Datenklau in Schriesheim: Stadt informiert Hunderte Bürger über ihre Daten im Darknet

Vor etwa einem Monat hatten sich Unbekannte Zugang zum IT-System der Stadt verschafft.

Schriesheim (dpa/lsw) - Mehrere hundert Menschen werden nach einem Hackerangriff auf die Verwaltung der Stadt Schriesheim über ihre im Darknet veröffentlichten Daten informiert. "Wir wollen noch diese Woche beginnen", sagte eine Sprecherin der Stadt der Deutschen Presse-Agentur. Je nach Brisanz der Daten werden die Betroffenen persönlich aufgeklärt oder per Telefon oder Brief. Die Daten seien immer noch im Darknet einsehbar. "Da haben wir keine Handhabe", sagte die Sprecherin.

Vor etwa einem Monat hatten sich Unbekannte Zugang zum IT-System der Stadt verschafft, Server verschlüsselt und dann die Kommune aufgefordert, Kontakt mit ihnen aufzunehmen. Dem war die Stadt nach Beratungen mit der Kripo Mannheim und der Cybersicherheitsagentur Baden-Württemberg (CSBW) nicht nachgekommen. Eine explizite Lösegeldforderung habe es nicht gegeben.

Nach Ablauf der Frist waren vorwiegend interne Papiere ins Darknet gestellt worden. Es waren aber auch personenbezogene Auflistungen und Schriftstück darunter, wie die Sprecherin der Stadt im Rhein-Neckar-Kreis mit rund 15.000 Einwohnern sagte.

Der Verwaltungsbetrieb der Gemeinde ist immer noch eingeschränkt. Die Abteilungen wie Standesamt und Bürgerbüro seien überwiegend wieder per Mail erreichbar, aber noch nicht alle Mitarbeiter. "Wir arbeiten mit Hochdruck daran, dass jeder wieder sein persönliches Mail-Postfach erhält", sagte die Stadtsprecherin. Telefonisch sei die Verwaltung nur ein Woche nach dem Angriff lahmgelegt gewesen. Die Kosten für die Beseitigung der Folgen der Straftat stehen noch nicht fest.

Die Datenpreisgabe durch Kriminelle habe in der Bevölkerung für Verunsicherung gesorgt, hieß es. Die meisten hätten aber Verständnis für den daraus resultierenden beeinträchtigten Verwaltungsbetrieb gezeigt.

Update: Montag, 16. Mai 2022, 13.03 Uhr

Wenn etwas im Darknet steht, kann man nichts mehr machen

Schriesheim. (hö) Die RNZ bat die Cybersicherheitsagentur Baden-Württemberg (CSBW), die im Landesinnenministerium angesiedelt ist, und die Stadtverwaltung, die wichtigsten Fragen zum Hackerangriff auf das Schriesheimer Rathaus zu beantworten. Denn nach der Veröffentlichung von zum Teil personenbezogenen Daten am Samstag im Darknet (siehe unten) steht die Stadtverwaltung vor einem neuen Problem: Jetzt sollen nach einem abgestuften Verfahren die potenziell Betroffenen informiert werden.

Was kann man gegen die Veröffentlichung dieser Daten im Darknet tun? Oder muss man damit leben?

Zunächst hat nach Ansicht der CSBW die Stadt richtig gehandelt, weil sie mit den Hackern keinen Kontakt aufgenommen und kein Lösegeld bezahlt hat. Bei einem Angriff von Erpressungssoftware ("Ransomware") wie in Schriesheim handelt es sich um Organisierte Kriminalität, und es gibt keine Garantie, dass die Daten nicht trotz einer Zahlung von Lösegeld veröffentlicht werden oder man erneut erpresst wird. Aber weil man auf den Erpressungsversuch nicht eingegangen ist, stehen die Daten jetzt im Darknet. Und daran lässt sich auch nichts ändern. "Das ist ziemlich aussichtslos", sagt Susanne Krieg von der CSBW. Man kann die Daten nicht, wie zum Beispiel im "normalen" Internet, dem World Wide Web, löschen lassen. Und wenn doch, würden sie von Kriminellen an anderer Stelle hochgeladen.

Welche Handlungsempfehlungen gibt die Cybersicherheitsagentur nun dem betroffenen Rathaus?

