Hadmut Danisch
Ansichten eines Informatikers

Katastrophenfall im Landkreis Anhalt-Bitterfeld

Hadmut
10.7.2021 20:08
Uncategorized

Wider Erwarten nicht wegen Luisa Neubauers Freitags-Demonstratives-Nichtarbeiten.

WELT (heute) und Heise (gestern) berichten, dass man im Landkreis Anhalt-Bitterfeld wegen eines Hackerangriffs den Notstand ausgerufen habe.

Die WELT:

er Landkreis Anhalt-Bitterfeld hat wegen einer schweren Cyberattacke auf das Netzwerk seiner Verwaltung den ersten Cyber-Katastrophenfall in Deutschland ausgerufen. Die Verwaltung des Landkreises in Sachsen-Anhalt muss nach eigenen Angaben fast zwei Wochen lang ihre Arbeit weitgehend einstellen, weil Kriminelle das Computersystem am 6. Juli attackiert hatten. „Wir sind praktisch vollkommen lahmgelegt – und das wird auch in der kommenden Woche so sein“, sagte ein Sprecher am Samstag. Der Landkreis mit rund 157.000 Einwohnern kann deshalb etwa keine Sozial- und Unterhaltsleistungen mehr auszahlen. Die Sicherheitsbehörden ermitteln.

Der Angriff hatte sich am Dienstag ereignet. Aus bislang unbekannter Quelle seien mehrere Server infiziert worden, hieß es. In der Folge sei eine noch nicht genau spezifizierte Zahl von Dateien verschlüsselt worden. Alle kritischen Systeme wurden vom Netz getrennt, um einen eventuellen Datenabfluss zu verhindern.

Was mich allerdings daran erinnert, dass ich auch bei mir privat die IT-Sicherheitsschrauben mal deutlich strammer drehen muss. Kostet halt einiges an Arbeitszeit. Aber: Die Zeiten ändern sich und die Software wird nicht besser.

Was heutzutage aber eigentlich schon sein muss: Jedes System innerhalt kurzer, dokumentierter, definierter Zeit wiederherstellen zu können. Notfalls aus Backup oder gespeichertem Image, aber besser frisch installiert. Während man an Universitäten und Berliner Gerichten immer gleich eine Krise bekommt, hören sich die zwei Wochen hier schon mal deutlich kontrollierter an, vor allem, weil sie vorher einen Zeitraum angeben können und eher aus Vorsichts- und Untersuchungsgründen den Laden getrennt lassen. Das ist zumindest schon mal ein positivere Ansicht als man das von anderen Unfällen kennt.

Allerdings heißt es bei Heise:

Die Frage, ob es Lösegeldforderungen gegeben habe, ließ Landrat Uwe Schulze (CDU) laut Bericht des MDR offen. Das sei Gegenstand der polizeilichen Ermittlungen, sagte er. Die Hintergründe der Tat seien bisher noch unklar.

“Die Situation ist beschissen, aber nicht hoffnungslos”, sagte Schulze. Derzeit konzentriere sich der Kreis laut Schulze auf drei Schwerpunkte: Zum einen werde nach der genauen Infektionsquelle gesucht. Aktuell werde eine Microsoft-Sicherheitslücke bei den Druckern vermutet. Zweitens werde am Wiederaufbau der IT-Infrastruktur gearbeitet. Drittens sollten schnellstmöglich die Dienstleistungen für die Bürger im Kreis wieder in Betrieb gehen.

„Beschissen“ hört sich jetzt nicht ganz so gut an, auch wenn das auf der Skala der IT-Kraftausdrücke noch eher im oberen Mittelfeld liegt. Wenn man richtig flucht, gibt die Klimaanlage davon Störmeldungen aus.

Der Katastrophenfall wurde den Angaben zufolge auch ausgerufen, weil viele finanzielle Belange von Bürgern betroffen seien. Laut Kreissprecher Uwe Pawelczyk geht es etwa um Menschen, die auf Sozialgeld warten, oder auch um Jugendhilfe.

Und an der Stelle würde ich nun doch erhebliche Bedenken anmelden.

Denn für sowas muss man eigentlich Festlegungen treffen, wie lange der Ausfall der Systeme zu verkraften ist. Und daraus die Systeme so aufbauen, dass Ersatz und so weiter bereitsteht. Ausfallzeit, Service Level Agreement und so weiter.

Weobei ich jetzt allerdings einräumen muss, dass das bei Angriffen nicht so leicht ist. Denn normalerweise hat man für Redundanz, Cold- und Hot-Standby, Wiederherstellungsprozeduren den Plan, Ersatzsysteme identisch herzustellen und in Betrieb zu nehmen. Das bringt es natürlich nicht, wenn das Problem in einem Sicherheitsloch besteht und die Ersatzsysteme dann dasselbe Sicherheitsloch hätten und deshalb nicht in Betrieb gehen können. Oder wenn, wie neulich, Sicherheitslöcher in den Prozessoren selbst auftauchen, die man nicht leicht beheben kann, wird das problematisch. Vor allem dann, wenn man selbst daran nicht viel machen kann, sondern auf Patches usw. von Herstellern warten muss.

Allerdings haben wir mit solchen Zuständen ja nun auch schon seit 20, 30, 40 Jahren zu tun. Also gehört dafür eigentlich auch ein Notfallplan her.

Und die Sache mit der Ransomware ist jetzt auch nicht so völlig neu, ich kann mich an einen Vorfall erinnern, bei dem ich zwischen 2009 und 2011 schon mal davon gehört hatte, und die auch vorher schon kannte, ich weiß nur nicht mehr genau, seit wann.

Also das müsste inzwischen eigentlich Stand der Technik sein, dass man Daten so speichert, dass sie durch Ransomware nicht kompromittiert werden können. Insbesondere nicht von Schwachstellen in Windows-Drucksystemen. Denn eigentlich haben da, wo wichtige Daten gespeichert werden (sollten), Windows-Drucksysteme gar nichts verloren. Das deutet auf strukturelle Nachlässigkeiten hin, die aber sehr verbreitet sind, wenn die Leute mit Windows arbeiten. Das bringt leicht so eine Vermischung von Daten und Arbeitsplatz mit sich, die nicht leicht zu trennen ist. Wenn die Leute beispielsweise ihren Kram in Excel-Sheets speichern.

Normalerweise speichert man solche Daten in einer abgeschotteten Datenbank, auf die Systeme von außen gar keinen Zugriff haben und nichts schreiben und nicht lesen können. Und dann baut man darum herum „Datamarts“ und „APIs“, über die definierte Zugriffe passieren, und die Arbeitsplatzsysteme nur mit Software, aber nicht mit Daten. Und wenn die kompromittiert sind, schmeißt man sie halt alle weg und installiert sie neu. Das ist nur in diesen vermaledeiten Windows-Umgebungen nicht so einfach.

Es zeigt aber wieder mal, dass wir hier IT und Digitalisierung nicht im Griff haben, aber unbedingt alles auf digital umstellen wollen.

Und uns dann eine Digitalisierungsstaatsministerin Dorothee Bär leisten, die nichts kann, als dämlich in die Kamera zu grinsen.