Vorbereitung auf weitere Angriffe Drei Jahre nach dem Hackerangriff auf Anhalt-Bitterfeld: Bedrohliche Cyberlage

09. Juli 2024, 15:46 Uhr

Russischsprachige Hacker griffen den Landkreis Anhalt-Bitterfeld an, die Bundeswehr war vor Ort und die Landesregierung stellte eine Viertelmillion Euro bereit. Drei Jahre ist das nun her. Doch noch immer gibt es digitale Angriffe auf die Städte und Landkreise in Deutschland. Ideen zum Schutz sind vorhanden. Das Problem: Sie kommen nicht voran.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Es ist eine klare Aussage von Sachsen-Anhalts FDP-geführtem Digitalministerium: Kommunen und Landkreise werden nicht ausreichend über die aktuellen Cyber-Bedrohungen informiert, schreibt das Ministerium auf MDR-Anfrage. Auch eine andere MDR-Frage wird deutlich beantwortet: Sind Kommunen in der Lage, gut auf Hackerangriffe zu reagieren? "Vor allem größere Kommunen und Landkreise sind gut aufgestellt, die überwiegende Mehrzahl schlecht bis sehr schlecht", so das Digitalministerium. Cybersicherheit müsse Chefsache werden.

Ohne den Hackerangriff auf den Landkreis Anhalt-Bitterfeld vor drei Jahren wäre wohl die Unterstützung für ein Informationssicherheitsgesetz im Land nicht so groß, vermutet das Ministerium. Allerdings hat das Digitalministerium bislang keinen Gesetzentwurf vorgelegt. In Mitteldeutschland ist Sachsen das einzige Bundesland mit einem IT-Sicherheitsgesetz. Das trat 2019 in Kraft und erhielt vor Kurzem ein Update.

Im Landkreis Anhalt-Bitterfeld sind offiziell alle Rechner und Verfahren wieder verfügbar. Der Vorfall hat 2,5 Millionen Euro gekostet, schreibt der Landkreis. E-Mails aus 20 Jahren und die Umwelt-Datenbank sind für immer verschwunden. Der Fall habe auch anderen Verwaltungen gezeigt, wie wichtig Cybersicherheit ist. Man habe auch bei anderen eine Verbesserung beobachtet. Die IT-Abteilung sei heute zwar besser aufgestellt, offene Stellen aber schwer zu besetzen. "Sollte es wider Erwarten zu einem weiteren Vorfall kommen, ist aufgrund der verbesserten Sicherheits-Mechanismen ein weniger schwerwiegender Verlauf zu erwarten", schreibt der Landkreis.

Sicherheits-Initiativen würden größtenteils auf Verständnis stoßen. Die IT-Abteilung muss Sicherheit und Nutzer-Freundlichkeit unter einen Hut bringen. Dabei sieht der Landkreis auch Softwarehersteller in der Pflicht. Sie sollten moderne Authentifizierungs-Methoden und Verschlüsselungs-Standards anbieten. Wenn diese nicht unterstützt werden, müssen umfassende Sicherheitsmaßnahmen implementiert werden, um den Anforderungen gerecht zu werden.

Bedrohliche Cyberlage

Seit dem Hackerangriff in Anhalt-Bitterfeld hat es immer wieder Kommunen und Landkreise getroffen: die Stadt Potsdam, den Rheinpfalzkreis und derzeit mehr als 70 Kommunen in Nordrhein-Westfalen. Das IT-Marktforschungs-Unternehmen KonBriefing spricht sogar von mehr als 150 betroffenen Stellen, davon auch einige in Niedersachsen. Seit Anhalt-Bitterfeld gab es in mindestens 82 deutschen Kommunen IT-Ausfälle, die die Internetseite "Kommunaler Notbetrieb" allein anhand von Medienberichten auflistet.

Im vergangenen Herbst haben deshalb Sachsen-Anhalt und Sachsen eine Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vereinbart. Seitdem hätte das BSI drei Einrichtungen in Sachsen-Anhalt zur Informationssicherheit beraten, bei der Landeswahlleitung die IT-Sicherheit getestet und zweimal bei IT-Vorfällen im Land im Einsatz geholfen, so das Digitalministerium in Magdeburg.

BSI schließt Kooperationsvereinbarungen mit einzelnen Ländern

Um besser auf Hackerangriffe vorbereitet zu sein, diskutieren Expertinnen und Politiker heftig eine Idee: Das BSI soll zu einer sogenannten Zentralstelle werden. So sollen Bund und Länder besser zusammenarbeiten können. Das hatte sich im MDR SACHSEN-ANHALT- Podcast "Digital leben" die BSI-Präsidentin Claudia Plattner gewünscht.

Die Gründe dafür klingen einleuchtend: Baut das BSI eine Datenbank auf, in dem es Cyber-Gefahren einträgt – dürfen die Bundesländer diese Datenbank nicht nutzen. Entwickelt das BSI eine Software zum Schutz der Netze des Bundes – dürfen Bundesländer diese Software nicht nutzen. Gibt es einen Cyberangriff, ist jede Kommune, jeder Landkreis, jedes Bundesland jeweils auf sich allein gestellt, ein Cyber-Flickenteppich.

Über die Idee, das BSI zu einer Zentralstelle zu machen, wird bereits seit 2022 diskutiert. Die Diskussion stockt und Plattner wirkt ungeduldig. "Das macht mich wahnsinnig. Ich möchte, dass wir das zusammen besser hinbekommen", sagt die BSI-Chefin. Schließlich würden die Menschen erwarten, dass der Staat sie und ihre Daten schützt. "Über das grundsätzliche Ziel sind sich alle einig. Nur nicht über den Weg dorthin".

Grundgesetzänderung gegen den Cyber-Flickenteppich

Der Cyber-Flickenteppich lässt sich nur mit einer Grundgesetzänderung stopfen, sagt Markus Richter, Staatssekretär im Bundesinnenministerium, in dessen Geschäftsbereich das BSI fällt. Richter ist für die Verwaltungs-Digitalisierung zuständig und steuert auch das IT-Sicherheits-Managements des Bundes. Es könne nicht sein, dass IT-Sicherheit auf kleinen Inseln jeweils neu erfunden werde. "Wenn es einen konkreten, schweren Angriff wie in Anhalt-Bitterfeld gibt, dann ist die Herausforderung, ad hoc zusammenzuarbeiten", sagt er. Bislang würde das quasi über Notstands-Regeln gemacht – in Anhalt-Bitterfeld hatte der Landrat den Katastrophenfall ausgerufen, um BSI und Bundeswehr anfordern zu können.

Wenn ein Angriff in Deutschland stattfindet, dann ist es dem Zufall überlassen, wo er stattfindet und welche Behörden zuständig sind. Wir müssen sicherstellen, dass wir einheitliche Standards haben, die dann gelten und nicht erst in der Krisensituation anfangen.

Markus Richter, Staatssekretär im Bundesinnenministerium

BSI-Zentralstelle: einheitliches Lage-Bild, bessere Zusammenarbeit und Cyberabwehr

Richter sagt, es existiert in Deutschland kein einheitliches Lage-Bild zur Cybersicherheit. So komme man teilweise zu unterschiedlichen Ergebnissen. Deshalb müsse man ans Grundgesetz gehen: "Weil wir nicht nur Notsituationen zusammenarbeiten können, sondern vor allem im Regel-Betrieb zusammenarbeiten müssen. Dabei stehen uns noch gesetzliche Regeln im Weg."

Markus Richter
Markus Richter, Digitalbeauftragter der Bundesregierung: Grundgesetz ändern für ein stärkeres BSI Bildrechte: picture alliance/dpa/dpa Pool

Auf dem Weg zur Grundgesetzänderung haben die Bundesländer ein gehöriges Wörtchen mitzureden. Sie sind für die Gefahrenabwehr zuständig. So steht es im Grundgesetz. Gilt das auch für die Abwehr von Cyber-Gefahren? Darüber scheint es keine einheitliche Meinung zu geben. Geht es nach Bundesinnenministerium und BSI, müsste das Grundgesetz an zwei Stellen geändert werden. Dort soll die Passage "für die Gewährleistung der Sicherheit in der Informationstechnik" eingefügt werden. An den gleichen Stellen im Grundgesetz ist seit 1949 das Bundeskriminalamt gesetzlich geregelt. In der zweiten Jahreshälfte soll ein erster Gesetzentwurf zum BSI als Zentralstelle vorliegen.

