Cyberangriff in Sachsen-Anhalt:Wie Hacker einen Landkreis erpressen

Cyberattacke: Katastrophenfall im Landkreis Anhalt-Bitterfeld

Vieles ist unklar. So sei auch noch nicht bekannt, "welche Daten herausgezogen worden sind", sagt Landrat Andy Grabner (CDU).

(Foto: Klaus-Dietmar Gabbert/dpa)

Hacker haben das Computersystem des Landkreises Anhalt-Bitterfeld lahmgelegt, nicht einmal Sozialhilfe kann derzeit angewiesen werden. Lösegeld will Landrat Grabner trotzdem nicht zahlen.

Von Jan Heidtmann, Berlin

"Bis auf Weiteres geschlossen": Monatelang versperrte dieser Hinweis an der Tür zur Kreisverwaltung von Anhalt-Bitterfeld den Weg. Das hing natürlich mit Corona zusammen, doch kaum dass die Inzidenzen runtergingen, musste der Landkreis wieder in einen Lockdown - nur diesmal aus ganz anderen Gründen. Am Dienstag vergangener Woche ereilte die etwa 800 Mitarbeiter der dringende Rundruf, ihre Computer sofort herunterzufahren. Seitdem steht die Verwaltung in dem Landstrich zwischen Dessau und Halle still.

"Momentan funktioniert ausschließlich die Telefonanlage", sagt Landrat Andy Grabner (CDU). Nicht einmal eine E-Mail könnten die Mitarbeiter versenden. IT-Spezialisten seien gerade dabei, 50 bis 100 Rechner zusammenzuschalten und so ein Notnetz aufzubauen. "Damit wir die nötigsten Dienstleistungen wieder erledigen können", meint Grabner. Was genau passiert ist, weiß auch der Landrat noch nicht. Klar ist nur, dass es der kleine Kreis mit seinen 160 000 Einwohnern mit hochprofessionellen Hackern aus dem Darknet, einem verdeckten Teil des Internets, zu tun hat.

Über eine Sicherheitslücke im Netzsystem, vermutlich an einer Druckerschnittstelle, ist es den Tätern gelungen, Daten der Verwaltung zu verschlüsseln und damit vorerst unbrauchbar zu machen. Um weitere Schäden zu verhindern, wurde das gesamte System heruntergefahren.

In einem der Datensätze fanden Experten des Landeskriminalamts schließlich einen Link ins Darknet, hinter dem sich eine Lösegeldforderung verbirgt. Über die Höhe schweigen sich die Ermittler aus, aber offenbar drohen die Erpresser, Daten aus der Verwaltung von einem bestimmten Zeitpunkt an zu veröffentlichen, sollte nicht gezahlt werden. "Wir wissen nicht, welche Daten herausgezogen worden sind", sagt Grabner. "Es könnte alles sein." Also auch persönliche Angaben über einzelne Bewohner von Anhalt-Bitterfeld.

Der Landkreis hat den Katastrophenfall ausgerufen

Grabner hat sich dennoch entschlossen, kein Lösegeld zu zahlen. "Es wird keine Forderung beglichen", sagt er. "Wir werden uns als öffentliche Hand nicht erpressen lassen." Dies sei der Entschluss des Kreises, die Landesregierung könne natürlich anders entscheiden. Doch neben aller Staatsräson, niemand könne gewährleisten, dass die Täter nach Erhalt des Lösegeldes die Daten auch wieder entschlüsselten.

Am vergangenen Freitag hat der Landkreis den Katastrophenfall ausgerufen, das erste Mal seit dem Hochwasser 2013. Neben den Experten des Landeskriminalamts versuchen nun auch IT-Spezialisten vom Bundesamt für Sicherheit in der Informationstechnik den Schaden zu bemessen. Darunter die Frage, ob selbst die Backups der Datensätze bereits von der Schadsoftware befallen waren. Vorher können sie nicht eingespielt werden.

Die Verwaltungen der umliegenden Kreise in Sachsen-Anhalt haben vorsorglich damit begonnen, die eigenen Computersysteme zu überprüfen. "Es ist ein Prozess, den wir weltweit beobachten müssen: dass versucht wird, Kommunalverwaltungen oder kommunale Einrichtungen wie Stadtwerke anzugreifen", kommentierte Gerd Landsberg, Hauptgeschäftsführer des Städte- und Gemeindebundes, die Vorfälle in Anhalt-Bitterfeld.

Die Sicherheitsarchitektur staatlicher Institutionen ist oft porös

Die Täter gingen dabei oft sehr systematisch vor, weiß Bernd König, Sachverständiger für Cyber Security. Mit Crawlern genannten Suchprogrammen durchforsteten sie kontinuierlich das Internet nach Schwachstellen. "Hier spricht vieles dafür, dass es diese Verwaltung getroffen hat, weil sie das Scheunentor am weitesten offen hatte", sagt König.

Einen Vorfall wie Anhalt-Bitterfeld habe er schon lange erwartet, denn die Sicherheitsarchitektur staatlicher Institutionen sei spätestens von Landesebene an porös. Deshalb hält er es auch prinzipiell für richtig, nicht auf die Forderungen der Täter einzugehen. "Je mehr Lösegeld da reinfließt, desto professioneller können sich die Täter ausstatten."

Neben diesen cybertechnischen Fragen haben Landrat Grabner und seine Mitarbeiter derzeit jede Menge praktischer Probleme zu lösen. Denn ohne die Daten der Verwaltung können nicht einmal die Hilfen für Bedürftige ausgezahlt werden, Wohngeld genau so wenig wie die Sozialhilfe. Die Gehälter für die Angestellten müssten ebenfalls überwiesen werden, auch die Autohäuser stecken in der Klemme: Bestellte Pkws könnten nicht angemeldet, also auch nicht ausgeliefert werden. Die Hersteller warteten trotzdem auf ihr Geld, klagen die Händler.

Die Mitarbeiter in der Kreisverwaltung sind deshalb wieder zu tradierten Techniken übergegangen und durchsuchten nun die Aktenbestände nach Anhaltspunkten. Zugleich wurden die Bürger gebeten, ihre Bescheide persönlich bei den Ämtern vorbeizubringen, und der Landkreis hat mit der Hausbank vereinbart, erst einmal auf der Grundlage der Überweisungen aus dem Vormonat zu zahlen. "Wir werden niemanden im Regen stehen lassen", meint Grabner. Er geht davon aus, das die Verwaltung von kommendem Montag an zumindest wieder notdürftig arbeiten könne.

Grabner, 46, war lange Jahre Bürgermeister des Ortes Sandersdorf-Brehna. Da habe er schon einige Krisen meistern müssen, sagt er, "aber so eine Situation habe ich natürlich noch nicht erlebt." Eigentlich sollte er sein neues Amt als Landrat am vergangenen Montag antreten, wegen des Hackerangriffs habe er dann schon ein paar Tage früher angefangen. Grabner: "Einen guten Start stellt man sich schon anders vor."

Zur SZ-Startseite

MeinungBundestagswahl
:Minister Hilflos

Die Abstimmung selbst ist kaum zu hacken, doch digitale Desinformation prägt den Wahlkampf.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: