Ganz Deutschland ist vom Corona-Virus befallen. Ganz Deutschland? Nein. Aus einem Gebiet im Norden der Republik werden keine neuen Corona-Fälle gemeldet. Während fast alle Landkreise inzwischen wieder gelb bis tiefrot eingefärbt sind und Inzidenzen zwischen 50 und über 600 aufweisen, hat ein Landkreis eine weiße Weste. Seit Mitte Oktober meldet Ludwigslust-Parchim in Mecklenburg-Vorpommern laut den Daten des Robert-Koch-Instituts (RKI) null Neuinfektionen und einen Inzidenzwert von 0,0. Das liegt aber an einem anderen Virus - einem digitalen.
Foto: RKI
Am Morgen des 15. Oktober wurde der IT-Dienstleister SIS/KSM, der die IT-Systeme der Verwaltung in Schwerin, der Landeshauptstadt von Mecklenburg-Vorpommern, und in angrenzenden Landkreisen - darunter Ludwigslust-Parchim - betreut, von bis dato unbekannten Hackern mit einer Verschlüsselungssoftware attackiert. Der Angriff war erfolgreich und legte innerhalb kürzester Zeit die gesamte Stadtverwaltung von Schwerin lahm. Bürgerservices waren nicht mehr erreichbar. Was in Schwerin passierte, lesen Sie hier.
Bis der Verwaltungsbetrieb wieder reibungslos funktioniert, dürfte es noch dauern. Zwar laufen erste Server-Systeme wieder, doch Matthias Effenberger, Geschäftsführer des von der Attacke betroffenen Behörden-IT-Dienstleisters SIS/KSM, verweist auf die komplexen Abhängigkeiten und Schnittstellen zwischen den einzelnen Fachverfahren. Zudem müssten insgesamt über 4000 Endgeräte forensisch darauf untersucht werden, ob eine Kontamination mit Malware vorliege.
Hacker hatten Windows-Server im Visier
Effenberger bestätigte, "dass eine softwaregesteuerte Verschlüsselung von einzelnen Servern stattgefunden hat und hierbei insbesondere Windows-Server angesteuert wurden". Ursache sei allerdings kein Trojaner-Befall gewesen, um andere Schadprogramme nachzuladen und auf den Servern und Computern zu installieren. Vielmehr sei eine legale Verschlüsselungssoftware zum Einsatz gekommen, die Unternehmen auch im normalen Geschäftsbetrieb verwenden.
Foto: SIS/KSM
"Spezielle Schadsoftware, die eigenständig Daten verschlüsselt und sich weiter ausbreitet, wurde zum jetzigen Zeitpunkt nicht identifiziert", sagte der Manager Anfang November. Von Spekulationen, Hacker hätten die Malware "Mimikatz" eingesetzt, distanzierte er sich. Allerdings dauerten die forensischen Untersuchungen zum Tathergang noch an. Damit bleibt offen, wie die Cyber-Kriminellen die Sicherheitsmechanismen umgehen konnten. Mimikatz ist ein wirkungsvolles Werkzeug, um Passwörter abzugreifen und Windows-Systeme zu attackieren - wie das geht, lesen Sie hier.
Marathon bis zum Normalbetrieb
Der SIS/KSM-Geschäftsführer geht davon aus, dass sämtliche Datenbestände als Backup verfügbar sind und zur Wiederherstellung der Systeme verwendet werden können. Allerdings müssten auch diese Backups zunächst forensisch untersucht werden. Wie lange das dauert, ist unklar. Effenberger spricht von einem Marathon. "Ein Übergang in den Normalbetrieb wird es wohl erst im kommenden Jahr geben, und es werden sicherlich auch einige Nacharbeiten erforderlich werden."
Den Vorwurf, dass an der Sicherheit gespart worden sei, will der Manager indes nicht gelten lassen. "Wir haben jedes Jahr viel Geld in unsere IT-Systeme und entsprechende Schutzmechanismen investiert." Auch die für derartige Situationen vorbereiteten Notfallpläne hätten funktioniert. Der Krisenstab sei innerhalb von nur wenigen Stunden arbeitsfähig gewesen. Die unverzüglich eingeleiteten Sofortmaßnahmen hätten ein weiteres Ausbreiten des Schadens verhindert.
IT-Sicherheit ist ein Wettlauf geworden
Grundsätzlich könne es eine 100-prozentige Sicherheit nicht geben, sagt Effenberger. Kriminelle Angreifer würden weiter versuchen, bestehende Schutzmechanismen zu umgehen. "IT-Sicherheit ist zu einer Art Wettlauf geworden." Welche Schäden der aktuelle Angriff verursacht hat und wer dahintersteckt, müssten die Ermittlungen ergeben. Der Manager will nicht ausschließen, dass die Hacker auch personenbezogene Daten erbeutet haben. Konkrete Erkenntnisse dazu gebe es bislang jedoch nicht. Effenberger verweist auf die Staatsanwaltschaft, die detaillierte Untersuchungen vornehme. "Ermittelt wird gegen Unbekannt wegen Computersabotage."
Vorerst sind die IT-Systeme der Verwaltung nur eingeschränkt nutzbar. Das gilt auch in Sachen Corona-Daten. Zwar kann der Landkreis auf seinen Web-Seiten über die aktuelle Situation informieren, die Vernetzung in angeschlossene Systeme wie beispielsweise zum RKI ist jedoch abgeschnitten. "Aufgrund der aktuellen Situation nach einem IT-Angriff können zurzeit nur in den Bereichen "7-Tage-Inzidenz Hospitalisierung", "Neuinfektionen", "Bestätigte Fälle gesamt" sowie "stationäre Patienten / davon ITS" Aktualisierungen vorgenommen werden", heißt es auf der Seite. "Wir bitten um Verständnis."