rC3 NOWHERE Vorspannmusik
Herald: Willkommen zurück in Halle, aus
unserem ChaosZone TV-Studio. Der nächste
Vortrag ist von egouvernante und HonkHase,
es geht um "Rebuilding Landkreis Anhalt-
Bitterfeld". egouvernante ist eigentlich
eine Projektkoordinatorin zur
Digitalisierung im Landkreis, hat sich
aber im Juli 2021 als Einsatzleiterin "das
technische Feuer zu bekämpfen"
wiedergefunden. HonkHase ist ein Urgestein
im Chaos Computer Club und hat viel
Erfahrung mit Cybersicherheit als Berater.
Er ist auch politisch aktiv in der NGO AG
Kritis für kritische Infrastruktur. Viel
Spaß!
egouvernante: Ja hi und schönen guten
Abend zusammen! Wir freuen uns, dass ihr
hier seid, um euch ein bisschen was aus
erster Hand zum Vorfall im Landkreis
Anhalt-Bitterfeld anzuhören. Seit ich
meine eigentlichen, also in meine
eigentlichen Aufgaben als CDO
zurückgekehrt bin, nehme ich öfter mal an
Webkonferenzen teil und dann höre ich
öfter mal so die Argumentation: hört auf
mich, egal was ich erzähle, ne, sonst geht
es euch wie denen, nämlich dem Landkreis
Anhalt-Bitterfeld. Und ich denke, das ist
einfach ein bisschen zu kurz gesprungen.
Und ich glaube, der Vorfall taugt
letztlich zu mehr als nur zum
Verkaufsargument der eigenen Ansichten.
Und deswegen der Titel "Rebuilding
Landkreis Anhalt-Bitterfeld". Ich berichte
ein bisschen was zum Wiederaufbau.
HonkHase hatte mich heute als konstruktiv
angekündigt. Das heißt, ich gebe mir Mühe,
und Zeit also ein paar Erfahrungen zu
teilen. Und inzwischen haben wir nämlich
auch die Zeit und die Nerven dafür.
"Rebuilding Landkreis Anhalt-Bitterfeld".
Also was war passiert? Am 6.7. hat ein
Mitarbeiter im Amt für Brand-,
Katastrophenschutz und Rettungsdienst
seinen Arbeitsplatz-PC eingeschaltet und
sah genau das hier, was auf der Folie zu
sehen ist. "Landkreis Anhalt-Bitterfeld:
You are fucked do not touch anything".
Persönliche Ansprache, ungewöhnlich klares
Statement, das ist man in der Form in der
öffentlichen Verwaltung ja erstmal nicht
gewohnt, aber ein schneller Anruf bei der
IT sollte eigentlich genügen. So zumindest
die Denkweise der Mitarbeiter, und die
würden sich dann schon drum kümmern, und
dann geht es normal weiter. Der Anruf war
so gegen 6:45 Uhr und trat etwas los, was
uns jetzt wahrscheinlich noch bis Ende
März '22 begleiten wird. Was war konkret
passiert? Also am Morgen des 5.7. gehen
wir davon aus, dass auf mehreren Systemen
codierte PowerShell Befehle ausgeführt
wurden, um Backdoors zu etablieren. Also
die ersten Verschlüsselungaktivitäten gab
es dann am 6.7., Das ist der Tag, an dem
wir dann auch davon mitbekommen haben,
davon etwas mitbekommen haben. Das war
schon gegen 4:30 Uhr und auf anderen
Systemen begann die Verschlüsselung
hauptsächlich erst gegen 6:30 Uhr und auf
jedem System wurden zu verschiedenen
Uhrzeiten die Security Logs und einige
andere Ereignisanzeigenlogs geleert und im
Anschluss daran eine Remote-Desktop
Sitzung getrennt. Also zusätzlich wurde
das Remote-Desktop Protokoll gelöscht. Das
heißt, wir werden im Endeffekt gar nicht
mehr so viel wissen können. Wir werden im
Endeffekt keine, keine Informationen,
letztlich also bis zum Schluss haben und
es ist lediglich bekannt, wann die Sitzung
hier beendet wurde. Und es ist weiterhin
davon auszugehen, dass die Verschlüsselung
von Hand ausgelöst wurde, da bei den
Systemen, bei denen eine komplette
Abmeldung durchgeführt wurde, die Systeme
aufhörten Daten zu verschlüsseln. Aber da
uns die Logs fehlen, kann kaum
nachvollzogen werden, welche Tätigkeiten
auf welchen Systemen denn vom Angreifer
durchgeführt wurden. Es ist aber
wahrscheinlich, dass der Angreifer sich
bewusst im System bewegt hat und eben auch
entsprechend ausgewählt hat, was er dort
tut. Die ersten Erkenntnisse haben dann
auch gezeigt, dass der, dass der Angreifer
mit PowerShell Scripts gearbeitet hat und
eben um diese Backdoors zu installieren.
Und was auch gesagt werden kann ist, dass
die Verschlüsselung sehr schnell lief und
dass eben großer Schaden angerichtet
wurde. Das bedeutet im Endeffekt, dass wir
davon ausgehen mussten, dass das komplette
System kompromittiert ist. Und das
bedeutet eben auch, dass wir hier die
ganzheitliche Verfahrensweise geplant
haben. So, also in der Pressemitteilung
war es dann so formuliert und dann eben
auch wurde es dann eben auch so
weitergeführt. Also aus einer ungeklärten
Quelle kam es zur Infektion mehrerer
Server des Netz — mehrere Server des
Netzwerkes. In dessen Folge kam es zur
Verschlüsselung einer noch nicht näher
spezifizierten Anzahl von Dateien und als
Sofortmaßnahme wurden alle kritischen
Systeme vom Netz getrennt um einen
eventuellen Datenabfluss zu unterbinden.
Und im Katastrophenmodus sind wir seit dem
9. Juli 2021 seit 11 Uhr, da waren 3
Tage vergangen. Also im Vorfeld gab es den
Stab für außergewöhnliche Ereignisse. Was
wir in der Zwischenzeit erledigt und
probiert haben, das habe ich schon mal bei
der Stiftung Neue Verantwortung berichtet.
Also kann dann auch nachgehört werden.