Ein Papier, das dem MDR vorliegt, listet auf, was das BSI für die Länder leisten könnte:

  • Das BSI könnte den Bundesländern genau auf sie zugeschnittene Warnmeldungen und Lage-Bilder geben.
  • Das BSI könnte eine Plattform betreiben, auf der die Länder technische Informationen zu Vorfällen und Angriffs-Methoden abrufen.
  • Das BSI könnte Hard- und Software im Auftrag der Länder prüfen.
  • Das BSI könnte für die Netze der Landesregierungen auch ein Schadprogramm-Erkennungs-System betreiben.
  • Und das BSI könnte in einer IT-Krise helfen und gemeinsam mit den Ländern entscheiden, wer welche Kapazitäten hat und wer wen unterstützen kann.

Ist das BSI eine Zentralstelle, ließe sich das ohne bürokratischen Aufwand bewerkstelligen. Der Landkreis Anhalt-Bitterfeld hatte 2021 mehrfach Amtshilfeersuchen stellen müssen.

Drei Jahre nach Anhalt-Bitterfeld: Noch immer ein Cyber-Flickenteppich

Aber gegen eine Grundgesetzänderung sträuben sich die Landesregierungen von Bayern und Baden-Württemberg. Sie haben eigene IT-Sicherheitsbehörden. Die Regierungen der mitteldeutschen Bundesländer äußern sich nicht eindeutig. Sachsens Staatskanzlei schreibt auf MDR-Anfrage, man bringe sich konstruktiv in die Abstimmungen zu einer BSI-Zentralstelle ein.

Thüringens Innenministerium schreibt, man begrüße grundsätzlich den Plan, dass Bund und Länder bei der Cybersicherheit intensiver zusammenwirken. Die Thüringer Bundestagsabgeordnete Martina Renner (Linke) ist Mitglied im Bundestagsinnenausschuss. Sie sagt, das BSI müsse als zentrale Stelle für Sicherheit, Resilienz und Wiederherstellung von IT-Systemen in Verwaltung und kritischen Infrastrukturen sorgen. Es müsse größere gesamtgesellschaftliche Schäden verhindern.

Eine BSI-Sprecherin sagte dem MDR, dass die Befugnisse der Länder nicht berührt werden würden. "Bund und Länder bleiben weiter für ihre IT-Sicherheit selbst verantwortlich. Es kommt etwas hinzu, aber es wird niemandem etwas weggenommen."

BSI-Zentralstelle: Uneinigkeit bei mitteldeutschen Ländern

Wer in Sachsen-Anhalt für Cybersicherheit zuständig ist, scheint nicht ganz klar. Es könnte das FDP-geführte Digitalministerium oder das CDU-geführte Innenministerium sein, das sich auf seiner Internetseite auch als "Sicherheitsministerium" bezeichnet. Sachsen-Anhalts Landesregierung hat deshalb keine einheitliche Meinung, ob das BSI zu einer Zentralstelle werden soll.

Das Digitalministerium unterstützt eine starke Stellung des BSI. Es sieht allerdings auch rechtliche Hürden: Es bestehe die Gefahr, dass der Bund in die hoheitliche Kompetenz der Länder eingreife. Außerdem: "Durch eine ausschließliche Gesetzgebungs-Kompetenz des Bundes bleiben den Ländern nur sehr eingeschränkte Möglichkeiten, die Zentralstelle mitzugestalten", so das Digitalministerium. Die Sorge ist wohl: Würde das BSI weiterentwickelt, könnten die Länder nicht mehr mitreden.

Ganz anders Sachsen-Anhalts Innenministerium: Das lehnt grundsätzlich ab, das Grundgesetz zu ändern und das BSI zu einer Zentralstelle auszubauen. Das Innenministerium hatte beim Hackerangriff auf den Landkreis Anhalt-Bitterfeld 2021 nicht geholfen.

Das Digitale und die deutschen Verwaltungen: Mehr dazu

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT HEUTE | 06. Juli 2024 | 19:00 Uhr

2 Kommentare

DanielSBK vor 31 Wochen

2,5 Mille Schaden ... in jedem anderen Wirtschaftsbetrieb hätte es für den Verursacher die Fristlose Kündigung gegeben! Dekadent, dass für diesen Fauxpas der Steuerzahler bluten muss!

OttoDenktMit vor 31 Wochen

Wer ist der Verursacher?

Mehr aus Anhalt, Dessau-Roßlau und Landkreis Wittenberg

Freibad Sanierung 3 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK

Mehr aus Sachsen-Anhalt

Unterhaltung

Vereinsgebäude Miteinander e.V. Außenansicht, Villa mit Treppenaufgang.
Im Vereinsgebäude des Miteinander e.V. finden Beratungsgespräche mit Betroffenen von rechter Gewalt statt. Bildrechte: MDR/Chiara Swenson