Gute Arbeit?

Jeder Euro hilft, neue Recherchen zu realisieren!

Cyberangriffe auf kritische Infrastruktur

Diskretion als oberstes Gebot

„Hochprofessionelle internationale Cyberkriminelle“ verübten Mitte November 2023 einen Angriff auf die IT-Infrastruktur der Rostocker Straßenbahn. Seine Auswirkungen sind noch immer nicht vollständig behoben. Der Fall rückt die sogenannte kritische Infrastruktur in den Fokus: Krankenhäuser, Leitstellen, Versorger – sind hier Angriffe erfolgreich, kann das nicht nur die öffentliche Sicherheit gefährden. Deshalb ist die Strategie der Verantwortlichen klar: Risiken zu minimieren, indem möglichst wenig Informationen preisgegeben werden.

Energie, Trinkwasser, Gesundheitswesen, Verkehr: Mit kritischer Infrastruktur sind Einrichtungen und Versorgungsstrukturen gemeint, denen eine „besondere Bedeutung für das staatliche Gemeinwesen“ zukommt. Werden sie durch einen Angriff beeinträchtigt oder fallen aus, können nicht nur Versorgungsengpässe und Störungen entstehen, sondern die Folgen für die Bevölkerung erheblich sein.

Mitte November vergangenen Jahres verübte die internationale, primär aus Russland agierende Tätergruppe LockBit einen sogenannten Ransomware-Angriff auf die Rostocker Straßenbahn AG (RSAG). Bei einem solchen Angriff verschlüsseln die Hacker:innen Daten und fordern für deren Entschlüsselung beziehungsweise Nichtveröffentlichung Geld. Die Attacke legte bei der RSAG nicht nur betriebsinterne Abläufe bis in den Bereich der Finanzbuchhaltung lahm. Auch rund 100.000 Datensätze sowohl von Kund:innen als auch von Mitarbeitenden sollen die Täter:innen gestohlen haben. Die Ermittlungen wegen des Verdachts auf Computerspionage und Erpressung wurden laut der zuständigen Staatsanwaltschaft Rostock „mittlerweile eingestellt“. Die Täter hätten nicht identifiziert werden können, so eine Sprecherin Ende August.

Langwierige Folgen von Cyberangriffen

Für das Unternehmen hatte der Angriff zum einen eine Untersuchung durch IT-Forensiker:innen und Staatsanwaltschaft zur Folge. Zum anderen musste die gesamte Netzwerkumgebung neu aufgesetzt, mussten Server und Software neu installiert werden. Die Auswirkungen auf die Fahrgäste zeigten sich – neben womöglich gestohlener personenbezogener Daten – vor allem in einem eingeschränkten Kundendienst. Beim Linienverkehr selbst habe es nach Angaben der RSAG keine Einschränkungen gegeben.

Wie langwierig das Aufräumen und Neuordnen nach einem solchen Sicherheitsvorfall ist, wird nicht nur beim Blick nach Rostock deutlich. Auch fast ein Jahr später funktionieren dort nicht alle Haltestellenanzeigen. Hier müsse Hardware nachgerüstet werden, was „aufgrund der Abhängigkeit von globalen Lieferketten“ länger brauche, schreibt die RSAG. Alles in allem waren im August jedoch „90 Prozent aller Anwendungen wiederhergestellt“.

Die Nachwirkungen eines Hackerangriffs auf den Landkreis Vorpommern-Rügen Ende November 2023 sind ebenfalls noch spürbar. So ist beispielsweise das Ratsinformationssystem, über das die Sitzungsprotokolle des Kreistags und der Ausschüsse bereitgestellt werden, weiter nicht abrufbar. Es werde mit Hochdruck am Wiederaufbau gearbeitet, hieß es im Juni. Wann der Normalzustand wiederhergestellt ist, konnte der Kreis im Sommer noch nicht sagen. Es gehe aber in kleinen Schritten voran, sagte eine Sprecherin im August. Seit Anfang Oktober ist die Kreisverwaltung nun wieder über die üblichen Mailadressen erreichbar. Wie Landrat Steffen Kerth sagte, seien die Arbeiten aber auch weiterhin noch nicht abgeschlossen.

Zahl der Angriffe unbekannt

In den vergangenen Jahren hat bereits eine beträchtliche Zahl an Angriffen auf die kritische Infrastruktur in MV stattgefunden. Betroffen waren neben Landesregierung und -polizei zum Beispiel auch die Stadtwerke Wismar. Wie viele es insgesamt waren, bleibt aber offen.

Unternehmen der kritischen Infrastruktur, die bestimmte Voraussetzungen erfüllen, sind verpflichtet, Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Sie werden als sogenannte Kritis-Unternehmen bezeichnet. Wie viele solcher Firmen es in MV gibt, will das BSI auf Nachfrage nicht beantworten. Laut Landesinnenministerium ist die Zahl, „auch bedingt durch die geringe Bevölkerungsdichte[,] sehr gering“. Auch zur Zahl der Unternehmen, die die Voraussetzungen nicht erfüllen, aber dennoch Teil der kritischen Infrastruktur sind, will sich das Ministerium nicht äußern.

