Trojaner legt Landratsamt lahm: Behörde geht von Hackerangriff aus

Update Mi, 02.02.2022, 10:28 Uhr

Nach mehr als einem halben Jahr hat der Landkreis Anhalt-Bitterfeld den Katastrophenfall im Zusammenhang mit dem Cyberangriff aufgehoben. «Vieles bleibt noch zu tun. Dennoch sind wir jetzt auf einem guten Weg hin zur Normalität», sagte ein Sprecher des Landkreises am Mittwoch.

Anzeige

Landrat Andy Grabner (CDU) habe demnach mit Wirkung vom Montagnachmittag den Katastrophenmodus für beendet erklärt. Zuvor hatte die «Mitteldeutsche Zeitung» darüber berichtet.

Die neu aufgebauten IT-Strukturen stellen demnach die Arbeitsfähigkeit der Verwaltung in großen Teilen wieder her. Eine Gefährdungslage für die Öffentlichkeit durch massive Einschränkungen in Verwaltungsabläufen bestehe nicht mehr, so der Sprecher. Die weiteren Maßnahmen zur Stabilisierung und endgültigen Errichtung aller digitalen Strukturen rechtfertigten die Aufrechterhaltung eines Katastrophenfalls allerdings nicht weiter. Im Laufe des ersten Halbjahres soll die Struktur wieder vollständig hergestellt sein.

Infolge des Cyberangriffs auf die Kreisverwaltung wurde am 9. Juli 2021 der Katastrophenfall ausgerufen. Mehrere Server des Landkreises waren mit sogenannter Ransomware infiziert worden. Dabei werden Daten verschlüsselt. Nach der Zahlung eines Lösegelds sollten diese dann wieder freigegeben werden. Der Landkreis lehnte die Geldzahlung aber ab. Der Landkreis konnte daraufhin etliche Dienstleistungen nicht mehr erbringen.

dpa

 

Update Fr, 27.08.2021, 11:07 Uhr

Die Bundeswehr hat ihre Amtshilfe im Landkreis Anhalt-Bitterfeld nach einer Cyber-Attacke eingestellt. Für rund vier Wochen waren mehrere Soldaten des Organisationsbereiches Cyber- und Informationsraum zur Unterstützung des Katastrophenschutzstabes eingesetzt worden, erklärte die Pressestelle des Landeskommando Sachsen-Anhalt am Freitag. Sie sollten unter anderem die IT-Sicherheit der Kreisverwaltung wiederherstellen. 

Im Juli war der Kreis von einem Cyberangriff getroffen worden. Mehrere Server des Landkreises waren mit sogenannter Ransomware infiziert worden, bei der Daten verschlüsselt werden. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden. Der Landkreis konnte daraufhin etliche Dienstleistungen nicht mehr erbringen und rief den Katastrophenfall aus. Dieser gilt laut Kreisverwaltung bis heute.

dpa

 

Update Fr, 06.08.2021, 4:56 Uhr

Einen Monat ist der Cyberangriff auf Anhalt-Bitterfeld her. Seitdem gilt der Katastrophenmodus. Wann ist der Landkreis wieder voll handlungsfähig?

Einen Monat nach dem Cyberangriff auf die Kreisverwaltung von Anhalt-Bitterfeld macht der Landkreis kleine Schritte in Richtung Normalität. Die aus Sicht der Verwaltung prioritären Dienstleistungen und die Zahlungsfähigkeit seien zwar mittlerweile sichergestellt, sagte ein Sprecher. Bis alle Mitarbeiter mit einem neuen IT-System arbeiten könnten, würden aber mindestens noch vier bis fünf Wochen vergehen. Jeder einzelne Rechner müsse «platt gemacht werden» – dann müssten die Anwendungen wieder aufgespielt werden. Der Landkreis hat etwa 900 Mitarbeiter und den Angaben zufolge mehr als 1000 PCs und Laptops.

Seit Dienstag können in Köthen wieder Kraftfahrzeuge zugelassen werden, das funktioniert den Angaben zufolge allerdings nur dank einer Übergangslösung. In allen anderen Ämtern ist eine Zulassung daher nach wie vor nicht möglich. Weitere Bereiche wurden den Angaben zufolge ausgelagert. «Unser Gesundheitsamt ist beispielsweise in Dessau tätig», sagte der Sprecher.

