Rhein-Pfalz-Kreis 
Ein Jahr nach dem Hackerangriff auf die Kreisverwaltung
Ein Jahr ist es her, dass Hacker die Kreisverwaltung lahmlegten. Läuft der Betrieb in der Kreisverwaltung wieder?
„Es läuft fast alles. Einigen wir uns auf 99 Prozent“, sagt Ender Yildirim, Referatsleiter Organisation und Datenverarbeitung im Kreishaus. Er lacht. Vom Arbeitsablauf her sei man tatsächlich schon wieder bei 100 Prozent. Doch durch die neue Infrastruktur gebe es noch Anwendungen, die man für die Arbeitsabläufe in den Fachabteilungen anpassen und optimieren müsse. Er spricht von kleinen Kinderkrankheiten, die ausgemerzt werden müssten. Einige Abläufe könne die Kreisverwaltung nicht selbst beeinflussen, weil sie abhängig von externen Dienstleistern und deren Personalkapazitäten sei. „Wichtig ist, für den Bürger läuft der Normalbetrieb wieder. Er wird kaum mehr merken, dass es irgendwo hakt“, sagt Yildirim. Die Folgen des Hackerangriffs seien noch in jenen Abteilungen spürbar, in denen sich Vorgänge aufgestaut haben, zum Beispiel im Ausländerreferat. Viele Anträge hätten nachbearbeitet werden müssen. „Aber dieser Fachbereich, das bekommen wir auch von anderen Behörden mit, ist aktuell generell überlastet. Das Aufkommen ist enorm hoch.“
Warum hatten die Hacker eine Chance, in das System der Kreisverwaltung zu kommen?
„Wir haben dazu keine neuen Erkenntnisse mehr gewonnen“, sagt Ender Yildirim. Man werde wohl damit leben müssen, dass dieser Punkt höchstwahrscheinlich nicht mehr aufgeklärt wird. „Chancen, in ein System reinzukommen, gibt es immer“, erläutert Tobias Stuhlfauth, IT-Experte bei der Kreisverwaltung. Eine hundertprozentige Sicherheit gebe es nicht. Auch jetzt nicht, nachdem die kompletten IT-Systeme umgestellt und auf neue Sicherheitsstandards umgestellt worden seien. „Kein Experte konnte herauskriegen, wie es am 21. Oktober vor einem Jahr passiert ist, von welchem Gerät der Angriff ausging oder welche E-Mail dafür verantwortlich war“, bekräftigt auch Landrat Clemens Körner (CDU). Es habe Verdachtsmomente gegeben, aber eben keinen konkreten Hinweis, sagtYildirim. „Wir haben für uns jetzt einen Weg gefunden, dass wir so gut aufgestellt sind, dass nicht die ganze Verwaltung betroffen ist, sollten wir nochmals gehackt werden.“ Der Ehrgeiz war Yildirim zufolge schon da, genau den Angriffspunkt der Hacker zu erkennen. „Aber dann wüssten wir auch, wer von unserem Mitarbeitern das Tor fälschlicher- und irrtümlicherweise aufgemacht hat. Es ist aus menschlicher Sicht vielleicht gut, dass wir das nicht wissen“, sagt der Landrat.
Hätte sich die Kreisverwaltung schon vorher besser schützen können/müssen?
„Nein. An dem Vorwurf war niemals etwas dran“, betont Ender Yildirim. In Sachen Schutz sei die Kreisverwaltung zum Zeitpunkt des Hackerangriffs genauso gut aufgestellt gewesen wie jede andere Verwaltung auch. „Es gibt einen Standard, den alle erfüllen“, betont Yildirim. Die Kreisverwaltung sei zudem nicht schlechter aufgestellt gewesen als die meisten privaten Unternehmen. Auch aus dieser Richtung habe es vor einem Jahr Kritik gegeben. „Aber die Hacker sind kriminelle Profis. Die finden irgendwann immer irgendwo eine Schwachstelle.“ Bemerkenswert in diesem Zusammenhang sei doch, ergänzt der Landrat, „dass wir den Datenabfluss früh bemerkt haben. Wir hatten also sogar schon eine Sicherheitsarchitektur, über die andere Verwaltungen nicht verfügen.“
Warum ist gerade die Kreisverwaltung in den Fokus von Hackern gerückt?
