Cyber-Katastrophenfall in Deutschland

  • Ein Hackerangriff auf den Landkreis Anhalt-Bitterfeld hat den ersten Cyber-Katastrophenfall in Deutschland ausgelöst. Die Verwaltung des Landkreises in Sachsen-Anhalt muss nach eigenen Angaben fast zwei Wochen lang ihre Arbeit weitgehend einstellen, weil Kriminelle das Computersystem am 6. Juli attackiert hatten. "Wir sind praktisch vollkommen lahmgelegt", sagte ein Sprecher am Samstag.

    Was es nicht alles gibt. Da müssen scheinbar rasch Schritte unternommen werden, sonst werden diese Angriffe immer mehr.


    In diesem Fall hat das reale und konkrete Auswirkungen auf Betroffene. Bis auf weiteres können keine Sozialleistungen ausgezahlt werden. Die Empfänger von Sozialleistungen sind nicht gerade jene, mit einem dicken Sparbuch als Reserve. Für diese Menschen also tatsächlich ein riesen Problem.

  • Da müssen scheinbar rasch Schritte unternommen werden, sonst werden diese Angriffe immer mehr.

    Haben wir in der Firma bereits gemacht :


    Anschaffung eines neuen PC --> alle Rechnungsprogramme und Kundendaten drauf --> einen seperaten Drucker nur für Rechnungen und Schriftverkehr mittels USB Kabel angeschlossen --> komplette Trennung vom Netzwerk / Internet.

    Wir hatten bei dem Gedanken das wir irgendwann vor der Situation stehen nichtmal mehr die Standorte unserer 2000+ Container wissen kein gutes Gefühl mehr.

    Zusätzlich wird einmal (kurz vor Feierabend ) eine Datensicherung auf einer Externen Festplatte gemacht - die verbleibt auch Nachts nicht im Betrieb.

    ( Und wer mit einem USB Stick in der Hand nur in die Nähe kommt wird Kielgeholt ! )


    Alles andere wie Email-Berabeitung / Versand, Internetnutzung, erstellen von Online-Verkaufsanzeigen , aufspielen von Katalogen die uns auf CD erreichen bzw. die Nutzung von Online Bestellungen machen wir über die " alte EDV" .

    Wenns da mal den Rechner abschiesst ist das ärgerlich - aber kein Beinbruch.

    Wir sind auch nur Menschen und da lässt es sich nicht ausschliessen das mal einer den Fehler macht eine böswillige Mail zu öffnen die gut "getarnt" ist.


    Das hört sich erstmal nach einer Menge Mehrarbeit an - ist es aber nicht wirklich.


    Ich weiss nicht in wie weit so etwas in größeren Firmen praktikabel wäre, aber in unserer "kleinen" 20 Mann-Bude geht das durchaus gut !

  • Die Empfänger von Sozialleistungen sind nicht gerade jene, mit einem dicken Sparbuch als Reserve. Für diese Menschen also tatsächlich ein riesen Problem.

    In der Tat. Aber für mich ein Grund mehr, nicht nur ein paar Monatsgehälter auf der Bank in petto zu haben, sondern auch mich etwas Bargeld zu Hause, für den Fall, dass der Zugriff auf die Konten, aus welchem Grund auch immer, nicht (mehr) möglich ist.

  • Und ganz ehrlich, 2005/2006, als ich Hartz IV bezog und mich in einer ziemlich bescheidenen wirtschaftlichen Lage befand, hätte ich ziemlich dicke Backen gemacht, wenn eine Monatsleistung des Jobcenters ausgefallen wäre. Von der Hand in den Mund zu leben hat gewisse Vorteile. Aber in solchen Momenten ziemlich Schxxx. 😒

  • Schon merkwürdig wofür alles so ein Katastrophenfall ausgerufen werden kann (mit den entsprechenden Ermächtigungen für die Exekutive im Dienste der Judikative)....


    Wäre ich also ein Tyrann äh korrupter ähem mieser Poliker in einer entsprechenden Position könnte ich einfach irgendso einer Hackergruppe über Strohleute ein paar Scheine zukommen lassen und mein Bürgeramt hacken lassen, um im Anschluss den Katastrophenfall ausrufen zu lassen?