Aber vielleicht stellt sich aber nun
anhand der vorangegangenen Informationen
jetzt eigentlich nicht mehr so sehr die
Frage, warum wir den Katastrophenfall
ausgelöst haben. Denn eigentlich war es
relativ schnell klar, dass wir die
technische Infrastruktur, also das die
technische Infrastruktur tatsächlich
zeitlich länger ausfallen würde und auch,
dass es ganz objektiv über das
Eigentliche, also das Ausmaß eines
alltäglichen Schadensereignisses
hinausgeht, und dabei eben auch wie man es
so sagt, die erheblichen Sachwerte oder
lebensnotwendige Versorgungsmaßnahmen,
wenn man das jetzt mal herunterbricht auf
die Aufgaben des Sozialamtes tatsächlich
für die Bevölkerung gefährdet sind oder
eben eingeschränkt waren. Und das eben wie
gesagt auf lange Zeit. Oder drücken wir es
mal anders aus: also die Dienste für
unsere zahlreichen oder zentralen, eben
auch Geschäftsprozesse konnten auf einen
absehbaren Zeitraum nicht mehr erbracht
werden, und es stand zu dem Zeitpunkt
weder ein Backup bereits, auf das wir
zugreifen konnten, noch wussten wir, ob
diese Backups nicht auch kompromittiert
waren. Insofern stand das erstmal auch
nicht zur Debatte. Und dann muss man eben
auch im Hinterkopf haben, dass die
Erklärung oder nicht-Erklärung des
Katastrophenfall eben auch weitreichende
juristische Konsequenzen für eine
Verwaltung haben kann. Und da geht es um
Schadensersatzforderungen, die dann
tatsächlich auch im Endeffekt an uns
herangetragen wurden, weil eben Autos
nicht zugelassen werden konnten oder
Termine nicht vergeben wurden und so
weiter. Und vielleicht ist es ein guter
Zeitpunkt, um mal so in kurzen Auszügen
ein bisschen was zu den Aufgaben der
Landkreisverwaltung erzählen, ohne zu,
ohne jetzt so wahnsinnig ins Detail zu
gehen. Das Amt 50, also unser Amt für
unser Sozialamt, ist zuständig für die
Sozialhilfe. Ich denke, das stand im
Vorfeld, das war das Wichtigste, weil das
waren die Leute, die uns direkt angerufen
haben. Also deren Aufgabe ist die
Auszahlung der Sozialhilfe oder die
Berechnung der Sozialhilfe. Das ist die
Altenhilfe, die Feststellung und
Durchsetzung von Unterhaltsansprüchen. Und
da geht es um ganz essentielle
Angelegenheiten der Menschen. Und ohne das
Amt 20, also die Kämmerei, passiert da
auch nicht viel, denn das wickelt den
kompletten Zahlungsverkehr ab und es
reicht nicht, das zu berechnen, sondern es
muss auch tatsächlich ausgezahlt werden
können. Mahnverfahren müssen eingeleitet
werden und so weiter. Also mit dem Bereich
Soziales, oder in den Bereich Soziales
fallen des Amts für
Ausländerangelegenheiten, aber eben auch
das Jugendamt. Letzteres hat, um so die
Vehemenz und Dringlichkeit der, der
Aufgaben zu erklären, ein Schutzauftrag
zum Beispiel bei Kindeswohlgefährdung. Und
das heißt, ihr obliegt eben auch die die
Geltendmachung von Unterhaltsansprüchen,
also Unterhaltsvorschussgesetz und so
weiter. Und das sind Vorgänge, die eben
existenziell wichtig sind für die Bürger
und auch wirtschaftlich existenziell
bedrohlich sind tatsächlich auch die
Leistungen des Ordnungsamtes, weil hier
drin untergliedert sind eben auch die KFZ-
Zulassung und die und die
Führerscheinangelegenheiten, also das
Fahrerlaubnisrecht. Und das kann eben
alles sein, vom PKW bis zum Mähdrescher.
Und Menschen leben vom Handel mit
Fahrzeugen, sie leben aber auch mitunter
mit der, also von der Nutzung ihrer
Fahrzeuge, indem sie einfach zur Arbeit
fahren. Und dann spielt auch eine ganz
tatsächlich, also sehr wichtige Rolle, wie
jeder weiß, das Gesundheitsamt und die
Verhütung und Bekämpfung eben übertragbare
Krankheiten steht da im Fokus. Also jetzt
unser Infektionschutzgesetz geradezu zu
Covid-19-Zeiten ist so aktuell wie nie.
Und auch nicht ganz unproblematisch ist
eben auch die fehlende Überwachung der
Leichenschau und der von Totenscheinen.
Und ich will jetzt nicht allzu sehr weiter
ins Detail gehen. Aber die
Landkreisverwaltung hat eben auch in dem
Bereich des Inneren Aufgaben, die ganz
normal durchgeführt werden müssen. Also
das sind normale Vergaben, das sind
Bekanntmachungen. Das ist aber eben auch
die Organisation des Sitzungsdienstes, und
weil die politischen Gremien eben auch
nicht, weil wir einen Katastrophenfall
haben, die Arbeit einstellen. Und die
erste Frage lautete dann eben auch vom
BSI, ob wir noch die Möglichkeit haben bei
der Bundestagswahl — also wir haben
natürlich auch den Kreiswahlleiter, also
ob die Bundestagswahl quasi in unserem
Kreis gefährdet ist. Ansonsten
Schulverwaltungsamt, klar, uns geht
wahnsinnige Summen verloren, wenn wir
jetzt z.B. beim Digitalpakt Schule
nicht arbeiten können und auch Veterinär-
und Lebensmittelüberwachung, das mit der
Tierseuchenbekämpfung, dem Tierschutz und
dem Schlachttier- und Fleischbeschau
befasst, ist natürlich irgendwo auch
kritisch bei der bei der
Lebensmittelproduktion so einzuordnen. Und
wenn wir jetzt auch mal den Blick nach
Innen richten warum dieser
Katastrophenfall ausgelöst wurde, wussten
wir zu dem Zeitpunkt nicht, wann wir
irgendwas wieder hochfahren können und
wenn wir es hochfahren, dass
gegebenenfalls die Verschlüsselung
weitergeht. Und deswegen musste neue
Technik beschafft werden, insbesondere
auch bei der Bereitstellung des Notnetzes.
Und im Normalfall ist man als Verwaltung
an Vergaberecht gebunden. Also diejenigen
von euch, die mit Verwaltungen arbeiten,
kennen das, wie lange sich das hinziehen
kann. Und auch wenn aktuell über die
Vereinfachung verstärkt diskutiert wird —
was absolut notwendig ist! — in unserem
Fall hat das Feststellen des
Katastrophenfalls dafür gesorgt, dass
Technik erst mal ohne Vergabeverfahren
beschafft werden konnte. Also es musste
nicht das komplette Vergabeprozedere hier
durchexerziert werden. Es musste nicht
geprüft werden, ob die Gelder im Haushalt
zur Verfügung stehen. Es musste nicht das
Rechnungsprüfungsamt bestätigen, dass die
Gelder zur Verfügung stehen, der
Vergabeausschuss musste nicht einberufen
werden und zusammenkommen und ähm, ohne
Zugriff auf die Daten wäre auch
tatsächlich nichts von all dem möglich
gewesen. Und die Technik für das Notnetz,
das innerhalb einer Woche an 3
Standorten aufgebaut wurde, Lieferfristen
dann eben auch eingerechnet, konnte nach
einer ad-hoc Vorstellung so einfach, also
nach einer ad-hoc Vorstellung von 3
Systemhäusern dann eben einfach beauftragt
werden, was wahnsinnig geholfen hat und
was eben auch der Schnelligkeit, die
eigentlich in den ersten Phasen sein muss,
entspricht. Und weiter geht's mit dem
Ressourceneinsatz. Also alles, was im Haus
"IT" buchstabieren konnte, wurde
zusammengezogen. Das heißt, das Sachgebiet
EDV war zu diesem Zeitpunkt noch im Amt
für Organisation, Personal und EDV
zugeordnet. Andere IT-Kollegen waren dem
Schulverwaltungamt zugeordnet und ich,
weil ich eher in den Themen Verwaltungs-,
Prozesse OZG und Digitalisierung und
Digitalstrategie tätig bin, war dem Amt
für zentrale Steuerung und Recht
zugeordnet. Und mit der Benennung als
technische Einsatzleitung oder technische
Einsatzleiterin war ich dann tatsächlich
mit einem Mal nicht mehr Einzelkämpferin,
sondern hatte eine ganze Traube Menschen
bei mir, also die ITler, die Fachexperten
und eben auch die Assistenten. Und ich
muss an der Stelle auch sagen, dass ich
mich von Tag eins an geweigert habe, das
Sachgebiet EDV als solches zu benennen,
sondern hatte die tatsächlich immer gleich
IT benannt, was dann irgendwann mal dazu
führte, dass im Kat-Stab abgefragt wurde.