Das ist eine Frage, die sich die Verwaltungsspitze immer noch stellt. Gelernt habe man in dem Jahr, in dem man intensiv mit Spezialisten für Cyber-Sicherheit zusammengearbeitet habe: Unterm Strich kann es jeden treffen – Schulen, Unternehmen, Verwaltungen. Es passiere immer wieder. Ein Beispiel sei die TU Kaiserslautern. Der Hackerangriff erfolgte im Juni. „Bei der TU geht man doch davon aus, dass sie gut geschützt ist“, sagt Ender Yildirim. Trotzdem sei sie Opfer Krimineller geworden. „Da fühlt man mit, wenn man es hört.“ Das Ziel der Kreisverwaltung sei es nun, andere Verwaltungen und Einrichtungen so gut wie möglich zu informieren, wie man sich vor Hackern schützen kann. „Wir berichten auch, was uns passiert ist, und wie wir nach dem Hackerangriff vorgegangen sind. Durch die Veränderung der gesamten Architektur unserer digitalen Infrastruktur sind wir schneller aus der Nummer rausgekommen als zum Beispiel der Kreis Bitterfeld“, sagt Clemens Körner. Was er nicht verstehen kann: Viele Verwaltungen zeigten durchaus Interesse an einem besseren Schutz vor Hackerangriffen. „Aber die Verantwortlichen sind dann entsetzt, was ein guter Schutz kostet.“ Da agiere man lieber nach dem Prinzip Hoffnung. „Seit einem Jahr ist nichts mehr in Verwaltungskreisen passiert. Also hofft man, dass es so bleibt – oder: dass eben die eigene Verwaltung verschont bleibt. Das ist schon hanebüchen.“
Wie groß war nun insgesamt der Schaden, den die Hacker anrichteten – finanziell und datentechnisch?
Der Landrat beziffert den Schaden auf 1,5 Millionen Euro. Das war genau auch die Summe, die die Hacker als Lösegeld von der Verwaltung gefordert hatten, um die Daten wieder zu entschlüsseln. Geld gekostet haben die Geräte, die komplett für alle Mitarbeiter ausgetauscht wurden, die neue Infrastruktur, Software. Alle Geräte mussten auf einmal gekauft werden. „Und wir mussten alles neu aufbauen“, sagt Yildirim. Man habe die Lösegeldforderung quasi gut investiert, um eine neue Sicherheitsarchitektur aufzubauen. An Daten waren vor einem Jahr 100 Gigabyte „abgeflossen“. Insgesamt sind auf den Servern der Kreisverwaltung 14 Terabyte Daten gespeichert. Ein Terabyte sind 1000 Gigabyte. Ein Teil ist im Darknet veröffentlicht worden, einem rechtsfreien Raum des Internets. „Personenbezogene Daten sind im Darknet sehr viel wert. Da geht es dann am Ende um Identitätsdiebstahl“, sagt Ender Yildirim. Allerdings seien Daten im Darknet nur sehr schwer für Laien zu finden. „Die kann nicht mal eben jeder einsehen.“ Zwei Kreisbürger forderten von der Kreisverwaltung Schadenersatz wegen Verletzung der Persönlichkeitsrechte. Das sei abgelehnt worden, berichtet Clemens Körner. Die einzige komplette Identität, an die die Hacker gelangt sind, war die des Landrats, weswegen dieser sich auch zum Beispiel einen neuen Personalausweis hat anfertigen lassen.
Wie lange muss in den einzelnen Abteilungen noch nachgearbeitet werden?
Eine pauschale Aussage dazu kann die Kreisverwaltung zum jetzigen Zeitpunkt noch nicht machen. In Fachbereichen mit höherer Frequenz – Wohngeld, Elterngeld, Aufenthaltsbescheinigungen – dauere es etwas länger. „Es war deshalb wichtig, dass wir solche Anträge in anderen Verwaltungen bearbeiten konnten. Mitarbeiter von uns waren in den Stadtverwaltungen Speyer, Frankenthal und Ludwigshafen, in der Kreisverwaltung Bad Dürkheim und bei allen Gemeinden“, erinnert sich der Landrat. Bei der Kfz-Zulassung müsse nichts nachgearbeitet werden, da hier die Außenstellen viel abgefedert hätten. Einschränkungen habe es vor allem bei der Ausstellung von sogenannten Fiktionsbescheinigungen gegeben. Mit dieser weisen Ausländer in Deutschland das Bestehen eines vorläufigen Aufenthaltsrechts nach. Ein paar Wochen lang sei es auch „holprig“ gewesen, was das Ausstellen von Führerscheinen anging, sagt Körner. Und auch beim Sperrmüll habe es Probleme gegeben, weil die Kreisverwaltung keinen Zugriff auf die Termine gehabt habe, die eine beauftragte Firma an Kreisbürger vergeben hatte. Im Dezember hat es deshalb dann zentrale Sammeltermine gegeben.
Wie werden die Systeme heute geschützt im Vergleich zu der Zeit vor dem Hackerangriff?
