Ransomware: Über 100 Behörden wurden bereits gehackt und erpresst

Bislang gibt es deutschlandweit keinen Überblick darüber, wie viele Behörden und andere staatliche Einrichtungen mit Ransomware befallen sind und waren. Nach einer Recherche des Bayerischen Rundfunks (BR) und Zeit Online soll es in den vergangenen sechs Jahren mindestens 100 Ransomware-Fälle bei Behörden, Kommunalverwaltungen und anderen öffentlichen Stellen gegeben haben.

Die Medien hatten bei den Innenministerien der Länder und des Bundes nachgefragt. Die Gesamtzahl könnte jedoch deutlich höher liegen, da Länder wie Nordrhein-Westfalen, Berlin und Hessen keine konkreten Angaben gemacht hatten. Auch die Bundesregierung hat keine Kenntnis über die Zahl der Fälle, wie das Bundesinnenministerium bestätigte. Eine Meldepflicht für Ransomware-Angriffe gibt es bisher nicht.

Dabei nennt das Bundeskriminalamt (BKA) in seinem Bundeslagebild Cybercrime Ransomware "weiterhin die Bedrohung für öffentliche Einrichtungen und Wirtschaftsunternehmen." Gleichzeitig mangelt es nicht an renommierten Betroffenen: Die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Landesministerien, Polizeidienststellen, Schulen, Universitäten, Stadtwerke und Krankenhäuser. Auch etliche Kommunen wurden bereits Opfer von Ransomware.

Steuergelder für Erpresser?

Unklar bleibt zudem, wie oft staatliche Einrichtungen das geforderte Lösegeld bezahlen. Wohlgemerkt mit Steuergeldern. Auf Anfrage von BR und Zeit Online lassen mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Fälle in den staatlichen Einrichtungen gab es jedoch schon. So soll das Staatstheater Stuttgart im Jahr 2019 15.000 Euro bezahlt haben.

Der Bundesregierung fehle es an einer klaren Strategie gegen Ransomware-Angriffe, kritisiert die Linkspartei-Abgeordnete Anke Domscheit-Berg. Behördenmitarbeiter müssten dringend in einer breit angelegten Aufklärungskampagne sensibilisiert werden. "Auch ein einziger Angriff kann unfassbare Folgen haben und ganz viele Menschen auf einmal betreffen, wenn wir an kritische Infrastrukturen denken." Darunter fallen beispielsweise Wasserwerke oder der öffentliche Nahverkehr, wenn bestimmte Schwellenwerte überschritten werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Im Unterschied zu Behörden müssen kritische Infrastrukturen solche Angriffe jedoch melden. Der Bundestagsabgeordnete Konstantin von Notz (Grüne) fordert eine solche Meldepflicht. Informationen müssten gebündelt und ein Warnsystem implementiert werden. "All das gibt es so nicht. Und deswegen stehen wir so schlecht da", sagte er dem BR und Zeit Online.