kurz ABI, unter anderem deswegen so wichtig ist, weil zum Ersten Mal auf eine Reaktion, auf einen IT-Sicherheitsvorfall, der Katastrophenfall ausgerufen wurde und die Amtshilfe der Bundeswehr für den Cyberraum, angefordert wurde.
Sabine Griebsch ist heute bei mir, um gemeinsam mit mir das Ganze aufzuarbeiten und herauszuarbeiten, was wir aus diesem Vorfall und aus der Vorfallsbearbeitung lernen können.
Frau Griebsch ist Chief Digital Officer von der Landkreisverwaltung Anhalt-Bitterfeld und war technische Einsatzleiterin bei der Bearbeitung des ganzen Vorfalls. Sie hat einen Hintergrund in Verwaltung und Informatik. Frau Griebsch, schön, dass Sie heute mit mir hier sind.
Sabine Griebsch, Chief Digital Officer, Landkreis Anhalt-Bitterfeld: Hallo.
Sven Herpig: Dann fange ich gleich mal mit der ersten Frage an, Frau Griebsch. Ich glaube, was die meisten von unseren Zuhörer:innen jetzt interessiert, ist, Sie damals als wahrscheinlich noch gar nicht Einsatzeiterin, die ersten 24 Stunden erlebt haben? Was ist da passiert? Wie hat sich das angefühlt? Und wie ist man da vorgegangen? War man vorbereitet?
Sabine Griebsch: Vorbereitet war man überhaupt nicht. Wir gehen nun von den ersten 24 Stunden aus – also ab dem Moment, an dem wir von dem Vorfall erfahren haben: Ich war zu dem Zeitpunkt, und bin Beauftragte für die Umsetzung des Onlinezugangs-Gesetzes und für die Digitalisierung der Landkreisverwaltung und bin demnach eigentlich auch nicht dem Amt für aktuell „Personal, Organisation und EDV“ zugeordnet, sondern dem „Amt für zentrale Steuerung und Recht“. Das heißt, ich war am Rande beteiligt. Also als am 6. Juli gegen 6.45 Uhr die verschlüsselten Daten auf dem Netzlaufwerk erst durch das „Amt für Brand, Katastrophenschutz und Rettungswesen“ zum ersten Mal an uns gemeldet wurden. Das sind die Kollegen, die quasi 24/7 arbeiten – für alle anderen beginnt die Stempeluhr um 7 Uhr zu laufen. Und das heißt also 6.45 Uhr kam genau aus diesem Amt die erste Meldung. Und dann später aus allen anderen Ämtern – wir haben 20 Ämter – und teilweise auch von anderen Standorten, da wir mitunter drei große Standorte und acht kleinere Standorte haben. Die Anrufe erreichten uns also von überall und man hatte sich dann sehr schnell entschlossen, schrittweise und kontrolliert alle Server und eben auch alle Clients der Mitarbeiterinnen und Mitarbeiter herunterzufahren. Die Mitteilung dazu kam über Lautsprecherdurchsagen, also über die Hauslautsprecheranlagen.
Und dann wurden eben auch die verschiedenen Dienstleister durch uns, also der IT-Abteilung, angerufen. Und tatsächlich wurden dann auch teilweise schon die Sicherungen überprüft und Fehler gefunden. Und zwei Stunden nach der ersten Meldung um 8.45 Uhr wurde die Meldung über den Vorfall an das BSI (Bundesamt für Sicherheit in der Informationstechnik) abgesetzt.
Und auch der eigene Datenschutzbeauftragte wurde informiert. Um 9.30 Uhr war dann der Grund für die Verschlüsselung gefunden. Dad alles war letztlich so sehr von Adrenalin geprägt. Gegen 10 Uhr wurden verschiedene Server wieder hochgefahren und Infektionen festgestellt. Also das war im Endeffekt das, was so in den letzten Stunden passierte und was uns dann tatsächlich auch sehr auf Trab hielt. Weitere Infektionen wurden auch hier wieder festgestellt und man entschied sich dann, die Internetverbindung vorerst nicht wieder in Betrieb zu nehmen.
Also wurde zuerst alles getrennt. Und hier muss man wissen, dass unter anderem ohne Internetverbindung die Alarmanlage für das Kassensystem nicht mehr funktioniert und eben auch die Kassenautomaten dann ohne Schutz sind. Was bedeutet, dass das hier vielleicht durchaus der erste Lerneffekt ist: Was funktioniert denn alles nicht mehr, wenn ich kein Netzwerk habe, auch wenn die Verwaltung weiterhin funktioniert. Weil tatsächlich funktionierten ja immer noch die Telefone und auch Stift und Papier. Und das bedeutet natürlich, dass der Stress im Endeffekt auch noch auf einer anderen Ebene so auf die IT-Abteilung eintrifft. Der erste Tag endete dann 22 Uhr und am nächsten Morgen, wenn wir den dazu zählen wollen zu den 24 Stunden, da waren dann die ersten Backups durch die IT gesichert, gesichtet und die entsprechenden weiteren Stellen, also Polizei, Landesdatenschutzbeauftragter, Personalratsvorsitzender, wurde dann eben mit informiert und die Verbindung zum Landesdatennetz wurde einmal durch uns gekappt, dann auch seitens Dataport, also zwangsgetrennt und eben auch gesperrt also für alle weiteren Aktivitäten. Und zudem wurde dann durch den Landrat festgelegt, dass die Verwaltung für den Rest der Woche geschlossen bleibt. Es war damals schon absehbar und die Mitarbeiterinnen und Mitarbeiter der IT-Abteilung sollten das Wochenende durcharbeiten. Und zu dem Zeitpunkt wollte man dann auch die Neuinstallation umgehen und die Server wiederherstellen.
Und zur Frage, wie ich es jetzt also erlebt habe, ist es natürlich so, dass die IT-Abteilung als Dienstleister wahrgenommen wird. Das heißt also, man kriegt die Anrufe aus jedem Amt, aus jedem Sachgebiet, von jedem/jeder einzelnen Mitarbeiter:in, mit der Information, dass hier gerade der Rechner nicht funktioniere und wann er denn wieder funktionieren würde und was man denn machen könne. Ob man seinen USB-Stick dann tatsächlich doch nochmal in den Rechner stecken könne und die Daten mit nach Hause nehmen dürfe‘. Solche Anrufe kamen tatsächlich doch des Öfteren. Und ja, das war eine sehr prägende Erfahrung.
Sven Herpig: Das glaube ich Ihnen gerne. Das heißt, die ersten technischen Maßnahmen oder Gegenmaßnahmen waren eingeleitet; die Server wurde vom Internet und vom Landesnetz abgekoppelt.
Sabine Griebsch: Genau.
Sven Herpig: Die entsprechenden Stellen wurden informiert und das, was noch ging war hauptsächlich die Lautsprecherdurchsagen in den Häusern.
Sabine Griebsch: Genau. Telefonanlagen...
Sven Herpig: Telefon und Fax. Fax ging auch noch.
Sabine Griebsch: Fax natürlich, genau.
Sven Herpig: Für all diejenigen, die immer sagen, Fax wäre böse in der deutschen Verwaltung: Hier hat es wenigstens noch funktioniert.
Sabine Griebsch: Ja, und E-Mail ging dann sozusagen über die privaten E-Mail-Adressen.
Und jetzt fällt mir noch ein –spannend wurde es dann natürlich als die 24 Stunden vorbei waten, also am darauffolgenden Tag oder am Tag 3. Inzwischen stand dann eben auch in allen Zeitungen – ohne dass jetzt irgendwelche weiteren Informationen zur Verfügung standen –, dass der Landkreis vom Netz gegangen ist Der damalige Staatssekretär für Digitalisierung hatte dann eine Nachricht geschrieben. Gefragt, ob Hilfe geboten sei. Das haben wir angenommen. Also wir brauchten so eine Art Lotsen, der uns jetzt durch diesen Vorfall manövriert. Denn zu dem Zeitpunkt war so, dass wir uns im Endeffekt in den ersten Momenten alles zusammen gegoogelt haben. Wir haben zwar unsere Meldungen abgesetzt, aber im Endeffekt schaut man dann erst, was der eigentliche Ablauf wäre? Und das hat funktioniert.
