Hagen. Einen Hackerangriff, wie er die Region lahmlegt, erlebte Oliver Rumpf in Sachsen-Anhalt hautnah. Der IT-Experte warnt die NRW-Kollegen.
Er weiß, dass er keine guten Nachrichten für seine vom Hackerangriff betroffenen Kollegen in Südwestfalen parat hat. Dafür diesen Ratschlag: „Wenn einem die Scheiße bis zum Hals steht, ist den Kopf hängen zu lassen die falsche Option.“
Fast zweieinhalb Jahre sind inzwischen vergangen, 28 Monate, seitdem der Landkreis Anhalt-Bitterfeld das erlebte, was vor gut drei Wochen über Sauer- und Siegerland hereinbrach: ein Hackerangriff. Nichts ging mehr damals bei der Behörde in Sachsen-Anhalt, die gar den Katastrophenfall ausrief. „Deutschlands erste Cyber-Katastrophe“, wie die Attacke medial getauft wurde, ereignete sich im Sommer 2021. Heute, im Herbst 2023, sagt Oliver Rumpf: „Zweieinhalb Jahre danach - und wir arbeiten immer noch an den Sachen.“
Rumpf ist der IT-Chef des Landkreises Anhalt-Bitterfeld, der in Deutschland ungewollt zum Prototyp - und zum warnenden Beispiel - wurde. Der Hackerangriff traf sie unvorbereitet und mit voller Wucht. Ein digitaler GAU, der bis heute nachwirkt. Rumpf berichtet von einer harten Zeit, vom langen Wiederaufbau, aber auch von einer lehrreichen und prägenden Erfahrung. Ihr Fall kann als Blaupause dienen. Auch für Südwestfalen?
„Landkreis Anhalt-Bitterfeld, you are fucked“
Die Nachricht der Hacker, die sie in den ersten Juli-Tagen 2021 in ihren IT-Systemen entdeckten, war eindeutig: „Landkreis Anhalt-Bitterfeld, you are fucked.“ Frei übersetzt: Ihr seid am Arsch. Die Angreifer hatten sich in ihre digitalen Systeme geschlichen, möglicherweise Monate zuvor; bis heute wissen Rumpf und Co. nicht, wie lange sie ausgespäht wurden. Die Hacker sollen eine halbe Million Euro Lösegeld für die Freigabe der Systeme gefordert haben, zahlbar in der Krypto-Währung Monero. Der Landkreis zahlte nicht, sagt Rumpf, der Staat wolle sich ja nicht erpressbar machen, auch wenn alleine der Wiederaufbau der IT-Infrastruktur 2,5 Millionen Euro kosten sollte, also fünfmal die Summe, welche die Hacker gefordert hatten.
Wenn Oliver Rumpf von der Hackerattacke auf den kommunalen IT-Dienstleister in Südwestfalen (SIT) hört, kommen die ganzen Erinnerungen an den Angriff von damals wieder hoch. Dass die Bürger ihnen „teilweise die Landkreisverwaltung eingerannt“ hätten. Dass sie mitunter Polizeischutz in Anspruch nahmen, da Sozialleistungen teils bar ausgezahlt würden. Dass ein Sicherheitsdienst den Kassenautomaten bewacht habe, „Tag und Nacht“, weil durch das Kappen der Internetverbindung auch die Alarmanlage außer Betrieb gewesen sei. „Das sind alles so Sachen, an die denkt man anfangs gar nicht“, sagt Rumpf.
Erst nach und nach wurde ihnen klar, was nach der Attacke alles nicht mehr ging, dass nahezu alle Systeme gesperrt, Daten verloren, Sicherungen unbrauchbar waren. Die Kommunikation, E-Mails, Anträge, Finanzprogramme, Genehmigungen, Bescheide, Kfz-Zulassungen - alles betroffen. 7000 Führerscheine blieben liegen, und und und. Stattdessen: arbeiten mit Stift, Papier und Behelfslösungen. Wie derzeit vielerorts in Südwestfalen, wo die SIT Ende Oktober attackiert worden ist.
Immerhin gelang in der Kreisstadt Köthen, zwischen Magdeburg und Leipzig gelegen, im Sommer 2021 die Auszahlung von Sozialleistungen - das schuf aber ein anderes Problem.
