1
00:00:00,000 --> 00:00:08,920
rC3 NOWHERE Vorspannmusik
2
00:00:08,920 --> 00:00:14,670
Herald: Willkommen zurück in Halle, aus
unserem ChaosZone TV-Studio. Der nächste
3
00:00:14,670 --> 00:00:19,770
Vortrag ist von egouvernante und HonkHase,
es geht um "Rebuilding Landkreis Anhalt-
4
00:00:19,770 --> 00:00:26,260
Bitterfeld". egouvernante ist eigentlich
eine Projektkoordinatorin zur
5
00:00:26,260 --> 00:00:32,811
Digitalisierung im Landkreis, hat sich
aber im Juli 2021 als Einsatzleiterin "das
6
00:00:32,811 --> 00:00:39,210
technische Feuer zu bekämpfen"
wiedergefunden. HonkHase ist ein Urgestein
7
00:00:39,210 --> 00:00:44,040
im Chaos Computer Club und hat viel
Erfahrung mit Cybersicherheit als Berater.
8
00:00:44,040 --> 00:00:51,729
Er ist auch politisch aktiv in der NGO AG
Kritis für kritische Infrastruktur. Viel
9
00:00:51,729 --> 00:00:54,449
Spaß!
10
00:00:54,449 --> 00:00:58,800
egouvernante: Ja hi und schönen guten
Abend zusammen! Wir freuen uns, dass ihr
11
00:00:58,800 --> 00:01:03,960
hier seid, um euch ein bisschen was aus
erster Hand zum Vorfall im Landkreis
12
00:01:03,960 --> 00:01:09,220
Anhalt-Bitterfeld anzuhören. Seit ich
meine eigentlichen, also in meine
13
00:01:09,220 --> 00:01:12,700
eigentlichen Aufgaben als CDO
zurückgekehrt bin, nehme ich öfter mal an
14
00:01:12,700 --> 00:01:16,983
Webkonferenzen teil und dann höre ich
öfter mal so die Argumentation: hört auf
15
00:01:16,983 --> 00:01:20,880
mich, egal was ich erzähle, ne, sonst geht
es euch wie denen, nämlich dem Landkreis
16
00:01:20,880 --> 00:01:24,890
Anhalt-Bitterfeld. Und ich denke, das ist
einfach ein bisschen zu kurz gesprungen.
17
00:01:24,890 --> 00:01:27,860
Und ich glaube, der Vorfall taugt
letztlich zu mehr als nur zum
18
00:01:27,860 --> 00:01:32,961
Verkaufsargument der eigenen Ansichten.
Und deswegen der Titel "Rebuilding
19
00:01:32,961 --> 00:01:36,690
Landkreis Anhalt-Bitterfeld". Ich berichte
ein bisschen was zum Wiederaufbau.
20
00:01:36,690 --> 00:01:41,410
HonkHase hatte mich heute als konstruktiv
angekündigt. Das heißt, ich gebe mir Mühe,
21
00:01:41,410 --> 00:01:45,580
und Zeit also ein paar Erfahrungen zu
teilen. Und inzwischen haben wir nämlich
22
00:01:45,580 --> 00:01:50,040
auch die Zeit und die Nerven dafür.
"Rebuilding Landkreis Anhalt-Bitterfeld".
23
00:01:50,040 --> 00:01:55,470
Also was war passiert? Am 6.7. hat ein
Mitarbeiter im Amt für Brand-,
24
00:01:55,470 --> 00:02:00,020
Katastrophenschutz und Rettungsdienst
seinen Arbeitsplatz-PC eingeschaltet und
25
00:02:00,020 --> 00:02:04,601
sah genau das hier, was auf der Folie zu
sehen ist. "Landkreis Anhalt-Bitterfeld:
26
00:02:04,601 --> 00:02:08,429
You are fucked do not touch anything".