Also haben wir einen Professor von der Hochschule Harz bekommen und der war gerade am Telefon, sozusagen als sich der Rechner des IT-Administrators verschlüsselte, und dann haben wir gesagt: So okay, ab jetzt ist es richtig kritisch. Und daraufhin wurde dann eben auch der Stab für außergewöhnliche Ereignisse ins Leben gerufen. Und dann habe ich tatsächlich auch nicht mehr aus dem Off, aus dem anderen Amt gewirkt, sondern war in den Stab einberufen.
Sven Herpig: Als technische Einsatzleiterin?
Sabine Griebsch: Nein, da noch nicht. Das dann erst im KAT-Fall – also einen Tag später.
Sven Herpig: Zum KAT-Fall kommen wir gleich. Kurze Frage vorweg noch: Sie haben jetzt mehrfach gesagt, „wir haben … “, und „die IT-Abteilung hat … “. Wie kann man sich das vorstellen? Wie groß ist denn diese IT-Abteilung von der Kommune?
Sabine Griebsch: Die IT-Abteilung besteht zu großen Teilen aus Fachanwendungsbetreuern. Das heißt, wir haben einen klassischen IT-Infrastrukturadministrator. Also einer, der das die ganze Zeit über macht. Es sollte ein anderer angelernt werden. Der war zu dem Zeitpunkt allerdings im Einsatz. Also der Sachgebietsleiter war lange krank, und derjenige, der ihn unterstützen sollte, war stellvertretender Sachgebietsleiter. Das heißt, die Aufgaben, die er hätte erledigen sollen, die waren gebunden durch die organisatorischen Aufgaben. Jetzt, zu dem Zeitpunkt des Vorfalls, hatte man gemerkt: okay, wir haben noch einen Mitarbeiter bei uns, der eigentlich sonst in der freien Wirtschaft in diesen Themen tätig war, aber nun andere Zuständigkeiten hatte. Der war für die Webseite zuständig und so weiter. Bloß der wurde dann direkt in diesen Infrastrukturbereich, einberufen und dann waren die effektiv zu dritt. Und wie gesagt, einer davon mit anderen Aufgaben. Und die eigentliche Abteilung, sie besteht eigentlich aus bis zu 15 Mitarbeitern, da sind ein paar dabei, die einfach auch schon teilweise in Rente sind. Also es sind bis zu 15 Mitarbeiter, aber tatsächlich sind es drei, die hier in dem Moment helfen konnten.
Sven Herpig: Für über 1000 IT-Systeme, wenn ich richtig...
Sabine Griebsch: Für über 1000 Arbeitsplatz-PCs, genau und einer über Jahre gewachsenen IT-Landschaft, also Server-Landschaft.
Sven Herpig: Okay. Kommen wir zurück zum KAT-Fall oder Katastrophenfall. Der Katastrophenfall wurde dann auch ausgerufen. Warum haben Sie sich dazu entschlossen?
Sabine Griebsch: Genau, der KAT-Fall wurde am 9. Juli – also am 6. Juli war sozusagen die erste Verschlüsselung – also vier Tage ausgerufen, und zwar da die Bevölkerung aufgrund der gefährdeten Auszahlungen beunruhigt war. Das heißt, die ganzen Pressemitteilungen im Vorfeld, die doch relativ unklar waren, führten dann zu Fragen wie: Bekomme ich meine Sozialhilfe? Bekomme ich meinen Unterhaltsvorschuss? Bekomme ich die Gelder, die über die Ausländerhilfe ausgereicht werden. Und das passiert den ganzen Monat über. Und das bedeutet natürlich, dass hier die Frage aufkommt: „Kann ich die Miete zahlen im nächsten Monat?“ Das sind ja alles dann so Folgewirkungen, die das für die Bevölkerung hat. Und die Landkreisverwaltung war zu diesem Zeitpunkt arbeitsunfähig auf unbestimmte Zeit. Also wir hätten nicht sagen können, wann wir wieder einsatzfähig sind.
Und wir haben das dann auch in der Meldung zum KAT-Fall so formuliert, dass der Angriff auf alle Bereiche des Leistungsspektrums des Landkreises unmittelbare Auswirkungen hat und, dass man die Anliegen der Bürgerinnen und Bürger zurzeit nicht bearbeiten könnte, und die Folgen eben auch unabsehbar sind. Und das hat dann durchaus für Fragen gesorgt – also für vehemente Fragen.
Sven Herpig: Alles klar. Ganz kurz noch zurück. Sie hatten Backups erwähnt. Hätte man die nicht einfach einspielen können?
Sabine Griebsch: Nein, tatsächlich nicht. Es sind zwar Backups da. Wir wussten aber nicht, inwieweit das System infiziert ist und inwieweit wir uns dann tatsächlich das Problem eingehandelt hätten, dass wir in drei Monaten quasi an der gleichen Stelle wieder neu anfangen. Und tatsächlich waren die Backups, die komplett verschlüsselt wurden – das sind deren Mailserver – dann doch sehr alt, da diese auf einem Standort lagen, der technisch nicht mehr dazu in der Lage war, dass da Backups laufen.
Sven Herpig: Das heißt, die waren entweder nicht funktional, zu alt oder nicht vertrauenswürdig. Alles klar.
Sabine Griebsch: Genau.
Sven Herpig: Sie haben grade schon erwähnt, dass dann ein direkter Kontakt mit einem Professor hergestellt wurde, der dann als Lotse, so haben Sie es formuliert, dienen sollte. Es gab aber ja auch noch mehr. Wir haben gesagt, dass die die Amtshilfe, also die Bundeswehr irgendwann vor Ort war. Das Bundesamt für Sicherheit in der Informationstechnik wurde schon erwähnt. Landesbehörden wie die Polizei, glaube ich, waren vor Ort. Irgendwann dann auch private Dienstleister. Sie hatten also dann irgendwann relativ viel, also zu mindestens klingt das jetzt erstmal viel, externe Unterstützung. Wer hat da eigentlich was gemacht? Wer war da am hilfreichsten, wenn ich fragen darf? Und standen die sich nicht irgendwie dann auch auf den Füßen rum?
Sabine Griebsch: Also, ich sage mal so, mit der Feststellung des Katastrophenfalls haben wir ja grundsätzlich entschieden, die externe Hilfe dazu zu holen, also überhaupt externe dann zuzulassen im eigenen Haus. Und der Landkreis, wie gesagt, benötigte dringend Hilfe vom Land. Und ich muss sagen, spätestens mit der Sitzung des Stabes für außergewöhnliche Ereignisse hatten wir dann diese externe Hilfe. Und hier war tatsächlich das BSI vor Ort. Es war das Ministerium der Finanzen vor Ort, also der IT-Sicherheitsbeauftragte. Es war das CERT Nord vor Ort, das LKA, das LKA mit der Zentralen Ansprechstelle für Cybercrime (ZAC), und der Kollege, wie gesagt, von der Hochschule Harz und teilweise waren die Leute dann auch telefonisch zugeschaltet. Und parallel zur Sitzung – also um jetzt zu den Funktionen zu kommen – hatte das LKA hier schon den Link geöffnet zu diesem Erpresserbrief.
Und es war ja dann so: Die Rechner wurden heruntergefahren und dann wieder hoch. Dann wurde der Link angezeigt. Und diesen Link haben wir nicht angeklickt. Wir haben den Tor Browser also nicht installiert. Das heißt, das LKA hat uns dann irgendwann die Mitteilung gegeben, wie hoch die Lösegeldsumme ist und was zu tun möglich wäre. Und das ist die eine Aufgabe gewesen.