    Könnte das echt so passieren?


    Wie gesagt merkwürdig und seltsam was alles so geht.....


    Zumal die IT-Sicherheit seit 25 Jahren nun wirklich kein unbekannter Faktor mehr ist.....

    Und die Ransomware ist nun wirklich seit der Pipeline in allen Medien.


    Sind wohl Schlafmützen und/oder Geizknochen dort am Werke....


    LG

    Bo

  • Warum sollte jemand aus der Verwaltung ein Interesse an einem Katastrophenfall haben? Ist ja nicht so, dass der Landrat dadurch große zusätzlich Kompetenzen erhält. Bei den Notstandsgesetzen auf Bundesebene wäre das eventuell was anderes, aber das ist hier ja nicht der Fall.

  • Was es nicht alles gibt. Da müssen scheinbar rasch Schritte unternommen werden, sonst werden diese Angriffe immer mehr.

    Einige Infrastrukturen sind teils gesehen auf dem heutigen Stand sehr mäßig abgesichert. Obwohl sie schon ganz okay abgesichert sind. Allerdings haben gerade Kommunen meist dort besonders viel gespart.


    Wir haben gerade auf E-Mails und Anwendungen, Scripts und alles mögliche eine großen Fokus auf Security Awareness gesetzt. Die heutigen Angriffe dieser Art haben immer was mit den Menschen zu tun. Und meist passiert es über eine Mail. Hier war es genauso. Word Dokument, Makro aktiviert. Boom. Der Angriff war noch nicht mal gezielt, sondern einfach wie Spam in die Welt geballert und zündete dort halt unter anderem.


    Z.B. haben auch viele keine wirklichen Backups. Weil es kostet. Da wird z.B. monatlich mal ein Backup gemacht. Aber weder wöchentlich, noch täglich. Und es gibt keine Backuparchive, dass man im Extremfall ein altes sauberes Backup suchen kann. Sicherheit in der Richtung kostet halt echt Geld und das will keiner ausgeben. Auch weil IT-Sicherheit nicht verstanden wird und damit auch die Vorgesetzten Schulungen und Stellen und alles drumherum nicht ausbauen oder erst gar nicht genehmigen.


    Mir ist es z.B. schon zweimal passiert, dass mir meine Vorgesetzten Bücher schlichtweg nicht genehmigt haben. Bücher... es waren keine 150€ für eigene Weiterbildung drin. Fehlt nur noch, dass wenn ich ein IT-Buch studiere man mir eine erweiterte Pause vorwirft. Das ist noch nicht passiert. Aber dass man mich gefragt hat, warum ich zu IT-Sec Schulungen überhaupt gehe - hab doch studiert und weiß damit doch quasi alles..... aha.... ohje.


    Das Bewusstsein, dass die Vernetzung Vor- und Nachteile hat, ist noch nicht überall angekommen. Auch dass es eine blöde Idee ist, alles in ein Netzwerk zu werfen, auf dass, wenn eine Domäne fällt, alles gefallen ist....


    Gruß

    SBB

    -<[ Nunquam-Non-Paratus ]>-

  • Zitat

    Mir ist es z.B. schon zweimal passiert, dass mir meine Vorgesetzten Bücher schlichtweg nicht genehmigt haben. Bücher... es waren keine 150€ für eigene Weiterbildung drin. Fehlt nur noch, dass wenn ich ein IT-Buch studiere man mir eine erweiterte Pause vorwirft. Das ist noch nicht passiert. Aber dass man mich gefragt hat, warum ich zu IT-Sec Schulungen überhaupt gehe - hab doch studiert und weiß damit doch quasi alles..... aha.... ohje.

    Kenne ich, und das ist auch der Grund warum ich in unserer IT, das Security Thema BEWUSST an externe Dienstleister gegeben habe. Zwar begleite ich die Projekte mit, bzw. schau was daher kommt... aber diese Verantwortung gegenüber der Geschäftsleitung bin ich los.

    Nicht auszudenken, was im Falle des Falles sonst auf mich zukommen würde.

