Wenn Gemeinden gehackt werden

Heute kann Renate Habetler darüber schon schmunzeln. Vor acht Jahren ist der Bürgermeisterin der kleinen burgenländischen Gemeinde Bernstein aber das Lachen gehörig vergangen. Damals war sie noch recht frisch im Amt und mitunter etwas unsicher, wie sie im Ort wahrgenommen wird. So wie das eben oft ist am Anfang: Man versucht, bloß keinen Fehler zu machen, niemanden zu verschrecken.

Umso schlimmer war es, als im August 2015 auf der Homepage der Gemeinde und allen Unterseiten plötzlich derbe pornografische Inhalte auftauchten, samt Links zu einschlägigen Angeboten im Internet. Wer unbedarft auf der Website von Bernstein landete, musste beinahe zwangsläufig glauben, dass all das von der Ortschefin höchstpersönlich abgesegnet wurde.

„Ich, Amateur Porn, würde mich freuen, Sie persönlich in Bernstein begrüßen zu dürfen“: Mit  diesen – natürlich frei erfundenen – Worten wurde die Bürgermeisterin auf der Website sozusagen zitiert. Hacker hatten sich einen üblen Scherz mit ihr und ihrer Gemeinde erlaubt.

Ein aufwendiger Bubenstreich

Wer hinter der Attacke auf Bernstein stand, ist bis heute nicht aufgeklärt – obwohl die Bürgermeisterin umgehend Anzeige bei der Polizei erstattete.

Vieles spricht dafür, dass es tatsächlich ein dummer Bubenstreich war. Wenn auch einer, für den die Täter erheblichen Aufwand betrieben haben: Denn in Bernstein hatte man schon zuvor durchaus Wert auf IT-Sicherheit gelegt, die Gemeinde war kein einfaches Opfer. Jemand hatte sich ziemlich ins Zeug gelegt, um das System zu hacken. Mit den mutmaßlichen Spaßvögeln gab es danach allerdings keinerlei Kommunikation: kein Bekennerschreiben, auch keine Lösegeldforderungen.

Erpresser aus dem Internet

Mit beidem war Habetlers Amtskollege Josef Ober aus der eine gute Autostunde entfernten steirischen Stadtgemeinde Feldbach im Frühherbst letzten Jahres konfrontiert. Cyberkriminelle hatten Phishing-Mails ausgeschickt, eine Mitarbeiterin oder ein Mitarbeiter der Gemeinde war im Home­office in die Falle getappt. Danach dauerte es noch gut eine Woche, bis sich die Cybereinbrecher einen Weg in das IT-System gebahnt hatten.

Am 3. September schließlich waren Dutzende Computer lahmgelegt. Die Hacker ließen dem Stadtchef eine Nachricht mit der Forderung nach Lösegeld in beträchtlicher Höhe zukommen – zu zahlen in Bitcoin, der virtuellen Währung, bei der man die Zahlungsflüsse im Internet leicht verschleiern kann.

Ransomware-Angriff heißt diese Methode, bei der Hacker das IT-System von Firmen, Organisationen oder Gebietskörperschaften knacken und mit einem Verschlüsselungscode lahmlegen. Dann kommt eine Nachricht: Gegen Zahlung einer meist erheblichen Summe würde man die Verschlüsselung wieder aufheben, die IT-Anwendungen könnten wie gewohnt weiterlaufen.

Viele Firmen zahlen „Deppensteuer“

Darüber, wie viele Hackeropfer auf dieses Angebot eingehen, gibt es nur Spekulationen. Letztes Jahr erschien eine Umfrage unter großen Unternehmen, die nahelegt, dass fast drei von vier Vorständen im Zweifelsfall zahlen würden. Das liegt auch daran, dass die Lösegeldforderungen in der Regel zwar schmerzhaft, aber nicht existenzbedrohend sind: Immerhin kennen die Hacker die von ihnen Geschädigten in der Regel besser als das Finanzamt, weil sie Einblick in die sensibelsten Bereiche der Buchhaltung haben.

