Ein Cyber-Katastrophenfall ist ein nach einem Cyberangriff (Hackerangriff) ausgelöster Katastrophenfall. Dieser Begriff hat im staatlichen Katastrophenschutz die Bedeutung, dass die Behörden juristisch nach der Ausrufung des Katastrophenfalls dazu ermächtigt werden, Alarm- und Sicherheitsmaßnahmen in Gang zu setzen. Es treten Pflichten, Rechte und Einsatzpläne in Kraft. Die zuständige Regierung warnt die Bevölkerung, leitet Hilfsmaßnahmen ein und kann Hilfsgelder aktivieren.
Abläufe nach Ausrufung eines Katastrophenfalles
In Deutschland ruft der Hauptverwaltungsbeamte der betroffenen Region den Katastrophenfall aus. Dies ist der Oberbürgermeister oder Landrat. Nach der Ausrufung gehen sowohl die Einsatzleitung als auch die Kostentragungspflicht auf seine Behörde über. Er kann nach den Ermächtigungen seines Landeskatastrophenschutzgesetzes agieren.
Ausgenommen von dieser administrativen Kette ist die Feuerwehr, die selbstständig einen Ausnahmezustand erklären kann, um kurzfristig zusätzliche Einsatzkräfte aktivieren zu können. Die Entscheidung, einen Katastrophenfall auszurufen, hat erhebliche finanzielle Folgen, weil die danach eingeleiteten Maßnahmen einen erheblichen Finanzbedarf verursachen. Dementsprechend ist diese Entscheidung juristisch gut abzuwägen. Ein voreiliges Ausrufen kann zu unvertretbaren Kosten führen, die dann eine Versicherung oder ein zuständiger staatlicher Fonds nicht übernehmen würden. Ein verspätetes oder unterlassenes Ausrufen kann den Schaden erheblich vergrößern und Menschenleben kosten, wie bei der Hochwasserkatastrophe im Sommer 2021 geschehen. Hierfür muss sich ein Landrat juristisch verantworten.
Konsequenzen durch den Cyber-Katastrophenfall
Da Infrastrukturen heute digital vernetzt sind, kann ein Hackerangriff auf diese Strukturen eine Katastrophe auslösen, so etwa den Zusammenbruch der Wasser- und Energieversorgung, der Kommunikationsstrukturen oder des Gesundheitswesens. Wenn das geschieht, ist der Cyber-Katastrophenfall auszurufen. Hacker greifen mit erpresserischer Absicht und seltener mit terroristischen Motiven solche Strukturen an. In der Regel schleusen sie einen Verschlüsselungstrojaner ein, der den Zugriff auf die Systeme sperrt. Dann fordern sie eine hohe Summe, nach deren Zahlung sie die Daten wieder freigeben.
Ausrufung des Cyber-Katastrophenfalls im Landkreis Bitterfeld-Anhalt am 9. Juli 2021
Am 9. Juli 2021 rief der Landkreis Bitterfeld-Anhalt den Cyber-Katastrophenfall nach einem Hackerangriff aus. Es war der erste Fall dieser Art in Deutschland. Der Angriff hatte relativ viele Computer des Landratsamtes lahmgelegt, den Rest schalteten die Mitarbeiter*innen ab und trennten sie vom Netz, um den Schaden zu begrenzen. Damit wurde die Verwaltung so gut wie handlungsunfähig.
Der Landkreis hat rund 160.000 Bewohner, die anschließend erhebliche Einschränkungen hinnehmen mussten. Es konnten weder Elterngelder ausgezahlt noch Autos zugelassen oder Bauanträge sachgerecht bearbeitet werden, um nur einige Beispiele zu nennen. Die Hacker hatten Ransomware auf die Rechner gespielt, die Daten verschlüsselt und Lösegeld verlangt. Solche Angriffe hat es auch früher schon auf deutsche Behörden und auf Unternehmen sowieso gegeben.
Den Cyber-Katastrophenfall rief der Landkreis aus, weil nichts mehr funktionierte. Es bestand also beispielsweise die Gefahr, dass bei einer Naturkatastrophe wegen des Nichtfunktionierens der Alarm- und Kommunikationssysteme erheblicher Personen- und Sachschaden entsteht. Durch die Ausrufung des Cyber-Katastrophenfalls konnte der betroffene Landkreis unter anderem die Hilfe der Bundeswehr anfordern. Der Landkreis benötigte danach rund acht Wochen, um seine IT-Infrastruktur wieder aufzubauen. Dabei halfen IT-Experten der Bundeswehr aus dem Kommando Cyber- und Informationsraum. Sie formatierten Festplatten, stellten den Umfang des Schadens fest und bereiteten die Rekonstruktion von Daten durch eine private Fachfirma vor.