Persönliche Ansprache, ungewöhnlich klares
27
00:02:08,429 --> 00:02:12,280
Statement, das ist man in der Form in der
öffentlichen Verwaltung ja erstmal nicht
28
00:02:12,280 --> 00:02:17,200
gewohnt, aber ein schneller Anruf bei der
IT sollte eigentlich genügen. So zumindest
29
00:02:17,200 --> 00:02:20,930
die Denkweise der Mitarbeiter, und die
würden sich dann schon drum kümmern, und
30
00:02:20,930 --> 00:02:26,030
dann geht es normal weiter. Der Anruf war
so gegen 6:45 Uhr und trat etwas los, was
31
00:02:26,030 --> 00:02:31,659
uns jetzt wahrscheinlich noch bis Ende
März '22 begleiten wird. Was war konkret
32
00:02:31,659 --> 00:02:36,630
passiert? Also am Morgen des 5.7. gehen
wir davon aus, dass auf mehreren Systemen
33
00:02:36,630 --> 00:02:41,299
codierte PowerShell Befehle ausgeführt
wurden, um Backdoors zu etablieren. Also
34
00:02:41,299 --> 00:02:45,150
die ersten Verschlüsselungaktivitäten gab
es dann am 6.7., Das ist der Tag, an dem
35
00:02:45,150 --> 00:02:49,620
wir dann auch davon mitbekommen haben,
davon etwas mitbekommen haben. Das war
36
00:02:49,620 --> 00:02:53,480
schon gegen 4:30 Uhr und auf anderen
Systemen begann die Verschlüsselung
37
00:02:53,480 --> 00:02:59,219
hauptsächlich erst gegen 6:30 Uhr und auf
jedem System wurden zu verschiedenen
38
00:02:59,219 --> 00:03:04,099
Uhrzeiten die Security Logs und einige
andere Ereignisanzeigenlogs geleert und im
39
00:03:04,099 --> 00:03:08,669
Anschluss daran eine Remote-Desktop
Sitzung getrennt. Also zusätzlich wurde
40
00:03:08,669 --> 00:03:12,919
das Remote-Desktop Protokoll gelöscht. Das
heißt, wir werden im Endeffekt gar nicht
41
00:03:12,919 --> 00:03:17,900
mehr so viel wissen können. Wir werden im
Endeffekt keine, keine Informationen,
42
00:03:17,900 --> 00:03:24,139
letztlich also bis zum Schluss haben und
es ist lediglich bekannt, wann die Sitzung
43
00:03:24,139 --> 00:03:28,689
hier beendet wurde. Und es ist weiterhin
davon auszugehen, dass die Verschlüsselung
44
00:03:28,689 --> 00:03:33,120
von Hand ausgelöst wurde, da bei den
Systemen, bei denen eine komplette
45
00:03:33,120 --> 00:03:38,219
Abmeldung durchgeführt wurde, die Systeme
aufhörten Daten zu verschlüsseln. Aber da
46
00:03:38,219 --> 00:03:41,905
uns die Logs fehlen, kann kaum
nachvollzogen werden, welche Tätigkeiten
47
00:03:41,905 --> 00:03:45,369
auf welchen Systemen denn vom Angreifer
durchgeführt wurden. Es ist aber
48
00:03:45,369 --> 00:03:50,069
wahrscheinlich, dass der Angreifer sich
bewusst im System bewegt hat und eben auch
49
00:03:50,069 --> 00:03:54,999
entsprechend ausgewählt hat, was er dort
tut. Die ersten Erkenntnisse haben dann
50
00:03:54,999 --> 00:03:59,581
auch gezeigt, dass der, dass der Angreifer
mit PowerShell Scripts gearbeitet hat und
51
00:03:59,581 --> 00:04:04,739
eben um diese Backdoors zu installieren.