„Bei kleineren Beträgen rate ich manchmal, zu zahlen und das Geld gewissermaßen als Deppensteuer abzuschreiben“, sagt der Chef eines IT-Sicherheitsunternehmens, der nicht namentlich genannt werden möchte. Mitunter handle es sich um Forderungen in der Höhe von tausend Euro.

Mit der Überweisung sei die Sache in der Regel geritzt. Garantie gibt es keine, dass die Systeme nach der Überweisung wieder hochfahren können. Schließlich hat man es mit Kriminellen zu tun. In der Praxis freilich halten sich die Hacker meist an die Abmachungen: Schließlich lebt ihre Branche gewissermaßen vom Vertrauensgrundsatz. Das hat weniger mit Ehre zu tun, mehr mit dem Geschäft: Es würde sich rasch herumsprechen und kein Mensch käme mehr auf die Idee, Lösegeld zu zahlen.

„Dachte keine Sekunde daran, zu zahlen“

Der Bürgermeister von Feldbach hat sich jedenfalls dafür entschieden, nicht auf das klebrige Angebot der Cyberpiraten einzugehen: „Ich habe keine Sekunde daran gedacht, Lösegeld zu zahlen“, sagt er heute. Stattdessen ging die Stadtgemeinde transparent mit dem Vorfall um.

Tags darauf waren die Zeitungen voll mit Berichten über den Hackerangriff auf die Gemeinde Feldbach, Ortschef Josef Ober warb bei der Bevölkerung um Verständnis dafür, dass gewisse Aufgaben der Verwaltung eine Zeit lang nur eingeschränkt erfüllt werden könnten. Das war die richtige Entscheidung: „Es gab keine einzige Beschwerde. Die Bürgerinnen und Bürger haben die Entscheidung, nicht zu zahlen, voll mitgetragen“, sagt er heute.

Ober hat auch sonst so reagiert, wie man es im Lehrbuch für den Umgang mit Cyberattacken liest: Glücklicherweise hatte die Stadtgemeinde eine Versicherung gegen Hacker-Angriffe abgeschlossen. Diese schickte einen ausgewiesenen Profi aus Deutschland, der gemeinsam mit der kommunalen IT-Abteilung die Sache in die Hand nahm. Unter anderem erstellte der Spezialist eine To-do-Liste für die Verwaltung.

„Die haben wir penibel abgearbeitet“, sagt Bürgermeister Ober. Nicht weniger als zehn Terabyte an Daten wurden an die Experten übermittelt. Dazu kam, dass es ein gutes Back-up des gesamten IT-Systems gab. So wäre es theoretisch möglich gewesen, die gesamte Anlage schon nach ein paar Tagen wieder hochzufahren. Doch Ober entschied sich dagegen. Er wollte möglichst sichergehen, dass es in Zukunft keine Einbrüche mehr geben kann.

Feldbach war gut geschützt

Dabei hatten er und seine Bediensteten sich tatsächlich wenig vorzuwerfen. Denn die IT in Feldbach war schon vor dem Hackerangriff besser geschützt als die vieler anderer Gemeinden. Eine Weile zuvor hatten Cybersecurity-Experten einen so genannten „Penetrationsversuch“ unternommen. Soll heißen: „Gute“ Hacker versuchten alles, um das System zu knacken. Erfolglos. Die elektronischen Schutzmauern hätten auch tatsächlich gehalten.

Dass die Angreifer eindringen konnten, war am Ende auf ein menschliches Versehen zurückzuführen. „Es ist im Homeoffice passiert. Vermutlich hat jemand ein Phishing-Mail geöffnet“, sagt Ober. Also ein scheinbar harmloses Mail, mit dem der Empfänger zur Preisgabe sensibler Daten verlockt wird. Wem das Malheur passiert ist, weiß noch heute niemand. Und Bürgermeister Ober will es auch gar nicht wissen: „Ich halte da nichts von Schuldzuweisungen. Das hätte praktisch jedem passieren können“, sagt er. Klar ist aber auch, dass die Dienstanweisungen im Hinblick auf Cybersicherheit in Feldbach seither enorm verschärft wurden.

