Mehr als einen Monat ist der Hackerangriff nun her und noch immer hinge die Drohung "wie ein Damoklesschwert über uns", sagt Udo Pawelczyk vom Landkreis Anhalt-Bitterfeld. Am 6. Juli waren die Erpresser in das Netz der Verwaltung eingedrungen und hatten zig Terabyte Daten verschlüsselt. Würde der Kreis nicht zahlen, blieben sie unbrauchbar, die Hacker drohten zudem, Teile davon zu veröffentlichen. "Da sind personenbezogene Daten darunter", sagt Pawelczyk. "So etwas wird ja auch gehandelt."
Bereits eine Woche nach dem Angriff hatten die Täter einen Datensatz aus Anhalt-Bitterfeld publik gemacht, darunter Handynummern und Bankverbindungen von Kreistagsabgeordneten sowie Sitzungsprotokolle. Am 26. Juli lief dann das Ultimatum der Erpresser ab, der Kreis zahlte trotzdem nicht. "Es wird keine Forderung beglichen", hatte Landrat Andy Grabner (CDU) von Anfang an gesagt. "Wir werden uns als öffentliche Hand nicht erpressen lassen." Seitdem wird jeden Tag damit gerechnet, dass die Erpresser ihre Drohung wahr machen.
Wer sich in der katholischen Kirche gegen die Diskriminierung von Frauen und Homosexuellen einsetzt, wird selbst zur Zielscheibe für Hetze. Das kann Angst machen - aber auch entschlossen.
Dieses derzeit eher theoretische Problem wird überlagert von den ganz praktischen Schwierigkeiten. Als Reaktion auf den Angriff hat der Kreis sein gesamtes IT-System lahmgelegt und den Katastrophenfall ausgerufen: Fast 1000 Verwaltungsmitarbeiter konnten nur noch mit Telefon oder Fax arbeiten und durften nicht mehr an ihre Computer. Gehälter, Sozialleistungen, Bafög würden ohne die Daten am Ende des Monats kaum ausgezahlt werden können, Kraftfahrzeuge konnten wochenlang nicht angemeldet werden - ein Problem für den Autohandel. Allein die Nachverfolgung bei Corona-Infizierten unter den 160 000 Einwohnern wurde sofort sichergestellt.
Auch jetzt muss sich Pawelczyk noch einen Computer mit seiner Kollegin teilen, allmählich könne im Landkreis jedoch wieder einigermaßen normal gearbeitet werden. "Alles, was mit Zahlungen zu tun hat, können wir leisten", sagt Pawelczyk. Mithilfe der Banken hat der Kreis ermittelt, wer im Monat zuvor welches Geld bekommen hat. Seit Anfang August sei auch eine Kfz-Meldestelle wieder geöffnet.
Parallel versuchen die zehn IT-Mitarbeiter und ein Experte der Bundeswehr ein neues Netz für die Verwaltung aufzubauen. "Da wollen wir keine halben Sachen machen", sagt Pawelczyk. Er rechnet damit, dass die meisten Mitarbeiter bis Anfang September wieder weitgehend normal werden arbeiten können. "Für 100 Prozent" brauche es aber noch bestimmt fünf Monate.
Die Erpresser suchen sich ihre Opfer weltweit
Die Gegend zwischen Magdeburg, Dessau-Roßlau und Halle (Saale) ist offenbar der erste Landkreis in Deutschland, der von Hackern derart attackiert worden ist. Es ist ein skurriler Gegensatz zwischen der Kreisverwaltung auf dem etwas heruntergekommenen ehemaligen Kasernengelände in der Kreisstadt Köthen und den hochprofessionellen Erpressern aus dem Darknet, einem schwerer zugänglichen Teil des Internets. Nach SZ-Recherchen handelt es sich bei den Erpressern um eine Gruppe namens Grief, die seit Mai aktiv ist und unter dem Slogan "Pay or Grief", "zahle oder leide", agiert. Unter ihrem früheren Namen "Doppelpaymer" hatte sie ihre Arbeitsweise so beschrieben: "Jetzt bestimmen wir die Spielregeln, scheiß auf Ermäßigungen, scheiß auf Verhandlungen, scheiß auf Zeitverschwendung."
Auf der Webseite im Darknet bietet Grief jedenfalls einige der Daten, die dem Landkreis gestohlen wurden, zum Herunterladen an. Anhalt-Bitterfeld ist demnach derzeit nicht das einzige Opfer der Gruppe. Nach eigenen Angaben werden neben anderen auch eine US-Privatschule bei Dallas erpresst, die Stadtverwaltung von Thessaloniki und ein französischer Pumpenhersteller.
Die NZZ berichtete, das Schweizer Vergleichsportal Comparis gehöre ebenfalls zu den Zielen von Grief. Nach erfolglosen Ermittlungen habe das Unternehmen schließlich Lösegeld bezahlt. Die Höhe nannte die Firma nicht, die ursprüngliche Forderung von Grief habe sich auf 400 000 US-Dollar belaufen. Die Opfer werden offenbar nicht gezielt ausgewählt, sondern Grief durchforstet das Internet systematisch mit Suchprogrammen nach Schwachstellen in IT-Systemen.
Welchen Betrag sie hätte zahlen müssen, das will die Kreisverwaltung Anhalt-Bitterfeld nicht sagen, ein sechs- bis siebenstelliger Betrag, zahlbar in Bitcoins, heißt es beim Landeskriminalamt. Dort versuchen IT-Spezialisten und Forensiker der Abteilung für Cybercrime, die Erpresser aufzuspüren. "Wir stehen noch ganz am Anfang, das dauert Wochen und Monate", sagt Sprecher Michael Klocke. Auch weil die Ermittler auf die Unterstützung der Kollegen im Ausland angewiesen sind. Derzeit sei die heißeste Spur eine Server-Adresse in Südeuropa.
Mitarbeit: Max Muth
