0:00:00.000,0:00:08.920
<i>rC3 NOWHERE Vorspannmusik</i>

0:00:08.920,0:00:14.670
Herald: Willkommen zurück in Halle, aus[br]unserem ChaosZone TV-Studio. Der nächste

0:00:14.670,0:00:19.770
Vortrag ist von egouvernante und HonkHase,[br]es geht um "Rebuilding Landkreis Anhalt-

0:00:19.770,0:00:26.260
Bitterfeld". egouvernante ist eigentlich[br]eine Projektkoordinatorin zur

0:00:26.260,0:00:32.811
Digitalisierung im Landkreis, hat sich[br]aber im Juli 2021 als Einsatzleiterin "das

0:00:32.811,0:00:39.210
technische Feuer zu bekämpfen"[br]wiedergefunden. HonkHase ist ein Urgestein

0:00:39.210,0:00:44.040
im Chaos Computer Club und hat viel[br]Erfahrung mit Cybersicherheit als Berater.

0:00:44.040,0:00:51.729
Er ist auch politisch aktiv in der NGO AG[br]Kritis für kritische Infrastruktur. Viel

0:00:51.729,0:00:54.449
Spaß!

0:00:54.449,0:00:58.800
egouvernante: Ja hi und schönen guten[br]Abend zusammen! Wir freuen uns, dass ihr

0:00:58.800,0:01:03.960
hier seid, um euch ein bisschen was aus[br]erster Hand zum Vorfall im Landkreis

0:01:03.960,0:01:09.220
Anhalt-Bitterfeld anzuhören. Seit ich[br]meine eigentlichen, also in meine

0:01:09.220,0:01:12.700
eigentlichen Aufgaben als CDO[br]zurückgekehrt bin, nehme ich öfter mal an

0:01:12.700,0:01:16.983
Webkonferenzen teil und dann höre ich[br]öfter mal so die Argumentation: hört auf

0:01:16.983,0:01:20.880
mich, egal was ich erzähle, ne, sonst geht[br]es euch wie denen, nämlich dem Landkreis

0:01:20.880,0:01:24.890
Anhalt-Bitterfeld. Und ich denke, das ist[br]einfach ein bisschen zu kurz gesprungen.

0:01:24.890,0:01:27.860
Und ich glaube, der Vorfall taugt[br]letztlich zu mehr als nur zum

0:01:27.860,0:01:32.961
Verkaufsargument der eigenen Ansichten.[br]Und deswegen der Titel "Rebuilding

0:01:32.961,0:01:36.690
Landkreis Anhalt-Bitterfeld". Ich berichte[br]ein bisschen was zum Wiederaufbau.

0:01:36.690,0:01:41.410
HonkHase hatte mich heute als konstruktiv[br]angekündigt. Das heißt, ich gebe mir Mühe,

0:01:41.410,0:01:45.580
und Zeit also ein paar Erfahrungen zu[br]teilen. Und inzwischen haben wir nämlich

0:01:45.580,0:01:50.040
auch die Zeit und die Nerven dafür.[br]"Rebuilding Landkreis Anhalt-Bitterfeld".

0:01:50.040,0:01:55.470
Also was war passiert? Am 6.7. hat ein[br]Mitarbeiter im Amt für Brand-,

0:01:55.470,0:02:00.020
Katastrophenschutz und Rettungsdienst[br]seinen Arbeitsplatz-PC eingeschaltet und

0:02:00.020,0:02:04.601
sah genau das hier, was auf der Folie zu[br]sehen ist. "Landkreis Anhalt-Bitterfeld:

0:02:04.601,0:02:08.429
You are fucked do not touch anything".[br]Persönliche Ansprache, ungewöhnlich klares

0:02:08.429,0:02:12.280
Statement, das ist man in der Form in der[br]öffentlichen Verwaltung ja erstmal nicht

0:02:12.280,0:02:17.200
gewohnt, aber ein schneller Anruf bei der[br]IT sollte eigentlich genügen. So zumindest

0:02:17.200,0:02:20.930
die Denkweise der Mitarbeiter, und die[br]würden sich dann schon drum kümmern, und

0:02:20.930,0:02:26.030
dann geht es normal weiter. Der Anruf war[br]so gegen 6:45 Uhr und trat etwas los, was

0:02:26.030,0:02:31.659
uns jetzt wahrscheinlich noch bis Ende[br]März '22 begleiten wird. Was war konkret

0:02:31.659,0:02:36.630
passiert? Also am Morgen des 5.7. gehen[br]wir davon aus, dass auf mehreren Systemen

0:02:36.630,0:02:41.299
codierte PowerShell Befehle ausgeführt[br]wurden, um Backdoors zu etablieren. Also

0:02:41.299,0:02:45.150
die ersten Verschlüsselungaktivitäten gab[br]es dann am 6.7., Das ist der Tag, an dem

0:02:45.150,0:02:49.620
wir dann auch davon mitbekommen haben,[br]davon etwas mitbekommen haben. Das war

0:02:49.620,0:02:53.480
schon gegen 4:30 Uhr und auf anderen[br]Systemen begann die Verschlüsselung

0:02:53.480,0:02:59.219
hauptsächlich erst gegen 6:30 Uhr und auf[br]jedem System wurden zu verschiedenen

0:02:59.219,0:03:04.099
Uhrzeiten die Security Logs und einige[br]andere Ereignisanzeigenlogs geleert und im

0:03:04.099,0:03:08.669
Anschluss daran eine Remote-Desktop[br]Sitzung getrennt. Also zusätzlich wurde

0:03:08.669,0:03:12.919
das Remote-Desktop Protokoll gelöscht. Das[br]heißt, wir werden im Endeffekt gar nicht

0:03:12.919,0:03:17.900
mehr so viel wissen können. Wir werden im[br]Endeffekt keine, keine Informationen,

0:03:17.900,0:03:24.139
letztlich also bis zum Schluss haben und[br]es ist lediglich bekannt, wann die Sitzung

0:03:24.139,0:03:28.689
hier beendet wurde. Und es ist weiterhin[br]davon auszugehen, dass die Verschlüsselung

0:03:28.689,0:03:33.120
von Hand ausgelöst wurde, da bei den[br]Systemen, bei denen eine komplette

0:03:33.120,0:03:38.219
Abmeldung durchgeführt wurde, die Systeme[br]aufhörten Daten zu verschlüsseln. Aber da

0:03:38.219,0:03:41.905
uns die Logs fehlen, kann kaum[br]nachvollzogen werden, welche Tätigkeiten

0:03:41.905,0:03:45.369
auf welchen Systemen denn vom Angreifer[br]durchgeführt wurden. Es ist aber

0:03:45.369,0:03:50.069
wahrscheinlich, dass der Angreifer sich[br]bewusst im System bewegt hat und eben auch

0:03:50.069,0:03:54.999
entsprechend ausgewählt hat, was er dort[br]tut. Die ersten Erkenntnisse haben dann

0:03:54.999,0:03:59.581
auch gezeigt, dass der, dass der Angreifer[br]mit PowerShell Scripts gearbeitet hat und

0:03:59.581,0:04:04.739
eben um diese Backdoors zu installieren.[br]Und was auch gesagt werden kann ist, dass

0:04:04.739,0:04:08.410
die Verschlüsselung sehr schnell lief und[br]dass eben großer Schaden angerichtet

0:04:08.410,0:04:12.629
wurde. Das bedeutet im Endeffekt, dass wir[br]davon ausgehen mussten, dass das komplette

0:04:12.629,0:04:18.239
System kompromittiert ist. Und das[br]bedeutet eben auch, dass wir hier die

0:04:18.239,0:04:22.300
ganzheitliche Verfahrensweise geplant[br]haben. So, also in der Pressemitteilung

0:04:22.300,0:04:26.370
war es dann so formuliert und dann eben[br]auch wurde es dann eben auch so

0:04:26.370,0:04:30.390
weitergeführt. Also aus einer ungeklärten[br]Quelle kam es zur Infektion mehrerer

0:04:30.390,0:04:34.130
Server des Netz — mehrere Server des[br]Netzwerkes. In dessen Folge kam es zur

0:04:34.130,0:04:38.220
Verschlüsselung einer noch nicht näher[br]spezifizierten Anzahl von Dateien und als

0:04:38.220,0:04:42.090
Sofortmaßnahme wurden alle kritischen[br]Systeme vom Netz getrennt um einen

0:04:42.090,0:04:49.960
eventuellen Datenabfluss zu unterbinden.[br]Und im Katastrophenmodus sind wir seit dem

0:04:49.960,0:04:55.750
9. Juli 2021 seit 11 Uhr, da waren 3[br]Tage vergangen. Also im Vorfeld gab es den

0:04:55.750,0:04:59.418
Stab für außergewöhnliche Ereignisse. Was[br]wir in der Zwischenzeit erledigt und

0:04:59.418,0:05:03.420
probiert haben, das habe ich schon mal bei[br]der Stiftung Neue Verantwortung berichtet.

0:05:03.420,0:05:06.590
Also kann dann auch nachgehört werden.[br]Aber vielleicht stellt sich aber nun

0:05:06.590,0:05:10.450
anhand der vorangegangenen Informationen[br]jetzt eigentlich nicht mehr so sehr die

0:05:10.450,0:05:14.300
Frage, warum wir den Katastrophenfall[br]ausgelöst haben. Denn eigentlich war es

0:05:14.300,0:05:17.900
relativ schnell klar, dass wir die[br]technische Infrastruktur, also das die

0:05:17.900,0:05:22.430
technische Infrastruktur tatsächlich[br]zeitlich länger ausfallen würde und auch,

0:05:22.430,0:05:26.400
dass es ganz objektiv über das[br]Eigentliche, also das Ausmaß eines

0:05:26.400,0:05:31.030
alltäglichen Schadensereignisses[br]hinausgeht, und dabei eben auch wie man es

0:05:31.030,0:05:35.115
so sagt, die erheblichen Sachwerte oder[br]lebensnotwendige Versorgungsmaßnahmen,

0:05:35.115,0:05:39.210
wenn man das jetzt mal herunterbricht auf[br]die Aufgaben des Sozialamtes tatsächlich

0:05:39.210,0:05:43.470
für die Bevölkerung gefährdet sind oder[br]eben eingeschränkt waren. Und das eben wie

0:05:43.470,0:05:47.290
gesagt auf lange Zeit. Oder drücken wir es[br]mal anders aus: also die Dienste für

0:05:47.290,0:05:51.960
unsere zahlreichen oder zentralen, eben[br]auch Geschäftsprozesse konnten auf einen

0:05:51.960,0:05:56.151
absehbaren Zeitraum nicht mehr erbracht[br]werden, und es stand zu dem Zeitpunkt

0:05:56.151,0:05:59.990
weder ein Backup bereits, auf das wir[br]zugreifen konnten, noch wussten wir, ob

0:05:59.990,0:06:03.771
diese Backups nicht auch kompromittiert[br]waren. Insofern stand das erstmal auch

0:06:03.771,0:06:07.121
nicht zur Debatte. Und dann muss man eben[br]auch im Hinterkopf haben, dass die

