Hacker verschlüsseln Daten Mehr als 100 Behörden erpresst
Laut einer Umfrage von BR und "Zeit Online" ist es Tätern in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat über die Fälle keinen Überblick.
Von Maximilian Zierer und Hakan Tanriverdi, BR
Als die Hacker kamen, sah Ernst Walter nur noch "Buchstabensalat". So erzählt es der geschäftsführende Beamte der kleinen Gemeinde Kammeltal im Landkreis Günzburg. Anfang April hatten Hacker Server verschlüsselt und wollten die Gemeinde offenbar erpressen. Daten gegen Geld. Die Gemeinde erstattete Anzeige bei der örtlichen Polizei, nach 45 Minuten war die Kriminalpolizei im Rathaus. Doch die konnte wenig ausrichten, bis heute hat die Gemeinde keinen Zugriff auf viele Daten. Sie arbeitet mit einem Backup.
Ransomware nennt man die Schadprogramme, die Kriminelle bei dieser Form der digitalen Erpressung einsetzen. Meistens werden sie über E-Mails verbreitet. Weltweit fließen Lösegelder in Millionenhöhe. Das Bundeskriminalamt (BKA) nennt Ransomware "die Bedrohung" für Unternehmen und öffentliche Einrichtungen. So steht es im jährlichen Bundeslagebild Cybercrime des BKA.
Trotzdem gibt es deutschlandweit bislang keinen genauen Überblick, wie stark die öffentliche Verwaltung von diesen Angriffen betroffen ist. Auch die Bundesregierung hat keine Kenntnis über die Zahl der Fälle, wie das Bundesinnenministerium auf Anfrage bestätigt. Eine generelle Meldepflicht für Ransomware-Angriffe gibt es bislang nicht. Recherchen von BR und "Zeit Online" geben jetzt einen Eindruck von der Dimension des Problems.
In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Das geht aus einer Umfrage von BR und "Zeit Online" unter den Innenministerien der Länder und des Bundes hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Länder wie Nordrhein-Westfalen, Berlin und Hessen machten keine konkreten Angaben.
Landtage, Ministerien und Kommunen betroffen
Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Dem Bundesinnenministerium ist außerdem ein Fall innerhalb der Bundesverwaltung bekannt geworden, bei dem es zu einer Verschlüsselung eines Servers gekommen ist. Immer wieder trifft es zudem Kommunalverwaltungen: Großstädte wie Frankfurt am Main, Städte wie Neustadt am Rübenberge in Niedersachsen oder auch kleine Gemeinden wie eben Kammeltal.
Auch die kommunalen Spitzenverbände haben keinen systematischen Überblick über die Zahl der Vorfälle. Der Deutsche Städte- und Gemeindebund sieht ein wachsendes Problem und fordert eine bessere Zusammenarbeit von Kommunen und Landesbehörden. "Es stellt sich die Frage, wie schnellstmöglich die notwendige Unterstützung zur Prävention von Ransomware-Angriffen in jede Kommune kommt", heißt es auf Anfrage von BR und "Zeit Online".
Domscheit-Berg fordert Aufklärungskampagne
Die Linkspartei-Abgeordnete Anke Domscheit-Berg kritisiert, die Bundesregierung habe keine klare Strategie gegen Ransomware-Angriffe. Sie fordert eine breit angelegte Aufklärungskampagne, um Behördenmitarbeiter für die Bedrohung zu sensibilisieren: "Auch ein einziger Angriff kann unfassbare Folgen haben und ganz viele Menschen auf einmal betreffen, wenn wir an kritische Infrastrukturen denken."
Zu kritischen Infrastrukturen zählen unter anderem Wasserwerke, große Krankenhäuser und die Lebensmittelindustrie. Sie müssen Hacker-Angriffe an den Bund melden. Kommunen und Landesverwaltungen müssen das bislang nicht. Grünen-Politiker Konstantin von Notz fordert deshalb eine Meldepflicht für Ransomware-Vorfälle: Informationen müssten gebündelt werden und ein Warnsystem implementiert werden. "All das gibt es so nicht. Und deswegen stehen wir so schlecht da", sagt von Notz im Interview mit BR und "Zeit Online".
Das Bundesinnenministerium teilt mit, "sofern Länder Behörden des Bundes über Ransomware-Vorfälle in ihrer Zuständigkeit informieren wollen, steht ihnen das frei". Die Länder träfen in eigener Zuständigkeit Maßnahmen zur Abwehr von Ransomware-Angriffen auf Behörden der Landes- und Kommunalebene.
Martin Schallbruch von der European School of Management and Technology Berlin spricht hingegen von einem "Flickenteppich" in den Ländern. Er fordert einheitliche Regeln für Länder und Kommunen und eine bessere Abstimmung zwischen Bund und Ländern.
Steuergelder für Erpresser
Tatsächlich sind die Angreifer mit ihren Erpressungsversuchen in manchen Fällen erfolgreich. Das bedeutet: Steuergelder fließen an Cyberkriminelle. So soll das Staatstheater Stuttgart im Jahr 2019 15.000 Euro bezahlt haben, wie lokale Medien berichteten. IT-Sicherheitsexperten und Strafverfolgungsbehörden raten davon ab, Hacker zu bezahlen, doch oft genug besteht die Alternative darin, die Daten zu verlieren.
Einen Überblick über erfolgreiche Erpressungen gibt es nicht. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Das Bundesinnenministerium teilt auf Anfrage mit, Lösegeldzahlungen öffentlicher Stellen seien nicht bekannt.
In Kammeltal hat man dem Erpressungsversuch nicht nachgegeben, auf Anraten der örtlichen Polizei. Jetzt habe man die IT-Sicherheit der kleinen Gemeinde verbessert.