Das BSI wiederum teilt mit, dass es die Zahl der ihm gemeldeten Sicherheitsvorfälle in MV nicht angeben könne. Die Meldungen würden „nicht nach Bundesländern aufgeschlüsselt“, so eine Sprecherin. Zudem wären in der Gesamtzahl nicht nur Meldungen zu Cyberangriffen eingeschlossen, sondern auch IT-Sicherheitsvorfälle, die die Betreiber zum Teil freiwillig angeben. Hinter wie vielen der im ersten Halbjahr vom BSI angegebenen Störungen – 371 an der Zahl – sich Cyberangriffe verbergen und welche davon auf Strukturen in MV gerichtet waren: unbekannt.

Hierüber kann die Landesregierung, genauer das CERT MV – kurz für Computer Emergency Response Team aufklären – zumindest teilweise. Das CERT überwacht die IT-Sicherheit der kommunalen und staatlichen Stellen in MV. Zudem ist die öffentliche Verwaltung gegenüber dem CERT meldepflichtig. Wie das Innenministerium auf Anfrage mitteilt, seien Sicherheitsvorfälle bei IT-Systemen von Kritis-Unternehmen im Bundesland nicht bekannt. Das schließt allerdings all die Unternehmen und Stellen aus, die eben nicht zur Kritis-Gruppe gehören. So etwa auch den Fall der RSAG.

Der Zeitstrahl stellt die verschiedenen Cyberangriffe auf kritische Infrastruktur in Mecklenburg-Vorpommern dar. Darunter Angriffe auf die Stadtwerke Wismar, den kommunalen IT-Dienstleister der Verwaltungen in Schwerin und Ludwigslust-Parchim, Webseiten der Landesregierung MV und der Landespolizei, auf die Rostocker Straßenbahn AG, die Kreisverwaltung Vorpommern-Rügen und die Johannisstift-Diakonie, zu der das Klinikum Amsee in Waren gehört.

Weniger Informationen für mehr Sicherheit

Dass es Angriffe gibt, steht außer Frage. Doch wie viele pro Tag auf die Firewalls einprasseln und welcher Natur diese sind, können nur die betroffenen Unternehmen selbst einschätzen. Das Dietrich-Bonhoeffer-Klinikum in Neubrandenburg und die Stadtwerke Greifswald möchten sich zu Details nicht äußern. Ausführungen zu Anzahl und Art der Angriffe sowie der Reaktionen der Unternehmen darauf wären bereits dazu geeignet, Täter:innen Hinweise zu Angriffen zu liefern. Es gebe klare Regeln, „was wohin und in welchem Umfang kommuniziert werden darf“, schrieb eine Stadtwerkesprecherin dazu. Gerade in den vergangenen Jahren sei das Bewusstsein „für die Kritikalität solcher Informationen“ gestiegen.

Auch die Integrierte Leitstelle (ILS) Westmecklenburg und der für die ILS Seenplatte zuständige Landkreis Mecklenburgische Seenplatte halten sich zu Angriffszahlen und Sicherheitsmaßnahmen bedeckt. Es werde ein enormer Aufwand für die Sicherheit betrieben, deshalb seien die entsprechenden Maßnahmen „top secret“ und nur einem eingeschränkten Personenkreis zugänglich, erklärte der Leiter der ILS Westmecklenburg, Alexander Gabler, im Sommer. Die Frage, ob aus seiner Sicht noch öffentlich über die Infrastruktur der Leitstelle oder deren Systeme gesprochen werden sollte, verneint er entschieden. So sieht es auch der Kreis MSE: so wenig wie möglich über das Sicherheitskonzept und die Leitstelle an sich öffentlich kommunizieren. Das gilt als Risikominimierung.

Während für Hacker:innen verschiedene Gründe hinter einem Angriff stehen können – Neugier, Geld oder politische Motive –, reichen die Konsequenzen ihres möglichen Erfolgs potenziell weit. Was es für eine Leitstelle bedeuten könnte, deutet Gabler an. Bei einem Ausfall, dem Worst Case, müsste für die Einsatzbereiche – die Landkreise Ludwigslust-Parchim, Nordwestmecklenburg und die Stadt Schwerin – sofort der Katastrophenfall ausgerufen werden. Krankentransporte würden ausfallen und die Notfallrettung sich stark verzögern. Mögliche Folgen beschränken sich dabei aber nicht nur auf die Leitstellen. So weist der Landkreis Mecklenburgische Seenplatte darauf hin, dass auch Feuerwehr und Rettungsdienst selbst, ebenfalls Teil der kritischen Infrastruktur, betroffen wären.