Und was auch gesagt werden kann ist, dass
52
00:04:04,739 --> 00:04:08,410
die Verschlüsselung sehr schnell lief und
dass eben großer Schaden angerichtet
53
00:04:08,410 --> 00:04:12,629
wurde. Das bedeutet im Endeffekt, dass wir
davon ausgehen mussten, dass das komplette
54
00:04:12,629 --> 00:04:18,239
System kompromittiert ist. Und das
bedeutet eben auch, dass wir hier die
55
00:04:18,239 --> 00:04:22,300
ganzheitliche Verfahrensweise geplant
haben. So, also in der Pressemitteilung
56
00:04:22,300 --> 00:04:26,370
war es dann so formuliert und dann eben
auch wurde es dann eben auch so
57
00:04:26,370 --> 00:04:30,390
weitergeführt. Also aus einer ungeklärten
Quelle kam es zur Infektion mehrerer
58
00:04:30,390 --> 00:04:34,130
Server des Netz — mehrere Server des
Netzwerkes. In dessen Folge kam es zur
59
00:04:34,130 --> 00:04:38,220
Verschlüsselung einer noch nicht näher
spezifizierten Anzahl von Dateien und als
60
00:04:38,220 --> 00:04:42,090
Sofortmaßnahme wurden alle kritischen
Systeme vom Netz getrennt um einen
61
00:04:42,090 --> 00:04:49,960
eventuellen Datenabfluss zu unterbinden.
Und im Katastrophenmodus sind wir seit dem
62
00:04:49,960 --> 00:04:55,750
9. Juli 2021 seit 11 Uhr, da waren 3
Tage vergangen. Also im Vorfeld gab es den
63
00:04:55,750 --> 00:04:59,418
Stab für außergewöhnliche Ereignisse. Was
wir in der Zwischenzeit erledigt und
64
00:04:59,418 --> 00:05:03,420
probiert haben, das habe ich schon mal bei
der Stiftung Neue Verantwortung berichtet.
65
00:05:03,420 --> 00:05:06,590
Also kann dann auch nachgehört werden.
Aber vielleicht stellt sich aber nun
66
00:05:06,590 --> 00:05:10,450
anhand der vorangegangenen Informationen
jetzt eigentlich nicht mehr so sehr die
67
00:05:10,450 --> 00:05:14,300
Frage, warum wir den Katastrophenfall
ausgelöst haben. Denn eigentlich war es
68
00:05:14,300 --> 00:05:17,900
relativ schnell klar, dass wir die
technische Infrastruktur, also das die
69
00:05:17,900 --> 00:05:22,430
technische Infrastruktur tatsächlich
zeitlich länger ausfallen würde und auch,
70
00:05:22,430 --> 00:05:26,400
dass es ganz objektiv über das
Eigentliche, also das Ausmaß eines
71
00:05:26,400 --> 00:05:31,030
alltäglichen Schadensereignisses
hinausgeht, und dabei eben auch wie man es
72
00:05:31,030 --> 00:05:35,115
so sagt, die erheblichen Sachwerte oder
lebensnotwendige Versorgungsmaßnahmen,
73
00:05:35,115 --> 00:05:39,210
wenn man das jetzt mal herunterbricht auf
die Aufgaben des Sozialamtes tatsächlich
74
00:05:39,210 --> 00:05:43,470
für die Bevölkerung gefährdet sind oder
eben eingeschränkt waren. Und das eben wie
75
00:05:43,470 --> 00:05:47,290
gesagt auf lange Zeit. Oder drücken wir es
mal anders aus: also die Dienste für
76
00:05:47,290 --> 00:05:51,960
unsere zahlreichen oder zentralen, eben
auch Geschäftsprozesse konnten auf einen
77
00:05:51,960 --> 00:05:56,151
absehbaren Zeitraum nicht mehr erbracht
werden, und es stand zu dem Zeitpunkt
78
00:05:56,151 --> 00:05:59,990
weder ein Backup bereits, auf das wir
zugreifen konnten, noch wussten wir, ob
79
00:05:59,990 --> 00:06:03,771
diese Backups nicht auch kompromittiert
waren. Insofern stand das erstmal auch
80
00:06:03,771 --> 00:06:07,121
nicht zur Debatte. Und dann muss man eben
auch im Hinterkopf haben, dass die
81
00:06:07,121 --> 00:06:10,710
Erklärung oder nicht-Erklärung des
Katastrophenfall eben auch weitreichende
82
00:06:10,710 --> 00:06:14,365