Viele Dienstleistungen könnten mit einer Zwischenlösung aktuell nicht umgesetzt werden. «Es ist alles wichtig, aber wir müssen prioritär handeln. Und Priorität hat die neue Infrastruktur», so der Sprecher weiter.

Am 6. Juli waren Server des Landkreises aus zunächst unbekannter Quelle mit einer Schadsoftware infiziert worden. In der Folge wurden Dateien verschlüsselt. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden, der Landkreis lehnte jedoch eine Lösegeldzahlung ab. Am 9. Juli rief er den Katastrophenfall aus, um schneller auf die Situation reagieren zu können.

dpa

 

Update Di, 27.07.2021, 10:03 Uhr

Um nach dem Cyberangriff schneller arbeitsfähig zu werden, hat der Landkreis Anhalt-Bitterfeld um Hilfe durch die Bundeswehr gebeten.

Dabei geht es um die Unterstützung bei der Forensik und dem Wiederaufbau der technischen Infrastruktur. Jeder der 900 Computer der Mitarbeiter müsse den Sicherheitsvorkehrungen entsprechen, sagt ein Sprecher des Landkreises am Dienstag. Mit den IT-Mitarbeitern der Kreisverwaltung sei das zeitnah nicht zu stemmen. «Da wir das ja schnell wollen, haben wir diesen Hilfsantrag gestellt.»

Am Montag hatte der Landkreis mitgeteilt, dass ein Hilfeersuchen an die Bundeswehr gestellt wurde. Eine Rückmeldung seitens der Bundeswehr gab es zunächst nicht. Der Sprecher rechnet aber mit einer Antwort innerhalb weniger Tage.

Am 6. Juli wurde bekannt, dass mehrere Server des Landkreises bei einem Cyberangriff mit sogenannter Ransomware infiziert wurden, bei dem Daten verschlüsselt werden. Die Quelle der Infektion war zunächst unklar. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden, der Landkreis lehnte jedoch eine Lösegeldzahlung ab.

Seit vergangener Woche ist der Landkreis dank der Notinfrastruktur wieder eingeschränkt arbeitsfähig und per E-Mail erreichbar. Einige Dienstleistungen können – zum Teil extern – wieder erbracht werden. Das betrifft den Angaben zufolge etwa die Bereiche Vormundschaft, Betreuungsbehörde, Wohngeld, Eingliederungshilfe, Hilfe zur Pflege, Blindenhilfe, BaföG und Vergaben. Eine Kfz-Zulassung ist nach wie vor nicht möglich.

dpa

 

Update Fr, 23.07.2021, 4:56 Uhr

Seit zwei Wochen gilt im Landkreis Anhalt-Bitterfeld der Katastrophenfall – der erste bundesweit wegen eines Cyberangriffs. Dem Landkreis hat der Status geholfen.

Eine einfache Entscheidung war das Ausrufen des Katastrophenfalls in Anhalt-Bitterfeld vor zwei Wochen nach Angaben des Landrats nicht – am Ende hat der Status die Arbeit aber enorm erleichtert. «Es war die einzig richtige Entscheidung, die wir damals gemeinsam treffen konnten», sagte Landrat Andy Grabner (CDU) der Deutschen Presse-Agentur. Der Status habe dem Landkreis ermöglicht, weitreichende Entscheidungen selber zu treffen. Gleichzeitig sei dadurch umfassende Hilfe etwa durch das Finanzministerium, externe Dienstleister und das Bundesamt für Sicherheit in der Informationstechnik (BSI) möglich geworden.

Bevor der Katastrophenfall ausgerufen wurde, sei man lange skeptisch gewesen, sagte Grabner. «Wir haben lange hin und her überlegt.» Sein Vorgänger Uwe Schulze (CDU) hatte am 9. Juli den Katastrophenfall ausgerufen – bundesweit das erste Mal wegen eines Cyberangriffs. Grabner war eigenen Angaben zufolge da schon in alle Entscheidungen eingebunden. Am Montag drauf übernahm er im Katastrophen-Modus.

Auch für die Aufhebung des Katastrophen-Modus ist der Landrat zuständig. Wann es so weit sein werde, sei noch nicht absehbar, sagte der CDU-Mann. «Wir sind eigentlich auch nach zwei Wochen immer noch in der Anfangsphase.» Die Forensiker seien noch dabei, die Datenbestände zu kontrollieren, zu scannen und versuchten die Schadsoftware unschädlich zu machen. Gleichzeitig werde weiterhin sukzessive ein Notnetz aufgebaut. Als dritte Komponente werde auch schon an der Struktur des neuen Netzes gebaut.

