Der wehrlose Staat: Behörden scheinen Ransomware schutzlos ausgeliefert

https://blog.wdr.de/digitalistan/der-wehrlose-staat-behoerden-scheinen-ransomware-schutzlos-ausgeliefert/

Der wehrlose Staat: Behörden scheinen Ransomware schutzlos ausgeliefert

Kommentare zum Artikel: 9

Wir reden viel über Digitalisierung im Land – und viele beklagen sich, was alles noch nicht digital geht. Und die Liste der Unzulänglichkeiten ist wahrlich lang, wie wir alle nur zu gut wissen. Aber wie sieht es eigentlich in den Bereichen aus, in denen Bund, Länder und Kommunen bereits digital arbeiten?

Um gleich mal zu spoilern: In Behörden, öffentlichen Einrichtungen und Krankenhäusern sieht es schlimm aus. Richtig schlimm.

Behörden scheinen Ramsonware schutzlos ausgeliefert

Das belegen Recherchen vom Bayerischen Rundfunk und ZEIT. Die Redaktionen haben in den Bundesländern offiziell angefragt, wie häufig es zu Erpressungsversuchen mit Ramsonware gekommen ist. Ransomware – von “ransom” = Lösegeld – nutzt Sicherheitslücken in Systemen aus, dringt in die IT-Infrastruktur ein, verschlüsselt Server, Datenbanken und Daten – und macht die Nutzung der IT-Systeme so unmöglich. Die Cyberkriminelle fordern ein Lösegeld.

Laut Recherchen sind mindestens 100 Behörden und Einrichtungen in Deutschland in den letzten Monaten Opfer von Cyber-Erpressern geworden. Einige Einrichtungen haben sogar Lösegeld gezahlt, in der Hoffnung, dass die Kriminellen die Systeme wieder entschlüsseln und so die Daten wieder freigeben. Was keineswegs immer passiert, wenn Lösegeld gezahlt wird.

Aber halten wir fest: Es sind Steuergelder an Erpresser geflossen.

Pipeline, Hacker, Ransomware, Cyberkriminelle, Lösegeld, Ransomware, Ransom

Verantwortliche nehmen die Lage nicht ernst

Doch viele Bundesländer, darunter NRW, können nicht mal genaue Angaben machen, wie häufig öffentliche Systeme angegriffen wurden. Denn es gibt weder allgemeine Meldepflichten für Behörden und Einrichtungen, noch offizielle Statistiken. Und auch keine Leitlinien, wie in solchen Fällen vorgegangen werden muss.

Das ist – um es angesichts der Lage vorsichtig auszudrücken – eine Katastrophe.

Als ob niemand Zeitung liest, Radio hört und Fernsehen schaut – da wird schließlich praktisch täglich über Cyber-Angriffe und Cyber-Attacken berichtet: Die Verantwortlichen in Politik und Behörden verfahren eisern nach dem Sankt-Florian-Prinzip.

Heiliger Sankt Florian. Verschon’ mein Haus, zünd’ and’re an!

Die Verantwortlichen nehmen die Bedrohungslage nicht ernst. Angesichts der tatsächlichen Bedrohungslage ist das nicht weniger als ein Total-Versagen.

Verschlüsselung von Daten; Rechte: WDR/Schieb

Ransomware verschlüsselt Daten und verlangt Lösegeld

Es braucht gute Vorbereitungen

IT-Infrastruktur von Behörden muss optimal geschützt werden – nicht nur die im Bundestag. Da kümmern sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) darum, und die machen einen guten Job. Doch Behörden, Unikliniken, Kultureinrichtungen werden mit der Bedrohung völlig allein gelassen.

Es braucht viel besseren Schutz. Es braucht Schulungen, nicht nur bei IT-Kräften, sondern bei allen. Es gibt Feuerübungen – warum gibt es keine Cyber-Angriff-Übungen? Das ist nicht als Spaß gemeint: Das Risiko, dass eine Behörde oder Einrichtung Opfer von Cyber-Angriffen wird, ist um ein Vielfaches höher, als dass sie ein Feuer heimsucht. Aber es wird nichts unternommen.

Es betrifft uns alle. Es sind unsere Daten. Es ist unsere Infrastruktur. Der Druck nimmt zu – und niemand unternimmt etwas. Es ist zum Verzweifeln.