Und die Kollegen, vom BSI, von der Hochschule Harz und der IT-Sicherheitsbeauftragte vom Ministerium der Finanzen waren in der Phase des Incident Response dabei und waren dann auch am Abend schon vor Ort. Also das muss so 19.30 oder 20 Uhr gewesen sein, wo dann auch die Gespräche erstmal mit uns erfolgten. Also mit dem MF und der Hochschule Harz. Bis dann das BSI eintraf. Also man hatte sich auch so schon bilateral unterhalten, weil wir ja auch die Hilfe beim Land angefordert hatten und im Endeffekt dort auch schon die Kommunikation zwischen diesen Stellen erfolgte.
Also am Montag sind dann auch schon Forensiker eingetroffen, also die durch... Ich bin mir jetzt gar nicht sicher, ob durch BSI oder durch MF Ausgewählte. Das kann ich jetzt in dem Moment nicht mehr sagen, aber es war dann ein Zwei-Mann-Team da und die rechne ich jetzt auch schon als externe Hilfe ein. Aber ja, wenn ich zwei Leute habe für 1000 Clients, für so Riesenstandorte und für die Lage, die wir da damals hatten, empfanden wir das jetzt auch nicht als ausreichend. Und allerdings haben die Forensiker tatsächlich auch sehr gute Ergebnisse geliefert und eben auch festgestellt, dass die Infektion wohl schon am 2.6. erfolgte – also jetzt nur so zur Hinführung zu unseren Entscheidungen. Also die Infektion erfolgte am 2.6., und es wurde identifiziert, dass an diesem Tag augenscheinlich ein Mitarbeiter-PC hier infiziert wurde, der mehrere User-Profile hatte.
Also User-Profile, die alle dann zur exakt gleichen Zeit erstellt wurden und, dass wahrscheinlich ein Skript bei der Anmeldung genutzt wurde. Aber wie gesagt, wir wollen nun auch nicht allzu sehr ins Detail gehen.
Aber Fakt ist, dass wir hier gesehen haben, dass das Ausmaß so groß ist, dass man das größer angehen muss und dass wir jetzt länger mit dem Fall beschäftigt sein werden. Es wurde dann ein zweites Forensiker-Team angefordert, die mit mehr Manpower agieren sollten und die waren dann auch, ich glaube, 2 Wochen vor Ort. Und es kamen noch weitere Hilfsangebote, die uns erreicht haben, zum einen durch unsere Nachbarlandkreise und durch unsere kommunalen Beteiligungen, also durch die kommunale Beschäftigungsagentur, die jetzt alle sagten: „Wenn ihr Rechner braucht, wir hätten hier noch 50“. Das ist lieb gemeint zu diesem Zeitpunkt und hat natürlich auch geholfen, wenn man beispielsweise die Lohnberechnung weiterhin machen muss. Und dann kam natürlich auch Hilfe durch die kreisangehörigen Städte, die auch Aufgaben für uns übernommen haben.
Und zum einen hatte man, wie gesagt, also diese behördliche Hilfe und zum anderen bediente man sich dann eben schon der Wirtschaft, weil spätestens als wir dann das Notnetz aufgebaut haben, haben wir uns auch schon Dienstleister ausgesucht.
Aber zurück zur Ursprungsfrage: Das MF war über die Amtshilfe sozusagen permanent vor Ort – also wirklich auch über Monate – und hatte die Steuerung der Hilfe übernommen. Und war natürlich klarer Ansprechpartner als IT-Sicherheitsbeauftragter für das Landesdatennetz, gerade auch was den Zugang der Fachverfahren betrifft zum Landesdatennetz. Der Landkreis übernimmt auch Aufgaben des übertragenen Wirkungskreises des Landes und insofern war das für die auch natürlich ein relevantes Thema, auch unter der Maßgabe, dass das Thema IT-Sicherheit der Kommunen tatsächlich schon länger in der Diskussion auf Landesebene ist. BSI war nach Paragraf 5 des BSI-Gesetz für Incident Response Vorschläge zuständig. Es war also für das Projektmanagement – also die Planung wichtiger Schritte in dieser Phase, und auch das Durchleiten durch diese komplette Situation – zuständig und leitete auch den Prozess zur Datenwiederherstellung.
Und die Bundeswehr trat natürlich durch mehrfache Anfrage von uns hinzu, einfach weil uns die nötige Manpower fehlte. Also wirklich in Masse Manpower fehlte. Und diese Anfrage erfolgt nach Artikel 35 Absatz 1 Grundgesetz: Also die Kommune kann einen Antrag auf Hilfe zur Erfüllung ihrer Aufgaben stellen, wenn diese aus eigenen Kräften nicht mehr in der Lage ist. Und das konnten wir auch sehr gut begründen, weil wir wirklich konkret diese technische Hilfe brauchten, weil einfach diese Ressourcen dafür nicht zur Verfügung standen.
Man muss sich vorstellen, die Situation ist so, dass auch der IT-Infrastrukturadmin, der wirklich nur als einzige Person mehr oder weniger in dem Moment Auskunft geben kann, natürlich auch permanent gefragt wurde in den ganzen ersten Wochen. Und insofern war die Hilfe absolut wichtig. Und es (die Bundeswehr) war auch nicht hoheitlich tätig; es war ausschließlich technische Hilfe. Und es war auch nicht so, dass alles, was wir angefordert haben, auch nicht unbedingt bekommen haben, sondern es war wirklich die geschlossene technische Hilfe, die wir erhalten haben.
Sven Herpig: Das heißt, viele Leute saßen sehr oft in vielen wichtigen Meetings und irgendwer muss am Ende auch mal das Doing machen und Rechner neu aufsetzen und so weiter. Es gab ja auch da verhaltene Kritik in der Öffentlichkeit daran, dass die Bundeswehr jetzt ausrücken muss, um dann Computer neu aufzusetzen. Sie haben ja gerade schon gesagt, dass auch private Dienstleister vor Ort waren. Hätte man das nicht allein mit privaten Dienstleistern erledigen können, wenn es wirklich nur um das „Doing“ geht?
Sabine Griebsch: Nein, weder in der Zeit noch in der Anleitung und auch nicht wie gesagt, in einer in 20 Jahren gewachsenen IT-Infrastruktur. Also klar, wenn es darum geht, irgendwelche Rechner zu löschen… Aber man muss davon ausgehen, dass das teilweise auch private PCs sind. Und wir sind ja im laufenden Betrieb, also alleine, was das ganze Thema Datenschutz und das Thema Löschen der privaten Daten betrifft.
Wir haben im Vorfeld unseren Mitarbeitern ja auch die Möglichkeit gegeben, dass sie die Rechner auch für den privaten E-Mail-Verkehr nutzen können. Also war das auch schon so eine Gratwanderung. Also nicht nur in Bezug auf private Dienstleister, sondern einfach auch die Frage, wie ich mit der Situation in dieser Größenklasse umgehe und, ob ich nicht tatsächlich dann immer jemanden (Anmerkung: ein:e Mitarbeiter:in aus der IT) mitschicken muss.
Das heißt also: wenn ich weiß, dass jemand weiß, was er da tut, dann reicht es, wenn ich ihm einen einfachen Mitarbeiter oder eine einfache Mitarbeiterin mitgebe, damit das irgendwie nicht nach hoheitlicher Aufgabe aussieht. Aber ein privater Dienstleister … das Vertrauen der Mitarbeiter war ja extrem erschüttert.
Also das zum einen und zum anderen, wie gesagt, in der Schnelligkeit, in der das hätte abgewickelt sein müssen und eben auch in dem Ausmaß an acht Standorten in Zerbst, in Köthen, in Bitterfeld mit teilweise Fährenüberfahrt und so weiter – also wir sind so ein relativ großer Landkreis – das ist tatsächlich durch einen privaten Dienstleister in der Form nicht zu leisten gewesen.
