Mi. Mai 25th, 2022

Noch nie legten Hacker eine deutsche Stadt oder einen Landkreis komplett lahm – dann traf es eine Verwaltung in Sachsen-Anhalt mit voller Wucht. Der Schaden ist gewaltig, nicht nur finanziell, wie eine Rekonstruktion des Desasters, die Journalist Peter Maxwill für SPIEGEL.panorama erstellt hat, zeigt.

Die Katastrophe kündigte sich am frühen Morgen des 6. Juli 2021 an. Oliver Rumpf saß im Auto, auf dem Weg zur Arbeit in die sachsen-anhaltische Kreisstadt Köthen, als sein Handy klingelt. Ein Kollege aus seinem Team, das in der Landkreisverwaltung die IT betreut, berichtet, das „irgendwas“ nicht stimmen würde, denn er könne nicht mehr auf alle Server zugreifen. Rumpf, der nicht nur IT-Chef ist sondern auch zugleich den seit Monaten erkranten IT-Sicherheitsbeauftragten ersetzt hofft da noch, es gebe eine einfache Erklärung, doch wenig später kann er das Folgende lesen: „Landkreis Anhalt-Bitterfeld, you are fucked. DO NOT TOUCH ANYTHING!“ Angefügt war eine Verlinkung ins Darknet und die Aufforderung: „POG“ – „Pay or grief“ / „Zahle oder leide“.

Oliver Rumpf initiiert den digitalen Backout, fährt sämtliche Server für die 1062 Computern des Landratsamtes, vom Rechnungswesen bis zur Führerscheinstelle, herunter und ruft Thomas Leich an, IT-Fachmann und Professor für Wirtschaftsinformatik an der Hochschule Harz in Wernigerode. Während des Telefonats beobachtet der IT-Chef, wie sich ein Rechner seiner Kollegen unmittelbar nach dem Anschalten verschlüsselt. Leich ist überzeugt: „Das ist was Großes. Sagen Sie dem Landrat Bescheid, das können Sie nicht allein bewerkstelligen.“ Der Der Landkreis ist eine Gegend fast fünfmal so groß wie Leipzig mit rund 160.000 Einwohnern; seine Verwaltung schaltet sofort das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein und informiert Ermittler des Landeskriminalamts sowie Experten des für Sachsen-Anhalt zuständigen „Cyber Emergency Response Teams Nord“.

An Tag drei gibt es Ernüchterung: fast alle Server und Fachanwendungen sind betroffen, sämtliche E-Mails unwiederbringlich verloren. Dabei sind die Server keineswegs zerstört, sondern die auf ihnen gespeicherten Daten wurden lediglich auf unbekannte Art und Weise verschlüsselt. Dies ist das Geschäftsmodell der Hacker-Erpresser: Sie bieten gegen viel Geld ein Programm an, mit dem sich sämtliche Daten wieder entschlüsseln lassen sollen. Wird nicht gezahlt, bleibt der Zugriff auf sämtliche Inhalte für immer versperrt. Genaueres weiß die Öffentlichkeit bis heute nicht, doch geht das gerücht um, es habe sich um eine halbe Million Euro gehandelt, zahlbar in der Kryptowährung Monero. Doch diese Option schloss Landrat Andy Grabner von vorn herein aus – sprich: Die öffentliche Hand will sich nicht erpressbar machen.

Lesen sie den Artikel HIER (kostenpflichtig) weiter!