Vergangene Woche wurden die IT-Systeme des Landkreises Anhalt-Bitterfeld mit Schadsoftware infiziert. Die Server der Kreisverwaltung wurden vom Netz getrennt, um weitere Schäden zu verhindern.
Seitdem ist die gesamte Verwaltung des Landkreises stillgelegt. Derzeit ist es nicht möglich, Sozialleistungen, Löhne oder Gehälter auszuzahlen, auch Bürgeranfragen können nicht bearbeitet werden. „Dieser Fall macht mehr als deutlich, dass Cyberkriminelle nicht nur Wirtschaftsunternehmen ins Visier nehmen, sondern auch Behörden und staatliche Organisationen“, betont Peter-Michael Kessow, Geschäftsführer des German Competence Centre against Cyber Crime e. V. (G4C). „Mit dem Erfolg solcher Angriffe zeigen Erpresser, dass sie das öffentliche Leben negativ beeinflussen können.“
Anhalt-Bitterfeld war nicht der erste Landkreis, der Opfer eines Cyberangriffs wurde. Es war jedoch der erste, der die Folgen eines derartigen Angriffs als so intensiv bewertet, dass ein Cyberkatastrophenfall ausgerufen wurde. Einige Monate wird es dauern, bis die Schäden der Ransomware-Attacke behoben worden sind und die Verwaltung wieder funktionsfähig ist. Da die Bewohner:innen von AnhaltBitterfeld nicht monatelang auf ihre Löhne verzichten können, hat der Landrat der Gemeinde den Katastrophenfall erklärt. Dadurch ist die Verwaltung dazu berechtigt, schneller zu handeln und sich Amtshilfe von anderen Dienststellen zu holen.
Der Cyberangriff auf den Kreis Anhalt-Bitterfeld ist laut G4C eine „ernstzunehmende Warnung“. Der gemeinnützige Verein, der mit Sicherheitsbehörden wie dem Bundeskriminalamt zusammenarbeitet, rechnet damit: „dass in Zukunft vor allem kleine und mittlere Unternehmen, insbesondere im Bereich der Versorger von kritischen Infrastrukturen (KRITIS) von Städten und Gemeinden interessante Angriffsobjekte für Cyberkriminelle werden.“ G4C hält es für möglich, dass auch politisch motivierte Angriffe auf regionale KRITIS-Unternehmen durch andere Staaten und Organisationen nicht ausgeschlossen werden können.
„Bevor eine ganze Region geschädigt wird, da sie keinen Zugriff auf Wasser und Strom hat, müssen präventive Maßnahmen zum Schutz regionaler KRITIS relevanter IT-Systeme getroffen werden“, erklärt Heiko Wolf, Vorstand von G4C und Head of Non Financial Risk der ING Deutschland. Um einen weiteren Cyberkatastrophenfall zu verhindern, werde insbesondere KRITIS-Unternehmen zu einer Zusammenarbeit mit IT-Experten geraten. Dazu gehöre ebenso eine ausgiebige IT-Schulung von Mitarbeiter:innen. In diesem Zusammenhang kann G4C Unternehmen Hilfestellung leisten und Unternehmen im Bereich Cybersicherheit sensibilisieren und unterstützen. „Wir bieten einen vertrauensvollen Austausch an. Keiner muss den Kampf gegen Cyberkriminalität allein führen“, so Heiko Wolf. Für KRITIS-Unternehmen besonders interessant: Enger Kooperationspartner von G4C ist die Kanzlei Becker Büttner Held (BBH), die seit Jahren Hunderte solcher Unternehmen begleitet. Darunter sind Netzbetreiber, Städte, Kommunen und kommunale Unternehmen. „Wir begreifen Cybersicherheit als unbedingten Bestandteil einer ganzheitlichen Compliance. Denn Cybersicherheit ist Führungsaufgabe“, so BBH-Partnerin Prof. Dr. Ines Zenke.