Bochum/Witten. Nach der Cyberattacke auf die Stadt Witten schlagen deutsche IT-Experten Alarm. Angriffe könne es in Zukunft auch gegen andere Ziele geben.

Nichts geht mehr. Computer und Telefone sind tot. Heiratsurkunden können nicht ausgestellt, Bauanträge nicht geprüft, Personalausweise nicht beantragt werden. Eine Cyberattacke hat die Stadtverwaltung von Witten derzeit in weiten Teilen lahm gelegt. „So etwas“, warnt Manuel Atug, Sicherheitsexperte der HiSolutions AG, und Sachverständiger im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0., „wird es in Zukunft immer wieder geben.“

Nichts geht derzeit mehr im Rathaus von Witten
Nichts geht derzeit mehr im Rathaus von Witten © FUNKE Foto Services | Ralf Rottmann

Denn viele Kommunen in Deutschland sind nach Ansicht von IT-Sicherheitsexperten der organisierten Kriminalität hilflos ausgeliefert. „Teilweise fehlt es an den Basics.“, bestätigt Tim Berghoff, Sicherheitsexperte bei der Bochumer G DATA CyberDefense AG, die sich auf IT-Sicherheit für Firmen, Behörden und Privatleute spezialisiert hat.

„Es fehlt vielen Menschen an Medienkompetenz“

Atug wundert das nicht. Das Internet sei ein Raum, „auf den die ganze Welt zugreifen kann“ und in dem ganz andere Regeln gelten, als in der echten Welt. Ein Raum aber auch, in dem sich mancher Mitarbeiter von Verwaltung und Behörden in etwa so gut auskennt, wie im bolivianischen Regenwald – selbst, wenn er jünger ist. „Es mangelt vielen Menschen immer noch an Medienkompetenz und IT-Security Knowhow“, sagt Atug. Das kann bei der Ausbildung etwa im Einwohnermeldeamt hinderlich, in der IT-Abteilung einer Kommune aber brandgefährlich sein.

Auch interessant

„In manchen Städten hängt der Stand der IT-Sicherheit tatsächlich von Engagement und den Fähigkeiten einiger weniger ab“, bestätigt Berghoff. Und selbst sie müssen oft gegen Windmühlen kämpfen. „Geht nicht“, „brauchen wir nicht“, „haben wir noch nie gemacht“, sind Sätze, die sie oft hören. „Das lässt die Motivation nicht steigen“, ist Atug überzeugt – zumal auch die Bezahlung im Öffentlichen Dienst nicht die höchste ist.

Cyberkriminalität lohnt sich mehr als Drogenhandel

Cyberangriffe sind längst zu einem lohnenden Geschäft geworden
Cyberangriffe sind längst zu einem lohnenden Geschäft geworden © Shutterstock/Mahir KART | Mahir KART

Auf der Gegenseite dagegen wird das große Geld gemacht. „Mit Cybercrime lässt sich seit einigen Jahren mehr Geld verdienen als mit Drogenhandel“, sagt Atug. Mit so genannten Ransomwareattacken, bei denen die Daten auf den Servern und Rechnern des Opfers mittels spezieller Software verschlüsselt und erst nach Bezahlung eines Lösegelds wieder freigegeben werden, wurden in den ersten sechs Monaten dieses Jahres allein in den USA knapp 600 Millionen Dollar erpresst.

Ein Teil des Geldes, wissen Experten, werden nicht für schnelle Autos und andere Luxusgüter ausgegeben, sondern in die Rekrutierung und Ausbildung des Nachwuchses und die Verfeinerung der Angriffsmethoden gesteckt. Immer raffinierter werden so die E-Mails, die ihre Adressaten zu einem Klick auf die angehängt Schadsoftware verleiten, immer tückischer die Schädlinge selber.

„Die Kommunen sind oftmals nackt“

Bei der Widerstandsfähigkeit von Behörden und Kommunen gegen Cyberangriffe, bemängeln Experten, tue sich dagegen viel zu wenig. Verhinderung einer wirksamen Verschlüsselung, Staatstrojaner, Vorratsdatenspeicherung – „in Deutschland geht Innere Sicherheit vor IT-Sicherheit“, sagt Atug.

Viel zu wenige Gedanken habe man sich über Handreichungen und Hilfen für Betroffene gemacht. „Die Kommunen sind oftmals nackt.“ Vielfach fehle es an Organisationsabläufen und klaren Zuständigkeiten oder dem Wissen, an wen man sich im Notfall überhaupt wenden könne.

Der Mensch vor dem Computer ist ein Risiko

Man müsse auch den Menschen vor dem Computer sensibilisieren“, sagt Tim Berghoff, Sicherheitsexperte bei der Bochumer G DATA CyberDefense AG
Man müsse auch den Menschen vor dem Computer sensibilisieren“, sagt Tim Berghoff, Sicherheitsexperte bei der Bochumer G DATA CyberDefense AG © gdata | GData

Dabei sind Attacken auf Verwaltungen erst der Anfang. Er wolle keine Panik verbreiten, sagt Atug, aber natürlich könnten diese kriminellen Banden beispielsweise auch ein E-Werk über das Internet erfolgreich angreifen. „Nicht im Vorbeigehen und ohne Vorbereitung, aber grundsätzlich ist das möglich.“

„Die Technik zur Abwehr ist da“, sagt Tim Berghoff. Aber selbst wenn alle Firewalls halten, jede Sicherheitslücke geschlossen ist, bleibt da immer noch ein Risiko: der Mensch vor dem Computer. „Genau den muss man sensibilisieren“, sagt Berghoff. Muss ihn dazu bringen, dass er nicht mehr im Affekt auf eine vermeintliche Mahnung der Buchhaltung oder die angebliche Beschwerde eines Bürgers im E-Mail-Anhang klickt.

USB-Sticks auf dem Parkplatz

Doch das ist anscheinend ein weiter Weg. Manuel Atug hat als Sicherheitsexperte bei der HiSolutions AG erst neulich wieder 30 USB-Sticks im Auftrag eines Kunden auf dessen Firmenparkplatz ausgelegt. „Natürlich waren wieder Finder dabei, die ihn gleich in ihren Firmencomputer gesteckt haben.“ Im Ernstfall wäre der Schädling damit im Netzwerk des Unternehmens gewesen.

Sie seien davon ausgegangen, entschuldigten sich einige der zur Rede gestellten Mitarbeiter, dass die Rechner in der Firma doch viel besser geschützt seien, als ihre Computer zuhause. Sie selbst würden sich mit PC-Sicherheit nicht so gut auskennen.