Die Hacker hatten, da das Landratsamt der Erpressung nicht nachgab, im Darknet Telefonnummern, Privatadressen und Bankdaten von 92 Personen veröffentlicht, darunter 40 Kreistagsmitglieder. BSI-Experten überwachten nach dem Cyberangriff permanent das Darknet, um weitere Veröffentlichungen feststellen zu können. Auch diese Hilfe wurde durch die Ausrufung des Cyber-Katastrophenfalls möglich. Die Betroffenen wurden über die Veröffentlichung ihrer Daten informiert.
Prognose zu Cyber-Katastrophenfällen
Die Gefahren durch Hackerangriffe sind gut bekannt, die Schäden gut dokumentiert: Im Jahr 2020 lagen sie für die deutsche Wirtschaft bei 223 Milliarden Euro. Dieser Schaden setzt sich aus tatsächlich gezahlten Lösegeldern und wirtschaftlichen Ausfällen zusammen. Er dürfte in Wahrheit deutlich höher liegen, weil viele Unternehmen stillschweigend zahlen und die Behörden nicht einschalten.
Zu den Angriffen auf öffentliche Verwaltungen gibt es bisher keine offiziell publizierten Daten. Es ist nur bekannt, dass es solche Angriffe weltweit gibt und dass in Deutschland Bitterfeld-Anhalt der erste Landkreis war, den den Cyber-Katastrophenfall ausrufen musste, weil er sich selbstständig nicht mehr helfen konnte. Eine vorsichtige Prognose des BKA geht im Herbst 2021 davon aus, dass es künftig pro Jahr zwischen zwei und fünf solcher Fälle in Deutschland geben könnte. Dieser Umfang ließe sich aber laut Experten des BKA eindämmen, wenn die Verwaltungen ihre IT aufrüsten würden. So setzte das Landratsamt Bitterfeld-Anhalt veraltete Hard- und Software ein, die den Angriff deutlich erleichterte.
Vorbeugung gegen Hackerangriffe und Verhalten im Schadensfall
Es gibt sehr viele Maßnahmen, mit denen sich einem Hackerangriff vorbeugen lässt:
- Einsatz moderner IT inklusive Antiviren- und Antispamprogrammen sowie leistungsfähiger Firewalls
- permanente Backups für die Datenrecovery im Schadensfall
- Schulung der Beschäftigten, Einweisung auch gegen Social Engineering
- enger Kontakt zu externen IT-Experten, die im Notfall sofort helfen können
Permanente Backups sind heute in der Cloud möglich. Natürlich ist hierfür eine leistungsfähige und DSGVO-konforme Cloud (mithin eines EU-Anbieters) erforderlich. Schon wenn die Daten auf diese Weise im Sekundentakt gesichert werden, haben Hacker praktisch keine Chance mehr, eine Verwaltung oder ein Unternehmen durch Verschlüsselung der eigenen Daten zu erpressen. Diese liegen in der Cloud mit jeweils letztem Stand vor. Der größten Schaden besteht dann darin, die verschlüsselte Hardware neu zu formatieren (wie auch in Bitterfeld-Anhalt geschehen). Allerdings hilft das Backup nicht gegen Datendiebstahl und die erpresserische Nutzung dieser Daten. Hiergegen muss eine IT-Landschaft mit sehr leistungsfähigen Abwehrmaßnahmen geschützt werden. Als ein großer Schwachpunkt gelten die Beschäftigten. Sie öffnen gedankenlos Anhänge von Mails, in denen Trojaner versteckt sind, auch lassen sie sich per Social Engineering ihre Passwörter abschwatzen. Dagegen hilft wirklich nur Schulung. Wenn es nun doch zu einem erfolgreichen Angriff mit anschließender Erpressung kommt, raten BKA-Experten, dieser nicht nachzugeben. Es ist keinesfalls sicher, dass die Erpresser nach der Lösegeldzahlung die Daten wieder freigeben oder gar gestohlene Daten löschen. Letztere können noch jahrelang im Darknet verhökert werden, das lässt sich kaum kontrollieren. Das permanente Backup gilt daher als Nonplusultra der Erpresserabwehr. Wenn eine IT durch Ransomware komplett ausfällt, entsteht in der Tat eine Cyber-Katastrophe. Mit dem Wissen jedoch, dass die Daten jederzeit zu rekonstruieren sind, können sich die Verantwortlichen entspannt zurücklehnen und den Erpresser abblitzen lassen.