    Klar, dürfen wenn die Kacke am Dampfen ist, dürfen wir das dann alle (mit) ausbaden- aber erstmal ist der ext. Dienstleister der "Schuldige"

    Und nicht ich.. "du warst doch immer auf so sauteruren Schulungen, warum ist dann bla..."

  • Aber dass man mich gefragt hat, warum ich zu IT-Sec Schulungen überhaupt gehe - hab doch studiert und weiß damit doch quasi alles..... aha.... ohje.

    Das ist leider in vielen anderen Bereichen nicht wirklich anders.

    Je nach Chef kann es sein, dass Weiterbildung und Fortbildung als absolute Zeitverschwendung angesehen wird. In-House die Kompetenz vorzuhalten und regelmäßig Betrag x in die Aus-, Fort-und Weiterbildung zu investieren wird als unnötige Geldausgabe angesehen.

    Stattdessen wird lieber eine externe Dienstleistung eingekauft und unterm Strich in manchen Punkten dann auf lange Sicht mehr bezahlt...


    Kommt halt immer auf den Einsatzzweck und die Größe des Unternehmens an. Bei kleinen Unternehmen kann es sich lohnen, eine externe Firma mit der IT-Infrastruktur zu beauftragen. Dann ist diese im Zweifelsfall regresspflichtig, wenn die IT-Sicherheit nicht "state of the art" ist.

    Aber ich schätze, dass würde sich bei einem KMU mit rund 150 bis 200 Mitarbeitern schon rechnen, dafür ein eigenes Team aus vier, fünf kompetenten, regelmäßig geschulten ITlern erledigen zu lassen, die ihren Job verstehen und auch ernst nehmen.

  • Einige Infrastrukturen sind teils gesehen auf dem heutigen Stand sehr mäßig abgesichert. Obwohl sie schon ganz okay abgesichert sind. Allerdings haben gerade Kommunen meist dort besonders viel gespart.

    Das Problem bei Kommunen und kleinen Behörden ist die fehlende IT-Kompetenz im eigenen Haus. Man muss sich klar machen, dass Behörden-IT historisch von Schreibmaschinen, Rechenmaschinen und Fernschreibern herkommt. Ein PC mit Officeprogrammen ist in Amtsstuben zu 90% eine Schreibmaschine. In der Kämmerei entspricht Excel der klassischen Addiermaschine und dem Saldenbuch.


    Ich kenne (leider) genug Praxisbeispiele aus dem Jahr 2021, da läuft das etwa so ab: der kommunale Bauhof macht seine Arbeitszeiterfassung über eine Stempeluhr, die (immerhin) eine Datenbank auf einem PC füttert. Daraus druckt der Bauhofleiter personalisierte Stundenzettel aus, die unterschrieben und dann ins Rathaus getragen werden. Dort werden die Stundensummen von den Zetteln händisch in eine Exceltabelle eingetragen und dann an den IT-Dienstleister übermittelt, an den die Lohnabrechnung ausgelagert wurde. Dieser berechnet die Gehälter und druckt dann seinerseits Gehaltsabrechnungen aus, die dann an die Beschäftigten versandt werden.


    Auch gegenüber den Bürgern ist die Datenerfassung meist auf dem "kleinsten gemeinsamen Nenner". Beispiel Ablesung der Wasseruhren. Die Bürger bekommen zwei Wochen vor dem Ablesezeitpunkt einen Brief mit einer personalisierten Antwortpostkarte, in die sie den Zählerstand ihrer Wasseruhr eintragen und die Karte zurückschicken können. Alternativ darf man den Zählerstand auch per Telefonanruf, Fax oder E-Mail mitteilen. Damit die interne Weiterverarbeitung reibungslos klappt, werden die telefonisch oder elektronisch gemeldeten Zählerstände im Rathaus händisch in eine Exceltabelle eingetragen, ebenso wie die per Post eingegangene Zahlen auf den Antwortkarten. Die Exceltabelle geht dann wieder zum IT-Dienstleister...


    Insofern gibt es in Kommunalverwaltungen gar keine Gedanken daran, eine eigene IT-Kompetenz, die über den Wechsel von Tonerkartuschen und Druckerpapier hinausgeht, aufzubauen.