0:06:07.121,0:06:10.710
Erklärung oder nicht-Erklärung des[br]Katastrophenfall eben auch weitreichende

0:06:10.710,0:06:14.365
juristische Konsequenzen für eine[br]Verwaltung haben kann. Und da geht es um

0:06:14.365,0:06:17.890
Schadensersatzforderungen, die dann[br]tatsächlich auch im Endeffekt an uns

0:06:17.890,0:06:21.460
herangetragen wurden, weil eben Autos[br]nicht zugelassen werden konnten oder

0:06:21.460,0:06:25.606
Termine nicht vergeben wurden und so[br]weiter. Und vielleicht ist es ein guter

0:06:25.606,0:06:30.230
Zeitpunkt, um mal so in kurzen Auszügen[br]ein bisschen was zu den Aufgaben der

0:06:30.230,0:06:34.190
Landkreisverwaltung erzählen, ohne zu,[br]ohne jetzt so wahnsinnig ins Detail zu

0:06:34.190,0:06:38.730
gehen. Das Amt 50, also unser Amt für[br]unser Sozialamt, ist zuständig für die

0:06:38.730,0:06:42.650
Sozialhilfe. Ich denke, das stand im[br]Vorfeld, das war das Wichtigste, weil das

0:06:42.650,0:06:48.080
waren die Leute, die uns direkt angerufen[br]haben. Also deren Aufgabe ist die

0:06:48.080,0:06:51.662
Auszahlung der Sozialhilfe oder die[br]Berechnung der Sozialhilfe. Das ist die

0:06:51.662,0:06:55.770
Altenhilfe, die Feststellung und[br]Durchsetzung von Unterhaltsansprüchen. Und

0:06:55.770,0:06:59.640
da geht es um ganz essentielle[br]Angelegenheiten der Menschen. Und ohne das

0:06:59.640,0:07:03.230
Amt 20, also die Kämmerei, passiert da[br]auch nicht viel, denn das wickelt den

0:07:03.230,0:07:06.680
kompletten Zahlungsverkehr ab und es[br]reicht nicht, das zu berechnen, sondern es

0:07:06.680,0:07:10.450
muss auch tatsächlich ausgezahlt werden[br]können. Mahnverfahren müssen eingeleitet

0:07:10.450,0:07:14.660
werden und so weiter. Also mit dem Bereich[br]Soziales, oder in den Bereich Soziales

0:07:14.660,0:07:17.670
fallen des Amts für[br]Ausländerangelegenheiten, aber eben auch

0:07:17.670,0:07:22.210
das Jugendamt. Letzteres hat, um so die[br]Vehemenz und Dringlichkeit der, der

0:07:22.210,0:07:27.750
Aufgaben zu erklären, ein Schutzauftrag[br]zum Beispiel bei Kindeswohlgefährdung. Und

0:07:27.750,0:07:31.700
das heißt, ihr obliegt eben auch die die[br]Geltendmachung von Unterhaltsansprüchen,

0:07:31.700,0:07:35.420
also Unterhaltsvorschussgesetz und so[br]weiter. Und das sind Vorgänge, die eben

0:07:35.420,0:07:39.060
existenziell wichtig sind für die Bürger[br]und auch wirtschaftlich existenziell

0:07:39.060,0:07:42.980
bedrohlich sind tatsächlich auch die[br]Leistungen des Ordnungsamtes, weil hier

0:07:42.980,0:07:47.490
drin untergliedert sind eben auch die KFZ-[br]Zulassung und die und die

0:07:47.490,0:07:51.570
Führerscheinangelegenheiten, also das[br]Fahrerlaubnisrecht. Und das kann eben

0:07:51.570,0:07:55.880
alles sein, vom PKW bis zum Mähdrescher.[br]Und Menschen leben vom Handel mit

0:07:55.880,0:07:59.897
Fahrzeugen, sie leben aber auch mitunter[br]mit der, also von der Nutzung ihrer

0:07:59.897,0:08:04.241
Fahrzeuge, indem sie einfach zur Arbeit[br]fahren. Und dann spielt auch eine ganz

0:08:04.241,0:08:09.020
tatsächlich, also sehr wichtige Rolle, wie[br]jeder weiß, das Gesundheitsamt und die

0:08:09.020,0:08:14.120
Verhütung und Bekämpfung eben übertragbare[br]Krankheiten steht da im Fokus. Also jetzt

0:08:14.120,0:08:18.340
unser Infektionschutzgesetz geradezu zu[br]Covid-19-Zeiten ist so aktuell wie nie.

0:08:18.340,0:08:22.120
Und auch nicht ganz unproblematisch ist[br]eben auch die fehlende Überwachung der

0:08:22.120,0:08:26.010
Leichenschau und der von Totenscheinen.[br]Und ich will jetzt nicht allzu sehr weiter

0:08:26.010,0:08:29.790
ins Detail gehen. Aber die[br]Landkreisverwaltung hat eben auch in dem

0:08:29.790,0:08:34.040
Bereich des Inneren Aufgaben, die ganz[br]normal durchgeführt werden müssen. Also

0:08:34.040,0:08:37.830
das sind normale Vergaben, das sind[br]Bekanntmachungen. Das ist aber eben auch

0:08:37.830,0:08:42.770
die Organisation des Sitzungsdienstes, und[br]weil die politischen Gremien eben auch

0:08:42.770,0:08:46.760
nicht, weil wir einen Katastrophenfall[br]haben, die Arbeit einstellen. Und die

0:08:46.760,0:08:53.290
erste Frage lautete dann eben auch vom[br]BSI, ob wir noch die Möglichkeit haben bei

0:08:53.290,0:08:57.780
der Bundestagswahl — also wir haben[br]natürlich auch den Kreiswahlleiter, also

0:08:57.780,0:09:01.410
ob die Bundestagswahl quasi in unserem[br]Kreis gefährdet ist. Ansonsten

0:09:01.410,0:09:05.779
Schulverwaltungsamt, klar, uns geht[br]wahnsinnige Summen verloren, wenn wir

0:09:05.779,0:09:10.020
jetzt z.B. beim Digitalpakt Schule[br]nicht arbeiten können und auch Veterinär-

0:09:10.020,0:09:13.870
und Lebensmittelüberwachung, das mit der[br]Tierseuchenbekämpfung, dem Tierschutz und

0:09:13.870,0:09:17.300
dem Schlachttier- und Fleischbeschau[br]befasst, ist natürlich irgendwo auch

0:09:17.300,0:09:20.610
kritisch bei der bei der[br]Lebensmittelproduktion so einzuordnen. Und

0:09:20.610,0:09:23.840
wenn wir jetzt auch mal den Blick nach[br]Innen richten warum dieser

0:09:23.840,0:09:29.001
Katastrophenfall ausgelöst wurde, wussten[br]wir zu dem Zeitpunkt nicht, wann wir

0:09:29.001,0:09:32.141
irgendwas wieder hochfahren können und[br]wenn wir es hochfahren, dass

0:09:32.141,0:09:36.460
gegebenenfalls die Verschlüsselung[br]weitergeht. Und deswegen musste neue

0:09:36.460,0:09:40.530
Technik beschafft werden, insbesondere[br]auch bei der Bereitstellung des Notnetzes.

0:09:40.530,0:09:47.750
Und im Normalfall ist man als Verwaltung[br]an Vergaberecht gebunden. Also diejenigen

0:09:47.750,0:09:52.140
von euch, die mit Verwaltungen arbeiten,[br]kennen das, wie lange sich das hinziehen

0:09:52.140,0:09:56.580
kann. Und auch wenn aktuell über die[br]Vereinfachung verstärkt diskutiert wird —

0:09:56.580,0:10:00.240
was absolut notwendig ist! — in unserem[br]Fall hat das Feststellen des

0:10:00.240,0:10:04.750
Katastrophenfalls dafür gesorgt, dass[br]Technik erst mal ohne Vergabeverfahren

0:10:04.750,0:10:09.240
beschafft werden konnte. Also es musste[br]nicht das komplette Vergabeprozedere hier

0:10:09.240,0:10:13.010
durchexerziert werden. Es musste nicht[br]geprüft werden, ob die Gelder im Haushalt

0:10:13.010,0:10:16.920
zur Verfügung stehen. Es musste nicht das[br]Rechnungsprüfungsamt bestätigen, dass die

0:10:16.920,0:10:20.360
Gelder zur Verfügung stehen, der[br]Vergabeausschuss musste nicht einberufen

0:10:20.360,0:10:24.110
werden und zusammenkommen und ähm, ohne[br]Zugriff auf die Daten wäre auch

0:10:24.110,0:10:29.290
tatsächlich nichts von all dem möglich[br]gewesen. Und die Technik für das Notnetz,

0:10:29.290,0:10:33.070
das innerhalb einer Woche an 3[br]Standorten aufgebaut wurde, Lieferfristen

0:10:33.070,0:10:37.140
dann eben auch eingerechnet, konnte nach[br]einer ad-hoc Vorstellung so einfach, also

0:10:37.140,0:10:41.110
nach einer ad-hoc Vorstellung von 3[br]Systemhäusern dann eben einfach beauftragt

0:10:41.110,0:10:45.520
werden, was wahnsinnig geholfen hat und[br]was eben auch der Schnelligkeit, die

0:10:45.520,0:10:50.350
eigentlich in den ersten Phasen sein muss,[br]entspricht. Und weiter geht's mit dem

0:10:50.350,0:10:54.411
Ressourceneinsatz. Also alles, was im Haus[br]"IT" buchstabieren konnte, wurde

0:10:54.411,0:10:59.310
zusammengezogen. Das heißt, das Sachgebiet[br]EDV war zu diesem Zeitpunkt noch im Amt

0:10:59.310,0:11:05.110
für Organisation, Personal und EDV[br]zugeordnet. Andere IT-Kollegen waren dem

0:11:05.110,0:11:10.040
Schulverwaltungamt zugeordnet und ich,[br]weil ich eher in den Themen Verwaltungs-,

0:11:10.040,0:11:15.640
Prozesse OZG und Digitalisierung und[br]Digitalstrategie tätig bin, war dem Amt

0:11:15.640,0:11:19.120
für zentrale Steuerung und Recht[br]zugeordnet. Und mit der Benennung als

0:11:19.120,0:11:24.120
technische Einsatzleitung oder technische[br]Einsatzleiterin war ich dann tatsächlich

0:11:24.120,0:11:28.170
mit einem Mal nicht mehr Einzelkämpferin,[br]sondern hatte eine ganze Traube Menschen

0:11:28.170,0:11:34.810
bei mir, also die ITler, die Fachexperten[br]und eben auch die Assistenten. Und ich

0:11:34.810,0:11:38.691
muss an der Stelle auch sagen, dass ich[br]mich von Tag eins an geweigert habe, das

0:11:38.691,0:11:42.620
Sachgebiet EDV als solches zu benennen,[br]sondern hatte die tatsächlich immer gleich

0:11:42.620,0:11:46.690
IT benannt, was dann irgendwann mal dazu[br]führte, dass im Kat-Stab abgefragt wurde.