Hacker fühlen sich als Unternehmer

Immerhin hat man es mit hochprofessionellen Gegnern zu tun, die sich mit sündhaft teuren Gerätschaften daran machen, fremde IT-Systeme zu manipulieren. Einer von ihnen hat im Vorjahr dem auf Cybersecurity spezialisierten US-Magazin „The Record“ freimütig ein Interview gegeben. Es war ein Vertreter von „Black Cat“ – jener Organisation, die 2022 das Land Kärnten gehackt hat.

Zwar nannte der Hacker weder seinen Namen noch seinen genauen Wohnort (irgendwo in Russland). Sonst aber gab er tiefe Einblicke in das Selbstverständnis seiner Branche. Er schilderte den Aufstieg von „Black Cat“ – einer Organisation, die weit oben auf der Fahndungsliste des FBI steht – wie die Erfolgsgeschichte eines Start-ups.

In dem Interview war viel von Marketing die Rede, von Stakeholdern und der besonderen Anwenderfreundlichkeit der von „Black Cat“ entwickelten Software, die gegen Provision auch an andere Hacker verliehen wird. „Ohne zu übertreiben, kann ich sagen, dass es derzeit auf dem Markt keine konkurrenzfähige Software gibt“, sagte er.

Ist es für eine kleine oder mittlere Gemeinde überhaupt möglich, sich gegen den Angriff eines solchen Hacker-Giganten zu wappnen? Einen hundertprozentigen Schutz gibt es nicht. Aber es macht, bildlich gesprochen, einen riesigen Unterschied, ob man die Haustüre grundsätzlich unversperrt lässt oder ob man ein Sicherheitsschloss einbaut. Gelegenheit macht Diebe.

Aufwendige Hacker-Werkzeuge

Viele Hacker verfügen über Software, die Websites automatisch auf Lücken im Sicherheitssystem abklopft. Wenn sie merken, dass sie problemlos eindringen können, ist die Wahrscheinlichkeit groß, dass sie es auch tun – selbst wenn im besten Fall bloß ein geringes Lösegeld von ein paar tausend Euro winkt. Die Investition in eine solide IT-Sicherheit zahlt sich auf jeden Fall aus, ebenso die regelmäßige Schulung des Personals.

Das Beste daraus gemacht

Bürgermeister Ober hat den Vorfall genützt, um die IT-Anlage seiner Gemeinde noch besser gegen Angriffe zu schützen. „Irgendwann kamen wir vom Krisenmodus in den Aufbaumodus“, erzählt er. „Das war psychologisch wichtig.“ Am Ende ist Feldbach mit einem blauen Auge davongekommen und hat die Chance genützt, sich weiterzuentwickeln.

Auch die Bernsteiner Bürgermeisterin Renate Habetler wollte es nicht dabei belassen, das System neu aufzusetzen. Heute noch erinnert sie sich an die turbulenten Wochen im August 2015. „Das war eine enorme Belastung“, sagt sie. Schließlich wusste sie nicht, welche Software im IT-System ihr Unwesen treibt.

„Bei jedem Mail, das ich geschrieben habe, hatte ich Angst, weiteren Schaden anzurichten“, sagt sie. Auch ihre Gemeinde hat nach dem Angriff einen Batzen Geld in die Hand genommen, um die IT-Sicherheit zu erhöhen. „Ich kann allen nur raten, lieber mehr in ordentliche Schutzwälle zu investieren, um nicht irgendwann so aus der Wäsche zu schauen wie ich“, sagt Habetler. 

Dieser Text stammt aus der Ausgabe 1&2/2023 der „Bürgermeister Zeitung“, die sich mit dem Thema „Cybersecurity in der Gemeinde“ beschäftigt hat.