juristische Konsequenzen für eine
Verwaltung haben kann. Und da geht es um
83
00:06:14,365 --> 00:06:17,890
Schadensersatzforderungen, die dann
tatsächlich auch im Endeffekt an uns
84
00:06:17,890 --> 00:06:21,460
herangetragen wurden, weil eben Autos
nicht zugelassen werden konnten oder
85
00:06:21,460 --> 00:06:25,606
Termine nicht vergeben wurden und so
weiter. Und vielleicht ist es ein guter
86
00:06:25,606 --> 00:06:30,230
Zeitpunkt, um mal so in kurzen Auszügen
ein bisschen was zu den Aufgaben der
87
00:06:30,230 --> 00:06:34,190
Landkreisverwaltung erzählen, ohne zu,
ohne jetzt so wahnsinnig ins Detail zu
88
00:06:34,190 --> 00:06:38,730
gehen. Das Amt 50, also unser Amt für
unser Sozialamt, ist zuständig für die
89
00:06:38,730 --> 00:06:42,650
Sozialhilfe. Ich denke, das stand im
Vorfeld, das war das Wichtigste, weil das
90
00:06:42,650 --> 00:06:48,080
waren die Leute, die uns direkt angerufen
haben. Also deren Aufgabe ist die
91
00:06:48,080 --> 00:06:51,662
Auszahlung der Sozialhilfe oder die
Berechnung der Sozialhilfe. Das ist die
92
00:06:51,662 --> 00:06:55,770
Altenhilfe, die Feststellung und
Durchsetzung von Unterhaltsansprüchen. Und
93
00:06:55,770 --> 00:06:59,640
da geht es um ganz essentielle
Angelegenheiten der Menschen. Und ohne das
94
00:06:59,640 --> 00:07:03,230
Amt 20, also die Kämmerei, passiert da
auch nicht viel, denn das wickelt den
95
00:07:03,230 --> 00:07:06,680
kompletten Zahlungsverkehr ab und es
reicht nicht, das zu berechnen, sondern es
96
00:07:06,680 --> 00:07:10,450
muss auch tatsächlich ausgezahlt werden
können. Mahnverfahren müssen eingeleitet
97
00:07:10,450 --> 00:07:14,660
werden und so weiter. Also mit dem Bereich
Soziales, oder in den Bereich Soziales
98
00:07:14,660 --> 00:07:17,670
fallen des Amts für
Ausländerangelegenheiten, aber eben auch
99
00:07:17,670 --> 00:07:22,210
das Jugendamt. Letzteres hat, um so die
Vehemenz und Dringlichkeit der, der
100
00:07:22,210 --> 00:07:27,750
Aufgaben zu erklären, ein Schutzauftrag
zum Beispiel bei Kindeswohlgefährdung. Und
101
00:07:27,750 --> 00:07:31,700
das heißt, ihr obliegt eben auch die die
Geltendmachung von Unterhaltsansprüchen,
102
00:07:31,700 --> 00:07:35,420
also Unterhaltsvorschussgesetz und so
weiter. Und das sind Vorgänge, die eben
103
00:07:35,420 --> 00:07:39,060
existenziell wichtig sind für die Bürger
und auch wirtschaftlich existenziell
104
00:07:39,060 --> 00:07:42,980
bedrohlich sind tatsächlich auch die
Leistungen des Ordnungsamtes, weil hier
105
00:07:42,980 --> 00:07:47,490
drin untergliedert sind eben auch die KFZ-
Zulassung und die und die
106
00:07:47,490 --> 00:07:51,570
Führerscheinangelegenheiten, also das
Fahrerlaubnisrecht. Und das kann eben
107
00:07:51,570 --> 00:07:55,880
alles sein, vom PKW bis zum Mähdrescher.
Und Menschen leben vom Handel mit
108
00:07:55,880 --> 00:07:59,897
Fahrzeugen, sie leben aber auch mitunter
mit der, also von der Nutzung ihrer
109
00:07:59,897 --> 00:08:04,241
Fahrzeuge, indem sie einfach zur Arbeit
fahren. Und dann spielt auch eine ganz
110
00:08:04,241 --> 00:08:09,020
tatsächlich, also sehr wichtige Rolle, wie
jeder weiß, das Gesundheitsamt und die
111
00:08:09,020 --> 00:08:14,120
Verhütung und Bekämpfung eben übertragbare
Krankheiten steht da im Fokus. Also jetzt
112
00:08:14,120 --> 00:08:18,340
unser Infektionschutzgesetz geradezu zu
Covid-19-Zeiten ist so aktuell wie nie.