Sven Herpig: Super, vielen Dank. Dann nochmal eine letzte Frage, vielleicht zum Abschluss des Vorfalls so an sich, oder der Erfahrung des Vorfalls? Gibt es schon irgendwelche ja Estimates, irgendwelche Berechnungen, wie viel... Ich glaube, die Summe, die die Erpresser gefordert haben, lag irgendwo bei einer halben Million Euro in Kryptowährung, in Monero in diesem Fall. Wie viel wird es gekostet haben, wenn das Netz wieder steht, wenn die Systeme wieder laufen? Die werden dann wohl sehr wahrscheinlich etwas neuer sein und das Netz wird verbessert, resilienter und stärker sein. Aber gibt es da schon irgendwelche Zahlen oder Ideen, wie teuer das werden wird - also angefangen bei den ganzen Aufräumarbeiten vom Juli, bis zu dem Zeitpunkt, bis das Netz wieder komplett läuft und der Fall abgeschlossen ist?
Sabine Griebsch: Wir sind aktuell bei zwei Millionen, die natürlich auch mit dem IT-Budget für das nächste Jahr verrechnet werden. Aber aktuell liegt die Summe, die jetzt angefallen ist im KAT-Stab, bei zwei Millionen.
Sven Herpig: Vielen Dank! Es sind ja Daten abgeflossen und es war ja nur ein sehr kleiner Teil dieser Daten, der dann den Weg in die Öffentlichkeit oder zumindest ins Darknet gefunden hat. Zum einen, waren ja sehr sensible Datei dabei. Können Sie kurz sagen, was für Arten von Daten dabei waren, die wir oder die vielleicht vom KAT-Stab auch als am sensibelsten betrachtet worden sind?
Sabine Griebsch: Also ich sage mal so, was heißt sensibel sein? Sensibel wären eigentlich die Daten aus dem, also Protokolle aus dem nichtöffentlichen Teil der Kreistagssitzung. Das, wenn man sich die Dokumente angesehen hat, dann war das nicht schwierig, aber es waren eben auch die personenbezogenen Daten der Kreistagsmitglieder. Das sind Bankverbindungen. Das sind Adressen. Das hat diese Daten betroffen. Auch Arbeitgeber der Kreistagsmitglieder. Das ist dann schon als schwierig zu betrachten.
Sven Herpig: Wir haben ja auch drüber diskutiert, es gab ja 2015 diese Cyber Spionage Operation gegen den Deutschen Bundestag. Da sind ja auch Daten abgeflossen. Die sind auch bisher zumindest nicht in der Öffentlichkeit oder irgendwo zugänglich wieder aufgetaucht. Da hat man ja auch noch lange darüber geredet, ob diese Datenjemals wieder auftauchen, beispielsweise im Wahlkampf? Oder ob die Daten von irgendwelchen Verhandlungsteams oder von Nachrichtendiensten benutzt werden?
Wie gehen Sie mit diesem Thema um? Spricht man auch darüber, dass es noch Daten gibt, wo man weiß, da sind noch ein, zwei Sachen drin und das wäre nicht so schön, wenn die online oder veröffentlicht werden? Bereitet man sich da auf diesen Fall noch vor? Oder ist es mittlerweile in Vergessenheit geraten, weil man jetzt so in der Routine des Wiederaufbauens ist, sodass das eigentlich keine Rolle mehr spielt?
Sabine Griebsch: Also die Routine des Wiederaufbauens, klar, das ist aktuell so in erster Linie das Thema. In Vergessenheit geraten ist es nicht. Wir wissen, dass Daten in Größenklasse abgeflossen sind. Wir wissen aber nicht, welche Daten. Das heißt also, wir können uns natürlich auf den Worst Case vorbereiten und sagen: Das sind jetzt wirklich Daten, die unter den Geheimschutz fallen. Also wir wissen es tatsächlich nicht, welche Daten abgeflossen sind. Da gibt es momentan noch keine Strategie dafür.
Sven Herpig: Okay. Das ist dann auch ziemlich schwierig, dafür zu planen.
Sabine Griebsch: Ja.
Sven Herpig: Kommen wir nun zu der Frage, was Sie jetzt mit diesen ganzen Informationen, mit den ganzen Erkenntnissen, die Sie erlangt haben, machen? Vielleicht auch Best Practices oder Bad Practices, die man über die Zeit erlangt hat.
Zum einen natürlich die Frage: Wiederaufbau mit einem Budget oder Insgesamtbudget jetzt erstmal aktuell von zwei Millionen. Was machen Sie jetzt konkret anders? Also nicht die ganzen technischen Details, sondern eher auf einer Meta-Ebene: Was wird jetzt konkret anders gemacht, und was würden Sie Kommunen raten, die noch nicht – und ich betone hier das „noch“ –, nicht betroffen sind oder waren von einem Lösegeld, von einem Cybercrime, von einem Ransomware-Vorfall?
Sabine Griebsch: Also zum einen sind wir dabei, unsere Infrastruktur nach den Vorgaben des BSI weitestgehend aufzubauen, also zu dem, was finanziell und von den Ressourcen her leistbar ist. Wir werden Prozesse etablieren, die uns sicherer machen. Wir haben organisatorische Vorkehrungen getroffen. Also diese Dienstvereinbarung IT, die ist jetzt um einiges restriktiver. Das heißt, es betrifft nicht nur die Passwortlänge oder die klassischen Sachen, z.B. häufiger das Passwort ändern ... Das ist nur das eine. Auf der anderen Seite geht es unter anderem darum, dass man diese Awareness für die Mitarbeiter:innen dann eben auch endlich so in die Köpfe bringt und wann der Rechner zu sperren ist.
Es gilt nun ein ganz anderer Umgang mit dem mobilen Arbeiten. Also wie gesagt, die Dienstvereinbarung IT wurde um einiges umgeschrieben und es wird einen IT-Sicherheitsbeauftragten geben, der ausgewählt und geschult wurde – also bewusst ausgewählt und geschult und nicht nur benannt wird, wie das vorher der Fall war. Und es wird auch weniger Rechte auf den Arbeitsplatz-PCs geben, also beispielsweise ist man ist nicht mehr lokaler Administrator – das waren die größten Bauchschmerzen. Und insofern dieser ganze Prozess des Wiederaufbaus begleitet uns jetzt auch schon seit Wochen. Und wie gesagt, das mobile Arbeiten wird auch sehr viel anders aussehen. Also hier kamen jetzt auch schon wieder die ersten Anrufe bei mir an, bei denen gefragt wurde, ob man sein eigenes Telefon noch benutzen dürfe. Und dies ist nun für dienstliche Zwecke nicht mehr erlaubt.
Und was man anderen Kommunen rät, ist, dass man tatsächlich einen Plan B oder, dass man überhaupt einen Plan in der Tasche hat. Also wir sind jetzt dabei, diesen Wissenstransfer irgendwo sicherzustellen – also zu dokumentieren, was uns passiert ist, und wie man darauf aufbauen kann.
Und wann immer irgendwo in Deutschland von einem Sicherheitsvorfall zu hören ist, werden wir angerufen. Das heißt, wir haben in den ersten Wochen nicht nur mit Besprechungen verbracht, sondern mit Bitten, wie: „Könnt ihr bitte hier beim Deutschen Städte- und Gemeindetag einen Vortrag halten und könnt ihr in Baden-Württemberg einen Vortrag halten? Und können Sie hier was dazu sagen und können Sie hier eine Keynote irgendwo halten?“ Das Thema ist durchaus in aller Munde. Und was mir auch auffiel, ist, dass auch unsere eigenen Beteiligungsgesellschaften angerufen haben und gefragt haben: „Wen sollen wir denn jetzt eigentlich im Land anrufen? Wer ist denn überhaupt unser Ansprechpartner?“ Also das sind Sachen, die einfach unklar sind und, die tatsächlich aktuell scheinbar die wenigsten in der Tasche haben. Und das macht einem schon Bauchschmerzen.