Am 6. Juli wurde bekannt, dass mehrere Server des Landkreises bei einem Cyberangriff mit sogenannter Ransomware infiziert wurden, bei dem Daten verschlüsselt werden. Die Quelle der Infektion war zunächst unklar. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden, der Landkreis lehnte jedoch eine Lösegeldzahlung ab. Zwischenzeitlich war der Landkreis nur telefonisch und per Fax erreichbar.

Seit Montag ist der Landkreis dank der Notinfrastruktur auch wieder per E-Mail erreichbar. «Aber die Fachanwendungen beispielsweise laufen nach wie vor nicht», sagte Grabner. Auch die Kfz-Zulassung sei noch nicht möglich. Derzeit werde intensiv an einem Zeitplan zur Wiederaufnahme der Bürgerdienste gearbeitet. Zahlungen wie Sozialleistungen sind nach Angaben des Landkreises auf Basis der Vormonatszahlungen sichergestellt.

dpa

 

Update Mo, 19.07.21, 15:15 Uhr

Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt ist knapp zwei Wochen nach dem Cyberangriff auf seine Computersysteme wieder elektronisch erreichbar.

Bürgerinnen und Bürger sowie Unternehmen könnten die einzelnen Ämter ab sofort wieder per E-Mail kontaktieren, sagte ein Sprecher am Montag der Deutschen Presse-Agentur. Die Vorbereitungsarbeiten für die Notinfrastruktur waren am Wochenende abgeschlossen worden. Nach dem Angriff waren die Behörden bislang nur telefonisch und per Fax erreichbar.

Am 6. Juli waren Server des Landkreises aus bislang unbekannter Quelle mit einer Schadsoftware infiziert worden. In der Folge wurden Dateien verschlüsselt. Nach einer Geldzahlung sollten sie wieder freigegeben werden, der Landkreis lehnte dies jedoch ab. Schon am
9. Juli rief er den Katastrophenfall aus, um schneller auf die Situation reagieren zu können. Experten etwa von Landes- und Bundesbehörden arbeiten seither daran, die Kommune wieder arbeitsfähig zu machen. Parallel läuft ein Ermittlungsverfahren, um die Täter zu finden.

Auch das parlamentarische Kontrollgremium im Magdeburger Landtag wollte sich am Montag mit dem aktuellen Cyberangriff beschäftigt. Zu den Inhalten der Sitzung vereinbarten die Beteiligten eigenen Angaben zufolge absolutes Stillschweigen. Vergangene Woche hatte die Linke eine Sondersitzung des Gremiums zu der aktuellen Attacke gefordert und einen entsprechenden Antrag eingereicht.

dpa

 

Update Mo, 19.07.21, 07:24 Uhr

Knapp zwei Wochen nach dem Cyberangriff auf den Landkreis Anhalt-Bitterfeld soll die Notinfrastruktur der Kreisverwaltung im Lauf des Montags einsatzbereit sein.

«Das bedeutet, dass die einzelnen Fachbereiche dann wieder in der Lage sind, auf elektronischem Weg zu arbeiten. Dazu gehört auch die Kommunikation per Mail», teilte ein Sprecher am Sonntag mit. Die Vorbereitungsarbeiten seien am Wochenende abgeschlossen worden. In einem nächsten Schritt sollten einzelne Fachanwendungen wie die Kfz-Zulassung und Elterngeld wieder funktionieren.

Mehrere Server des Landkreises waren am 6. Juli bei einem Cyberangriff mit sogenannter Ransomware infiziert worden, bei der Daten verschlüsselt werden. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden. Der Landkreis Anhalt-Bitterfeld hatte eine Lösegeldzahlung aber abgelehnt. Er rief am 9. Juli den Katastrophenfall aus. Experten arbeiten seither daran, den Landkreis wieder arbeitsfähig zu machen. Landes- und Bundesbehörden sind beteiligt. Parallel läuft ein Ermittlungsverfahren, um die Täter zu finden.

dpa

 

Update Fr, 16.07.2021, 6:28 Uhr

In Anhalt-Bitterfeld werden Spuren gesichert und Hinweise auf die Ursachen des Cyberangriffs gesammelt. Die genauen Hintergründe sind zwar noch unklar. Viele Details sind aber typisch.