Kommentar: Es herrscht das Sankt-Florian-Prinzip

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

9 Kommentare

  1. Ransomware wird m.W.n. aktiv auf dem System aufgespielt und betrifft i.d.R. Windows-Systeme!
    Kein Windows – nein, auch nicht das niegelnagelneue Win11! = keine Ransomware!
    Klingt simpel, ist es auch! Open Source-Software und ein gewissenhafter Umgang mit Web und EMail, dass ist der Schlüssel!
    Ich selbst bin seit 2013 sogar ohne Viren-Scanner im Netz unterwegs, inkl. Online-Banking etc.
    Irgendwelche Probs? Genau Null!
    Jeglicher Ausfall von Uni-, Behörden-, Krankenhaus- & Firmen-Netzwerken ist bisher auf Windows-basierenden Systemen passiert!
    Mein Tipp: Könnte an der Software liegen…

  2. Ein IT-System:

    Das IT-System wird über Gebühr komplex entwickelt, da die Interessensgruppen auch noch jeden letzten Wunsch irgendwie verwirklicht sehen wollen.
    Die für die Entwicklung beauftragten IT-Experten toben sich aus und verwenden nicht erprobte wartungsarme Komponenten für das IT-System, sondern es wird immer dem letzten Hype aus der IT-Szene hinterhergelaufen.
    Das IT-System verspätet sich zusehends und ist immer noch nicht ganz fertig als es in Betrieb genommen wird.
    Schulungen finden nur sporadisch statt, da die Mitarbeiter anderweitig gebunden sind.
    Die Mitarbeiter haben keine Lust sich in das IT-System einzuarbeiten, das Verfahren mit echtem Papier hat doch so schön funktioniert, die überbordende Komplexität ist ein zusätzlicher Hemmfaktor.
    In den ersten Monaten gibt es noch beständig Änderungen und Fehlfunktionen das IT-System war ja noch nicht wirklich fertig. Die Frustration steigt allerortens die Aktzeptanz und das Bemühen sinken.
    Ein Wartungsvertrag wird mit einem externen Dienstleister abgeschlossen. Dieser hat eigentlich eh schon zuwenig Mitarbeiter, die Fluktuation ist hoch und das Auftragsvolumen sehr gering.
    Resultat, das IT-System lebt von Tag 1 an von seiner Substanz, veraltet wird unzureichend Dokumentiert und gepflegt.
    Schon nach wenigen Jahren kennt sich keiner mehr wirklich in dem IT-System aus, man ist froh das es noch irgendwie läuft.
    Eine echte Weiterentwicklung des IT-Systems ist nicht mehr möglich. Es wird beschlossen alles von Grund auf neu zu entwickeln.
    Gehe zurück zum Anfang diesen Kommentars.

    Wundert es jemand das Behörden, aber auch andere, ständig in ein Problem nach dem anderen hineinlaufen ?

    • Zustimmung mit dem „Austoben“ der IT-Experten. Auf der anderen Seite gibt es naiv überzogene Erwartungen ohne an die Risiken zu denken und so schaukelt sich das hoch.
      Homeoffice – einfach mal machen – diese spezielle Weltoffenheit ist Traum für Hacker und Spione aus aller Welt, Alptraum für Datenschützer, Arbeitsbeschaffungsmaßnahme für Psychiatrie und Orthopädie.

  3. Beate Göbel am

    Für wen sind denn dann die Hinweise des BSI gedacht? Insbesondere auch die Kritis-Zertifizierungen.
    “Als Cyber-Sicherheitsbehörde des Bundes unterstützt das BSI Behörden und andere Institutionen der öffentlichen Verwaltung in Bund, Ländern und Kommunen dabei, die Digitalisierung sicher zu gestalten. ” BSI
    Aha, und nun? Alles nur Popanz?

  4. “Denn es gibt weder allgemeine Meldepflichten für Behörden und Einrichtungen, noch offizielle Statistiken.”
    Hmh, da war doch mal was! Z.B. Artikel 33 DSGVO, “MELDUNG von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde”.
    Eine Ransomware-Attacke im Staats-/Behördenbereich zählt wohl nicht dazu? Wenn z.B. eine mittelständische GmbH, eine solche Meldung nach entdecktem Angriff aber unterlässt, gibt’s ‘ne Mega-Packung per Geldstrafe. Immer schön, wenn Gesetze nur für andere gelten, gell? Das schafft politisches Vertrauen!

    P.S. “Heiliger Sankt Florian. Verschon’ mein Haus, zünd’ and’re an!”
    GRMPF ;)

  5. Jeden Tag werden etliche Firmen mittels Ransomware verschlüsselt. Man erfährt nur nichts davon. Die Quote ist ungleich höher als bei Behörden. Netter Versuch, Herr Schieb.

    • Jörg schieb am

      Netter Versuch — was? Ich finde es macht einen unterschied, ob fünf Tage eine Uniklinik lang liegt oder kein Bier gebraut werden kann. Ist nur ein Beispiel.

      • Schlechte Organisation in der Uniklinik; auf den Ausfall von Systemen aller Art muss man vorbereitet sein. Begibt man sich so in eine Abhängigkeit ohne Plan B bleibt bei einer Panne nur noch abwarten und Bier trinken.

  6. GenerationZ am

    Solange es Leute gibt welche Lösegeld bezahlen wird es Erpresser geben. Lösegeldzahlung sollte unter Strafe gestellt werden.

    Kein Backup, kein Mitleid. Ein desaster recovery sollte man voher auch mal geübt haben.

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Top