Sven Herpig: Wird es dann bald einen Leitfaden geben „Cybersicherheit in Kommunen am Beispiel Anhalt-Bitterfeld“?
Sabine Griebsch: Das hoffe ich. Wir haben hoffentlich bald eine sehr gute Zusammenarbeit mit unseren Partnern, die von Anfang an dabei waren, und ein Expertengremium, das wir gerade aufbauen.
Sven Herpig: Wunderbar, dann schließen wir den Zirkelschluss nochmal. Was erwarten Sie zukünftig vom Land, aber auch vom Bund an Unterstützung, damit zum einen natürlich solche Vorfälle präventiv verhindert werden können, und dann da, wo sie passieren auch vernünftig, reaktiv oder darauf reagiert werden kann und, dass die Vorfalls-Bearbeitung die Kommune so schnell wie möglich wieder in die Arbeitsfähigkeit bringt?
Sabine Griebsch: Schön wäre es natürlich, wenn die Informationen in entsprechender Form vom Lande zur Verfügung gestellt werden würden. Wenn es geeignete Prozesse gäbe, wenn man die Ansprechpartner klar benannt hätte. Also ich muss sagen, ich bin nicht unzufrieden mit der Hilfe des Landes, das bin ich überhaupt nicht. Ich denke einfach, dass wir die kommunalen Bedarfe eher erkennen sollten und, dass wir diese kommunalen Bedarfe auch ans Land herantragen müssen, in sehr direkter Form – das sind nun Erkenntnisse aus dem Vorfall. Und das Land ist auch in dem Expertenkreis involviert, den wir nun haben.
Was ich vom Land mir wünschen würde, wären zentrale Dienste in punkto IT-Sicherheit, weil ich glaube, das kann einfach die kleine Gemeinde, die Kommune nicht leisten, sich jemanden vorzuhalten oder überhaupt jemanden in die – ich will nicht Pampa sagen –, in den ländlichen Bereich zu locken, der jetzt einfach der Experte ist, den man eigentlich bräuchte.
Sven Herpig: Wunderbar! Dann sind meine Fragen jetzt erstmal durch und ich würde weitergeben an das Publikum. Die erste Frage lautet: „Welche Schlussfolgerungen wurden gezogen in der Sicherheitsstrategie oder gegebenenfalls Anpassung des Stellenplans in der IT-Abteilung? Mehr Mitarbeiter, Stellenwert des Themas IT-Sicherheit, eigenes Budget, Entscheidungsbefugnisse?“
Wir haben ja gerade schon gehört: die Handreichung wurde angepasst. Man weiß jetzt, was man klicken darf und was nicht und, dass man keine lokalen Admin-Accounts mehr hat. Aber wir haben ja gerade über die IT-Abteilung oder die Personalbesetzung bestellt. Hat sich denn da irgendwas verändert?
Sabine Griebsch: Es wird ein eigenes IT-Amt geben, also das Sachgebiet EDV wird zentraler aufgestellt werden. Das heißt, alle IT-Administratoren, die bisher im Schulverwaltungsamt waren (das waren drei an der Zahl und im Brand, Katastrophenschutz und Rettungswesen gab es zwei Administratoren), werden in die IT-Abteilung zurückgeholt. Perspektivisch soll auch ein kommunaler Eigenbetrieb zurückgeführt werden ins Land. Das heißt also, man stockt die Mitarbeiter auf 21 Vollzeitäquivalente auf – also 21 Mitarbeiter. Und dann wird die IT-Abteilung, wie gesagt, zu einem eigenen Amt. Also diese Amtsleiterstelle war jetzt ausgeschrieben. Es gab auch nur zwei Bewerbungen darauf, was sehr schade ist.
Und die Sache ist ganz einfach, dass man dann beispielsweise in einem Vergabeausschuss oder im Kreis- und Finanzausschuss oder im Kreistag selber sprechen kann. Also ein IT-Amtsleiter kann, glaube ich, sehr viel besser kommunizieren über das, was notwendig ist, als wenn ich die Amtsleiterin inne habe, die gleichzeitig Personal und Organisation „wuppen“ muss. Und dann im Zweifel eben auch die IT-Abteilung, die doch sehr, sehr viel spezifischere Themen hat, die teilweise nicht zu leisten sind von einem/er Verwaltungsbeamten/in.
Sven Herpig: Vielen Dank. Dann eine weiter Frage aus dem Publikum: „Welche Unterstützungsleistungen im Rahmen der Krise und Bearbeitung des Vorfalls wurden durch das Bundesamt für Sicherheit in der Informationstechnik konkret geleistet?“ Sie hatten ja gerade schon gesagt, dass sie beim Incident Response unterstützt haben. Aber ich glaube, die Frage zielt darauf ab: Was haben die denn da genau gemacht, also saßen die in den Meetings mit drinnen und was genau wurde da geleistet?
Sabine Griebsch: Genau. Also die saßen mit in den Meetings und haben sozusagen den Lead, also die Federführung übernommen. Es ist dann einfacherer, die IT-Abteilung, wenn die darauf nicht vorbereitet ist oder den Landkreis, der darauf nicht vorbereitet ist, dann an die Hand zu nehmen und durch diesen ganzen Prozess und durch die ersten Wochendurchzuleiten.
Die Sache ist eben auch, dass die Hilfe vom Land auch finanzieller Natur war. Das heißt also, man hat diese Hilfe im Landkreis sehr gerne angenommen, sei es durch das MF oder sei es durch das BSI. Also wie gesagt, das BSI war insofern beteiligt, als dass sie in den Besprechungen saßen. Eben auch – jetzt wiederhole ich mich – angeleitet haben, mehr oder weniger, aber eben auch immer wieder betont haben, dass es eine Anregung ist, und dass man hier keine Vorgaben machen darf, sondern dass der Landkreis letztlich entscheidet und verantwortet.
Sven Herpig: Wahrscheinlich auch deswegen, weil das BSI seine Spezialist:innen geschickt hat für Vorfallsbearbeitung und für den Landkreis ja so ein Vorfall Neuland war, sage ich mal.
Sabine Griebsch: Genau das.
Sven Herpig: Okay, alles klar. Dann eine weitere Frage aus dem Publikum: „Ist das Ausrufen eines Katastrophenfalls und das Anrufen der Bundeswehr nicht ein schlechtes Signal für andere Kommunen?“
Sabine Griebsch: Es war in dem Moment die einzige Chance, die Hilfe zu bekommen, die wir brauchten. Es ist ganz sicherlich nicht der Standardprozess. Es sollte definitiv keine Schule machen.
Sven Herpig: Das heißt, ich glaube, die Frage zielt auch darauf ab, nach dem Motto: „es findet ein krimineller Vorfall statt und dann wird gleich die Armee gerufen“. In Ihrem Fall und in der Situation ist es nachvollziehbar, weil man wollte es wieder ins Laufen bekommen.
Sabine Griebsch: Man mag das so deuten können. Für uns gab es in diesem Fall den Wunsch wieder zu funktionieren und das ist durch diese Hilfe absolut geleistet worden. Ich glaube nicht, dass das jetzt, wie gesagt, das Musterbeispiel ist für jeden Landkreis, der jetzt irgendwo einen kleinen Vorfall hat.
Sven Herpig: Alles klar. Dann noch eine weitere Frage aus dem Publikum: „Wie war es möglich, dass die Angreifer:innen in das System eindringen konnten? Stichwort: Einfallstor.“ Und ich möchte vielleicht noch ergänzen: „und einen Monat lang unbemerkt bleiben konnten?“
Sabine Griebsch: Wir gehen von Phishing aus. Wir gehen davon aus, dass eine Mitarbeiterin eine E-Mail ausgefüllt hat, die dazu aufrief, das Postfach zu vergrößern, und danach wurde diese E-Mail quasi aus der eigenen Domäne an die anderen Mitarbeiter verteilt, so dass jeder erstmal seine Zugangsdaten, je nachdem wer welches Passwort hat, dort eingetragen hat. Und das führt dann dazu, dass der Angreifer irgendwann im System war und wir es tatsächlich nicht mitbekommen haben. Es gab keine Meldung, und keine – ich weiß nicht, ob man sagen soll – Überwachung oder sowas. Natürlich überwachen die Administratoren ihr Netzwerk, aber es war tatsächlich nicht herauszufinden.