0:11:46.690,0:11:50.990
Heißen die jetzt IT? Und wir dann diese[br]Verwaltungsmodernisierung wenigstens in

0:11:50.990,0:11:55.220
diesem Punkt sofort umgesetzt haben. Also[br]jedenfalls, das war noch mal wichtig zum

0:11:55.220,0:12:00.350
Thema Ressourceneinsatz. Der war jetzt[br]händelbar, denn tatsächlich ging es in den

0:12:00.350,0:12:05.330
ersten Stunden oder in den ersten Tagen[br]und Wochen auch um den Zugriff auf

0:12:05.330,0:12:09.290
Besprechungsräume, die Kommunikation mit[br]Externen, die Beschaffung von Technik, den

0:12:09.290,0:12:12.680
Personaleinsatz am Wochenende und in der[br]Nacht, die Anpassung der

0:12:12.680,0:12:16.810
Bereitschaftsdienste, des Wachschutzes und[br]auch um die – ganz profanen, die

0:12:16.810,0:12:21.230
Verpflegung der Mitarbeiter. Und das wäre[br]tatsächlich auch ohne Katastrophenfall in

0:12:21.230,0:12:24.940
der Form nicht möglich gewesen und auch[br]nicht in der Schnelligkeit. Also wie

0:12:24.940,0:12:29.330
kommts zum Katastrophen Stab und Incident[br]Response? Weil da ist es schon so ein

0:12:29.330,0:12:33.840
bisschen kollidiert und ich hatte eben[br]kurz an die Externen und die Gremien

0:12:33.840,0:12:37.550
angesprochen und es war in erster Linie[br]natürlich der Katastrophenstab als

0:12:37.550,0:12:43.470
wichtigstes Entscheidungsgremium, das war[br]die technische Einsatzleitung 1 und die

0:12:43.470,0:12:47.642
technische Einsatzleitung 2, komme ich[br]gleich noch mal darauf zu. Und auch die

0:12:47.642,0:12:51.670
Arbeitsgruppe Wiederaufbau, deren[br]Entscheidungen mittel- bis langfristig

0:12:51.670,0:12:56.540
wirken. Und damit waren eben tatsächlich[br]die Kollision vorprogrammiert. Die einen,

0:12:56.540,0:13:01.720
die da zum einen länger an der Behörde[br]bleiben und die anderen, die relativ

0:13:01.720,0:13:08.550
schnell auf klare Entscheidungen drängen[br]müssen. Ähm … und das trifft mitunter da

0:13:08.550,0:13:13.560
drauf, dass so ein Verhalten an den Tag[br]gelegt wird und dann auch zusätzlich eine

0:13:13.560,0:13:19.030
neue Hausspitze etabliert wird oder[br]gewählt wurde und dann eben sein Amt

0:13:19.030,0:13:23.870
antritt. Das war 3 Tage nach dem[br]Katastrophenfall, dass dann eben auch so

0:13:23.870,0:13:28.200
die eine oder andere Diskussion entstand,[br]die tatsächlich nicht hätte sein müssen,

0:13:28.200,0:13:33.697
die man durchaus sehr, sehr abkürzen[br]konnte. Also, als Externe waren dabei das

0:13:33.697,0:13:37.580
Finanzministerium, es war das Bundesamt[br]für Sicherheit in der Informationstechnik

0:13:37.580,0:13:41.150
dabei, es war tatsächlich auch die[br]Bundeswehr dabei, es war das CERT Nord

0:13:41.150,0:13:44.820
dabei, das Landeskriminalamt, einen[br]Kollegen, ein Professor von der Hochschule

0:13:44.820,0:13:51.790
Harz, und tatsächlich waren alle in ihrem[br]Bereich für uns sehr hilfreich. Und noch

0:13:51.790,0:13:56.490
mal im Detail zu den Rollen Technische[br]Einsatzleitung I und II, also die während

0:13:56.490,0:14:00.190
technische Einsatzleitung I mit der IT[br]Infrastruktur mit dem Wiederaufbau

0:14:00.190,0:14:04.136
beschäftigt war, war es bei der II die[br]Wiederinbetriebnahme der Fachverfahren und

0:14:04.136,0:14:07.490
eben auch die Priorisierung der[br]Wiederinbetriebnahme der Fachverfahren.

0:14:07.490,0:14:11.350
Und auch wenn man meinen müsste, man baut[br]zunächst die Infrastruktur auf, das wäre

0:14:11.350,0:14:15.170
das einfachste und danach nimmt man die[br]Fachverfahren wieder in Betrieb. Das

0:14:15.170,0:14:19.260
funktioniert tatsächlich nicht, weil die[br]Verwaltung im laufenden Betrieb

0:14:19.260,0:14:22.399
weitergearbeitet hat, weil es[br]funktionierte das Telefon, es

0:14:22.399,0:14:26.870
funktionierte, das Fax und die Türen waren[br]auch offen. Und das bedeutet, dass

0:14:26.870,0:14:30.879
eigentlich die die Ansprüche an die[br]Verwaltung und eben auch die, die Anfragen

0:14:30.879,0:14:34.810
und Anträge an die Verwaltung tatsächlich[br]nahtlos weitergingen. Und ich hatte schon

0:14:34.810,0:14:38.387
vorhin gesagt, dass für viele Bürgerinnen[br]und Bürger und Unternehmen ist die

0:14:38.387,0:14:42.970
Leistungserbringung durch die Kommune[br]existenziell, und wenn wir uns noch mal

0:14:42.970,0:14:46.590
das Beispiel KFZ Zulassung so vornehmen,[br]dann haben Leute vielleicht ein Auto

0:14:46.590,0:14:50.398
gekauft oder sie haben es kaputt gefahren,[br]oder keine Ahnung, auf jeden Fall, während

0:14:50.398,0:14:55.180
eine Abmeldung möglich ist, ist eine[br]Anmeldung tatsächlich nur am Wohnort

0:14:55.180,0:15:01.330
möglich. Also das heißt, dieses[br]Wohnortprinzip gilt hier tatsächlich ganz,

0:15:01.330,0:15:07.200
also ganz vornehmlich sozusagen. Und das[br]heißt dieses, dass die Fachverfahren in

0:15:07.200,0:15:11.390
den anderen Kommunen, also es hätte keine[br]Amtshilfe stattfinden können, weil einfach

0:15:11.390,0:15:15.350
die ganz profanen, die Gemeindeschlüssel[br]auch nicht hinterlegt sind oder hinterlegt

0:15:15.350,0:15:20.170
werden können und — oder anderes Beispiel[br]Genehmigungfiktion: das bedeutet,

0:15:20.170,0:15:24.320
entscheidet eine Behörde, eine zuständige[br]Behörde nicht innerhalb einer bestimmten

0:15:24.320,0:15:30.320
Frist über eine beantragte Genehmigung, so[br]geht die Genehmigung als erteilt. Und das

0:15:30.320,0:15:34.510
hat Potenzial für durchaus ausufernde[br]Streitigkeiten und richtig große Schäden,

0:15:34.510,0:15:38.570
die im Nachgang entstehen. Und das Ganze[br]musste auch immer mal wieder abgewogen

0:15:38.570,0:15:43.179
werden. Das heißt, diese Listen waren[br]erstmal flexibel und die Diskussion war

0:15:43.179,0:15:47.019
eine permanente Diskussion zwischen der[br]technischen Einsatzleitung I und der

0:15:47.019,0:15:52.070
technischen Einsatzleitung II. Und dann[br]gab es eben auch noch ganz andere

0:15:52.070,0:15:56.000
Abwägungen und Entscheidungen. Also das[br]war … ähm … es war eine Entscheidung, die

0:15:56.000,0:15:59.740
Frage, ob die Verwaltung in die Cloud[br]geht, wo dann eben auch der Personalrat

0:15:59.740,0:16:05.740
beteiligt werden muss. Es waren Fragen, ob[br]man mit dem Forensikteam weiterarbeiten

0:16:05.740,0:16:13.100
kann und möchte, es waren Fragen, ob man[br]Aufgaben und Leistungen in Rechenzentren

0:16:13.100,0:16:17.060
auslagert. Und es war natürlich auch die[br]Entscheidung: es stand eine Erpressung im

0:16:17.060,0:16:20.950
Raum, ob man beispielsweise dieser[br]Lösegeldforderung nachgeht, was aber sehr

0:16:20.950,0:16:26.610
schnell klar war, dass dem nicht so sein[br]wird. Und unter den besten

0:16:26.610,0:16:30.660
Herausforderungen, da gibt es gleich noch[br]ein paar Anekdoten am Ende, so, aber wir

0:16:30.660,0:16:35.850
kommen zu der Organisation. Nur ganz kurz[br]Also was hatte sich sofort verändert, im,

0:16:35.850,0:16:39.970
direkt im Anschluss an diesen[br]Katastrophenfall? Also ich habe es gerade

0:16:39.970,0:16:44.150
noch auf der letzten Folie. Die IT stand[br]im Fokus. Also das Zusammenziehen der IT

0:16:44.150,0:16:47.850
Mitarbeiter*innen wurde beibehalten[br]inzwischen, das Sachgebiet wird jetzt in

0:16:47.850,0:16:51.920
ein eigenes Amt überführt und nimmt eben[br]auch die Mitarbeiter des

0:16:51.920,0:16:56.010
Schulverwaltungsamtes auf, also die IT-[br]Mitarbeiter des Schulverwaltungsamtes und

0:16:56.010,0:16:59.190
eine Amtsleiterstelle wurde[br]ausgeschrieben. Und auch der IT

0:16:59.190,0:17:04.500
Sicherheitsbeauftragte wird neu benannt,[br]und dadurch, dass da auch dafür keine neue

0:17:04.500,0:17:08.620
Stelle geschaffen wird und niemand aus dem[br]operativen Bereich IT-

0:17:08.620,0:17:13.070
Sicherheitsbeauftragter werden kann, also[br]aus dem operativen Bereich der IT-

0:17:13.070,0:17:18.350
Abteilung, muss jemand gefunden werden,[br]tatsächlich gibt es auch Interessenten,

0:17:18.350,0:17:22.240
aber das Land unterstützt auch hier diese[br]Interessenten dann eben auch zu schulen,

0:17:22.240,0:17:25.903
damit die wissen, was sie da tun. Und die[br]erste Aufgabe wird es eben sein IT-

0:17:25.903,0:17:30.720
Sicherheitskonzept zu schreiben und das[br]Ganze muss dann die Dienstvereinbarung

0:17:30.720,0:17:36.260
ergänzen. Und organisatorisch wurde all[br]das bestimmt, was jetzt sozusagen nahezu

0:17:36.260,0:17:40.510
mit Bordmitteln möglich war und wofür[br]nicht extra irgendwelche Finanzmittel

0:17:40.510,0:17:45.200
bereitgestellt werden müssen. Also was den[br]Wiederaufbau betrifft, sind wir hier

0:17:45.200,0:17:51.200
weiterhin dabei Entscheidungen für die[br]Zukunft zu treffen. Also das passiert in

0:17:51.200,0:17:55.320
der Arbeitsgruppe Wiederaufbau und auch[br]die wird noch weit nach dem