    Wenn man Glück hat, dann ist die wirklich kritische IT (Buchhaltungssystem in der Kämmerei, Anbindung an andere Behörden, Zugang zu Behördendatenbanken) ein eigenes System und nicht mit dem Alltags-Office-E-Mail-Webseiten-PC verknüpft. Meistens aber aus Bequemlichkeit dann doch.

    Dazu kommt noch, dass die Kommunen ihre IT normalerweise von einem IT-Dienstleister warten und betreiben lässt. Nannte sich früher kommunales Rechenzentrum oder Kreis-Rechenzentrum. Die haben heute modernere Namen und sind als Quasi-Wirtschaftsunternehmen aufgestellt, aber zu 100% in Staatsbesitz (z.B. Zweckverband, der die IT-Interessen mehrere Landkreise gebündelt vertritt).


    Dort werden dann auch die amtlichen Mailing-Aktionen durchgeführt (Grundsteuerbescheide, Gebührenabrechnungen, Wahlunterlagen usw.). Diese öffentlich-rechtlichen IT-Dienstleister sind gerne etwas schnarchig aufgestellt. Sie haben durch die Tarifbindung und eher mäßig spannende Tätigkeitsfelder auch nicht immer die Top-ITler auf den Positionen sitzen. Das ist wie mit den Medizinern in Gesundheitsämtern und Veterinärämtern. Eher so die C-Kategorie der Experten, sag ich mal etwas boshaft.


    Insofern besteht für mich die konkrete Gefahr, dass solche kommunalen IT-Dienstleister die eigentliche Schwachstelle in der IT der öffentlichen Verwaltung sind. Wenn da mal eine Cyberattacke erfolgreich ist, dann klemmt in einer ganzen Region die behördliche Kommunikation und das gesamte Rechnungswesen. Das tut dann schnell mal weh, da gibts nicht nur keine Sozialhilfe-Auszahlungen, sondern auch keine Gehaltszahlungen, keine Bezahlung von Rechnungen, kein Verbuchen von Einnahmen usw.


    Grüsse

    Tom

  • Sie haben durch die Tarifbindung und eher mäßig spannende Tätigkeitsfelder auch nicht immer die Top-ITler auf den Positionen sitzen. Das ist wie mit den Medizinern in Gesundheitsämtern und Veterinärämtern. Eher so die C-Kategorie der Experten, sag ich mal etwas boshaft.

    Boshaft formuliert: bis vor etlichen Jahren sind in die Verwaltung/öffentlichen Dienst nur jene gegangen, die anders wo keinen Job bekommen hätten. Egal, ob als Lehrer, in der Stadtverwaltung oder eben auch der IT. Dafür waren die Gehälter über viele Jahrzehnte im öffentlichen Dienst im Vergleich zur "freien Wirtschaft" regelrecht unterbezahlt. Begründet wurde dieses Missverhältnis gerne mit der beruflichen Absicherung (Beamtenverhältnis und einer relativen "Unkündbarkeit").


    Gerade in der IT rächt sich das natürlich. Denn warum sollte ein junger, pfiffiger ITler in den öffentlichen Dienst gehen, wenn er in der freien Wirtschaft ein Vielfaches an Gehalt bekommt und sich seine Projekte zum Teil selber aussuchen kann? Und wenn es ihm nicht mehr gefällt, einfach sich vom nächsten Unternehmen für noch mehr Geld abwerben lassen... 🤷‍♂️


    Wenn ich von der Frau eines Freundes das eine oder andere Mal Storys aus ihrem Amt anhöre, dann muss ich aufpassen, dass ich nicht die Tischplatte abbeiße. Da sind Formulierungen wie "anwendungssichere Bedienung von Office Anwendungen" in Stellenausschreibungen schon ziemlich euphemistisch. Und beschreiben eigentlich kaum mehr als "der Bewerber weiß, dass eine Computermaus nix ist, vor dem man panisch schreiend auf den Bürotisch springen muss. 🙄


    Sie sieht sich ja selbst in den meisten IT-Bereichen nicht als Überfliegerin. Aber was einige ihrer Kollegen da an Performance abliefern... 🙄 Zwischenzeitlich war sie da ziemlich frustriert über die Arbeitsweise und den ineffizienten Einsatz der Computer durch so manchen Kollegen. Aber Corona hat immerhin ein gutes für sie: da sie zu einer Hochrisikogruppe gehört, hat sie schon relativ früh in der Pandemie einen Heimarbeitsplatz eingerichtet bekommen. 🤷‍♂️ Kann also auch mal was gut laufen in der öffentlichen Verwaltung.