Nichts davon möchten sich die Beteiligten als Realität ausmalen. Entsprechende Sicherheitskonzepte müssen dennoch vorhanden sein. Sie sind nötig, wie die Fälle von RSAG und Vorpommern-Rügen gezeigt haben. In Rostock wolle man künftig die unternehmenseigenen IT-Systeme und Anwendungen „noch intensiver“ auf mögliche Risiken hin untersuchen, so eine Sprecherin. Und obwohl „hundertprozentige Sicherheit“ nicht erreicht werden könne, wie die RSAG feststellt, sind aufgrund der angespannten „Cyberbedrohungslage“ wohl jedwede präventive Maßnahmen gerechtfertigt.

Dieser Artikel erschien in KATAPULT-MV-Ausgabe 35. Er wurde am 15. Oktober 2024 aktualisiert und korrigiert. So war in der ursprünglichen Version des Zeitstrahls der Hack des Instagram-Profils von Eva-Maria Kröger für Februar 2022 eingetragen. Richtig ist 2023.

Quellen

  1. §§ 2-9 BSI-Kritisverordnung / Bundesministerium des Innern (Hg.): Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), S. 5, auf: bmi.bund.de (17.6.2009).
  2. § 13a I Landeskatastrophenschutzgesetz MV.
  3. Kuhn, Thomas; DPA: Ermittler legen eine der gefährlichsten Hackergruppen lahm, auf: wiwo.de (20.2.2024).
  4. E-Mail der Staatsanwaltschaft Rostock vom 13.8.2024 / E-Mail der RSAG vom 13.8.2024.
  5. Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hg.): Ransomware – Fakten und Abwehrstrategien, auf: bsi.bund.de.
  6. RSAG (Hg.): Fragen und Antworten zum Cyber-Angriff, auf: rsag-online.de.
  7. E-Mail der Staatsanwaltschaft Rostock vom 28.8.2024.
  8. Laut der RSAG wurde die Gruppe Anfang 2024 gefasst. Daher bewertet das Unternehmen einen möglichen Missbrauch der erbeuteten Daten als „sehr unwahrscheinlich“.
  9. Landkreis Vorpommern-Rügen (Hg.): Aktuelle Informationen zum Ausfall der IT-Systeme, auf: lk-vr.de.
  10. Landkreis Vorpommern-Rügen (Hg.): Ratsinformationssystem, auf: lk-vr.de.
  11. Telefonat mit der Pressestelle des Landkreises Vorpommern-Rügen am 6.6.2024.
  12. Telefonat mit der Pressestelle des Landkreises Vorpommern-Rügen am 9.8.2024.
  13. Landkreis Vorpommern-Rügen (Hg.): Kreisverwaltung wieder über gewohnte E-Mail-Adressen erreichbar, auf: lk-vr.de (8.10.2024).
  14. BSI (Hg.): Die Lage der IT-Sicherheit in Deutschland 2023, S. 58, auf: bsi.bund.de (Stand: Oktober 2023) / Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz.
  15. E-Mail des BSI vom 9.8.2024 (I).
  16. E-Mail des Ministeriums für Inneres, Bau und Digitalisierung MV vom 5.8.2024.
  17. E-Mail des Ministeriums für Inneres, Bau und Digitalisierung MV vom 8.8.2024.
  18. E-Mail des BSI vom 9.8.2024 (II).
  19. BSI (Hg.): Historie gemeldeter Störungen nach Sektoren, auf: bsi.bund.de.
  20. Landtag MV (Hg.): Kleine Anfrage des Abgeordneten David Wulff, Fraktion der FDP. Cybersicherheit in Mecklenburg-Vorpommern und Antwort der Landesregierung, S. 2, auf: dokumentation.landtag-mv.de (21.8.2023).
  21. E-Mail des Dietrich-Bonhoeffer-Klinikums Neubrandenburg vom 5.8.2024 / E-Mail der Stadtwerke Greifswald vom 6.8.2024.
  22. Mit Kritikalität ist in diesem Zusammenhang die Bedeutsamkeit der Informationen vor dem Hintergrund ihrer womöglich strafbaren Verwendung gemeint.
  23. E-Mail der Stadtwerke Greifswald vom 5.8.2024.
  24. E-Mail der Integrierten Leitstelle Westmecklenburg vom 2.8.2024.
  25. Telefonat mit der Pressestelle des Landkreises Mecklenburgische Seenplatte am 5.8.2024.
  26. BSI (Hg.): Cybersicherheitslage im Zusammenhang mit dem russischen Angriff auf die Ukraine, auf: bsi.bund.de (30.3.2024).

Autor:in

  • Redakteurin in Greifswald

    Geboren in Berlin, aufgewachsen in Berlin und Brandenburg. Tauschte zum Studieren freiwillig Metropole gegen Metropölchen.

Gute Arbeit?

Jeder Euro hilft, neue Recherchen zu realisieren!