0:17:55.320,0:17:59.420
Katastrophenfall bestehen müssen.[br]Ansonsten ist geplant oder ist es nicht

0:17:59.420,0:18:05.639
nur geplant, sondern eben auch soll der[br]IT-Grundschutz so umgesetzt werden, wie

0:18:05.639,0:18:11.300
wir das uns finanziell leisten können und[br]wie es notwendig ist und wie es

0:18:11.300,0:18:17.270
tatsächlich auch wichtig ist, um wieder[br]sozusagen arbeiten zu können. Und nicht

0:18:17.270,0:18:20.830
bewilligt wurden erst mal[br]Mitarbeiter*innen und auch hier wieder die

0:18:20.830,0:18:25.960
Grundlage der Politik, also sozusagen im[br]Kreis- und Finanzausschuss wurden erst mal

0:18:25.960,0:18:29.860
keine neuen Stellen bewilligt und auch[br]hier war die Diskussion erst mal wieder

0:18:29.860,0:18:34.830
groß, ähm, die Leute, die gebraucht[br]werden, dann auch für diese Positionen zu

0:18:34.830,0:18:40.530
argumentieren. So, noch kurz zur[br]Wiederherstellung und zur Komplexität der

0:18:40.530,0:18:44.760
Fachverfahren. Zunächst mal ist das[br]Landratsamt nicht abgebrannt. Also das ist

0:18:44.760,0:18:48.450
das, was wir am Anfang immer wieder sagen[br]mussten: das große Geschäft mit dem

0:18:48.450,0:18:51.970
Landkreis war also nicht zu machen, und[br]überhaupt lautete der Auftrag, den

0:18:51.970,0:18:56.700
Landkreis wieder aufzubauen, und nur[br]diesmal in sicher. Und daher auch der

0:18:56.700,0:19:00.180
Titel den "Rebuilding Landkreis Anhalt-[br]Bitterfeld". Es sollte kein neuer

0:19:00.180,0:19:04.050
entstehen. So, der Wiederaufbau des Active[br]Directory ist inzwischen abgeschlossen.

0:19:04.050,0:19:08.929
Aktuell erfolgt jetzt so schrittweise die[br]Neuinstallation der Fachverfahren und eben

0:19:08.929,0:19:14.544
auch sind wir hier gebunden an die[br]Kapazitäten der Fachverfahrenshersteller.

0:19:14.544,0:19:21.549
Und was jetzt noch passiert ist die[br]Absicherung der Verfahrensserver. So, und

0:19:21.549,0:19:27.660
ansonsten funktioniert auch das wieder[br]nach der Priorisierung und — ich kürze das

0:19:27.660,0:19:33.030
Ganze mal ein bisschen ab, wir kommen zur[br]Schadensbilanz: die sieht wie folgt aus,

0:19:33.030,0:19:39.100
also die Kosten belaufen sich aktuell auf[br]2 Millionen. Weitaus mehr als die Lösegeld

0:19:39.100,0:19:43.250
Summe war, Mittel, die auch nicht[br]unbedingt zusätzlich jetzt im Haushalt

0:19:43.250,0:19:48.510
ausgegeben werden, aber mit dem geplanten[br]? Budget im nächsten für oder für das

0:19:48.510,0:19:53.330
nächste Jahr verrechnet wurden und quasi[br]jegliche Planung erst mal zunichte gemacht

0:19:53.330,0:19:57.470
haben, es sind neue Konflikte entstanden.[br]Konflikte zwischen Infrastruktur und

0:19:57.470,0:20:04.420
Anwendungsbetreuern, im Zusammenspiel der[br]Kollegen untereinander. Auch das Vertrauen

0:20:04.420,0:20:10.299
in die Digitalisierung ist nachhaltig[br]zerstört. Also die ersten Antworten dazu

0:20:10.299,0:20:15.280
waren: ach hätten wir mal noch die[br]Papierakte behalten, und dann haben wir

0:20:15.280,0:20:19.750
ein Datenverlust im Umweltamt. Wir haben[br]vollends verschlüsselte Mailserver und wir

0:20:19.750,0:20:23.810
haben ein verlorenes Intranet. Und[br]tatsächlich waren einige Mitarbeiter ins

0:20:23.810,0:20:27.419
Homeoffice gewechselt, um dort Internet[br]und überhaupt Technik zu haben, um

0:20:27.419,0:20:32.890
überhaupt weiterarbeiten zu können. Denen[br]jetzt zu sagen, ihr dürft eure private

0:20:32.890,0:20:37.910
Technik nicht mehr benutzen und auch vor[br]dem Hintergrund, dass sie jetzt ein

0:20:37.910,0:20:41.880
anderes Arbeiten eben auch gelernt haben[br]oder sich angelernt haben, ist es

0:20:41.880,0:20:47.179
natürlich schwierig, dort einfach[br]zurückzukehren. Wir hatten extrem viel

0:20:47.179,0:20:51.500
Hilfe durch andere Landkreise. Wir hatten[br]super viel Hilfe durch kreisangehörige

0:20:51.500,0:20:54.700
Städte und Gemeinden explizit. Auch durch[br]das Land und den IT-

0:20:54.700,0:20:59.580
Sicherheitsbeauftragten, der uns über[br]Monate eigentlich in Amtshilfe, also nach

0:20:59.580,0:21:04.260
dem Amtshilfeersuchen, sozusagen zur[br]Verfügung gestellt wurde und durch das BSI

0:21:04.260,0:21:09.340
und eben auch durch die Bundeswehr, die[br]explizit technisch unterstützt hat. Aber

0:21:09.340,0:21:14.430
das heißt eben auch, dass wir in der[br]Verantwortung sind und sein möchten, den

0:21:14.430,0:21:21.390
Wissenstransfer jetzt zu initiieren, und[br]wir gehen davon aus, uns hat es in dem

0:21:21.390,0:21:25.720
Moment richtig erwischt. Wir sind[br]allerdings die ersten, und werden nicht

0:21:25.720,0:21:29.670
die einzigen bleiben. Und insofern ist es[br]wichtig, dass hier der Wissenstransfer

0:21:29.670,0:21:33.410
stattfindet. Und tatsächlich denke ich[br]auch, dass der Steuerzahler das erwarten

0:21:33.410,0:21:38.070
kann. Und zudem haben wir nebenbei auch[br]schon so viele Fragen beantwortet, und so

0:21:38.070,0:21:42.450
vielen Konferenzen teilgenommen, bei Frag[br]den Staat geantwortet, in Ausschüssen Rede

0:21:42.450,0:21:45.750
und Antwort gestanden und, also das[br]ziemlich deutlich wurde, dass das

0:21:45.750,0:21:49.430
Interesse da ist. Und damit übergebe ich[br]ein HonkHase, der mich auf Twitter so

0:21:49.430,0:21:53.440
professionell angepisst hat, dass ich ihn[br]direkt ins Expertengremium berufen habe!

0:21:53.440,0:22:02.350
HonkHase: <i>lacht</i> Ja okay, meine Steuern[br]würde ich da auch ganz gerne in

0:22:02.350,0:22:07.270
vertrauensvolle Hände legen, allerdings[br]muss man ja sagen, wenn man sich das so

0:22:07.270,0:22:11.720
anguckt: Wie digital handlungsfähig ist[br]eigentlich der Kritis-Sektor, Staat und

0:22:11.720,0:22:17.230
Verwaltung? Sieht man ja nicht nur an[br]euch, an eurem Beispiel, sondern man hat

0:22:17.230,0:22:21.799
ja dieses Jahr schon allein über 100[br]Behörden und Verwaltungen kompromittiert

0:22:21.799,0:22:27.630
gehabt, und das ist ja nicht das Ende der[br]Fahnenstange. Also insofern habe ich mir

0:22:27.630,0:22:31.820
gedacht so ja, die brennende Mülltonne[br]passt eigentlich, möchte alles anzünden,

0:22:31.820,0:22:35.510
aber wait a sec, digital handlungsfähig[br]ist der Staat gar nicht, der brennt ja

0:22:35.510,0:22:39.900
schon von selbst. Da kannst du eigentlich[br]nur noch Brandroden und neu machen.

0:22:39.900,0:22:46.040
Unauffälliger Hinweis für den[br]Folienwechsel. Die Frage ist ja was

0:22:46.040,0:22:52.110
brauchen wir? Die echte, das was wir[br]wirklich brauchen ist doch eine Cyber-

0:22:52.110,0:22:56.820
Resilienz. Ja, cyber bla. Lassen wir's[br]einfach. Ich bin Urgestein, Cyber-Grandpa,

0:22:56.820,0:23:02.740
ich darf das, ja? Wir brauchen eine[br]Resilienz für den Cyberraum von kritischen

0:23:02.740,0:23:07.420
Infrastrukturen, und dazu gehört eben auch[br]der Sektor Staat und Verwaltung. Und da

0:23:07.420,0:23:11.820
gehört er ganz besonders zu egouvernante[br]hat ja vorhin schon gesagt, das sind auch

0:23:11.820,0:23:16.460
durchaus bedrohliche Fachverfahren dabei[br]gewesen, die eben gar nicht resilient

0:23:16.460,0:23:20.160
waren, weil sie einfach auseinander[br]gefallen sind, nachdem die hochkriminellen

0:23:20.160,0:23:24.760
Tätergruppen aktiv geworden sind. Wir[br]reden ja hier nicht von Bespaßung,

0:23:24.760,0:23:29.760
bisschen fun, bisschen rumhacken oder[br]kaputt spielen. Wir reden hier von

0:23:29.760,0:23:33.490
kriminellen Banden organisierter[br]Kriminalität, die irgendwie Millionen

0:23:33.490,0:23:38.500
versuchen abzugreifen, ja. Und was wir[br]auch brauchen, um dem gegenzusteuern: wie

0:23:38.500,0:23:41.940
schaffen wir diese Resilienz? Durch[br]Krisenerfahrung und Übung bei den

0:23:41.940,0:23:46.870
Verantwortlichen. Ja, dazu zähle ich[br]explizit Bürgermeister*innen, Landräte,

0:23:46.870,0:23:51.360
you name it, egal. Wer keine[br]Krisenerfahrung hat, wer keine Übungen

0:23:51.360,0:23:56.270
regelmäßig macht, steht dann genauso da[br]wie auch beispielsweise bei euch, aber

0:23:56.270,0:24:03.280
eben auch beim Ahrtal, ja, Klimakatastrophe[br]ist ja dasselbe Phänomen, dasselbe

0:24:03.280,0:24:07.150
Problem. Die waren alle nicht geübt, die[br]haben nicht regelmäßig die Einsätze

0:24:07.150,0:24:11.760
trainiert. Und dann steht man da vor dem[br]Trümmerhaufen und sagt: Oh, alles kaputt,

0:24:11.760,0:24:16.240
kostet teilweise sogar Menschenleben. Und[br]nein, was wir nicht brauchen ist – ne,

0:24:16.240,0:24:20.720
Rebuilding Anhalt-Bitterfeld ja, aber ey,[br]echt keine Fachverfahren auf Windows 98 in

0:24:20.720,0:24:28.760
2021, so. Das haben wir beispielsweise[br]hier im Gericht in Berlin erlebt. Vorher

