Deutschlands erste Cyberkatastrophe – Landkreis Anhalt-Bitterfeld
Deutschlands erste Cyberkatastrophe – Landkreis Anhalt-Bitterfeld
Am 13. Juli wurde die zweite Folge der Podcast-Serie „You are fucked“ mit dem Titel „Die zerbrochene Vase“ veröffentlicht. Darin wird die suresecure GmbH mehrfach namentlich erwähnt. Unter anderem wird auch erwähnt, dass wir zu diesem Vorfall auf Anfrage des Mitteldeutschen Rundfunks keine Stellungnahme abgeben wollten.
Das ist völlig richtig und wir werden auch weiterhin keine Details nennen, welche Rückschlüsse auf die IT-Infrastruktur offenbaren könnten und damit möglicherweise die Sicherheit des Landkreises gefährden. Dazu sind wir vertraglich verpflichtet und erachten dies als eine Selbstverständlichkeit im Umgang mit sensiblen Informationen. Als Anbieter von Dienstleistungen im Bereich des Incident Managements, nehmen wir die Sicherheit unserer Partner sehr ernst und schützen Informationen aus diesen Vorfällen mit besonderer Sorgfalt. Was aber auch richtig ist: In der IT hat ein Zeitenwechsel stattgefunden. Vor diesem können sich auch öffentliche Institutionen nicht verschließen. Nachdem Angriffe auf private Unternehmen, kritische Infrastrukturen und bundespolitische Institutionen bereits seit Jahren öffentlich bekannt sind, war es abzusehen, dass Kommunen und Städte ebenfalls Ziel von Angriffen werden.
Deshalb ist es umso wichtiger, dass es Initiativen wie BSI-Grundschutz, NIS2 oder auch das IT-Sicherheitsgesetz 2.0 gibt. Alle Verwaltungen und Institutionen im öffentlichen Sektor sollten die Mindestanforderungen im Bereich IT-Sicherheit erfüllen. D.h. unter anderem aber auch eine Mindestanforderung im Bereich des Notfallmanagements. Hierzu gehören nicht nur technische Aspekte, wie z. B. eine Früherkennung von Anomalien, sondern vor allem auch Organisatorische, wie z. B. das schnelle Bilden eines Krisenstabs und Beschreibung von Prozessen.
Landkreise und Verwaltungen sind Institutionen, die dazu beitragen die öffentliche Ordnung aufrecht zu erhalten, sensible und personenbezogene Informationen zu verarbeiten und zu speichern sowie mit dem Alltag von Bürgern und Bürgerinnen zu interagieren.Dies anzunehmen, benötigt eine Bereitschaft zum Umdenken und der Anpassung in der Führung. Der Wandel der Zeit war augenscheinlich im Landkreis Anhalt-Bitterfeld nicht umfänglich angekommen. Organisatorisch, gedanklich und auch technisch.
Zur Vorbereitung eines Krisenmanagements mit Cyberbezug, sollten folgende Bedingungen erfüllt sein:
- Vorbereitung eines Krisenstabs mit Entscheidern und Kompetenzträgern
- Aufbau eines Notfallplans für Sicherheitsvorfälle, Cyberkrisen und Katastrophenfälle durch IT-Angriffe
- Durchführung von Krisenübungen
- Vertragliche Zusicherung externer Dienstleister zu Reaktionszeiten und Tagessätzen
- Aufsetzen einer IT-Infrastruktur nach gängigen Best Practices
- Durchführung von Backups bzw. Backup-Strategien
- Schutz sensibler und personenbezogener Informationen in getrennten Netzbereichen
- Als Mindestanforderung: Einführen eines Grundschutzes nach Vorgaben des BSI
- Verteilung von administrativen Rechten nach einem Administrationskonzept
- Zentrales Logging und Protokollierungsregeln
- Einsatz einer SIEM-Lösung oder Security Operation Centers
Wir sind uns unserer Aufgabe und unserer Verantwortung im Incident Management bewusst. Informations-Sicherheit ist kein Spiel, sondern ein wichtiger Baustein um Unternehmen, Arbeitsplätze und auch Leben zu sichern. Aus diesem Grund sagt der IT-Leiter auch „[...] die waren gut, das war militärisch“ (Zitat Oliver Rumpf, IT-Leiter Landkreis Bitterfeld-Anhalt).
In unserer Zusammenarbeit mit dem Landkreis Anhalt-Bitterfeld haben wir daher nicht nur unseren regulären Stundensatz proaktiv und ohne vorherige Vertragsbeziehungen reduziert, wir haben außerdem bereits am zweiten Tag unseres Einsatzes eine Gesamtkostenschätzung zur Wiederherstellung der Funktionsfähigkeit der Infrastruktur abgegeben.
Diese Dienstleister, da muss ich mal eine Lanze für sie brechen, die sind natürlich teuer, aber die springen halt auch und das kriegt man nicht umsonst. Die lassen sich qualifizieren, die weisen das nach und insofern - für gute Leistung muss man auch manchmal etwas zahlen.
Es fehlte lediglich die Beauftragung, um den Landkreis innerhalb von 4-6 Wochen wieder in einen produktiven Zustand zu versetzen. Nachdem diese ausblieb und wir unsere Leistung trotzdem fortsetzten, gab es ein Ultimatum, welches wir im Krisenstab kommuniziert hatten. Dieses hat der Landkreis kommentarlos verstreichen lassen – es gab lediglich eine SMS, die uns eine Tendenz vermuten ließ: „Räumt das Feld und übergebt eure Arbeiten“.
Alle forensischen Erkenntnisse haben wir täglich mit dem eingesetzten Krisenmanagement des Landkreises geteilt, in Abstimmung außerdem an das zuständige Landeskriminalamt und BSI weitergegeben. Ein erster forensischer Bericht wurde bereits nach drei Tagen schriftlich übermittelt. Dass das BSI die fehlende Vorbereitung von Landkreisen und Kommunen erkennt und empfiehlt Lösungen im Vorfeld zu erarbeiten, statt durch externe Einflüsse zum Handeln gezwungen zu werden unterstützen wir.
Bei Rückfragen in diesem Kontext wenden Sie sich gerne an die Pressestelle (presse@suresecure.de)