Bei der Analyse des Cyberangriffs auf den Landkreis Anhalt-Bitterfeld arbeiten die Forensiker noch auf Hochtouren. Digitale Spuren werden gesichert, Hinweise auf die Täter gesammelt. Bis es gesicherte Erkenntnisse gibt, kann es laut Landeskriminalamt noch dauern. Vergangene Woche hatte ein Schadprogramm die Systeme infiltriert und auf Eis gelegt. Um schnell Hilfe zu bekommen, wurde sogar der Katastrophenfall ausgerufen.

Der Landkreis redet mittlerweile von einer Sicherheitslücke. Eine Schwachstelle im Druckersystem von Windows könnte im Zusammenhang mit einer erfolgreichen Phishing-Attacke eine Erklärung sein – muss es aber nicht. Windows hatte davor Anfang Juli gewarnt und letzte Woche Updates zur Verfügung gestellt. 

Die eine Ursache gibt es aus Sicht von Manuel Atug vom Chaos Computer Club aber sowieso nicht. Probleme mit sogenannter Ransomware und auch die Defizite in den Systemen seien nicht über Nacht entstanden, sagte der IT-Sicherheitsexperte der Deutschen Presse-Agentur. Das sei ein langjähriger, fast schon jahrzehntelanger Prozess. Viele Kommunen würden mit alter Soft- und Hardware arbeiten, die seit Jahren nicht mehr geupdatet worden seien.

Die Server des Landkreises waren vergangene Woche mit Ransomware infiziert worden. Das sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Nach einer Geldzahlung sollen die Daten dann üblicherweise wieder freigegeben werden. Eine Garantie, dass nach Zahlung der Erpressungssumme wieder Zugriff auf die Daten besteht, gibt es allerdings nicht.

Vor wenigen Tagen sind laut Chaos Computer Club 200 Megabyte der Daten aus Anhalt-Bitterfeld in einem Forum veröffentlicht worden. Für Manuel Atug spricht vieles dafür, dass es sich dabei um eine Reaktion auf die Absage einer Lösegeldzahlung handelt. Atug vermutet, dass es vertrauliche Daten sind. All das, der ganze Verlauf, sei recht typisch.

Hinter diesen Angriffen stecken meist Ransomware-Banden. «Das sind hochkriminelle Bandenstrukturen und nicht irgendwie so Gelegenheitsdiebe oder Hacker», sagte Atug weiter. In der Regel würden sie zuvor ihre Ziele auskundschaften und prüfen, ob und wie sie Daten verschlüsseln. Ob das auch in Anhalt-Bitterfeld so war, wird sich noch zeigen.

Es gebe etliche Sicherheitslücken in kommunalen Systemen, die mit schlechter IT-Sicherheit betrieben würden, sagte Atug. Das sei aber auch in allen anderen Branchen der Fall. Unternehmen und Behörden sollten aus seiner Sicht deshalb aktiv und überall IT-Sicherheit integrieren. Außerdem sei eine offene Fehlerkultur wichtig, damit das auch mit allen Mitarbeiterinnen und Mitarbeitern gemeinsam realisiert werden könne.

Eine hundertprozentige Sicherheit gibt es aber auch mit viel Prävention nie. «Das ist wie bei einem Airbag oder einer Bremse. Normalerweise funktionieren die in ganz seltenen Ausnahmefällen halt nicht», sagte Atug. «Auch die Bremse funktioniert in Kombination mit einem Airbag und einem Gurt besser als ohne.» Mit der richtigen Kombination aus Maßnahmen könne die Sicherheit so hoch werden, dass das Restrisiko, was übrig bleibt, vertretbar oder akzeptabel sei.

dpa

 

Update, 14.07.21, 10:51 Uhr

Der Landkreis Anhalt-Bitterfeld will nach dem Hackerangriff auf die Computersysteme kein Lösegeld zahlen.

Das sagte Landrat Andy Grabner (CDU) am Mittwoch der Deutschen Presse-Agentur. Ähnlich hatte er sich zuvor im MDR geäußert: «Es wird keine Forderung beglichen. Wir werden uns als öffentliche Hand nicht erpressbar machen.» Die genaue Höhe des verlangten Betrags war zunächst unklar. Nach Angaben des Landeskriminalamts haben solche Lösegeldforderungen üblicherweise eine sechs- oder siebenstelliger Höhe.