Heißen die jetzt IT? Und wir dann diese
Verwaltungsmodernisierung wenigstens in
diesem Punkt sofort umgesetzt haben. Also
jedenfalls, das war noch mal wichtig zum
Thema Ressourceneinsatz. Der war jetzt
händelbar, denn tatsächlich ging es in den
ersten Stunden oder in den ersten Tagen
und Wochen auch um den Zugriff auf
Besprechungsräume, die Kommunikation mit
Externen, die Beschaffung von Technik, den
Personaleinsatz am Wochenende und in der
Nacht, die Anpassung der
Bereitschaftsdienste, des Wachschutzes und
auch um die – ganz profanen, die
Verpflegung der Mitarbeiter. Und das wäre
tatsächlich auch ohne Katastrophenfall in
der Form nicht möglich gewesen und auch
nicht in der Schnelligkeit. Also wie
kommts zum Katastrophen Stab und Incident
Response? Weil da ist es schon so ein
bisschen kollidiert und ich hatte eben
kurz an die Externen und die Gremien
angesprochen und es war in erster Linie
natürlich der Katastrophenstab als
wichtigstes Entscheidungsgremium, das war
die technische Einsatzleitung 1 und die
technische Einsatzleitung 2, komme ich
gleich noch mal darauf zu. Und auch die
Arbeitsgruppe Wiederaufbau, deren
Entscheidungen mittel- bis langfristig
wirken. Und damit waren eben tatsächlich
die Kollision vorprogrammiert. Die einen,
die da zum einen länger an der Behörde
bleiben und die anderen, die relativ
schnell auf klare Entscheidungen drängen
müssen. Ähm … und das trifft mitunter da
drauf, dass so ein Verhalten an den Tag
gelegt wird und dann auch zusätzlich eine
neue Hausspitze etabliert wird oder
gewählt wurde und dann eben sein Amt
antritt. Das war 3 Tage nach dem
Katastrophenfall, dass dann eben auch so
die eine oder andere Diskussion entstand,
die tatsächlich nicht hätte sein müssen,
die man durchaus sehr, sehr abkürzen
konnte. Also, als Externe waren dabei das
Finanzministerium, es war das Bundesamt
für Sicherheit in der Informationstechnik
dabei, es war tatsächlich auch die
Bundeswehr dabei, es war das CERT Nord
dabei, das Landeskriminalamt, einen
Kollegen, ein Professor von der Hochschule
Harz, und tatsächlich waren alle in ihrem
Bereich für uns sehr hilfreich. Und noch
mal im Detail zu den Rollen Technische
Einsatzleitung I und II, also die während
technische Einsatzleitung I mit der IT
Infrastruktur mit dem Wiederaufbau
beschäftigt war, war es bei der II die
Wiederinbetriebnahme der Fachverfahren und
eben auch die Priorisierung der
Wiederinbetriebnahme der Fachverfahren.
Und auch wenn man meinen müsste, man baut
zunächst die Infrastruktur auf, das wäre
das einfachste und danach nimmt man die
Fachverfahren wieder in Betrieb. Das
funktioniert tatsächlich nicht, weil die
Verwaltung im laufenden Betrieb
weitergearbeitet hat, weil es
funktionierte das Telefon, es
funktionierte, das Fax und die Türen waren
auch offen. Und das bedeutet, dass
eigentlich die die Ansprüche an die
Verwaltung und eben auch die, die Anfragen
und Anträge an die Verwaltung tatsächlich
nahtlos weitergingen. Und ich hatte schon
vorhin gesagt, dass für viele Bürgerinnen
und Bürger und Unternehmen ist die
Leistungserbringung durch die Kommune
existenziell, und wenn wir uns noch mal
das Beispiel KFZ Zulassung so vornehmen,
dann haben Leute vielleicht ein Auto
gekauft oder sie haben es kaputt gefahren,
oder keine Ahnung, auf jeden Fall, während
eine Abmeldung möglich ist, ist eine
Anmeldung tatsächlich nur am Wohnort
möglich. Also das heißt, dieses
Wohnortprinzip gilt hier tatsächlich ganz,
also ganz vornehmlich sozusagen. Und das
heißt dieses, dass die Fachverfahren in
den anderen Kommunen, also es hätte keine
Amtshilfe stattfinden können, weil einfach
die ganz profanen, die Gemeindeschlüssel
auch nicht hinterlegt sind oder hinterlegt
werden können und — oder anderes Beispiel
Genehmigungfiktion: das bedeutet,
entscheidet eine Behörde, eine zuständige
Behörde nicht innerhalb einer bestimmten
Frist über eine beantragte Genehmigung, so
geht die Genehmigung als erteilt. Und das
hat Potenzial für durchaus ausufernde
Streitigkeiten und richtig große Schäden,
die im Nachgang entstehen. Und das Ganze
musste auch immer mal wieder abgewogen
werden. Das heißt, diese Listen waren
erstmal flexibel und die Diskussion war
eine permanente Diskussion zwischen der
technischen Einsatzleitung I und der
technischen Einsatzleitung II. Und dann
gab es eben auch noch ganz andere
Abwägungen und Entscheidungen. Also das
war … ähm … es war eine Entscheidung, die
Frage, ob die Verwaltung in die Cloud
geht, wo dann eben auch der Personalrat
beteiligt werden muss. Es waren Fragen, ob
man mit dem Forensikteam weiterarbeiten
kann und möchte, es waren Fragen, ob man
Aufgaben und Leistungen in Rechenzentren
auslagert. Und es war natürlich auch die
Entscheidung: es stand eine Erpressung im
Raum, ob man beispielsweise dieser
Lösegeldforderung nachgeht, was aber sehr
schnell klar war, dass dem nicht so sein
wird. Und unter den besten
Herausforderungen, da gibt es gleich noch
ein paar Anekdoten am Ende, so, aber wir
kommen zu der Organisation. Nur ganz kurz
Also was hatte sich sofort verändert, im,
direkt im Anschluss an diesen
Katastrophenfall? Also ich habe es gerade
noch auf der letzten Folie. Die IT stand
im Fokus. Also das Zusammenziehen der IT
Mitarbeiter*innen wurde beibehalten
inzwischen, das Sachgebiet wird jetzt in
ein eigenes Amt überführt und nimmt eben
auch die Mitarbeiter des
Schulverwaltungsamtes auf, also die IT-
Mitarbeiter des Schulverwaltungsamtes und
eine Amtsleiterstelle wurde
ausgeschrieben. Und auch der IT
Sicherheitsbeauftragte wird neu benannt,
und dadurch, dass da auch dafür keine neue
Stelle geschaffen wird und niemand aus dem
operativen Bereich IT-
Sicherheitsbeauftragter werden kann, also
aus dem operativen Bereich der IT-
Abteilung, muss jemand gefunden werden,
tatsächlich gibt es auch Interessenten,
aber das Land unterstützt auch hier diese
Interessenten dann eben auch zu schulen,
damit die wissen, was sie da tun. Und die
erste Aufgabe wird es eben sein IT-
Sicherheitskonzept zu schreiben und das
Ganze muss dann die Dienstvereinbarung
ergänzen. Und organisatorisch wurde all
das bestimmt, was jetzt sozusagen nahezu
mit Bordmitteln möglich war und wofür
nicht extra irgendwelche Finanzmittel
bereitgestellt werden müssen. Also was den
Wiederaufbau betrifft, sind wir hier
weiterhin dabei Entscheidungen für die
Zukunft zu treffen. Also das passiert in
der Arbeitsgruppe Wiederaufbau und auch
die wird noch weit nach dem
Katastrophenfall bestehen müssen.