Nachbearbeitung von Fällen dauert bis heute an
„Da wir nach dem Hackerangriff zunächst keine Daten zur Verfügung hatten, weil die Programme ja nicht liefen, haben wir bei den Auszahlungen auf die Daten zurückgegriffen, die wir aus dem vorangehenden Monat von den Banken hatten. Da war es dann erst mal egal, ob jemand vielleicht zu Unrecht Leistungen kriegt oder zu viel oder zu wenig, es ging darum, dass wir überhaupt Leistungen auszahlen konnten“, erzählt Oliver Rumpf: „Die Bürger wurden über Facebook oder über unsere Webseite informiert, dass mögliche Rückforderungen kommen können, dass wir alles im Nachgang prüfen.“
Die Bearbeitung und Prüfung von all dem, was liegenblieb oder unter Vorbehalt ausgezahlt wurde, vergrößerte den Verwaltungsaufwand, die Arbeit für die Kreismitarbeiter. Das droht auch den Kommunen und Kreisen in Südwestfalen. „Teilweise“, sagt Rumpf, „arbeiten wir noch heute die Fälle auf.“
In Köthen rückten damals die Cyberexperten der Bundeswehr an, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Landeskriminalamt sowie externe Dienstleister. Nach sechs Wochen ging die Kreisverwaltung Schritt für Schritt wieder online, zunächst die Kfz-Zulassung. Der Katastrophenalarm wurde nach 210 Tagen aufgehoben. Erst nach anderthalb Jahren herrschte wieder so etwas wie Normalität. Aber, sagt Rumpf: „Es ist eigentlich heute noch so, dass noch nicht alle Außenstellen wieder vollends in unser Netzwerk eingebunden sind. Also, nur um den Kollegen in NRW Mut zu machen...“
IT war ein „unnützer Kostenfaktor“
Es gibt wohl Unterschiede zwischen beiden Fällen, vielleicht kommt Südwestfalen (teils) glimpflicher davon. Laut SIT wurde der Angriff bereits nach einem Tag entdeckt, es gebe keine Hinweise, dass Daten abgeflossen seien.
In Köthen, erzählt Rumpf, gingen hingegen infolge des Hackerangriffs jede Menge E-Mails verloren. Die Umweltdatenbank auch. Von den Hackern ausgespähte Dokumente tauchten später teils im Darknet auf, ebenso einige Handynummern, Privatanschriften oder Bankverbindungen. Ob irgendwann noch mehr publik wird? Die Hackergruppe, die auch für den Angriff auf das Uni-Klinikum Düsseldorf oder die Funke Mediengruppe, zu der diese Zeitung gehört, verantwortlich gemacht wird, soll nicht mehr existieren. Aber wer weiß. Garantien gibt es nicht. Das gilt auch für den schrittweisen Wiederaufbau der IT, wie er wohl auch in Südwestfalen vorgenommen wird. Rumpf sagt, dass sie damals bei der Überprüfung von einigen Systemen einen Befall ausschließen konnten. Jedenfalls „zu 98 Prozent, 100 Prozent gibt es nie“. Eine andere wesentliche Erkenntnis: Sicherheit kostet Geld.
Heute seien sie 32 IT-Mitarbeiter (nicht mehr 15) und direkt dem Landrat unterstellt. Ihr Budget sei in den vergangenen beiden Jahren um 20 Prozent gewachsen, sagt Rumpf, Fachinformatiker für Systemintegration, dem die Krisenbewältigung trotz all des Stresses sogar Spaß gemacht habe. Als ITler konnten sich der 42-Jährige und seine Mitstreiter austoben. Vorher war ihr Stellenwert wohl begrenzt (Rumpf: „Die IT gilt gerade in der öffentlichen Verwaltung als unnützer Kostenfaktor.“). Durch den Angriff steigerte sich ihr Wert, auch Rumpf stieg auf, zum Fachbereichsleiter.
Allerdings: Zweieinhalb Jahre nach der Attacke habe das Bewusstsein, dass Sicherheit Geld koste, bei dem einen oder anderen schon wieder abgenommen, berichtet Rumpf.
Da kann der Hackerangriff auf Südwestfalen vielleicht als Warnung dienen.