0:24:28.760,0:24:33.429
war es Windows 98 Fachverfahren, nachher[br]ist es immer noch eins. Ja, nee, fail, so

0:24:33.429,0:24:37.930
das will echt keiner haben. Baut diese[br]Fachverfahren neu, baut sie sinnvoll,

0:24:37.930,0:24:41.929
digitalisiert Ende zu Ende für die[br]Bürger*innen und das muss die Erwartungen

0:24:41.929,0:24:48.090
an den Sektor Staat und Verwaltung sein,[br]ja. Was wir auch brauchen und was einfach

0:24:48.090,0:24:51.900
mal fehlt sind Sicherheitsanforderungen[br]und Vorgaben, so dieser — es gibt den

0:24:51.900,0:24:56.549
Kritis-Sektor Staat und Verwaltung. Und[br]welche Vorgaben hat er? Ja, machste

0:24:56.549,0:25:02.150
dicke Backen. Also paar Öhrchen drauf,[br]kannste nichts mehr zu sagen. Es gibt für

0:25:02.150,0:25:07.950
8 der 10 Kritis-Sektoren im BSI[br]Gesetz § 8a, und der anhängigen Kritis-

0:25:07.950,0:25:11.770
Verordnung genaue Vorgaben, was für[br]Sicherheitsanforderungen die zu erfüllen

0:25:11.770,0:25:16.330
haben. Bei Medien und Kultur ist es[br]landesweit nicht geregelt, aber eben bei

0:25:16.330,0:25:20.982
Staat und Verwaltung ist es ja, öh, gar[br]nicht geregelt. So ja, da kann ich, ja,

0:25:20.982,0:25:25.510
bin ich auch schon wieder kurz vorm — vorm[br]anzünden hier <i>lacht</i> Das muss dringend

0:25:25.510,0:25:30.990
weg. Da muss wirklich die die Koalition,[br]die Ampel mal das BMI wachrütteln und

0:25:30.990,0:25:34.330
vielleicht wirklich mal[br]Sicherheitsanforderungen an Tag legen und

0:25:34.330,0:25:39.140
sagen: so, das ist jetzt der Maßstab,[br]nachdem dieser Sektor betrieben wird. Was

0:25:39.140,0:25:43.210
wir brauchen sind kommunale CERTs mit[br]Hilfe für alle kleinen Kommunen, weil wie

0:25:43.210,0:25:48.320
soll denn — also ihr als Landkreis wart ja[br]schon sozusagen überrannt worden von

0:25:48.320,0:25:53.400
diesem koordinierten Angriff. Ja, was[br]macht denn da eine kleine Kommune, die hat

0:25:53.400,0:25:57.590
ja vielleicht eine halbe IT-Stelle, eine[br]IT Stelle keine Ahnung, das ist sehr

0:25:57.590,0:26:01.360
überschaubar, die haben doch noch nie[br]Incidence Response gemacht, die haben noch

0:26:01.360,0:26:05.170
nie irgendwelche Fachverfahren gesichert,[br]die haben noch nie mit 15 verschiedenen

0:26:05.170,0:26:12.360
Behörden und Verantwortlichen und[br]Sicherheitseinrichtungen irgendwie

0:26:12.360,0:26:17.049
kommuniziert um abzustimmen: wer kommt[br]jetzt eigentlich und hilft? Die machen ja

0:26:17.049,0:26:21.640
auch, die – die gucken wie Rebhühner[br]einmal groß in die Unterlagen und sagen:

0:26:21.640,0:26:25.940
ja es gibt dieses Cyber-Wimmelbild der[br]Verantwortungsdiffusion, da sind ganz

0:26:25.940,0:26:31.170
viele drauf. Wen frag ich denn jetzt? Ja,[br]das kann es ja irgendwie auch nicht sein.

0:26:31.170,0:26:36.870
Kleiner Hinweis für die Folien. Was wir[br]auch bräuchten, und da stehe ich natürlich

0:26:36.870,0:26:40.890
mit Herz und Seele dahinter, weil es meine[br]Passion ist, als als Mitgründer der

0:26:40.890,0:26:44.610
unabhängigen Arbeitsgemeinschaft AG[br]Kritis, wir bräuchten ein Cyber-Hilfswerk,

0:26:44.610,0:26:48.520
das ist der Arbeitstitel, den wir dem[br]Ganzen verpasst haben. Soll die

0:26:48.520,0:26:53.080
existierenden Bewältigungskapazitäten für[br]Großschadenslagen durch Cybervorfälle bei

0:26:53.080,0:26:56.910
kritischen Infrastrukturen kooperativ[br]ergänzen. Dazu haben wir ein Konzept

0:26:56.910,0:27:01.970
entwickelt, hat knapp 40 Seiten, da haben[br]wir teilweise in Workshops

0:27:01.970,0:27:06.340
zusammengesessen mit dem BSI, mit dem BBK,[br]also Bundesamt für Bevölkerungsschutz und

0:27:06.340,0:27:10.100
Katastrophenhilfe, BSI, Bundesamt für[br]Sicherheit in der Informationstechnik und

0:27:10.100,0:27:14.819
mit dem CCC, also im Chaos Computer Club[br]und haben einfach mal Gebrainstormed: wie

0:27:14.819,0:27:19.899
würde man eigentlich Ehrenamtler,[br]Ehrenamtlerinnen dazu bewegen, irgendwie

0:27:19.899,0:27:24.400
bei echt Großschadenslagen – nicht bei,[br]wenn wir ein paar Bitwerte umkippen und

0:27:24.400,0:27:28.460
aus Einsen Nullen werden, sondern wirklich[br]in so einer Lage hier, wo es wirklich auch

0:27:28.460,0:27:34.100
um Existenzbedrohung geht und ein ganzer[br]Landkreis auch einfach mal viele Monate

0:27:34.100,0:27:39.890
kaputt optimiert wurde und lahmgelegt ist[br]und noch viele Monate bleiben wird. Das

0:27:39.890,0:27:43.340
wir da irgendwie in der Lage sind[br]irgendwie auch zu agieren. Noch mal

0:27:43.340,0:27:48.260
letzter Hinweis <i>lacht</i>. Ja, das Cyber-[br]Hilfswerk. Was? Was ist eigentlich der

0:27:48.260,0:27:52.799
Plan? Der Plan ist, man soll eine,[br]wirklich das Primärziel ist nicht dieser,

0:27:52.799,0:27:56.490
diesem Betreiber*innen von kritischen[br]Infrastrukturen zu helfen und Primärziel

0:27:56.490,0:28:00.860
ist auch nicht deren Ergebnis und Erlöse[br]sichern, oder diesen deren — weiß der

0:28:00.860,0:28:04.809
Kuckuck — Produktionsanlagen schick und[br]stylisch zu halten oder die

0:28:04.809,0:28:09.370
Eingangspforten. Nee, es geht einzig und[br]allein um die Wiederherstellung der

0:28:09.370,0:28:14.210
Versorgung der Bevölkerung mit den[br]kritischen Dienstleistungen, was eben beim

0:28:14.210,0:28:18.000
Sektor Staat und Verwaltung wäre, dass die[br]Fachverfahren funktionieren, dass die

0:28:18.000,0:28:23.159
Bürgerinnen mit ihren Bedürfnissen und mit[br]der Not sozusagen dann auch sich an die

0:28:23.159,0:28:27.330
Bürgerämter wenden können und wo auch[br]geholfen wird und gekümmert wird, ja dass

0:28:27.330,0:28:31.120
auch Sozialabgaben monatlich auf dem Konto[br]landen und nicht gesagt wird: Ja, ist

0:28:31.120,0:28:35.070
gerade 'ne Ransomware, wir können keine[br]Überweisungen mehr tun. Pech gehabt, gehst

0:28:35.070,0:28:39.460
du leer aus. So funktioniert das nicht bei[br]Leuten, die in Not sind und diese Not dann

0:28:39.460,0:28:44.910
auch brauchen, ja als Hilfe. Also IT-[br]Sicherheit verbessern reicht nicht aus.

0:28:44.910,0:28:48.960
Müssen wir natürlich sowieso tun. Absolut.[br]Dürfen wir nicht vernachlässigen. Aber wir

0:28:48.960,0:28:53.299
brauchen eben Incident Response und[br]Krisenbewältigungskapazitäten auf einer

0:28:53.299,0:28:57.520
Basis von ehrenamtlichen digitalen[br]Katastrophenschutzhelferinnen. Ja, wir

0:28:57.520,0:29:01.650
haben genug Know how in unserer Community.[br]Wenn das on our terms, also nach unseren

0:29:01.650,0:29:05.940
Spielregeln funktioniert, dass wir sagen:[br]Ey, wir wollen da helfen, da kommen keine

0:29:05.940,0:29:09.650
komischen Sicherheitsbehörden, machen[br]komischen foo, da rückt das BSI Mobile

0:29:09.650,0:29:13.640
Incident Resonse Team aus, wir kommen da[br]bei, und dann muss man vielleicht sogar

0:29:13.640,0:29:17.750
auch nicht eine Bundeswehr rufen, weil[br]wird schon alles gekümmert. Die Bundeswehr

0:29:17.750,0:29:21.530
sollte der letzte Notnagel am Ende der[br]Kette sein. Wirklich der letzte Notnagel.

0:29:21.530,0:29:25.191
Und nicht: ey, wir rufen mal kurz die[br]Bundeswehr. Die können wir mit einplanen

0:29:25.191,0:29:29.220
und dann ist es kein Notnagel mehr,[br]sondern einkalkuliert. Die sollten niemals

0:29:29.220,0:29:34.320
einkalkuliert sein, am besten nie genutzt[br]werden, weil wenn dann sozusagen The shit

0:29:34.320,0:29:38.700
hits the fan, dann dann brauchen wir die[br]Bundeswehr wirklich, aber nicht in solchen

0:29:38.700,0:29:43.280
Lagen, denn dafür ist das Cyber-Hilfswerk[br]gedacht. Ja und dafür werde ich jetzt in —

0:29:43.280,0:29:48.230
du hast mich ja in diese in dieser Runde[br]rein genötigt — Expertenkreisen werde ich

0:29:48.230,0:29:51.900
das jetzt für die AG Kritis dann auch[br]entsprechend vertreten und versuchen zu

0:29:51.900,0:29:57.720
fördern, das wir das, ja ins Leben rufen.[br]Und dann wird vielleicht aus dem aus dem

0:29:57.720,0:30:02.210
Anzünden und Brandroden vielleicht nur ein[br]professionell angepisst und dann ist die

0:30:02.210,0:30:04.590
Welt wieder schön.[br]egouvernante: <i>lacht</i>

0:30:04.590,0:30:08.120
HonkHase: Und damit übergebe ich wieder[br]zurück an dich. Bitte schön.