    Was ich für mich aus solchen Gesprächen immer wieder mitnehme: in der deutschen Verwaltung sitzen gerne mal Leute die nicht die hellsten Kerzen auf der Torte sind, wenn es in die Anwendung von Computer geht. Von professioneller IT gar nicht zu reden. Und wenn solche Menschen auch noch in Führungspositionen im Amt sitzen, sich aber auch nichts (mehr) sagen lassen wollen, dann kommt da schnell Frust auf, der junge, dynamische, kompetente Mitarbeiter schnell vertreiben wird. Gerade gute ITler dürften auch heute noch in einem Mangelmarkt tätig sein. Sprich: sie können sich ihren Arbeitgeber aussuchen.


    Aber um auch mal für die deutsche Verwaltung eine positive Lanze zu brechen: als ich letztes Jahr für unsere Hochzeit noch ein paar Unterlagen fürs Standesamt brauchte, war die Stadtverwaltung (niedersächsische Kleinstadt) deutlich fortschrittlicher als die große "Weltstadt" Hamburg. Meine Frau hatte Rennerei, ich habe im Online-Portal der Stadt die Sachen quasi in einen digitalen Warenkorb gelegt, Bezahlmethode ausgesucht und ein paar Tage später hatte ich die gewünschten Urkunden im Briefkasten.

    Gut, in einem KatS-Fall wie hier in diesem Thread eingangs beschrieben hätte ich wahrscheinlich eine lange Nase gemacht. Aber ich bezweifle, dass meine Frau mit ihrer quasi-analogen Anfrage mehr Erfolg gehabt hätte... Denn die Abfrage ihres Standesamt wäre ja auch früher oder später über einen Computer gelaufen.

    Und so alt, dass unsere Unterlagen noch in Kirchenbüchern verzeichnet werden sind wir dann doch nicht. 😂

  • Meine Ex arbeitet seit Jahrzehnten in einem Amt der BRD.


    Sie musste erst einen Lehrgang mitmachen, bevor sie das Druckerpapier nachfüllen durfte.

    Soweit zur kommunalen IT.<X


    Außerdem leidet sie am "Hilfe, warum schellt mein Handy, was soll ich jetzt tun?" - Syndrom.


    Gruß Peter

    An sich ist nichts gut oder böse. Erst das Denken der Menschen macht es dazu.

  • Ich denke solche Probleme lassen sich ziemlich reduzieren wenn die Verbindung "nach außen" ziemlich dünn ist. Es muss nicht jeder PC dauernd ins Internet. Klar werden einige darunter leiden weil sie im Büro nicht mehr surfen können, aber wenn es nur exakt definierte Verbindungen nach außen (und wieder retour) gibt, dann wird das Einfallstor ziemlich verkleinert.

    Und solche Konzepte gehören zentral geplant, nicht jeder sollte alles selber definieren dürfen/müssen. Das sind die Punkte wo Föderalismus zu weit geht.

  • Da kommt mir mein alter Gemeindschaftskundelehrer in den Sinn: "Die Verwaltung arbeitet immer reaktiv, nie proaktiv."

    Und daraus folgt alles andere. Wenn noch kein IT-Angriff passiert ist, dann sichert man sich auch nicht dagegen ab. Punkt.

    Wenn er dann mal eintritt, dann wird bei diesem Fall eine Lösung gesucht, und an anderen Stellen weiterverwendet,

    falls die übergeordnete Stelle das anordnet, falls nicht dann nimmt man keine Notiz davon.



    Nick

    Quidquid agis prudenter agas et respice finem