Ansonsten ist geplant oder ist es nicht
nur geplant, sondern eben auch soll der
IT-Grundschutz so umgesetzt werden, wie
wir das uns finanziell leisten können und
wie es notwendig ist und wie es
tatsächlich auch wichtig ist, um wieder
sozusagen arbeiten zu können. Und nicht
bewilligt wurden erst mal
Mitarbeiter*innen und auch hier wieder die
Grundlage der Politik, also sozusagen im
Kreis- und Finanzausschuss wurden erst mal
keine neuen Stellen bewilligt und auch
hier war die Diskussion erst mal wieder
groß, ähm, die Leute, die gebraucht
werden, dann auch für diese Positionen zu
argumentieren. So, noch kurz zur
Wiederherstellung und zur Komplexität der
Fachverfahren. Zunächst mal ist das
Landratsamt nicht abgebrannt. Also das ist
das, was wir am Anfang immer wieder sagen
mussten: das große Geschäft mit dem
Landkreis war also nicht zu machen, und
überhaupt lautete der Auftrag, den
Landkreis wieder aufzubauen, und nur
diesmal in sicher. Und daher auch der
Titel den "Rebuilding Landkreis Anhalt-
Bitterfeld". Es sollte kein neuer
entstehen. So, der Wiederaufbau des Active
Directory ist inzwischen abgeschlossen.
Aktuell erfolgt jetzt so schrittweise die
Neuinstallation der Fachverfahren und eben
auch sind wir hier gebunden an die
Kapazitäten der Fachverfahrenshersteller.
Und was jetzt noch passiert ist die
Absicherung der Verfahrensserver. So, und
ansonsten funktioniert auch das wieder
nach der Priorisierung und — ich kürze das
Ganze mal ein bisschen ab, wir kommen zur
Schadensbilanz: die sieht wie folgt aus,
also die Kosten belaufen sich aktuell auf
2 Millionen. Weitaus mehr als die Lösegeld
Summe war, Mittel, die auch nicht
unbedingt zusätzlich jetzt im Haushalt
ausgegeben werden, aber mit dem geplanten
? Budget im nächsten für oder für das
nächste Jahr verrechnet wurden und quasi
jegliche Planung erst mal zunichte gemacht
haben, es sind neue Konflikte entstanden.
Konflikte zwischen Infrastruktur und
Anwendungsbetreuern, im Zusammenspiel der
Kollegen untereinander. Auch das Vertrauen
in die Digitalisierung ist nachhaltig
zerstört. Also die ersten Antworten dazu
waren: ach hätten wir mal noch die
Papierakte behalten, und dann haben wir
ein Datenverlust im Umweltamt. Wir haben
vollends verschlüsselte Mailserver und wir
haben ein verlorenes Intranet. Und
tatsächlich waren einige Mitarbeiter ins
Homeoffice gewechselt, um dort Internet
und überhaupt Technik zu haben, um
überhaupt weiterarbeiten zu können. Denen
jetzt zu sagen, ihr dürft eure private
Technik nicht mehr benutzen und auch vor
dem Hintergrund, dass sie jetzt ein
anderes Arbeiten eben auch gelernt haben
oder sich angelernt haben, ist es
natürlich schwierig, dort einfach
zurückzukehren. Wir hatten extrem viel
Hilfe durch andere Landkreise. Wir hatten
super viel Hilfe durch kreisangehörige
Städte und Gemeinden explizit. Auch durch
das Land und den IT-
Sicherheitsbeauftragten, der uns über
Monate eigentlich in Amtshilfe, also nach
dem Amtshilfeersuchen, sozusagen zur
Verfügung gestellt wurde und durch das BSI
und eben auch durch die Bundeswehr, die
explizit technisch unterstützt hat. Aber
das heißt eben auch, dass wir in der
Verantwortung sind und sein möchten, den
Wissenstransfer jetzt zu initiieren, und
wir gehen davon aus, uns hat es in dem
Moment richtig erwischt. Wir sind
allerdings die ersten, und werden nicht
die einzigen bleiben. Und insofern ist es
wichtig, dass hier der Wissenstransfer
stattfindet. Und tatsächlich denke ich
auch, dass der Steuerzahler das erwarten
kann. Und zudem haben wir nebenbei auch
schon so viele Fragen beantwortet, und so
vielen Konferenzen teilgenommen, bei Frag
den Staat geantwortet, in Ausschüssen Rede
und Antwort gestanden und, also das
ziemlich deutlich wurde, dass das
Interesse da ist. Und damit übergebe ich
ein HonkHase, der mich auf Twitter so
professionell angepisst hat, dass ich ihn
direkt ins Expertengremium berufen habe!
HonkHase: lacht Ja okay, meine Steuern
würde ich da auch ganz gerne in
vertrauensvolle Hände legen, allerdings
muss man ja sagen, wenn man sich das so
anguckt: Wie digital handlungsfähig ist
eigentlich der Kritis-Sektor, Staat und
Verwaltung? Sieht man ja nicht nur an
euch, an eurem Beispiel, sondern man hat
ja dieses Jahr schon allein über 100
Behörden und Verwaltungen kompromittiert
gehabt, und das ist ja nicht das Ende der
Fahnenstange. Also insofern habe ich mir
gedacht so ja, die brennende Mülltonne
passt eigentlich, möchte alles anzünden,
aber wait a sec, digital handlungsfähig
ist der Staat gar nicht, der brennt ja
schon von selbst. Da kannst du eigentlich
nur noch Brandroden und neu machen.
