Es war ein Hackerangriff aufs Rathaus

Das Rathaus ist weiter nicht erreichbar. Das Wiederherstellen der verschlüsselten Daten dauert wohl noch bis Montag. Unklar bleibt, wie das Netzwerk infiziert wurde.

Von Micha Hörnle

Schriesheim. Am Tag zwei des lahmgelegten Rathauses (siehe unten) weiß man etwas mehr, was zur Verschlüsselung der Daten führte: Ja, es war ein Cyberangriff, und der wird auch noch ein paar Tage dafür sorgen, dass die Stadtverwaltung (und mit ihr die Kindergärten und Schulen) nicht zu erreichen sind: Im Moment, so berichtet Hauptamtsleiter Dominik Morast, gehe man davon aus, dass "wir ab Montag unsere Dienstleistungen wie gewohnt erbringen können". Arbeitsfähig ist das Rathaus durchaus – zumindest dort, wo man nicht auf den städtischen Server angewiesen ist.

Wahrscheinlich gab es gar keinen gezielten Hackerangriff auf das Rathaus, man wurde eher das Opfer eines großflächigen auf andere Institutionen oder Privatpersonen, wie die erste Analyse des städtischen IT-Dienstleisters ergab. Mittlerweile fand sich auf dem Server auch ein englischer Text, in dem aufgefordert wurde, Kontakt zum Angreifer aufzunehmen – wohl um dann eine Lösegeldforderung zum Entschlüsseln der Daten zu erhalten. Einen Kontakt zu den Angreifern werde man aber ganz sicher nicht suchen, so Morast.

Stattdessen arbeitet nun der IT-Dienstleister an der Behebung der Störung. Nach und nach werden die gesicherten Daten, der sogenannte "Back-up", wiederhergestellt, dann auf Schadsoftware überprüft, um den Stadt-Server wieder in Betrieb zu nehmen: "Das ist ein umfangreiches Prozedere", so Morast – und deswegen werden die "Reparaturarbeiten" auch voraussichtlich die gesamte Woche andauern. Erst am Montag werde das Rathaus wohl wieder wie gewohnt arbeiten können.

Über diesen Hackerangriff wurde der Landesdatenschutzbeauftragte informiert, mittlerweile wurde auch ganz formell Anzeige bei der Polizei erstattet. Wie genau die Schadsoftware, auch "Trojaner" genannt, in das Stadtverwaltungsnetzwerk eingedrungen ist, konnte Morast nicht sagen: Das könnte ein E-Mail-Anhang gewesen sein, vielleicht klickte ein Mitarbeiter auch einen Link im Internet, oder ein "verseuchter" USB-Stick kann die Ursache gewesen sein, "vielleicht werden wir das auch nie herausbekommen". Ebenso unklar ist, wann genau der Angriff erfolgt ist – entweder tatsächlich am Dienstag, oder vielleicht wurde erst dann die längst installierte Schadsoftware aktiviert.

Wie bereits gestern berichtet, werden immer wieder Behörden Opfer von Trojanern: Am schlimmsten war ein Angriff auf den Landkreis Anhalt-Bitterfeld vom letzten Juli: Auch hier wurden alle Daten verschlüsselt und dann ein Lösegeld gefordert. Wie in Schriesheim ließ sich auch in Sachsen-Anhalt nicht nachvollziehen, wie das Computernetzwerk infiziert wurde. Nach dem Angriff wurden alle Server heruntergefahren (weswegen man beispielsweise sein Auto nicht mehr zulassen konnte) – und der erste Cyber-Katastrophenfall in ganz Deutschland ausgerufen. Die Arbeiten zur Wiederherstellung der Daten zogen sich über ein halbes Jahr hin, dabei wurde sogar die Bundeswehr eingesetzt.

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, häufen sich die Fälle von "Erpressersoftware" (auch "Ransomware" genannt), die gezielt Schwachstellen in der IT-Struktur ausnutzen und dann die Daten verschlüsseln. Das BSI rät dringend dazu, auf Lösegeldforderungen nicht einzugehen und die Polizei einzuschalten. Der beste Schutz gegen solche Erpressungsversuche seien regelmäßige Sicherheitskopien, ständige Aktualisierungen der Betriebssysteme und eine Überprüfung der Systemschwachstellen.

Update: Mittwoch, 20. April 2022, 18.15 Uhr

Copyright (c) rnz-online

Autor: Rhein-Neckar-Zeitung