Mehrere Server des Landkreises waren bei einem Cyberangriff vergangene Woche den Angaben zufolge mit sogenannter Ransomware infiziert worden, bei dem Daten verschlüsselt werden. Die Quelle der Infektion war zunächst unklar. Nach einer Geldzahlung soltlen die Daten wieder freigegeben werden. Eine Garantie, dass nach Zahlung der Erpressungssumme wieder Zugriff auf die Daten besteht, gibt es allerdings nicht.

dpa

 

Update, 13.07.21, 10:39 Uhr

Die Angreifer auf die Computersysteme der Landkreisverwaltung Anhalt-Bitterfeld haben nach Angaben des Landeskriminalamts ein Lösegeld gefordert.

Das sagte ein LKA-Sprecher am Dienstag in Magdeburg der Deutschen Presse-Agentur. Zuvor hatten verschiedene Medien über mögliche Forderungen berichtet. Zur genauen Höhe des verlangten Betrags machte der Sprecher keine Angaben. Nicht selten seien solche Lösegeldforderungen allerdings in sechs- oder siebenstelliger Höhe, so der Sprecher weiter.

Bei dem Cyberangriff vergangene Woche waren mehrere Server des Landkreises den Angaben zufolge mit sogenannter Ransomware infiziert worden, bei dem Daten verschlüsselt werden. Die Quelle der Infektion war zunächst unklar. Bei Ransomware sollen die Daten üblicherweise nach einer Geldzahlung wieder freigegeben werden. Eine Garantie, dass nach Zahlung der Erpressungssumme wieder Zugriff auf die Daten besteht, gibt es allerdings nicht.

In Anhalt-Bitterfeld wurden nach dem Angriff alle kritischen Systeme vom Netz getrennt, um einen weiteren Datenabfluss zu verhindern. Der Landkreis hatte daraufhin am Freitag den Katastrophenfall ausgerufen. Seit dem Wochenende arbeiten nach Spezialisten und Experten aus Bundes- und Landesbehörden an der Analyse, der Identifikation und der Bekämpfung des Virus.

dpa

 

Update 09.07.21, 10:45 Uhr

Das Landratsamt Anhalt-Bitterfeld ist nach einer Cyberattacke weiter massiv gehandicapt. «Wir sind nicht in der Lage, Dienstleistungen anzubieten», sagte ein Sprecher am Freitag. Das werde noch die komplette kommende Woche so bleiben.

Die Auswirkungen des schweren Angriffs ließen sich nicht schnell beheben. Es werde nach Lösungen gesucht – auch am Wochenende. Mit Bürgerinnen und Bürgern vereinbarte Termine für Dienstleistungen könnten vorerst nicht eingehalten werden, der Landkreis sei auch nicht in der Lage, neue Termine zu vergeben.

Das Landratsamt ist nach eigenen Angaben Ziel eines Hackerangriffs geworden. Es seien Daten und Programme verschlüsselt und die Technik im Amt damit lahmgelegt worden. Das Landratsamt kann deshalb vorerst keine Dienstleistungen für die Bürger erbringen, etwa bei der Autozulassung. Betroffen sind den Angaben zufolge die Standorte Köthen, Zerbst und Bitterfeld, insgesamt etwa 800 Mitarbeiter. Experten des Landeskriminalamts und der Polizeiinspektion Dessau-Roßlau ermitteln in dem Fall.

dpa

08.07.21, 07:51 Uhr

Das Landratsamt Anhalt-Bitterfeld ist nach eigenen Angaben wohl Ziel eines Hackerangriffs geworden. Nicht betroffen sei die Einsatzleitstelle für Rettungsdienste und Feuerwehr

Es handele sich nach ersten Erkenntnissen um einen unbekannten Trojaner, der alle Daten und Programme verschlüsselt und die Technik im Landratsamt damit lahmgelegt habe, sagte ein Sprecher der Behörde am Mittwoch und bestätigte damit Medienberichte. «Beim Hochfahren der Computer am Dienstagmorgen ging nichts mehr, wir haben keinen Zugriff mehr.»

Das Landratsamt kann dem Sprecher zufolge mangels Technik vorerst keine Dienstleistungen für die Bürger erbringen, etwa bei der Autozulassung. Betroffen seien die Standorte Köthen, Zerbst und Bitterfeld, insgesamt etwa 800 Mitarbeiter. Die Kreisverwaltung mit ihren Standorten sei vorerst bis Freitag geschlossen. Unklar sei momentan, wann der Schaden behoben sein wird. Mit Hilfe von Experten soll herausgefunden werden, was sich hinter dem Trojaner verbirgt und welche Folgen der Technikausfall hat.

dpa

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.