Unauffälliger Hinweis für den
Folienwechsel. Die Frage ist ja was
brauchen wir? Die echte, das was wir
wirklich brauchen ist doch eine Cyber-
Resilienz. Ja, cyber bla. Lassen wir's
einfach. Ich bin Urgestein, Cyber-Grandpa,
ich darf das, ja? Wir brauchen eine
Resilienz für den Cyberraum von kritischen
Infrastrukturen, und dazu gehört eben auch
der Sektor Staat und Verwaltung. Und da
gehört er ganz besonders zu egouvernante
hat ja vorhin schon gesagt, das sind auch
durchaus bedrohliche Fachverfahren dabei
gewesen, die eben gar nicht resilient
waren, weil sie einfach auseinander
gefallen sind, nachdem die hochkriminellen
Tätergruppen aktiv geworden sind. Wir
reden ja hier nicht von Bespaßung,
bisschen fun, bisschen rumhacken oder
kaputt spielen. Wir reden hier von
kriminellen Banden organisierter
Kriminalität, die irgendwie Millionen
versuchen abzugreifen, ja. Und was wir
auch brauchen, um dem gegenzusteuern: wie
schaffen wir diese Resilienz? Durch
Krisenerfahrung und Übung bei den
Verantwortlichen. Ja, dazu zähle ich
explizit Bürgermeister*innen, Landräte,
you name it, egal. Wer keine
Krisenerfahrung hat, wer keine Übungen
regelmäßig macht, steht dann genauso da
wie auch beispielsweise bei euch, aber
eben auch beim Ahrtal, ja, Klimakatastrophe
ist ja dasselbe Phänomen, dasselbe
Problem. Die waren alle nicht geübt, die
haben nicht regelmäßig die Einsätze
trainiert. Und dann steht man da vor dem
Trümmerhaufen und sagt: Oh, alles kaputt,
kostet teilweise sogar Menschenleben. Und
nein, was wir nicht brauchen ist – ne,
Rebuilding Anhalt-Bitterfeld ja, aber ey,
echt keine Fachverfahren auf Windows 98 in
2021, so. Das haben wir beispielsweise
hier im Gericht in Berlin erlebt. Vorher
war es Windows 98 Fachverfahren, nachher
ist es immer noch eins. Ja, nee, fail, so
das will echt keiner haben. Baut diese
Fachverfahren neu, baut sie sinnvoll,
digitalisiert Ende zu Ende für die
Bürger*innen und das muss die Erwartungen
an den Sektor Staat und Verwaltung sein,
ja. Was wir auch brauchen und was einfach
mal fehlt sind Sicherheitsanforderungen
und Vorgaben, so dieser — es gibt den
Kritis-Sektor Staat und Verwaltung. Und
welche Vorgaben hat er? Ja, machste
dicke Backen. Also paar Öhrchen drauf,
kannste nichts mehr zu sagen. Es gibt für
8 der 10 Kritis-Sektoren im BSI
Gesetz § 8a, und der anhängigen Kritis-
Verordnung genaue Vorgaben, was für
Sicherheitsanforderungen die zu erfüllen
haben. Bei Medien und Kultur ist es
landesweit nicht geregelt, aber eben bei
Staat und Verwaltung ist es ja, öh, gar
nicht geregelt. So ja, da kann ich, ja,
bin ich auch schon wieder kurz vorm — vorm
anzünden hier lacht Das muss dringend
weg. Da muss wirklich die die Koalition,
die Ampel mal das BMI wachrütteln und
vielleicht wirklich mal
Sicherheitsanforderungen an Tag legen und
sagen: so, das ist jetzt der Maßstab,
nachdem dieser Sektor betrieben wird. Was
wir brauchen sind kommunale CERTs mit
Hilfe für alle kleinen Kommunen, weil wie
soll denn — also ihr als Landkreis wart ja
schon sozusagen überrannt worden von
diesem koordinierten Angriff. Ja, was
macht denn da eine kleine Kommune, die hat
ja vielleicht eine halbe IT-Stelle, eine
IT Stelle keine Ahnung, das ist sehr
überschaubar, die haben doch noch nie
Incidence Response gemacht, die haben noch
nie irgendwelche Fachverfahren gesichert,
die haben noch nie mit 15 verschiedenen
Behörden und Verantwortlichen und
Sicherheitseinrichtungen irgendwie
kommuniziert um abzustimmen: wer kommt
jetzt eigentlich und hilft? Die machen ja
auch, die – die gucken wie Rebhühner
einmal groß in die Unterlagen und sagen:
ja es gibt dieses Cyber-Wimmelbild der
Verantwortungsdiffusion, da sind ganz
viele drauf. Wen frag ich denn jetzt? Ja,
das kann es ja irgendwie auch nicht sein.
Kleiner Hinweis für die Folien. Was wir
auch bräuchten, und da stehe ich natürlich
mit Herz und Seele dahinter, weil es meine
Passion ist, als als Mitgründer der
unabhängigen Arbeitsgemeinschaft AG
Kritis, wir bräuchten ein Cyber-Hilfswerk,
das ist der Arbeitstitel, den wir dem
Ganzen verpasst haben. Soll die
existierenden Bewältigungskapazitäten für
Großschadenslagen durch Cybervorfälle bei
kritischen Infrastrukturen kooperativ
ergänzen. Dazu haben wir ein Konzept
entwickelt, hat knapp 40 Seiten, da haben
wir teilweise in Workshops
zusammengesessen mit dem BSI, mit dem BBK,
also Bundesamt für Bevölkerungsschutz und
Katastrophenhilfe, BSI, Bundesamt für
Sicherheit in der Informationstechnik und
mit dem CCC, also im Chaos Computer Club
und haben einfach mal Gebrainstormed: wie
würde man eigentlich Ehrenamtler,
Ehrenamtlerinnen dazu bewegen, irgendwie
bei echt Großschadenslagen – nicht bei,
wenn wir ein paar Bitwerte umkippen und
aus Einsen Nullen werden, sondern wirklich
in so einer Lage hier, wo es wirklich auch
um Existenzbedrohung geht und ein ganzer
Landkreis auch einfach mal viele Monate
kaputt optimiert wurde und lahmgelegt ist
und noch viele Monate bleiben wird. Das
wir da irgendwie in der Lage sind
irgendwie auch zu agieren. Noch mal
letzter Hinweis lacht. Ja, das Cyber-
Hilfswerk. Was? Was ist eigentlich der
Plan? Der Plan ist, man soll eine,
wirklich das Primärziel ist nicht dieser,
diesem Betreiber*innen von kritischen
Infrastrukturen zu helfen und Primärziel
ist auch nicht deren Ergebnis und Erlöse
sichern, oder diesen deren — weiß der
Kuckuck — Produktionsanlagen schick und
stylisch zu halten oder die
Eingangspforten. Nee, es geht einzig und
allein um die Wiederherstellung der
Versorgung der Bevölkerung mit den
kritischen Dienstleistungen, was eben beim
Sektor Staat und Verwaltung wäre, dass die
Fachverfahren funktionieren, dass die
Bürgerinnen mit ihren Bedürfnissen und mit
der Not sozusagen dann auch sich an die
Bürgerämter wenden können und wo auch
geholfen wird und gekümmert wird, ja dass
auch Sozialabgaben monatlich auf dem Konto
landen und nicht gesagt wird: Ja, ist
gerade 'ne Ransomware, wir können keine
Überweisungen mehr tun. Pech gehabt, gehst
du leer aus. So funktioniert das nicht bei
Leuten, die in Not sind und diese Not dann
auch brauchen, ja als Hilfe. Also IT-
Sicherheit verbessern reicht nicht aus.
Müssen wir natürlich sowieso tun. Absolut.
Dürfen wir nicht vernachlässigen. Aber wir
brauchen eben Incident Response und
Krisenbewältigungskapazitäten auf einer
Basis von ehrenamtlichen digitalen
Katastrophenschutzhelferinnen. Ja, wir
haben genug Know how in unserer Community.
Wenn das on our terms, also nach unseren
Spielregeln funktioniert, dass wir sagen:
Ey, wir wollen da helfen, da kommen keine
komischen Sicherheitsbehörden, machen
komischen foo, da rückt das BSI Mobile
Incident Resonse Team aus, wir kommen da
bei, und dann muss man vielleicht sogar
auch nicht eine Bundeswehr rufen, weil
wird schon alles gekümmert. Die Bundeswehr
sollte der letzte Notnagel am Ende der
Kette sein. Wirklich der letzte Notnagel.
Und nicht: ey, wir rufen mal kurz die
Bundeswehr. Die können wir mit einplanen
und dann ist es kein Notnagel mehr,
sondern einkalkuliert. Die sollten niemals
einkalkuliert sein, am besten nie genutzt
werden, weil wenn dann sozusagen The shit
hits the fan, dann dann brauchen wir die
Bundeswehr wirklich, aber nicht in solchen
Lagen, denn dafür ist das Cyber-Hilfswerk
gedacht. Ja und dafür werde ich jetzt in —
du hast mich ja in diese in dieser Runde
rein genötigt — Expertenkreisen werde ich
das jetzt für die AG Kritis dann auch
entsprechend vertreten und versuchen zu
fördern, das wir das, ja ins Leben rufen.