Sven Herpig: Das heißt, Sie haben es gerade angesprochen, viele präventive Maßnahmen werden neu gemacht. Die Detektionsmaßnahmen werden wahrscheinlich dann auch neu überdacht?
Sabine Griebsch: Genau. Selbstverständlich. Ja, klar.
Sven Herpig: Alles klar. Dann möchte ich kurz zwei Fragen aus dem Publikum zusammenziehen. Einmal: „Wäre es juristisch als öffentliche Stelle überhaupt möglich, auf Lösegeldforderungen einzugehen, also sie zu zahlen?“
Und: „Warum hat man sich denn gegen eine Zahlung entschieden?“ Vielleicht eingebettet in die aktuellen Diskussionen der Innenministerkonferenz, die ja die letzten Tage darüber diskutiert haben, ob man das Lösegeld-Zahlungen nicht generell einfach verbieten sollte.
Sabine Griebsch: Ich will dazu sagen, die Frage, die stand ungefähr zehn Sekunden im Raum und dann hat man sich tief in die Augen geguckt und gesagt: Die öffentliche Hand – unabhängig davon, wie die Privatwirtschaft das macht –, aber die öffentliche Hand wird keine Lösegeldförderungen bedienen.
Sven Herpig: Alles klar. Dann haben wir eine weitere Frage aus dem Publikum: „Wenn Sie es wissen, welche Malware war es und welche Gruppe wird normalerweise mit dieser Malware affiliiert?“
Sabine Griebsch: Stand das schon mal irgendwo in der Zeitung? Doch das stand schon mal irgendwo in der Zeitung, also „Pay or Grief“ war die Gruppe.
Sven Herpig: Alles klar. Dann haben wir noch eine Frage: „Waren die Backups nützlich und hinreichend für einen Restore?“ Es wurde ja gerade schon gesagt, dass einige Backups verschlüsselt, einige waren veraltet und einige nicht vertrauenswürdig waren. Aber hätte man sie denn zumindest nutzen können? Also wusste man, wie man sie einspielen kann und hätte man in der Theorie sagen können: Okay, wir wissen nicht, ob wir ihnen vertrauen können, aber wir können sie wenigsten einspielen?
Sabine Griebsch: Ja, da gab es die Unterstützung. Das war die Unterstützung, unter anderem auch durch das BSI, die uns einen Prozess an die Hand gegeben hat, wie man diese Daten dann eben birgt und überprüft und dann in das neue Netz zurückführen kann. Wie gesagt, wir haben den Mailserver verloren und wir haben das Backup eines Standorts wo das Umweltamt sitzt verloren, unter anderem das Umweltamt, und das aber, wie gesagt, aus technischen Gründen, nicht weil das Backup irgendwie schlecht war oder sonst was, sondern weil das über einen ganzen Zeitraum nicht gesendet hat und dann eben auch fehlerhaft war. Also wir gehen davon aus, dass wir 80 bis 90 Prozent unserer Daten zurückerhalten.
Sven Herpig: Alles klar. Dann eine etwas technischere Frage. Sie haben gerade schon gesagt, welche Präventionsmaßnahmen und Detektionsmaßnahmen neu gemacht werden sollen. Da kommt jetzt die Frage: „Was gab es denn?“ Also nicht, was wurde verschlafen, oder was gab es denn nicht. Sondern: „Was gab es denn schon an Detektions- und Präventionsmaßnahmen? Und was sind die TTP (Tactics, Techniques and Procedures) des Threat Actors, also der Gruppe, die hinter diesem Cybercrime-Vorfall stand?“ Also ganz einfach, die Frage zielt darauf ab, was die Lessons Learned sind auf technischer Natur und, was andere Kommunen direkt daraus lernen könnten, wenn sie quasi gleichzeitig von der gleichen Gruppe nochmal kompromittiert werden würden.
Sabine Griebsch: Das wird gerade aufgebaut, und wie gesagt, wir haben auch die Ansage, dass wir, glaube ich, jetzt ein sehr willkommenes Opfer sind. Deswegen würde ich die Frage gerne übergehen.
Sven Herpig: Alle klar. Dann eine weitere Frage aus dem Publikum. Auch diese Person interessiert nochmal die Frage: „Was bedeutet das konkret, wenn die Bundeswehr unterstützt?“
Also ich glaube ich formuliere es mal ein bisschen um. Sie haben ja schon gesagt, dass sie im konkreten Fall das gemacht haben, was notwendig war. Das war okay. Hat man denn, ich frage mal so rum, an irgendeinem Punkt in diesem Amtshilfe-Ersuchen, gesagt: Okay, die könnten zwar leisten, was wir jetzt brauchen, aber es wirft vielleicht ein schlechtes Licht auf uns. Oder war das einfach eine Diskussion, die war für später?
Sabine Griebsch: Zu keinem Zeitpunkt. Die Diskussion gab es im Landkreis überhaupt nicht. Die hat außerhalb des Landkreises stattgefunden. Wir haben die Hilfe bekommen, die wir angefordert haben. Und genau diese Hilfe, die wir angefordert haben und auch mit Leuten, die technisch derart versiert waren, die noch hätte viel weiter gehen können, weil das einfach Topleute waren, die uns geschickt wurden.
Sven Herpig: Das klingt doch ermutigend. Wunderbar. Dann noch eine weitere Frage: „Was sind die technischen Hürden beim Wiederaufbau? Und/oder warum dauert das so lange?“
Sabine Griebsch: Okay, warum dauert das so lange? Das ist eine gute Frage. Also wir haben 159 Fachverfahren und wir haben 20 Ämter an acht Standorten. Das heißt also, wir haben eine Priorisierung von Fachverfahren, die die wir bedienen müssen. Also hatten einen Abwägungsprozess...: Also, dass Sozialleistungen gezahlt werden müssen, war klar. Und diese haben wir dann auf Grundlage der letzten Zahlung gemacht, außer wenn sich eine Lebenssituation geändert, beispielsweise Familienzuwachs oder was auch immer. Was noch dazu kommt ist die KFZ-Zulassung, was extreme Schäden verursachen würde, wenn die Händler nicht ihre Autos zulassen können. Dann noch weitere Leistungen, beispielsweise die Zahlen, die an das RKI zu melden sind.
Also das sind alles Fachverfahren, die priorisiert werden müssen und das dazu führt, dass für jedes Fachverfahren ein eigenes isoliertes Netz geschaffen werden muss, was auch wieder die Kapazitäten der IT-Abteilung bindet. Und das bedeutet, dass wir sehr viel Zeit damit verbringen, die Priorisierung auf der einen Seite zu bedienen und auf der anderen Seite, dass diese ganzen Daten, die in diesem Zeitraum im Zwischennetz angefallen sind, auch wieder zurück in das neue Netz migriert werden müssen. Also das wird uns später auch noch eine ganze Weile begleiten – auch noch bis weit ins nächste Jahr begleiten. Und wie schon gesagt, wir haben 159 Fachverfahren, 20 Ämter und sehr viele Standorte. Und das alles bislang ohne Internetverbindung, ohne E-Mail, … Und aktuell sind wir dabei, die Arbeitsplatz-PCs in zwei Pilotämtern – zum einen das Rechnungsprüfungsamt und das Amt für Zentrale Steuerung und Recht – an den Start zu nehmen. Diese zwei Ämter sind jene, die die wenigste Außenwirkung haben. Hier können wir mit dem Pilotprojekt erstmal wieder die Arbeitsplatz-PCs an den Start bringen, die Software ausrollen und dann sozusagen die Ämter wieder in Gang bringen. Das ist das Rechtsamt unter anderem, und die Vergabestelle oder ist das Kreistagsbüro. Also das sind alles Ämter, die jetzt wirklich auch auf die Fristen und Termine angewiesen sind. Und insofern dauert das natürlich alles sehr lange, weil man auch wissen muss, wie diese Fachverfahren laufen.
