Nach Ransomware-Katastrophe: Rebuilding Landkreis Anhalt-Bitterfeld

Am 6. Juli um 6:45 Uhr fuhr ein Mitarbeiter im Amt für Brandkatastrophenschutz und Rettungsdienst seinen Rechner hoch und wurde von dieser Nachricht begrüßt: "Landkreis Anhalt-Bitterfeld, you are fucked. Do not touch anything." Eine Ransomware hatte den Landkreis lahmgelegt und zu einem Katastrophenfall geführt.

Von dem Fall und dem bis heute andauernden Wiederaufbau berichteten auf dem Hackerkongress rC3 Sabine Griebsch, Chief Digital Officer (CDO) im betroffenen Landkreis, sowie Manuel Atug, Teil der AG-Kritis und des Chaos Computer Clubs (CCC). Während Griebsch als technische Einsatzleitung direkt am Wiederaufbau der Infrastruktur beteiligt ist, begleitete Atug diesen als Externer in einem Expertengremium.

"Wir gehen davon aus, dass die Angreifer schon zu Beginn des Jahres [in unseren Systemen] waren", erklärte Griebsch. Am 5. Juli seien Powershellbefehle ausgeführt worden, um Backdoors zu installieren. Die Rechner wurden dann in den frühen Morgenstunden des 6. Juli verschlüsselt. Die Verschlüsselung lief laut Griebsch sehr schnell und wurde vermutlich von Hand ausgeführt. Bemerkt und gemeldet wurde der Ransomwarebefall dann von besagtem Mitarbeiter. Anschließend wurden die Rechner heruntergefahren.

Katastrophenfall ausgerufen

Die IT sei mit gelöschten Logs und verschlüsselten Daten konfrontiert gewesen. Entsprechend schwierig sei es, den Angriff nachzuvollziehen, erklärt Griebsch. "Wir mussten davon ausgehen, dass das komplette System kompromittiert war." Daher musste die IT-Infrastruktur von Grund auf neu aufgebaut werden.

Normalerweise müssen Behörden solche Aufträge ausschreiben. Das Vergabeverfahren dauert, während die Verwaltung essentielle Dienste nicht mehr erbringen kann. So sei das Sozialamt beispielsweise für die Feststellung und Auszahlung von Sozialhilfe oder Altengeld zuständig. Das Jugendamt hat einen Schutzauftrag bei Kindeswohlgefährdung, aber sei auch für die Klärung von Unterhaltsfragen verantwortlich. Ähnliches gelte für die Fahrzeugzulassung oder Führerscheinausgabe sowie das Gesundheitsamt während einer Pandemie.

Am 9. Juli rief der Landkreis daher den Katastrophenfall aus. "Eine Erklärung oder Nicht-Erklärung des Katastrophenfalls kann weitreichende Konsequenzen für eine Verwaltung haben", sagte Griebsch. Es gehe beispielsweise um Schadensersatzforderungen wenn Autos nicht zugelassen oder Termine nicht vergeben werden konnten.

Der Katastrophenfall kann aber auch beim Wiederaufbau helfen: Durch ihn war der Landkreis nicht an das strenge Vergaberecht gebunden und konnte schnell neue Hardware anschaffen. Auch Hilfe von anderen Behörden bis zur Bundeswehr konnte in Anspruch genommen werden. So wurde innerhalb von drei Wochen ein Notnetz aufgebaut.