Und dann wird vielleicht aus dem aus dem
Anzünden und Brandroden vielleicht nur ein
professionell angepisst und dann ist die
Welt wieder schön.
egouvernante: lacht
HonkHase: Und damit übergebe ich wieder
zurück an dich. Bitte schön.
egouvernante: Sehr gut. Und damit kommen
wir zu der ganzen Kategorie "Behind the
Scenes" Best of Dienstleister. Nee,
Quatsch, Best of Kunden Beschimpfung. Ich
glaube, dazu können wir da noch alle,
falls irgendeiner beim Lightning Talk
abgesprungen ist, da kann ich E-Mails
vorlesen, die mich wunderbarerweise
erreicht haben, nein kleiner Spaß. Also
ähm, es gab auch Situationen, die einfach
in ihrer Art, in ihrer — alleine, in dem
Moment, in dem sie einen erreichen,
unfassbar unglaubwürdig klingen. Also auf
der einen Seite klar, wenn, wenn es gut
gemeint ist, ja. Also man sagt ja immer:
das Gegenteil von gut ist gut gemeint.
Wenn Mitarbeiter auf die Idee kommen,
tatsächlich Dateien auf Memory Sticks zu
sichern und die nach Hause zu schleppen,
um sie dann wieder ins Landratsamt zu
bringen, dann könnt ihr das auch später
noch mal zu einem Problem werden. Was uns
immer wieder getroffen hat, war, wenn IT-
Mitarbeiter direkt angesprochen wurden,
weil irgendein Rechner auch ohne Netzwerk
auch und nur mit Drucker oder Scanner oder
whatever sozusagen wieder wieder an den
Start gebracht werden mussten, dann ist es
blöd, wenn es an der technischen
Einsatzleitung vorbeiläuft. Und es ist
super blöd, wenn ich diese Ressourcen dann
irgendwo gebunden habe oder letztlich
keine Rechner mehr hatte, ich platt machen
kann, weil alle irgendwie jetzt doch
wieder in Benutzung sind. Spannend war
auch in den Runden die technische
Einsatzleitung, welche das jetzt auch
immer war, zu erschlagen, wie es richtig
ginge. Das führt dann tatsächlich zu
Situationen, dass man sein Mikrofon
einschaltet und nach einem 10 minütigen
Vortrag, wie es richtig ginge, sagt so:
Nein. Unverständige Gesichter, Mikrofon
noch mal an: Das ist technisch nicht
möglich. Das auch, wenn wir uns sehr
wünschen, dass das Landratsamt wieder an
den Start geht, sind verschiedene
Reihenfolgen einfach zu beachten.
Highlight waren aber tatsächlich
Vertriebler, die direkt das Fachverfahrens
Verzeichnis verlangt haben, OZG direkt
gleich mitmachen wollten und irgendwie mit
einem leeren Kfz-Kennzeichen Datenbank
vielleicht am besten Morgen schon loslegen
wollten. Aber sorry, Aubergine Aubergine
Zwinker-Smiley funktioniert nicht auf
einem Kennzeichen und wir können nicht mit
doppelten Kennzeichen die Leute rumfahren
lassen, das hat einfach
versicherungstechnischen Gründe. Auch
waren Situationen, wo man einfach mit den
Geschäftsführern in einem Gespräch sitzt
mit den Technikern und dann auf der
anderen Seite die Geschäftsführer und die
dann permanent genervt die Augen
verdrehen, wenn man konkrete Details
erfragt. Und einer war dann sehr arg
enttäuscht und kündigte an, dass er uns
jetzt überall ausschmieren wird, wie
furchtbar wir sind und dass wir sozusagen
nicht, dass diese Firma gewählt werden und
ich sei ne Landesverräterin, der Kollege,
sei nen IT-Söldner. Und dabei war die
Entscheidung definitiv sehr objektiv und
von Erfahrungswerten von allen am Tisch
getragen. So, also Ansagen wie: wir machen
mal einen Termin und erklären, wie sie zu
uns in der Cloud kommen, und eigentlich
interessiert uns ihre technische Ansicht
überhaupt nicht, sondern wir erklärens
noch mal dem Hauptverwaltungsbeamten,
bringt Unruhe ins Haus und ist irgendwie
auch nicht förderlich, weil wir letztlich
es doch umsetzen werden und müssen und
sozusagen hier der Vertrauensverlust
tatsächlich schon vorprogrammiert ist. Und
apropos nicht dabei sein: Wenn der
Auftraggeber oder wenn man 2
Auftragnehmer hat, kam auch ganz gern mal
die Situation, wenn über Übergaben
gesprochen werden soll, das wir am besten
gar nicht am Tisch sitzen, sondern dass
die Dienstleister sich zusammensetzen, was
auch schwierig ist. Insofern versteh mich
bitte auch einer, dass es immer wichtig
ist, ein IT-Projekt-Steuerer im Haus zu
haben und das eine Landkreisverwaltung
überhaupt jegliche Behörde weiterhin in
der Lage ist auch die Externen zu steuern,
und das ist essenziell notwendig. Wenn wir
uns hier nicht die Butter vom Brot nehmen
lassen wollen. So, und Daten wollte auch
kein Rechenzentrum von uns haben. Also das
hieß immer nur so: ja wir machen alles,
aber waa, schickt uns bloß nichts, wir
wollen eure Daten definitiv nicht
haben. Unser Leben als Aussätzige! Und
schön ist natürlich auch, wenn der
Dienstleister einen dann gleich noch mal
erpresst. Also so was wie Budgetabsprachen
hin oder her, mit einem Mal kostet es das
Dreifache. Besprechen wir aber auch nicht
mit der Technik, sondern tatsächlich doch
mit dem Landrat wieder. Und ähm, dann
immer natürlich auch mit dem Nebensatz,
bei den männlichen Kollegen: da draußen
warten die Sniper, die warten nur, bis er
wieder am Netz seid. Bei mir waren es dann
immer die Stalker, also
zielgruppengerechte Ansprache ist auch
toll, aber irgendwie dann auch
durchschaubar und nervt. Und ja, und das
waren tatsächlich dann auch die gleichen
Jungs, die meinten, wir haben ein paar
Fortinets von einem Partner geordert, das
ist auch einer meiner Lieblinge und wir
arbeiten damit; wenn wir hier euch wieder
beim Aufbau helfen. Von Open Source raten
wir ab, das nehmen nämlich die Hacker, das
sind die, die euch angegriffen haben, das
sind die, die euer System kaputt gemacht
haben. Äh … schwierig also. Man kann aber
auch Glück im Unglück haben und das ist
auch eine schöne Situation, also wenn man
zum Beispiel ein günstiges Angebot
schießt, dass wenn man 7 Managed
Services für nur 10% des Preises im ersten
Jahr angeboten bekommt. Beim Kick off
sollte dann aber tatsächlich ein
Fernsehteam dabei sein. Wir haben uns
nicht für das Angebot entschieden. Und
jetzt noch ein ganz schöner Lichtblick:
die Dienstleister, mit denen man
tatsächlich seit Jahren wirklich
vertrauensvoll zusammenarbeitet und von
denen man natürlich auch ein Angebot
anfordert, dann ist es natürlich schön,
wenn die einem das nötige Lizenzgeraffel
direkt auf das Angebot schreiben und dann
auch wirklich dieses Wort benutzen. Und
damit eigentlich so als kleines Fazit: der
Landkreis ist nicht das Opfer dieser
Attacke. Mit den Expertenkreisen glaube
ich, dass wir jetzt das wirklich Gute
schaffen können. Und wir sind im Rahmen
eines Forschungsprojektes eben auch daran,
nachdem wir jetzt diese Awareness haben,
ein Forschungsprojekt aufzubauen, in dem
wir für verschiedene Verwaltungsprozesse
digitale Zwillinge aufbauen, und
tatsächlich gibt es eben auch das nächste
Projekt, und zwar das Open Data Ecosystem,
und das ist Open Source, also Spielwiese
für die IoT-Hacker. Und das sozusagen als
das Gute in der Katastrophe, die hier
passiert ist. Und ich glaube eben auch die
wichtige Message, dass die
Landkreisverwaltung, dass die Behörden
tatsächlich hier wirklich nacharbeiten
müssen. Wir kommen zu den Fragen. Jetzt
kann es losgehen!