0:30:08.120,0:30:12.905
egouvernante: Sehr gut. Und damit kommen[br]wir zu der ganzen Kategorie "Behind the

0:30:12.905,0:30:17.280
Scenes" Best of Dienstleister. Nee,[br]Quatsch, Best of Kunden Beschimpfung. Ich

0:30:17.280,0:30:21.059
glaube, dazu können wir da noch alle,[br]falls irgendeiner beim Lightning Talk

0:30:21.059,0:30:25.799
abgesprungen ist, da kann ich E-Mails[br]vorlesen, die mich wunderbarerweise

0:30:25.799,0:30:31.500
erreicht haben, nein kleiner Spaß. Also[br]ähm, es gab auch Situationen, die einfach

0:30:31.500,0:30:38.809
in ihrer Art, in ihrer — alleine, in dem[br]Moment, in dem sie einen erreichen,

0:30:38.809,0:30:44.980
unfassbar unglaubwürdig klingen. Also auf[br]der einen Seite klar, wenn, wenn es gut

0:30:44.980,0:30:48.949
gemeint ist, ja. Also man sagt ja immer:[br]das Gegenteil von gut ist gut gemeint.

0:30:48.949,0:30:55.200
Wenn Mitarbeiter auf die Idee kommen,[br]tatsächlich Dateien auf Memory Sticks zu

0:30:55.200,0:30:59.530
sichern und die nach Hause zu schleppen,[br]um sie dann wieder ins Landratsamt zu

0:30:59.530,0:31:04.570
bringen, dann könnt ihr das auch später[br]noch mal zu einem Problem werden. Was uns

0:31:04.570,0:31:09.580
immer wieder getroffen hat, war, wenn IT-[br]Mitarbeiter direkt angesprochen wurden,

0:31:09.580,0:31:14.880
weil irgendein Rechner auch ohne Netzwerk[br]auch und nur mit Drucker oder Scanner oder

0:31:14.880,0:31:20.591
whatever sozusagen wieder wieder an den[br]Start gebracht werden mussten, dann ist es

0:31:20.591,0:31:24.339
blöd, wenn es an der technischen[br]Einsatzleitung vorbeiläuft. Und es ist

0:31:24.339,0:31:28.100
super blöd, wenn ich diese Ressourcen dann[br]irgendwo gebunden habe oder letztlich

0:31:28.100,0:31:31.810
keine Rechner mehr hatte, ich platt machen[br]kann, weil alle irgendwie jetzt doch

0:31:31.810,0:31:37.279
wieder in Benutzung sind. Spannend war[br]auch in den Runden die technische

0:31:37.279,0:31:41.410
Einsatzleitung, welche das jetzt auch[br]immer war, zu erschlagen, wie es richtig

0:31:41.410,0:31:45.140
ginge. Das führt dann tatsächlich zu[br]Situationen, dass man sein Mikrofon

0:31:45.140,0:31:49.630
einschaltet und nach einem 10 minütigen[br]Vortrag, wie es richtig ginge, sagt so:

0:31:49.630,0:31:54.809
Nein. Unverständige Gesichter, Mikrofon[br]noch mal an: Das ist technisch nicht

0:31:54.809,0:31:59.290
möglich. Das auch, wenn wir uns sehr[br]wünschen, dass das Landratsamt wieder an

0:31:59.290,0:32:04.390
den Start geht, sind verschiedene[br]Reihenfolgen einfach zu beachten.

0:32:04.390,0:32:08.500
Highlight waren aber tatsächlich[br]Vertriebler, die direkt das Fachverfahrens

0:32:08.500,0:32:12.880
Verzeichnis verlangt haben, OZG direkt[br]gleich mitmachen wollten und irgendwie mit

0:32:12.880,0:32:18.059
einem leeren Kfz-Kennzeichen Datenbank[br]vielleicht am besten Morgen schon loslegen

0:32:18.059,0:32:23.150
wollten. Aber sorry, Aubergine Aubergine[br]Zwinker-Smiley funktioniert nicht auf

0:32:23.150,0:32:27.340
einem Kennzeichen und wir können nicht mit[br]doppelten Kennzeichen die Leute rumfahren

0:32:27.340,0:32:31.190
lassen, das hat einfach[br]versicherungstechnischen Gründe. Auch

0:32:31.190,0:32:35.850
waren Situationen, wo man einfach mit den[br]Geschäftsführern in einem Gespräch sitzt

0:32:35.850,0:32:39.770
mit den Technikern und dann auf der[br]anderen Seite die Geschäftsführer und die

0:32:39.770,0:32:43.160
dann permanent genervt die Augen[br]verdrehen, wenn man konkrete Details

0:32:43.160,0:32:46.900
erfragt. Und einer war dann sehr arg[br]enttäuscht und kündigte an, dass er uns

0:32:46.900,0:32:52.080
jetzt überall ausschmieren wird, wie[br]furchtbar wir sind und dass wir sozusagen

0:32:52.080,0:32:56.242
nicht, dass diese Firma gewählt werden und[br]ich sei ne Landesverräterin, der Kollege,

0:32:56.242,0:33:03.150
sei nen IT-Söldner. Und dabei war die[br]Entscheidung definitiv sehr objektiv und

0:33:03.150,0:33:08.480
von Erfahrungswerten von allen am Tisch[br]getragen. So, also Ansagen wie: wir machen

0:33:08.480,0:33:12.290
mal einen Termin und erklären, wie sie zu[br]uns in der Cloud kommen, und eigentlich

0:33:12.290,0:33:15.800
interessiert uns ihre technische Ansicht[br]überhaupt nicht, sondern wir erklärens

0:33:15.800,0:33:19.490
noch mal dem Hauptverwaltungsbeamten,[br]bringt Unruhe ins Haus und ist irgendwie

0:33:19.490,0:33:25.160
auch nicht förderlich, weil wir letztlich[br]es doch umsetzen werden und müssen und

0:33:25.160,0:33:29.210
sozusagen hier der Vertrauensverlust[br]tatsächlich schon vorprogrammiert ist. Und

0:33:29.210,0:33:32.340
apropos nicht dabei sein: Wenn der[br]Auftraggeber oder wenn man 2

0:33:32.340,0:33:37.780
Auftragnehmer hat, kam auch ganz gern mal[br]die Situation, wenn über Übergaben

0:33:37.780,0:33:41.740
gesprochen werden soll, das wir am besten[br]gar nicht am Tisch sitzen, sondern dass

0:33:41.740,0:33:46.549
die Dienstleister sich zusammensetzen, was[br]auch schwierig ist. Insofern versteh mich

0:33:46.549,0:33:50.570
bitte auch einer, dass es immer wichtig[br]ist, ein IT-Projekt-Steuerer im Haus zu

0:33:50.570,0:33:55.030
haben und das eine Landkreisverwaltung[br]überhaupt jegliche Behörde weiterhin in

0:33:55.030,0:34:01.590
der Lage ist auch die Externen zu steuern,[br]und das ist essenziell notwendig. Wenn wir

0:34:01.590,0:34:05.500
uns hier nicht die Butter vom Brot nehmen[br]lassen wollen. So, und Daten wollte auch

0:34:05.500,0:34:09.510
kein Rechenzentrum von uns haben. Also das[br]hieß immer nur so: ja wir machen alles,

0:34:09.510,0:34:13.230
aber waa, schickt uns bloß nichts, wir[br]wollen eure Daten definitiv nicht

0:34:13.230,0:34:17.520
haben. Unser Leben als Aussätzige! Und[br]schön ist natürlich auch, wenn der

0:34:17.520,0:34:21.690
Dienstleister einen dann gleich noch mal[br]erpresst. Also so was wie Budgetabsprachen

0:34:21.690,0:34:26.480
hin oder her, mit einem Mal kostet es das[br]Dreifache. Besprechen wir aber auch nicht

0:34:26.480,0:34:32.270
mit der Technik, sondern tatsächlich doch[br]mit dem Landrat wieder. Und ähm, dann

0:34:32.270,0:34:36.170
immer natürlich auch mit dem Nebensatz,[br]bei den männlichen Kollegen: da draußen

0:34:36.170,0:34:40.320
warten die Sniper, die warten nur, bis er[br]wieder am Netz seid. Bei mir waren es dann

0:34:40.320,0:34:44.179
immer die Stalker, also[br]zielgruppengerechte Ansprache ist auch

0:34:44.179,0:34:47.889
toll, aber irgendwie dann auch[br]durchschaubar und nervt. Und ja, und das

0:34:47.889,0:34:51.680
waren tatsächlich dann auch die gleichen[br]Jungs, die meinten, wir haben ein paar

0:34:51.680,0:34:55.910
Fortinets von einem Partner geordert, das[br]ist auch einer meiner Lieblinge und wir

0:34:55.910,0:35:00.220
arbeiten damit; wenn wir hier euch wieder[br]beim Aufbau helfen. Von Open Source raten

0:35:00.220,0:35:04.470
wir ab, das nehmen nämlich die Hacker, das[br]sind die, die euch angegriffen haben, das

0:35:04.470,0:35:12.001
sind die, die euer System kaputt gemacht[br]haben. Äh … schwierig also. Man kann aber

0:35:12.001,0:35:16.340
auch Glück im Unglück haben und das ist[br]auch eine schöne Situation, also wenn man

0:35:16.340,0:35:20.240
zum Beispiel ein günstiges Angebot[br]schießt, dass wenn man 7 Managed

0:35:20.240,0:35:25.460
Services für nur 10% des Preises im ersten[br]Jahr angeboten bekommt. Beim Kick off

0:35:25.460,0:35:28.970
sollte dann aber tatsächlich ein[br]Fernsehteam dabei sein. Wir haben uns

0:35:28.970,0:35:33.390
nicht für das Angebot entschieden. Und[br]jetzt noch ein ganz schöner Lichtblick:

0:35:33.390,0:35:36.760
die Dienstleister, mit denen man[br]tatsächlich seit Jahren wirklich

0:35:36.760,0:35:40.400
vertrauensvoll zusammenarbeitet und von[br]denen man natürlich auch ein Angebot

0:35:40.400,0:35:46.890
anfordert, dann ist es natürlich schön,[br]wenn die einem das nötige Lizenzgeraffel

0:35:46.890,0:35:53.160
direkt auf das Angebot schreiben und dann[br]auch wirklich dieses Wort benutzen. Und

0:35:53.160,0:36:00.540
damit eigentlich so als kleines Fazit: der[br]Landkreis ist nicht das Opfer dieser

0:36:00.540,0:36:06.890
Attacke. Mit den Expertenkreisen glaube[br]ich, dass wir jetzt das wirklich Gute

0:36:06.890,0:36:12.440
schaffen können. Und wir sind im Rahmen[br]eines Forschungsprojektes eben auch daran,

0:36:12.440,0:36:16.460
nachdem wir jetzt diese Awareness haben,[br]ein Forschungsprojekt aufzubauen, in dem

0:36:16.460,0:36:22.020
wir für verschiedene Verwaltungsprozesse[br]digitale Zwillinge aufbauen, und

0:36:22.020,0:36:26.330
tatsächlich gibt es eben auch das nächste[br]Projekt, und zwar das Open Data Ecosystem,

0:36:26.330,0:36:33.609
und das ist Open Source, also Spielwiese[br]für die IoT-Hacker. Und das sozusagen als

0:36:33.609,0:36:39.200
das Gute in der Katastrophe, die hier[br]passiert ist. Und ich glaube eben auch die

0:36:39.200,0:36:44.470
wichtige Message, dass die[br]Landkreisverwaltung, dass die Behörden

0:36:44.470,0:36:51.630
tatsächlich hier wirklich nacharbeiten[br]müssen. Wir kommen zu den Fragen. Jetzt

0:36:51.630,0:36:58.080
kann es losgehen![br]HonkHase: Genau, fragt uns Dinge. Es

0:36:58.080,0:37:01.490
drohen Antworten!