Ich hatte es heute Morgen in einer Besprechung, in der es darum ging, die Prozesse der Leitstelle und so weiter abzubilden. Da ging es dann beispielhaft um einen Vorfall – nehmen wir beispielsweise einen Wildunfall, also einen ganz profanen Verwaltungsvorfall. Da bedeutet es in diesem konkreten Fall, dass man das Veterinäramt kontaktieren müsste, wegen der Afrikanischen Schweinepest. Man braucht das BKR, weil die Meldungen dort rausgehen und man braucht das Ordnungsamt, weil die Jagdreviere dort irgendwo kartiert werden. Und das ist einfach eine Situation, die so in ihrer Komplexität besteht, sodass wir einfach nicht sagen können: „Wir machen jetzt einen Projektplan usw.“ ... Das alles muss weiterhin miteinander funktionieren. Und, wie gesagt, bei 159 Fachverfahren und 1000 Mitarbeitern steht man sich da mitunter selber auf den Füßen. Und wer am lautesten schreit, der ist natürlich auch immer als Erster dran.
Sven Herpig: Konkrete Nachfrage dadurch: Sozialgeld konnte nicht ausgezahlt werden, oder das BAföG, da mussten ja auch Workarounds gefunden werden, wie man damit umgeht.
Vielleicht ganz konkret: Gab es Vorfälle, wo Bürgerinnen und Bürger dann irgendwie vor den Türen des Rathauses standen und gesagt haben, wir brauchen jetzt Hilfe oder so, oder hat man das alles noch so hinbekommen, dass eine Eskalation vermieden werden konnte?
Sabine Griebsch: Ja, die Eskalation, die haben wir teilweise heute noch. Die Frage ist, wir haben Bilder produziert, wo wir nicht wussten an Auszahlungstagen, wie die Leute reagieren, also wie sehr die mit dem Rücken zur Wand stehen, finanziell. Und dann ist natürlich die Situation diese, wenn das Kassensystem ohne Alarmanlage ist und wir Barmittel in Höhe von 2,7 Millionen im Haus haben, da mitunter den Wachschutz derart erhöhen müssten oder die Polizei verständigen müssten, dass wir damit Bilder produzieren, wie man beispielsweise in schusssicheren Westen vor der Tür steht. Und ja, natürlich reagieren auch die Bürger und die Zeitung darauf. Das heißt also, dass dies eine Situation war, die sich zwar nicht direkt hochgeschaukelt hat, aber die zumindest für so einen Moment sorgte, bei dem man sich dann doch überlegt, wie man dann eben auf diese Auswirkungen reagiert, auch in der Öffentlichkeit. Und wo wir dann auch in der Pressearbeit, eine sehr viel qualitativere Pressearbeit versucht haben, einzuleiten.
Sven Herpig: Super. Dann eine weitere Frage aus dem Publikum: „Nach dem Ransomware-Angriff auf die Stadtverwaltung Neustadt am Rübenberge, berichtete eine beteiligte Führungskraft von einer Art kollektivem Schock in der Mitarbeiter:innenschaft. Haben Sie ähnliche Beobachtungen in Ihrem Landkreis gemacht?“
Also Sie haben gesagt, ja, das Adrenalin war hoch in den ersten 24 Stunden und dieser Schock, war der auch da?
Sabine Griebsch: Das war der Schock und das Unverständnis. Es war ja immer die Frage: So, ich kann doch meinen Rechner morgen wieder starten? Ehe man das verinnerlicht hat, dass man jetzt die nächsten Wochen oder Monate oder auf absehbare Zeit … Es wurde, ja immer kommuniziert, dass es noch zwei Wochen dauern würde, und dann, dass es vielleicht noch vier Wochen dauern würde. Dass es sich bis jetzt hinzieht, wussten wir zu diesem Zeitpunkt auch noch nicht. Es war auch ein Unverständnis da.
Und da man das auch für die Mitarbeiterinnen und Mitarbeiter geöffnet hatte, dass man auf dem Rechner private Daten abspeichern konnte, gibt es mitunter Mitarbeiter, die ihre privaten Daten auf diesen Rechnern haben – was so nicht sein sollte. Und das führt dazu, dass dann doch die Verzweiflung groß war, wenn die Urlaubsfotos oder die Kinderfotos weg sind und auch, dass sie höchstwahrscheinlich für immer weg sind.
Also das ist vielleicht eine Aufgabe, die ich Landkreisverwaltungen oder Verwaltungen mitgeben möchte, dass man sozusagen die Festplatten rein hält von privaten Daten.
Sven Herpig: Nachfrage dazu: Gibt es denn da irgendwelche so psychologische Beratung, Betreuung, vor allem für die Kollegen:innen in der IT-Abteilung, die ja wirklich auch sehr viel wahrscheinlich dann Arbeitszeit dann reingesteckt haben in diesen Wochen? Gibt es da irgendeine Unterstützung?
Sabine Griebsch: Nein, in keinster Form.
Sven Herpig: Sie wussten, dass es nochmal auf Sie zurückkommen würde. Aber aus dem Publikum kommt auch nochmal eine Frage, wer an der Dienstvereinbarung, die Sie gerade erwähnt haben, denn beraten hat? Denn, wenn man sich unter anderem die Passwortwechsel-Strategie und die Screenlocking-Strategie anguckt, kommen laut dem Fragenden oder der Fragenden aus dem Publikum Zweifel an der Strategie auf.
Also vielleicht mal etwas weniger zynisch formuliert: Wie ist diese Betriebsvereinbarung, oder Dienstvereinbarung zustande gekommen? Wer hat denn da mitgesprochen? Hat man dann auch das Bundesamt für Sicherheit in der Informationstechnik mit einbezogen? Hat man die Polizei mit einbezogen? Hat man das intern gemacht? Wer saß da mit am Tisch, wenn sie darüber reden können?
Sabine Griebsch: Ja natürlich. Also die Polizei ist bei der Dienstvereinbarung natürlich nicht dabei gewesen, aber ich meine, dass wir auch auf Grundlage des BSI dort gearbeitet haben. Teilweise wurden uns von anderen IT-Sicherheitsbeauftragten, deren Dienstanweisung sozusagen in abgespeckter Form als Vorschlag mitgegeben. Kommuniziert und diskutiert wurde das unter der technischen Einsatzleitung und dem Amt für Personal und Organisation und natürlich auch dem Personalratsvorsitzenden.
Sven Herpig: Alles klar. Dann eine weitere Frage aus dem Publikum: „Wieso gibt es keinen IT-Sicherheitsbeauftragten, der dann im Krisenstab ist, zusätzlich? Ich habe ja verstanden, es wird jetzt einen IT-Sicherheitsbeauftragten zukünftig geben. Wieso gab es bisher keinen?“
Sabine Griebsch: Es wurde im letzten Dezember einer benannt. Unglücklicherweise derjenige, der auch Sachgebietsleiter der IT ist. Kurze Zeit später ist er schwer erkrankt und das war er auch noch bis Mitte Oktober. Der Sicherheitsvorfall war, wie gesagt, im Juni. Es wurde vorher ein IT-Sicherheitsbeauftragter benannt. Allerdings ist er noch nicht dazu gekommen, in bis zum Vorfall in eine Art Arbeitsmodus zu kommen.