Die CSBW steht der Stadtverwaltung in Schriesheim beratend und unterstützend zur Seite. Das Team der CSBW steht fortlaufend im Austausch mit den Technikern vor Ort und unterstützt die Stadtverwaltung aktiv bei der Fortschreibung der Sicherheitsarchitektur. Als zentrale Koordinationsstelle im Land hat die CSBW alle beteiligten Akteure an einen Tisch gebracht, um einen bestmöglichen und effizienten Informationsaustausch zu ermöglichen: So wurde eine klare Aufgabenzuteilung und Vorgehensweise etabliert. Oberstes Ziel der Zusammenarbeit war die effiziente Bewältigung des Angriffs. Die CSBW entsandte zudem zwei Experten als mobiles Incident Response Team (MIRT) zur Unterstützung bei der forensischen Analyse vor Ort in Schriesheim.

Gab es in der letzten Zeit im Land "erfolgreiche" Hackerangriffe auf Rathäuser?

In Baden-Württemberg vergeht kaum ein Tag, an dem öffentliche Verwaltungen nicht von Cyberkriminellen angegriffen werden. Allein an den zentralen Netzknoten ("Gateways") der IT-Dienstleister der staatlichen und öffentlichen Einrichtungen im Land werden täglich Tausende mit Schadcode versehene E-Mails automatisiert detektiert und blockiert. Im Idealfall werden also diese durch entsprechende Sicherheitsvorkehrungen abgefangen, sodass die Angriffe größtenteils nicht erfolgreich sind. Grundsätzlich agiert diese Art von Angreifern, die der Organisierten Kriminalität zuzurechnen sind, hochprofessionell. Es ist derzeit Gegenstand der Ermittlungen, welches Einfallstor die Cyber-Kriminellen in Schriesheim für den Angriff nutzten. Der Vorfall zeigt, dass Cyberangriffe alle treffen können, dessen muss man sich bewusst sein. Ähnliche Vorfälle bei Stadtverwaltungen in Baden-Württemberg sind aktuell nicht bekannt. Einen hundertprozentigen Schutz gebe es aber nicht, so die CSBW. Wichtig sei, sich der Gefahr bewusst zu sein und sich vorzubereiten.

Was ist über die Herkunft der Ransomware "Lockbit 2.0" bekannt?

Darüber wollte die CSBW keine Angaben machen. Aber andere Experten sehen Osteuropa oder Russland als Sitz der Hacker.

Welche Daten wurden gestohlen?

Nach der ersten Sichtung sind Daten aus verschiedenen Verwaltungsbereichen betroffen, die überwiegend internen Nutzen haben. Die veröffentlichten Daten stammen zum Beispiel aus den Bereichen Liegenschaftsverwaltung, Leistungsverwaltung, Gefahrenabwehr und Kämmerei. Personalausweis- und Passdaten sowie Informationen aus dem Bereich des Standesamts sind nach erster Analyse offenbar nicht betroffen. Jedoch ergaben die Untersuchungen, dass in den veröffentlichten Daten zum Teil Auflistungen und Schriftstücke einsehbar sind, die personenbezogene Daten beinhalten.

Es heißt oft bei gestohlenen Daten, dass diese sensibel seien. Was bedeutet überhaupt "sensibel"?

Als "sensible" Daten gelten vor allem personenbezogene Daten. Grundlage dafür ist Artikel 9 der Datenschutz-Grundverordnung (DSGVO): "Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt." Allerdings sagt das Rathaus, dass eine "eindeutige Zuordnung der gestohlenen Datensätze zu einer bestimmten Person nicht in jedem Fall ohne Weiteres möglich" sei. Also sind nicht alle geraubten Daten, selbst wenn sie Personen betreffen, auch gleich sensibel.

Wie geht das Rathaus mit den Betroffenen um?

Das Büro des Landesdatenschutzbeauftragten hat empfohlen, die potenziell Betroffenen abgestuft in Kategorien einzuteilen und dann zu informieren. In gewisser Weise gibt die Datenschutzgrundverordnung bereits eine gewisse Einordnung der unterschiedlichen personenbezogenen Daten vor, an der sich das Rathaus orientiert. Die Stadtverwaltung wird entsprechend der Kategorie der Daten Betroffene informieren und über das weitere Vorgehen beraten. Wie die Kontaktaufnahme im Einzelfall aussehen wird, wird noch mit dem Büro des Landesdatenschutzbeauftragten abgestimmt. Das Rathaus hatte bereits am Wochenende eine Hotline eingerichtet, die weiter besteht. Die Hotline wurde am Wochenende nur in Einzelfällen angerufen, am Montag etwas häufiger.

Ist das Rathaus wieder per E-Mail zu erreichen?

Nein, fast nicht, das geschieht stückweise, weil die Neuinstallation der Stadt-Server so aufwändig ist. Wann das Rathaus wieder E-Mails empfangen kann, steht noch nicht fest.

Update: Dienstag, 10. Mai 2022, 19.09 Uhr

Copyright (c) rnz-online

Autor: Rhein-Neckar-Zeitung