HonkHase: Genau, fragt uns Dinge. Es
drohen Antworten!
Herald: Ja, sehr sehr schön, vielen Dank!
Es gibt viele Fragen, und viele Fragen von
den Hackern natürlich ist über die Deeds,
über die Details, über den Hack, wenn das
Verschlusssache ist, gerne abwinken.
egouvernante: Wir wissen noch gar nicht so
viel, das ist das Problem. Wir ist –
tatsächlich ist dadurch dass die Logfiles
ja eben auch gelöscht wurden können wir
tatsächlich jetzt auch gar nicht so sehr
viel sagen.
HonkHase: Also vielleicht mal
grundsätzlich: Bei der Incident Response
ist es ja so, wenn man versucht, nach
einem Ransomware Angriff den Betroffenen
zu helfen: es ist meist so, dass ja die
die Angreifer, also das — noch mal, das
sind organisierte Bandenkriminelle, das
ist ja nicht irgendwie Feld Wald Wiesen,
ja die gehen in die Systeme rein,
kundschaften das alles aus, taxieren,
welche Höhe man sozusagen an
Lösegeldforderung setzen kann im Preis-
Leistungsverhältnis, gerade hier im
Landkreis Anhalt-Bitterfeld wurde ja dann
auch nach dem gesagt wurde: pff, ihr
kriegt gar nichts, 200 Megabyte ungefähr
an Daten geleakt, um anzuteasern und zu
sagen: Naja komm, vielleicht wollt ihr
doch? Haben aber dann gesehen dass sie
damit auch nicht vorwärts kommen. Aber die
gehen natürlich so vor, dass die Backups,
die online sind, entweder vorher aktiv
zerstört werden oder eben mit
verschlüsselt werden. Ist auch so, das
schon seit langem Zugangsdaten wie ssh,
Passwörter etc. mit abgegriffen werden, so
dass man auf die Linux Büchsen mit drauf
geht und und sagt na dann plätten wir mal
kurz das Syslog und dann sind eben keine
Logdaten mehr da, und wenn halt nichts
mehr da ist, und das meiste verschlüsselt
ist, dann kannst du nur die Reste
rauskratzen. Das heißt, es gibt fast
immer, muss man auch fairerweise so sagen,
sehr viele Angriffsvektoren, die zum
Ziel hätten führen können, welcher es am
Ende genau war, das ist eigentlich sogar
fast schon unerheblich, denn in erster
Linie will man ja den Wiederaufbau
hinbekommen und die kritischen
Dienstleistungen wieder ans Laufen
bekommen. Also insofern ist es sehr oft
der Fall, dass man das gar nicht so
detailliert ermitteln kann.
egouvernante: Genau, und wir gehen davon
aus, dass der Angreifer seit Beginn des
Jahres im System war. Und ja, tatsächlich
wissen wir von einem sehr viel größeren
Datenabzug.
HonkHase: Das macht es nicht besser, aber
es ist halt so.
Herald: Datenabzug: ist bekannt, ob
tatsächlich Daten abgeflossen sind? Also
ob die nicht nur verschlüsselt, sondern
auch geleakt wurden?
egouvernante: Es sind Daten abgeflossen,
ja, geleakt, die 200 MB, aber es sind sehr
viel mehr.
HonkHase: Es wurde doch — warte mal. Es
gab eine öffentliche Stellungnahme dazu.
Ich glaube, es waren 60 …
e: 62 Gigabyte, ja.
Ho: 62 Gigabyte an Daten wurden
abgezogen und keiner weiß was genau
abgezogen wurde.
e: Genau das.
Ho: Die 200 Megabyte sind geleakt
worden. Da weiß man natürlich sehr genau,
was es war, ne …
e: Das sind Protokolle aus
Landkreis–, genau.
Ho: Genau. Aber es sind insgesamt 62
Gigabyte verschütt gegangen und da muss
man auch sagen, dass ja sogar noch wenig.
Es gibt auch Vorfälle, da werden Terabytes
vorher abgegriffen, ja.
Herald: Nach dem Wiederauf – achso, ihr
seid dabei bei dem Wiederaufbau. Eine
Frage ist: gibt es Material, was
unwiderruflich, unwiederbringlich zerstört
wurde?
e: Der komplette Mailserver,
Daten des Umweltamtes, also alle von einem
Standort, sozusagen die Server, die an
einem bestimmten Standort in Bitterfeld
waren, und das Intranet ist weg. Und alles
andere müssen wir schauen. Also wir sind
immer noch dabei, die Daten zu sichten und
eben zu überführen. Aber wir wissen
definitiv, dass Daten des Umweltamtes weg
sind, dass eben der komplette Mailserver
verschlüsselt wurde, das ja … und eben
auch das Intranet nicht mehr vorhanden
ist.
Herald: Okay, eine andere Frage, mehr oder
weniger seriös: Wie hoch war die
Lösegeldforderung, wenn das nicht
Verschlusssache ist?
e: Nee, ich glaube, das war
sogar mal veröffentlicht. Also das war
eine halbe Million.
Ho: Genau
Herald: Ok
e: in Monero.
Ho: eigentlich noch ein Schnäppchen,
ne, eine halbe Million Mal, also, da gibt
es auch durchaus Angreifer, die deutlich
mehr verlangen, aber, naja, sind ja nicht
zum Zuge gekommen.
Herald: Okay, HonkHase, du hattest
Empfehlungen ausgesprochen. Ähm. Wo
Freiwillige Amtshilfe leisten können,
sodass die Bundeswehr nicht angerufen
werden muss. Rückblickend betrachtet war
es Amtshilfeersuchen an die Bundeswehr
angemessen und wurde von offizieller Seite
her was getan, damit künftig nicht gleich
die Bundeswehr wieder angerufen werden
muss?
Ho: Also ob das angemessen ist, kann
egouvernante glaube ich besser darlegen
als ich, denn sie war ja in den Details
drin. Ich kenne den Vorfall ja nicht von
Innen her. Sie mag es sicherlich sinnvoll
vertreten, dass das das angemessen war.
Meine Position ist, damit das nicht noch
mal passieren muss oder die Runde macht,
sozusagen, ah, wenn was passiert, rufen
wir die Bundeswehr und dann schön, dann
legen wir uns wieder schlafen oder sowas!
Kann man ja hier nicht behaupten. Hast ja
jede Menge erzählt, was ihr da tut und
macht, aber dafür will ja die AG Kritis
dieses Cyber-Hilfswerk ins Leben rufen, um
zu sagen: Dann haben wir auch genug
Kapazitäten. Und wenn dann eben eine eine
kritische Infrastruktur betroffen ist,
dann helfen wir aus der Community heraus
ehrenamtlich und kommen eben als
Amtshilfeersuchen dahin, reparieren eben
diese Versorgung der Dienstleistung mit
den Berufswiederherstellen sozusagen. Und
dann geht man gemeinsam verrichteter Dinge
halt wieder da weg. Und das ist ja genau
das Ziel, dass dann so was wie wir rufen
die Bundeswehr quasi überflüssig wird, im
Idealfall. Wie gesagt, die soll nur als
Notnagel im extremsten Fall abgerufen
werden können. So.
e: und das war der Fall und das
war der erste Fall. Und sozusagen das soll
definitiv nicht Standard werden. In dem
Moment war es nur, dass wir technisch
nicht in der Lage waren, uns selbst zu
helfen. Und insofern war es diese
technische, also diese rein technische
ausführende Tätigkeit, die hier
abgewickelt wurde.