0:37:01.490,0:37:08.810
Herald: Ja, sehr sehr schön, vielen Dank![br]Es gibt viele Fragen, und viele Fragen von

0:37:08.810,0:37:14.910
den Hackern natürlich ist über die Deeds,[br]über die Details, über den Hack, wenn das

0:37:14.910,0:37:19.660
Verschlusssache ist, gerne abwinken.[br]egouvernante: Wir wissen noch gar nicht so

0:37:19.660,0:37:25.000
viel, das ist das Problem. Wir ist –[br]tatsächlich ist dadurch dass die Logfiles

0:37:25.000,0:37:29.330
ja eben auch gelöscht wurden können wir[br]tatsächlich jetzt auch gar nicht so sehr

0:37:29.330,0:37:31.960
viel sagen.[br]HonkHase: Also vielleicht mal

0:37:31.960,0:37:37.300
grundsätzlich: Bei der Incident Response[br]ist es ja so, wenn man versucht, nach

0:37:37.300,0:37:43.480
einem Ransomware Angriff den Betroffenen[br]zu helfen: es ist meist so, dass ja die

0:37:43.480,0:37:49.540
die Angreifer, also das — noch mal, das[br]sind organisierte Bandenkriminelle, das

0:37:49.540,0:37:53.430
ist ja nicht irgendwie Feld Wald Wiesen,[br]ja die gehen in die Systeme rein,

0:37:53.430,0:37:57.660
kundschaften das alles aus, taxieren,[br]welche Höhe man sozusagen an

0:37:57.660,0:38:02.290
Lösegeldforderung setzen kann im Preis-[br]Leistungsverhältnis, gerade hier im

0:38:02.290,0:38:06.099
Landkreis Anhalt-Bitterfeld wurde ja dann[br]auch nach dem gesagt wurde: pff, ihr

0:38:06.099,0:38:12.000
kriegt gar nichts, 200 Megabyte ungefähr[br]an Daten geleakt, um anzuteasern und zu

0:38:12.000,0:38:15.670
sagen: Naja komm, vielleicht wollt ihr[br]doch? Haben aber dann gesehen dass sie

0:38:15.670,0:38:19.800
damit auch nicht vorwärts kommen. Aber die[br]gehen natürlich so vor, dass die Backups,

0:38:19.800,0:38:25.730
die online sind, entweder vorher aktiv[br]zerstört werden oder eben mit

0:38:25.730,0:38:31.460
verschlüsselt werden. Ist auch so, das[br]schon seit langem Zugangsdaten wie ssh,

0:38:31.460,0:38:36.580
Passwörter etc. mit abgegriffen werden, so[br]dass man auf die Linux Büchsen mit drauf

0:38:36.580,0:38:41.440
geht und und sagt na dann plätten wir mal[br]kurz das Syslog und dann sind eben keine

0:38:41.440,0:38:46.250
Logdaten mehr da, und wenn halt nichts[br]mehr da ist, und das meiste verschlüsselt

0:38:46.250,0:38:49.760
ist, dann kannst du nur die Reste[br]rauskratzen. Das heißt, es gibt fast

0:38:49.760,0:38:54.330
immer, muss man auch fairerweise so sagen,[br]sehr viele Angriffsvektoren, die zum

0:38:54.330,0:39:00.140
Ziel hätten führen können, welcher es am[br]Ende genau war, das ist eigentlich sogar

0:39:00.140,0:39:04.170
fast schon unerheblich, denn in erster[br]Linie will man ja den Wiederaufbau

0:39:04.170,0:39:07.276
hinbekommen und die kritischen[br]Dienstleistungen wieder ans Laufen

0:39:07.276,0:39:10.909
bekommen. Also insofern ist es sehr oft[br]der Fall, dass man das gar nicht so

0:39:10.909,0:39:14.280
detailliert ermitteln kann.[br]egouvernante: Genau, und wir gehen davon

0:39:14.280,0:39:19.460
aus, dass der Angreifer seit Beginn des[br]Jahres im System war. Und ja, tatsächlich

0:39:19.460,0:39:22.780
wissen wir von einem sehr viel größeren[br]Datenabzug.

0:39:22.780,0:39:28.140
HonkHase: Das macht es nicht besser, aber[br]es ist halt so.

0:39:28.140,0:39:32.529
Herald: Datenabzug: ist bekannt, ob[br]tatsächlich Daten abgeflossen sind? Also

0:39:32.529,0:39:35.460
ob die nicht nur verschlüsselt, sondern[br]auch geleakt wurden?

0:39:35.460,0:39:40.120
egouvernante: Es sind Daten abgeflossen,[br]ja, geleakt, die 200 MB, aber es sind sehr

0:39:40.120,0:39:42.820
viel mehr.[br]HonkHase: Es wurde doch — warte mal. Es

0:39:42.820,0:39:45.922
gab eine öffentliche Stellungnahme dazu.[br]Ich glaube, es waren 60 …

0:39:45.922,0:39:48.813
e: 62 Gigabyte, ja.[br]Ho: 62 Gigabyte an Daten wurden

0:39:48.813,0:39:51.570
abgezogen und keiner weiß was genau[br]abgezogen wurde.

0:39:51.570,0:39:53.756
e: Genau das.[br]Ho: Die 200 Megabyte sind geleakt

0:39:53.756,0:39:56.470
worden. Da weiß man natürlich sehr genau,[br]was es war, ne …

0:39:56.470,0:39:58.570
e: Das sind Protokolle aus[br]Landkreis–, genau.

0:39:58.570,0:40:03.260
Ho: Genau. Aber es sind insgesamt 62[br]Gigabyte verschütt gegangen und da muss

0:40:03.260,0:40:08.810
man auch sagen, dass ja sogar noch wenig.[br]Es gibt auch Vorfälle, da werden Terabytes

0:40:08.810,0:40:14.980
vorher abgegriffen, ja.[br]Herald: Nach dem Wiederauf – achso, ihr

0:40:14.980,0:40:20.329
seid dabei bei dem Wiederaufbau. Eine[br]Frage ist: gibt es Material, was

0:40:20.329,0:40:23.020
unwiderruflich, unwiederbringlich zerstört[br]wurde?

0:40:23.020,0:40:28.779
e: Der komplette Mailserver,[br]Daten des Umweltamtes, also alle von einem

0:40:28.779,0:40:32.690
Standort, sozusagen die Server, die an[br]einem bestimmten Standort in Bitterfeld

0:40:32.690,0:40:38.730
waren, und das Intranet ist weg. Und alles[br]andere müssen wir schauen. Also wir sind

0:40:38.730,0:40:43.880
immer noch dabei, die Daten zu sichten und[br]eben zu überführen. Aber wir wissen

0:40:43.880,0:40:47.930
definitiv, dass Daten des Umweltamtes weg[br]sind, dass eben der komplette Mailserver

0:40:47.930,0:40:52.800
verschlüsselt wurde, das ja … und eben[br]auch das Intranet nicht mehr vorhanden

0:40:52.800,0:40:59.990
ist.[br]Herald: Okay, eine andere Frage, mehr oder

0:40:59.990,0:41:03.390
weniger seriös: Wie hoch war die[br]Lösegeldforderung, wenn das nicht

0:41:03.390,0:41:06.119
Verschlusssache ist?[br]e: Nee, ich glaube, das war

0:41:06.119,0:41:08.849
sogar mal veröffentlicht. Also das war[br]eine halbe Million.

0:41:08.849,0:41:11.179
Ho: Genau[br]Herald: Ok

0:41:11.179,0:41:14.260
e: in Monero.[br]Ho: eigentlich noch ein Schnäppchen,

0:41:14.260,0:41:18.110
ne, eine halbe Million Mal, also, da gibt[br]es auch durchaus Angreifer, die deutlich

0:41:18.110,0:41:22.880
mehr verlangen, aber, naja, sind ja nicht[br]zum Zuge gekommen.

0:41:22.880,0:41:33.200
Herald: Okay, HonkHase, du hattest[br]Empfehlungen ausgesprochen. Ähm. Wo

0:41:33.200,0:41:38.750
Freiwillige Amtshilfe leisten können,[br]sodass die Bundeswehr nicht angerufen

0:41:38.750,0:41:44.430
werden muss. Rückblickend betrachtet war[br]es Amtshilfeersuchen an die Bundeswehr

0:41:44.430,0:41:49.240
angemessen und wurde von offizieller Seite[br]her was getan, damit künftig nicht gleich

0:41:49.240,0:41:51.711
die Bundeswehr wieder angerufen werden[br]muss?

0:41:51.711,0:41:57.800
Ho: Also ob das angemessen ist, kann[br]egouvernante glaube ich besser darlegen

0:41:57.800,0:42:02.480
als ich, denn sie war ja in den Details[br]drin. Ich kenne den Vorfall ja nicht von

0:42:02.480,0:42:08.589
Innen her. Sie mag es sicherlich sinnvoll[br]vertreten, dass das das angemessen war.

0:42:08.589,0:42:13.461
Meine Position ist, damit das nicht noch[br]mal passieren muss oder die Runde macht,

0:42:13.461,0:42:17.660
sozusagen, ah, wenn was passiert, rufen[br]wir die Bundeswehr und dann schön, dann

0:42:17.660,0:42:21.790
legen wir uns wieder schlafen oder sowas![br]Kann man ja hier nicht behaupten. Hast ja

0:42:21.790,0:42:27.940
jede Menge erzählt, was ihr da tut und[br]macht, aber dafür will ja die AG Kritis

0:42:27.940,0:42:31.630
dieses Cyber-Hilfswerk ins Leben rufen, um[br]zu sagen: Dann haben wir auch genug

0:42:31.630,0:42:36.880
Kapazitäten. Und wenn dann eben eine eine[br]kritische Infrastruktur betroffen ist,

0:42:36.880,0:42:42.619
dann helfen wir aus der Community heraus[br]ehrenamtlich und kommen eben als

0:42:42.619,0:42:48.911
Amtshilfeersuchen dahin, reparieren eben[br]diese Versorgung der Dienstleistung mit

0:42:48.911,0:42:56.220
den Berufswiederherstellen sozusagen. Und[br]dann geht man gemeinsam verrichteter Dinge

0:42:56.220,0:43:00.360
halt wieder da weg. Und das ist ja genau[br]das Ziel, dass dann so was wie wir rufen

0:43:00.360,0:43:04.290
die Bundeswehr quasi überflüssig wird, im[br]Idealfall. Wie gesagt, die soll nur als

0:43:04.290,0:43:08.750
Notnagel im extremsten Fall abgerufen[br]werden können. So.

