Der erste Anruf kam um 6.30 Uhr, aber da war es schon zu spät. Schon zwei Stunden früher hatte ein tückischer Computervirus damit begonnen, sämtliche Computer der Verwaltung im Landkreis Anhalt-Bitterfeld zu verschlüsseln und damit unbenutzbar zu machen. Wer den Virus platziert hatte - Sabine Griebsch weiß es bis heute nicht. Sie ist zuständig für die digitale Transformation des Kreises und inzwischen bundesweit bekannt. Denn sie tat etwas, das vor ihr noch niemand in Deutschland wegen eines Cyberangriffs getan hatte: Sie veranlasste, den Katastrophenfall auszurufen. Katastrophenfall? Wegen Computern in der Verwaltung, die nicht mehr funktionierten?
"20 Ämter waren von jetzt auf gleich nicht mehr arbeitsfähig", erzählt sie auf dem SZ-Wirtschaftsgipfel, von Kfz-Zulassungsstelle bis hin zur Jugendhilfe. "Wer auf Sozialhilfe angewiesen ist, musste warten, Bauvorhaben blieben liegen." Bleibt natürlich die Frage, wie die Viren überhaupt in die Systeme des Landkreises kamen. Das führt zum wichtigsten Rat, den zwei Experten für IT-Sicherheit in der Diskussionsrunde zu Cybersicherheit in Berlin geben: Awareness - also ein Bewusstsein zu schaffen dafür, wie gefährdet die vernetzte Welt von heute ist.
Vor allem die Führungsebene in Behörden wie in Unternehmen müsse sich dessen bewusst sein, sagt Paul Kaffsack, Mitgründer und Chef von Myra Security, ein Unternehmen, das Firmen und Behörden vor digitalen Überlastungsangriffen schützt, im Jargon DDOS-Attacken genannt. Die Corona-Pandemie habe zwar einen Schub bei der Digitalisierung bewirkt, die Sicherheit der Systeme habe dabei aber oft an zweiter Stelle gestanden, beklagt Kaffsack.
Die digitale Angriffsfläche wächst
Weil heute digitale Systeme wesentlich stärker vernetzt sind und eine zunehmend wichtigere Rolle im Leben spielen, vergrößere sich auch die Angriffsfläche, ergänzt Helmut Reisinger vom weltweit agierenden IT-Sicherheitsunternehmen Palo Alto. Auch geopolitische Veränderungen trügen dazu bei: "Als Russland die Kommunikation in der Ukraine gestört hat, waren davon auch 5800 Windräder in Deutschland betroffen", gibt er ein Beispiel. Am Bewusstsein fehle es hierzulande trotzdem noch oft. Anders als in den USA. Dort habe Präsident Biden mit einer executive order alle Bundesbehörden dazu verpflichtet, alle sieben Tage einen digitalen Angriff zu simulieren.
Oft aber gehe es gar nicht um raffinierte Attacken aus der Ferne. Paul Kaffsack hat dazu eine kleine Geschichte parat. Als er neulich mit dem Zug eine längere Strecke fuhr, ließ ein Geschäftsmann seinen Firmenlaptop offen auf dem Tisch stehen, als er kurz ins Bordbistro ging. "Dabei wären es nur zwei Tastendrucke gewesen, den Rechner zu sperren", sagt Kaffsack. So aber hätte ein Angreifer leicht einen USB-Stick anstecken und Schadsoftware installieren können.
Das Tückische daran: Der bösartige Code der Angreifer beginnt sein Werk in aller Regel nicht sofort, sondern arbeitet sich, möglichst ohne Spuren zu hinterlassen, durchs Netzwerk, immer in der Hoffnung, irgendwann auf richtig wertvolle Daten zu stoßen. Daten, die dann dazu dienen können, Geld damit zu erpressen. Die Computer, so die Drohung, werden erst dann wieder freigeschaltet, wenn das Lösegeld bezahlt ist. Ransomware nennt man solche Software, die man übrigens auch mieten kann wie eine für Buchhaltung. 58 Anbieter gebe es dafür, sagt Palo-Alto-Experte Reisinger. Und wenn das nicht genügend Druck erzeugt, drohen die Online-Erpresser mittlerweile auch oft damit, Daten zu veröffentlichen, etwa Krankenakten.
Angriffe bleiben im Schnitt 28 Tage unerkannt
Das Problem bei solchen Angriffen: Es dauert in der Regel viel zu lang, bis ein Angriff entdeckt wird, im Schnitt 28 Tage. Dann ist der Schaden meist schon passiert. Sabine Griebsch und ihre drei (!) Mitarbeiter in der IT - "wir sind völlig unterbesetzt" - fühlte sich wenigstens nicht alleingelassen. Der Fall erregte vergangenes Jahr bundesweit Aufsehen, das Land ebenso wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundeswehr kamen zu Hilfe, um den 180 000 Landkreisbewohnern wenigstens ein Mindestmaß an Dienstleistungen bieten zu können. Ihre Bilanz: "Wir machen uns angreifbar, wenn wir IT-Sicherheit nicht von Anfang an mitdenken."
Ein wichtiges Konzept dabei nennt sich zero trust, also, so erklärt es Helmut Reisinger, bei jeder Anfrage an ein System so zu reagieren, als bringe man der Anfrage null Vertrauen entgegen. Dazu müssten auch die Rechte der Nutzer im System beschränkt werden. Und künstliche Intelligenz müsse dabei helfen, Angriffe anhand verdächtiger Muster viel früher zu erkennen, als Menschen das könnten.