Ho: Naja, Stand heute sind fast alle
Kommunen ungefähr auf demselben Niveau.
e: Ja ich hoffe, dass es jetzt
anders wird.
Ho: Okay, die Hoffnung stirbt
zuletzt lacht
e: ja , AG Hoffnungsvoll, ne?
lacht auch
Ho: Genau.
Herald: Schön. Äh. Eine andere Frage ist:
wie weit ist die Erneuerung der
Infrastruktur und werden Möglichkeiten
genutzt, um die Sicherheit zu verbessern?
e: Es wird jede Möglichkeit
genutzt, die Sicherheit zu verbessern.
Also das fängt bei der Dienstvereinbarung
an. Das fängt bei Awarenessschulungen an.
Das … ich hatte es vorhin gesagt mit dem
IT-Sicherheitsbeauftragten. Das fängt mit
der komplett neuen Aufstellung des IT-
Amtes an, und das geht natürlich auch da
weiter, dass wir jetzt mehrstufige
Sicherheitskonzepte haben, die
Arbeitsplatz-PCs nicht mehr mit allen
möglichen Rechten ausgestattet sind und,
ja Passwort ist natürlich jetzt
unerheblich, aber die einfach das auch
Passwörter auch mal ablaufen wieder. Und
das sind einfach Sachen die jetzt
durchgeführt werden. Und was den Stand des
Wiederaufbaus betrifft: das Active
Directory steht insoweit und die
Fachverfahren werden jetzt nach und nach
wieder an den Start gehen. Und jetzt eben
auch die einzelnen Ämter werden jetzt nach
und nach wieder ihre Arbeitsplatz-PCs in
Betrieb nehmen und die Clients sind
gehärtet und so weiter und das bedeutet,
dass Ämter jetzt — Ich glaube, wir haben
jetzt 4 oder 6 Ämter, die jetzt
tatsächlich wieder, wo jeder Mitarbeiter
einen eigenen PC hat und nicht mehr einen
PC, der aus dem Notnetz bei der Sekretärin
beim Amtsleiter steht und dort jeder
seinen E-Mail-Verkehr darüber abwickelt.
Ho: Benutzt ihr dabei auch so krasse
Hacker Software wie Open Source?
e: Wir arbeiten daran.
Ho: lacht, Mikro übersteuert kurz
sehr schön!
Herald: Ja, schön. Zum Active Directory im
Speziellen gab es die spezielle Frage:
Konnte man bei der forensischen
Untersuchung einen Golden-Ticket Angriff
auf das Active Directory feststellen?
e: Das kann ich nicht sagen.
Ich kann was anderes sagen zum Thema
Active Directory. Und zwar, wir haben
tatsächlich auch erst mal nachgucken
müssen, ob alle Mitarbeiter tatsächlich
auch bei uns arbeiten, also ob alle
Einträge im Active Directory tatsächlich
noch hier Mitarbeiter bei uns sind oder ob
das jetzt nicht irgendwie durch Zauberhand
mehr geworden sind. Und das war glaube ich
die erste Tätigkeit, also die erste
Aktion, die wir hier durchgeführt haben.
Und die auch wirklich lange dauerte,
tatsächlich erst mal zu schauen Sind die
Azubis noch da? Das war im Endeffekt auch
eine Bestandsaufnahme aller Kollegen, die
wir im Haus haben, was auch durchaus sehr
nützlich war.
Ho: Historisch gereift sozusagen,
diese Benutzerliste.
e: Absolut, ja.
Ho: Wie so oft und überall.
e: Ja.
Ho: Genau.
Herald: Sonst: gab es Backups? Zum
Beispiel in einem externen Rechenzentrum?
e: Nein. Also ja, doch, bei
machen Fachverfahren und bei manchen
Fachverfahren auch tatsächlich
überraschend. Da wussten wir gar nicht,
dass die Backups von uns haben. Das war
auch neu und irritierend für den
Datenschutzbeauftragten. Aber das …
zumindest hatten wir, hatten wir
verschiedene Backups, aber eben auch
welche, die nicht in externen
Rechenzentren sind und dann tatsächlich
auch jetzt händisch überprüft werden
müssen, ob diese nicht vielleicht
kompromittiert sind. Also wir gehen davon
aus, dass wir 80% bis 90% unserer Daten
zurückerhalten und dass die eben nicht
beschädigt sind.
Ho: Aber nach viel Handarbeit beim
wieder einspielen.
e: Ja, definitiv.
Ho: Also vielleicht als Ergänzung
auch da. Backup ist halt schön, ne?
Wiederherstellung ist noch viel cooler.
Alle, alle rufen nach Backup, aber
eigentlich will keine Sau Backup. Alles
was man wirklich will ist die
Wiederherstellung. Und die kriegt man eben
nur, wenn man ein sehr strukturiertes
Backup Konzept hat mit mit Grandfathering
Modellen, mit rollierenden Backups, mit
offline Backups wenn man… ihr habt 160
Fachverfahren glaube ich ungefähr?
e: Ja.
Ho: Wenn man 160 verschiedene alte,
historisch gewachsene Fachverfahren hat,
dann ist es nicht ein Backup auf ein Tape
und dann ist gut und da legt man in den
Bankschließfach und wenn dann die Bösen
kommen, dann packt man halt wieder aus und
sagt: Golden Ticket! Ich hab ein Golden …
Golden Medium. So funktioniert das halt
nicht und insofern ist ein Backup Konzept,
was auch die Wiederherstellung in einer
angemessenen Zeit sozusagen darstellt, für
sich eine sehr sehr komplexe
Prozessaufgabe.
Herald: Okay, ich kann mir vorstellen,
dass ist jetzt in den Wiederaufbau mit in
den Plänen reingeschrieben.
e: absolut ja, klar.
Herald: ok.
Ho: jetzt schon, ne?
e: Ja, genau. Ja, ach das fängt
schon an, alleine wenn wir jetzt in diesem
Zwischenbetrieb sozusagen schon
Fachverfahren am Start haben, die gar
nicht im Zielsystem sind und im Ziel-IT-
System sind und wir dann beginnen, jetzt
erst mal schon so Daten zu erheben, die
wir dann später wieder überführen müssen.
Das wird dann auch noch mal sehr viel Spaß
machen.
Herald: Ok, ja vielen Dank! Achso äh,
möchtest du noch was?
Ho: Ne, alles gut, ich meinte nur
Spaß am Gerät! Das gehört ja zum Chaos
dazu, das passt. lacht
Herald: Schön! Vielen Dank für die
Einblicke in die Welt des Amtes und der
Digitalisierung. Vielen Dank HonkHase und
egouvernante.
HonkHase: Ja, vielen Dank, bis zum
nächsten Mal!
egouvernante: Vielen lieben Dank, Ciao!
Herald: Tschüss! Sehr schön. Als nächstes
um 21:30 Uhr: "Local Emission Framework:
Klimaschutz vor deiner Haustür". Hier aus
dem ChaosZone Studio aus Halle. Bis dahin!
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!