Sven Herpig: Eine weitere Frage aus dem Publikum: „Wie lief die Kommunikation mit der Öffentlichkeit, und was sind da die Learnings, die Sie gemacht haben?“
Sabine Griebsch: Ja, die Kommunikation mit der Öffentlichkeit ist halt immer schwierig, weil man halt so im Fachthema unterwegs ist und ehe es übersetzt ist, geht natürlich immer darum: „Ja, es funktioniert nicht, und wir wissen nicht auf absehbare Zeit, wann es wieder funktioniert“. Das sorgt natürlich „draußen“ für Unsicherheit. Man bekommt natürlich so Leitfäden wie: Was darf ich sagen, was darf ich nicht sagen. Auch so ein Briefing natürlich. Wir waren bestrebt, möglichst wenig Details in die Öffentlichkeit dringen zu lassen. Was natürlich auch klar ist, weil die Leute sollen jetzt nicht das Darknet durchsuchen und gucken, ob man nicht selber ein paar Daten findet oder was auch immer. Man weiß ja nicht, auf was für Ideen dann mitunter die Leute kommen. Und insofern glaube ich, dass seitens der Kommunikation noch vieles hätte anders laufen können. Aber Fakt ist auch, dass sich die Lage auch immer wieder verändert hat, sodass man im Endeffekt, Dinge kommuniziert hätte, die wir in einer Woche dann wieder revidiert hätten. Das ist dann mitunter der Sache und der Situation geschuldet.
Sven Herpig: Dann möchte ich nur noch zwei Fragen aus dem Publikum stellen. Einmal: „Hätte es ein Cyber-Hilfswerk, also Freiwillige, die bei IT-Sicherheitsvorfällen, unterstützen, gegeben, wäre das etwas gewesen, worauf der Landkreis zurückgegriffen hätte?“ Zum Hintergrund: Das Cyber-Hilfswerk, angelehnt an das technische Hilfswerk, ist ein Konzept, was unter anderem von der Arbeitsgruppe KRITIS in den letzten Jahren vorangetrieben wurde. Ich glaube, Frau Griebsch, Sie kennen das Konzept so grob?
Sabine Griebsch: Wir haben das CERT Nord, die Dienstleister für das Land sind. Es hat so etwas wie ein Cyber-Hilfswerk nicht gegeben. Tatsächlich darf ich aber jetzt aus meiner individuellen Perspektive sagen, dass ich es mir gewünscht hätte.
Sven Herpig: Alles klar. Das ist doch eine sehr konkrete Antwort. Und jetzt vielleicht noch als letzte Frage, wobei der Großteil dieser Frage ist eher ein Kommentar. Den lese ich trotzdem mal vor, weil er, glaube ich, ganz gut abbindet, worüber wir heute gesprochen haben. Von Alexander Santo von dem Brandenburger Institut für Sicherheit: „Im Zuge der COVID-19 Pandemie mussten mehr und mehr behördliche Dienstleistungen digitalisiert werden, unter anderem wegen Kontaktbeschränkungen. Dies war natürlich nicht vorgesehen und darauf war man auch nicht vorbereitet. Gleichzeitig sind IT-Mitarbeiter:innen in Behörden zum einen sehr schwer zu bekommen, siehe: Gehalt und Arbeitsbereich. Und auch deswegen irgendwie Mangelware in Behörden oder zumindest auch die Planstellen dafür. Und so kommt kaum jemand dazu, sich um IT-Sicherheit zu kümmern. Kommen wir zur Frage: Vor diesem Hintergrund – wie ist es um die IT- und Cyber-Sicherheit der Behörden, der Bundes- und Landesbehörden in Zukunft bestellt?“ Gerade eben mit Hinblick auf Fachkräftemangel. Eine ganz große Meta-Frage am Ende.
Sabine Griebsch: Ich setze jetzt viel auf den neuen Koalitionsvertrag, dass wir in Zukunft einfachere Möglichkeiten haben, IT-Personal anzuwerben und auch in die öffentliche Verwaltung zu bringen und eben auch ohne die formalen Anforderungen dann mit entsprechender Bezahlung in der Behörde unterzukriegen. Denn das, glaube ich, ist ganz wichtig, denn daran ist es sehr oft gescheitert – also, dass wir hier gutes Personal bzw. überhaupt Personal bekommen. Ich glaube, dass die öffentliche Verwaltung unterfinanziert ist. Ich glaube auch, dass wir ein Problem haben dies zu kommunizieren, wenn wir beispielsweise im Kreistag sind oder unsere Bedarfe für die IT der Politik erklären müssen.
Und das, so glaube ich, führt dazu, dass wir sowohl auf kommunaler Ebene als auch auf Landes- und Bundesebene ein Riesenproblem haben, was die Sicherheit betrifft. Und ich glaube auch, dass die paar Vorfälle, die jetzt in die Öffentlichkeit getreten sind, wirklich nur die Spitze des Eisberges sind. Das heißt, dass über ganz, ganz viele Vorfälle, ich glaube es sind über 100, die allein in diesem Jahr stattfanden, gar nicht gesprochen wird Vielleicht kann man die genaue Zahl noch einmal nachliefern, aber zumindest ist die öffentliche Verwaltung in dem Thema nicht gut aufgestellt.
Sven Herpig: Und das bezeugt man ja auch durch zwei Bewerbungen auf die IT-Amtsleitung bei Ihnen.
Sabine Griebsch: Ja, definitiv.
Sven Herpig: Wunderbar. Ich glaube, wir haben hier alle heute sehr, sehr viel mitgenommen. Auf der Kommunalebene und auf der Länder- und Bundesebene bleibt noch sehr, sehr viel zu tun. Ich habe für mich zum Beispiel mitgenommen, dass die Kommunen sich besser heute als morgen um einen Plan B kümmern müssen. Und wenn der eben Lautsprecherdurchsagen und Fax beinhaltet, dann ist es etwas, was noch funktionieren kann. Natürlich auch die Frage, was mit den Backups ist, wie die eingespielt werden können, ob sie überhaupt noch funktional und vertrauenswürdig sind – das ist ein ganz wichtiger Punkt. Spannend fand ich auch den Punkt nach der Frage, was eigentlich noch funktioniert, wenn wir uns vom Internet abkoppeln. Und wenn beispielsweise Kameras nicht funktionieren, ist das natürlich ein großes Problem.
Auf der Landesebene wünschen Sie sich noch mehr Prozesse, mehr Handreichungen. Aber es gibt auch das Learning, dass es viele Akteure gibt, die unterstützen können und im Endeffekt auch genug Unterstützung zusammenkommen konnte über Länderebene und Bundesebene, aber auch auf Landesebene.
Dann auch die Aussage, dass es vielleicht zentrale IT-Sicherheitsdienste braucht, da die Kommunen das selbst nicht leisten können. Und auch, dass man auf einen Effekt setzen muss, dass in Zukunft Synergien gebündelt werden und dass es eben skalierbare Lösungen über die Länderebene für die Kommunen gibt.
Ich möchte mich an dieser Stelle herzlich bedanken, Frau Griebsch, für Ihre Offenheit, für Ihre vielen Antworten, für Ihre Einsichten.
Das war und ist wahrscheinlich immer noch eine sehr stressige Zeit für Sie. Es ist, ich hoffe und wünsche Ihnen, dass es eine "Once In A Lifetime"-Sitation war, die da vorgefallen ist. Ich hoffe, dass Sie auf den Veranstaltungen, auf denen Sie sind, noch viel Bewusstsein für diese Thematik stärken können. Und freue mich, dass wir in diesem Landkreis jemanden so kompetentes auf der Position hatten und das Ganze irgendwie noch zu Ende geführt werden kann, so dass der Landkreis irgendwann wieder relativ schnell funktional ist und hoffentlich dann auch irgendwann in Vergessenheit geraten werden kann. Jedenfalls zum großen Teil. Vielen Dank.
Sabine Griebsch: Auch ich danke.
Sabine Griebsch: Vielen Dank und einen guten Start ins Wochenende.
Meet the speakers
Dr. Sven Herpig
Lead Cybersecurity Policy and Resilience