Eine halbe Million kann man besser investieren

Anhalt-Bitterfeld ist kein Einzelfall. Immer wieder kommt es auch in der öffentlichen Verwaltung zu Sicherheitsvorfällen. Im März 2022 gibt es einen Angriff auf die Stadtverwaltung Suhl, die Stadtverwaltung ist daraufhin vorerst "nur sehr eingeschränkt arbeitsfähig". Im Mai 2022 informiert die Stadt Schriesheim ihre Bürger über einen Abfluss von Daten. 170 Gigabyte sollen die Angreifer erbeutet haben, so das Innenministerium.

Im Landkreis Anhalt-Bitterfeld war der Vorfall "ein Katalysator für die Implementierung von Sicherheitsmaßnahmen, die längst hätten umgesetzt werden müssen – wenn man sich in Haushaltsdiskussionen hätte durchsetzen können", sagt Griebsch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, 20 Prozent des IT-Budgets für Security aufzuwenden. Das sei aber nicht so einfach, wenn das IT-Budget ohnehin schon klein ist.

Umso mehr sollte man auf den Ernstfall vorbereitet sein. Nach Hinzuziehen der Landespolizei "war die IT-Abteilung natürlich damit beschäftigt, sich deren Informationsbedarf zu stellen. Das bedeutet aber auch, dass die eigentliche Arbeit erstmal zurückgestellt wird." Griebsch empfiehlt daher umso mehr, alle notwendigen Informationen, die im Falle des Falles benötigt werden, bereits im Vorfeld parat zu haben.

Und: Man sollte kein Ransomware-Lösegeld bezahlen. Experten raten immer wieder davon ab, den Forderungen der Erpresser nachzukommen. Jede Zahlung halte das Geschäftsmodell der Angreifer am Laufen, mahnen IT-Sicherheitsforscher. "Also, mal abgesehen davon, dass man Investitionen in den Neuaufbau ja ohnehin tätigen muss", ergänzt Griebsch. "Da kann man die 500.000 Euro auch besser investieren." Diese Erkenntnis scheint sich langsam durchzusetzen: 2022 zahlten weniger Unternehmen die geforderten Lösegelder.

"Im Endeffekt wird damit der nächste Angriff bezahlt", sagt Griebsch. "Das ist nicht zielführend. Der Angreifer ist ja dennoch im System und hat sich Hintertüren eingebaut."

Nach der Krise ist vor der Krise

Im Februar 2022 wird der Katastrophenfall offiziell aufgehoben. Wer in der Verwaltung die katastrophale Kettenreaktion mit einem einzigen Klick ausgelöst hat, ist für Sabine Griebsch unerheblich. "Ich bin der Ansicht, dass der Mensch nicht schuld ist", sagt sie. "Es kann nicht sein, dass ein Klick hunderttausende Euro für aktive Sicherheitssystemen ad absurdum führt."

Auf Seiten der Angreifer ist die Schuldfrage mittlerweile geklärt. Im März 2023 wird Haftbefehl gegen drei Verdächtige erlassen, die neben Angriffen auf das Universitätsklinikum Düsseldorf und die Funke-Mediengruppe auch für den Vorfall in Anhalt-Bitterfeld verantwortlich sein sollen.

Für Sabine Griebsch geht es nach dem Katastrophenfall direkt mit der nächsten Krise weiter. "Ich dachte, ich würde meine Arbeit an die Nachfolgerin übergeben und dann zwei Wochen Urlaub machen", erzählt sie – bis sie drei Tage später ein Anruf von der Landeshauptstadt Potsdam erhält. Denn kurz vor dem Jahreswechsel wird auch deren Verwaltung erneut durch einen Cyberangriff lahmgelegt – schon zum zweiten Mal in drei Jahren.