0:43:08.750,0:43:12.869
e: und das war der Fall und das[br]war der erste Fall. Und sozusagen das soll

0:43:12.869,0:43:19.369
definitiv nicht Standard werden. In dem[br]Moment war es nur, dass wir technisch

0:43:19.369,0:43:23.780
nicht in der Lage waren, uns selbst zu[br]helfen. Und insofern war es diese

0:43:23.780,0:43:28.540
technische, also diese rein technische[br]ausführende Tätigkeit, die hier

0:43:28.540,0:43:31.400
abgewickelt wurde.[br]Ho: Naja, Stand heute sind fast alle

0:43:31.400,0:43:35.700
Kommunen ungefähr auf demselben Niveau.[br]e: Ja ich hoffe, dass es jetzt

0:43:35.700,0:43:39.460
anders wird.[br]Ho: Okay, die Hoffnung stirbt

0:43:39.460,0:43:43.940
zuletzt <i>lacht</i>[br]e: ja , AG Hoffnungsvoll, ne?

0:43:43.940,0:43:46.260
<i>lacht auch</i>[br]Ho: Genau.

0:43:46.260,0:43:50.690
Herald: Schön. Äh. Eine andere Frage ist:[br]wie weit ist die Erneuerung der

0:43:50.690,0:43:54.480
Infrastruktur und werden Möglichkeiten[br]genutzt, um die Sicherheit zu verbessern?

0:43:54.480,0:43:57.590
e: Es wird jede Möglichkeit[br]genutzt, die Sicherheit zu verbessern.

0:43:57.590,0:44:01.500
Also das fängt bei der Dienstvereinbarung[br]an. Das fängt bei Awarenessschulungen an.

0:44:01.500,0:44:05.349
Das … ich hatte es vorhin gesagt mit dem[br]IT-Sicherheitsbeauftragten. Das fängt mit

0:44:05.349,0:44:10.640
der komplett neuen Aufstellung des IT-[br]Amtes an, und das geht natürlich auch da

0:44:10.640,0:44:14.050
weiter, dass wir jetzt mehrstufige[br]Sicherheitskonzepte haben, die

0:44:14.050,0:44:18.500
Arbeitsplatz-PCs nicht mehr mit allen[br]möglichen Rechten ausgestattet sind und,

0:44:18.500,0:44:23.470
ja Passwort ist natürlich jetzt[br]unerheblich, aber die einfach das auch

0:44:23.470,0:44:28.510
Passwörter auch mal ablaufen wieder. Und[br]das sind einfach Sachen die jetzt

0:44:28.510,0:44:33.450
durchgeführt werden. Und was den Stand des[br]Wiederaufbaus betrifft: das Active

0:44:33.450,0:44:37.920
Directory steht insoweit und die[br]Fachverfahren werden jetzt nach und nach

0:44:37.920,0:44:42.250
wieder an den Start gehen. Und jetzt eben[br]auch die einzelnen Ämter werden jetzt nach

0:44:42.250,0:44:45.970
und nach wieder ihre Arbeitsplatz-PCs in[br]Betrieb nehmen und die Clients sind

0:44:45.970,0:44:51.660
gehärtet und so weiter und das bedeutet,[br]dass Ämter jetzt — Ich glaube, wir haben

0:44:51.660,0:44:55.730
jetzt 4 oder 6 Ämter, die jetzt[br]tatsächlich wieder, wo jeder Mitarbeiter

0:44:55.730,0:45:00.300
einen eigenen PC hat und nicht mehr einen[br]PC, der aus dem Notnetz bei der Sekretärin

0:45:00.300,0:45:03.970
beim Amtsleiter steht und dort jeder[br]seinen E-Mail-Verkehr darüber abwickelt.

0:45:03.970,0:45:08.070
Ho: Benutzt ihr dabei auch so krasse[br]Hacker Software wie Open Source?

0:45:08.070,0:45:11.280
e: Wir arbeiten daran.[br]Ho: <i>lacht, Mikro übersteuert kurz</i>

0:45:11.280,0:45:19.140
sehr schön![br]Herald: Ja, schön. Zum Active Directory im

0:45:19.140,0:45:24.590
Speziellen gab es die spezielle Frage:[br]Konnte man bei der forensischen

0:45:24.590,0:45:28.320
Untersuchung einen Golden-Ticket Angriff[br]auf das Active Directory feststellen?

0:45:28.320,0:45:34.770
e: Das kann ich nicht sagen.[br]Ich kann was anderes sagen zum Thema

0:45:34.770,0:45:39.359
Active Directory. Und zwar, wir haben[br]tatsächlich auch erst mal nachgucken

0:45:39.359,0:45:46.150
müssen, ob alle Mitarbeiter tatsächlich[br]auch bei uns arbeiten, also ob alle

0:45:46.150,0:45:50.070
Einträge im Active Directory tatsächlich[br]noch hier Mitarbeiter bei uns sind oder ob

0:45:50.070,0:45:54.070
das jetzt nicht irgendwie durch Zauberhand[br]mehr geworden sind. Und das war glaube ich

0:45:54.070,0:45:57.640
die erste Tätigkeit, also die erste[br]Aktion, die wir hier durchgeführt haben.

0:45:57.640,0:46:01.260
Und die auch wirklich lange dauerte,[br]tatsächlich erst mal zu schauen Sind die

0:46:01.260,0:46:05.160
Azubis noch da? Das war im Endeffekt auch[br]eine Bestandsaufnahme aller Kollegen, die

0:46:05.160,0:46:07.800
wir im Haus haben, was auch durchaus sehr[br]nützlich war.

0:46:07.800,0:46:10.420
Ho: Historisch gereift sozusagen,[br]diese Benutzerliste.

0:46:10.420,0:46:13.040
e: Absolut, ja.[br]Ho: Wie so oft und überall.

0:46:13.040,0:46:16.885
e: Ja.[br]Ho: Genau.

0:46:16.885,0:46:22.890
Herald: Sonst: gab es Backups? Zum[br]Beispiel in einem externen Rechenzentrum?

0:46:22.890,0:46:27.428
e: Nein. Also ja, doch, bei[br]machen Fachverfahren und bei manchen

0:46:27.428,0:46:30.720
Fachverfahren auch tatsächlich[br]überraschend. Da wussten wir gar nicht,

0:46:30.720,0:46:35.710
dass die Backups von uns haben. Das war[br]auch neu und irritierend für den

0:46:35.710,0:46:41.720
Datenschutzbeauftragten. Aber das …[br]zumindest hatten wir, hatten wir

0:46:41.720,0:46:45.640
verschiedene Backups, aber eben auch[br]welche, die nicht in externen

0:46:45.640,0:46:49.300
Rechenzentren sind und dann tatsächlich[br]auch jetzt händisch überprüft werden

0:46:49.300,0:46:52.940
müssen, ob diese nicht vielleicht[br]kompromittiert sind. Also wir gehen davon

0:46:52.940,0:46:57.450
aus, dass wir 80% bis 90% unserer Daten[br]zurückerhalten und dass die eben nicht

0:46:57.450,0:47:00.040
beschädigt sind.[br]Ho: Aber nach viel Handarbeit beim

0:47:00.040,0:47:02.330
wieder einspielen.[br]e: Ja, definitiv.

0:47:02.330,0:47:07.450
Ho: Also vielleicht als Ergänzung[br]auch da. Backup ist halt schön, ne?

0:47:07.450,0:47:11.600
Wiederherstellung ist noch viel cooler.[br]Alle, alle rufen nach Backup, aber

0:47:11.600,0:47:14.950
eigentlich will keine Sau Backup. Alles[br]was man wirklich will ist die

0:47:14.950,0:47:19.000
Wiederherstellung. Und die kriegt man eben[br]nur, wenn man ein sehr strukturiertes

0:47:19.000,0:47:24.310
Backup Konzept hat mit mit Grandfathering[br]Modellen, mit rollierenden Backups, mit

0:47:24.310,0:47:30.290
offline Backups wenn man… ihr habt 160[br]Fachverfahren glaube ich ungefähr?

0:47:30.290,0:47:32.980
e: Ja.[br]Ho: Wenn man 160 verschiedene alte,

0:47:32.980,0:47:37.190
historisch gewachsene Fachverfahren hat,[br]dann ist es nicht ein Backup auf ein Tape

0:47:37.190,0:47:41.090
und dann ist gut und da legt man in den[br]Bankschließfach und wenn dann die Bösen

0:47:41.090,0:47:47.270
kommen, dann packt man halt wieder aus und[br]sagt: Golden Ticket! Ich hab ein Golden …

0:47:47.270,0:47:52.750
Golden Medium. So funktioniert das halt[br]nicht und insofern ist ein Backup Konzept,

0:47:52.750,0:47:57.990
was auch die Wiederherstellung in einer[br]angemessenen Zeit sozusagen darstellt, für

0:47:57.990,0:48:03.268
sich eine sehr sehr komplexe[br]Prozessaufgabe.

0:48:03.268,0:48:07.530
Herald: Okay, ich kann mir vorstellen,[br]dass ist jetzt in den Wiederaufbau mit in

0:48:07.530,0:48:11.630
den Plänen reingeschrieben.[br]e: absolut ja, klar.

0:48:11.630,0:48:13.780
Herald: ok.[br]Ho: jetzt schon, ne?

0:48:13.780,0:48:17.760
e: Ja, genau. Ja, ach das fängt[br]schon an, alleine wenn wir jetzt in diesem

0:48:17.760,0:48:21.770
Zwischenbetrieb sozusagen schon[br]Fachverfahren am Start haben, die gar

0:48:21.770,0:48:26.259
nicht im Zielsystem sind und im Ziel-IT-[br]System sind und wir dann beginnen, jetzt

0:48:26.259,0:48:30.369
erst mal schon so Daten zu erheben, die[br]wir dann später wieder überführen müssen.

0:48:30.369,0:48:33.780
Das wird dann auch noch mal sehr viel Spaß[br]machen.

0:48:33.780,0:48:39.359
Herald: Ok, ja vielen Dank! Achso äh,[br]möchtest du noch was?

0:48:39.359,0:48:44.260
Ho: Ne, alles gut, ich meinte nur[br]Spaß am Gerät! Das gehört ja zum Chaos

0:48:44.260,0:48:49.050
dazu, das passt. <i>lacht</i>[br]Herald: Schön! Vielen Dank für die

0:48:49.050,0:48:56.290
Einblicke in die Welt des Amtes und der[br]Digitalisierung. Vielen Dank HonkHase und

0:48:56.290,0:49:01.190
egouvernante.[br]HonkHase: Ja, vielen Dank, bis zum

0:49:01.190,0:49:05.110
nächsten Mal![br]egouvernante: Vielen lieben Dank, Ciao!

0:49:05.110,0:49:11.440
Herald: Tschüss! Sehr schön. Als nächstes[br]um 21:30 Uhr: "Local Emission Framework:

0:49:11.440,0:49:17.970
Klimaschutz vor deiner Haustür". Hier aus[br]dem ChaosZone Studio aus Halle. Bis dahin!

0:49:17.970,0:49:22.580
<i>Abspannmusik</i>

0:49:22.580,0:49:29.000
Untertitel erstellt von c3subtitles.de[br]im Jahr 2022. Mach mit und hilf uns!