Die Kreisverwaltung hat in eine neue Sicherheitsinfrastruktur investiert. Ein zentraler Faktor dabei ist die Firma 8com aus Neustadt, die die Systeme der Kreisverwaltung rund um die Uhr überwacht. Außerdem ist im Kreishaus die Segmentierung noch weiter ausgebaut worden. Das bedeutet: „Netzabschnitte sind durch Firewall und ähnliche Komponenten getrennt“, erklärt Tobias Stuhlfauth. Geräte, die im Haus nicht miteinander kommunizieren müssen, können das auch nicht. Größere Dateianhänge kommen nicht mehr so einfach auf die Rechner. Die Anhänge werden erst mal mithilfe von bestimmten Tools geprüft. „USB-Sticks müssen durch die Datenschleuse, werden mehrfach gescannt, werden signiert und bekommen ein Zertifikat, dass sie genutzt werden dürfen“, erläutert Stuhlfauth. Zusätzlich kündigt Körner sogenannte Penetrationstests an: „Es kann sein, dass jemand als Hausmeister verkleidet reinkommt und sagt: Ich muss die Leistungsstärke von Ihrem PC messen. Sie können mal einen Kaffee trinken gehen. Bleiben Sie angemeldet, ich schau nach.“ Auch dafür greift die Kreisverwaltung auf einen externen Dienstleister zurück. Die Suche nach Schwachstellen im System war ohnehin schon notwendig, damit die Kreisverwaltung wieder ans Landesnetz angekoppelt werden konnte. Vier Tage lang haben „gute Hacker“ versucht, in das System der Kreisverwaltung einzudringen. Ohne Erfolg. Doch bis dann endlich die Freigabe gekommen sei, habe es noch mal gedauert. „Alle Tests mussten auch schriftlich fixiert, Berichte geschrieben werden“, sagt Körner. Privates Surfen ist nicht mehr möglich im Kreishaus. „Die Mailanbieter sind zum Beispiel gesperrt“, sagt Yildirim. Private Internetnutzung sei früher in den Pausen gestattet gewesen. Das habe man nun geändert. „Wenn jemand privat etwas machen will, muss er sich mit dem Handy in ein gesondertes Wlan einwählen. Das ist abgekoppelt von unserer Infrastruktur.“
Wie gestaltet sich die Zusammenarbeit mit der Firma 8com?
Da ist man im Kreishaus vollauf zufrieden. „Das System greift“, meint Ender Yildirim. Die Neustadter Firma melde sich schon, wenn irgendwo im Haus etwas installiert wird, weil dann eine größere Menge Daten aufgespielt wird. „Da sind wir viel sicherer aufgestellt.“ Am Anfang habe man täglich mehrmals Kontakt gehabt, erläutert Stuhlfauth. „Mittlerweile hat sich das routiniert eingespielt. Die melden sich, wenn irgendwas auffällt. Wir checken das und antworten dann.“ „8com wird uns nicht vor Angriffen schützen“, erklärt Landrat Clemens Körner die Aufgabe der Neustadter. „8com wird den Angriff innerhalb weniger Sekunden feststellen und lokalisieren können.“ Insofern könne es durchaus zu Hackerangriffen kommen, es werde dadurch aber nicht mehr die ganze Verwaltung lahmgelegt. „Wir wollten mit dem ersten Tag des Hochfahrens von Experten überwacht werden. Und das war eine gute Entscheidung“, sagt der Landrat zur Zusammenarbeit mit den Experten für Cyber-Sicherheit.
Welche Schulungen gibt es für die Mitarbeiter der Kreisverwaltung?
Eine Firma schult die Mitarbeiter der Kreisverwaltung beim Umgang mit zweifelhaften digitalen Inhalten, zum Beispiel sogenannte Phishingmails. Es gibt interne Kontrollen durch fingierte E-Mails. Die Reaktion der Mitarbeiter darauf werde getestet. „Dabei fängt man sanft an und steigert das Niveau“, sagt Yildirim. Mittlerweile sei es mitunter sehr schwierig, betrügerische E-Mails zu erkennen. „Die Schulungen funktionieren sehr gut. Wir bekommen oft Rückmeldungen.“ Da habe es bei den Mitarbeitern der Kreisverwaltung auch eine Bewusstseinsveränderung gegeben. „Am Anfang hatten alle sehr große Angst, mit der neuen Welt wieder zu arbeiten. Heute sind die Leute einfach vorsichtiger. Das ist gut“, sagt Körner.
Was macht der vom Landrat geplante digitale Schutzschirm, unter den mehrere Verwaltungen, wenn nicht gar alle rheinland-pfälzischen Behörden schlüpfen sollten?
Das Projekt ist noch im Wartestand. Aufgegeben hat Clemens Körner es nach eigener Aussage aber noch nicht. Was auch damit zusammenhängt, dass die Verwaltung pro Jahr 300.000 Euro an 8com überweist, um den Service der Rund-um-die-Uhr-Überwachung zu erhalten. Seine Vorstellung war, dass andere Verwaltungseinheiten mit unter diesen Rettungsschirm schlüpfen und somit die Kosten günstiger werden. „Die Idee habe ich noch. Aber die anderen machen leider nicht mit“, klagt der Landrat. Die anfängliche Euphorie für einen guten Schutz vor Hackern sei, wie erwähnt, dem Prinzip Hoffnung gewichen. „Uns wird schon nichts passieren, so hätten wir vor einem Jahr vielleicht auch noch gedacht, aber wir wurden eines Besseren belehrt“, resümiert Körner.