113
00:08:18,340 --> 00:08:22,120
Und auch nicht ganz unproblematisch ist
eben auch die fehlende Überwachung der
114
00:08:22,120 --> 00:08:26,010
Leichenschau und der von Totenscheinen.
Und ich will jetzt nicht allzu sehr weiter
115
00:08:26,010 --> 00:08:29,790
ins Detail gehen. Aber die
Landkreisverwaltung hat eben auch in dem
116
00:08:29,790 --> 00:08:34,040
Bereich des Inneren Aufgaben, die ganz
normal durchgeführt werden müssen. Also
117
00:08:34,040 --> 00:08:37,830
das sind normale Vergaben, das sind
Bekanntmachungen. Das ist aber eben auch
118
00:08:37,830 --> 00:08:42,770
die Organisation des Sitzungsdienstes, und
weil die politischen Gremien eben auch
119
00:08:42,770 --> 00:08:46,760
nicht, weil wir einen Katastrophenfall
haben, die Arbeit einstellen. Und die
120
00:08:46,760 --> 00:08:53,290
erste Frage lautete dann eben auch vom
BSI, ob wir noch die Möglichkeit haben bei
121
00:08:53,290 --> 00:08:57,780
der Bundestagswahl — also wir haben
natürlich auch den Kreiswahlleiter, also
122
00:08:57,780 --> 00:09:01,410
ob die Bundestagswahl quasi in unserem
Kreis gefährdet ist. Ansonsten
123
00:09:01,410 --> 00:09:05,779
Schulverwaltungsamt, klar, uns geht
wahnsinnige Summen verloren, wenn wir
124
00:09:05,779 --> 00:09:10,020
jetzt z.B. beim Digitalpakt Schule
nicht arbeiten können und auch Veterinär-
125
00:09:10,020 --> 00:09:13,870
und Lebensmittelüberwachung, das mit der
Tierseuchenbekämpfung, dem Tierschutz und
126
00:09:13,870 --> 00:09:17,300
dem Schlachttier- und Fleischbeschau
befasst, ist natürlich irgendwo auch
127
00:09:17,300 --> 00:09:20,610
kritisch bei der bei der
Lebensmittelproduktion so einzuordnen. Und
128
00:09:20,610 --> 00:09:23,840
wenn wir jetzt auch mal den Blick nach
Innen richten warum dieser
129
00:09:23,840 --> 00:09:29,001
Katastrophenfall ausgelöst wurde, wussten
wir zu dem Zeitpunkt nicht, wann wir
130
00:09:29,001 --> 00:09:32,141
irgendwas wieder hochfahren können und
wenn wir es hochfahren, dass
131
00:09:32,141 --> 00:09:36,460
gegebenenfalls die Verschlüsselung
weitergeht. Und deswegen musste neue
132
00:09:36,460 --> 00:09:40,530
Technik beschafft werden, insbesondere
auch bei der Bereitstellung des Notnetzes.
133
00:09:40,530 --> 00:09:47,750
Und im Normalfall ist man als Verwaltung
an Vergaberecht gebunden. Also diejenigen
134
00:09:47,750 --> 00:09:52,140
von euch, die mit Verwaltungen arbeiten,
kennen das, wie lange sich das hinziehen
135
00:09:52,140 --> 00:09:56,580
kann. Und auch wenn aktuell über die
Vereinfachung verstärkt diskutiert wird —
136
00:09:56,580 --> 00:10:00,240
was absolut notwendig ist! — in unserem
Fall hat das Feststellen des
137
00:10:00,240 --> 00:10:04,750
Katastrophenfalls dafür gesorgt, dass
Technik erst mal ohne Vergabeverfahren
138
00:10:04,750 --> 00:10:09,240
beschafft werden konnte. Also es musste
nicht das komplette Vergabeprozedere hier
139
00:10:09,240 --> 00:10:13,010
durchexerziert werden. Es musste nicht
geprüft werden, ob die Gelder im Haushalt
140
00:10:13,010 --> 00:10:16,920
zur Verfügung stehen. Es musste nicht das
Rechnungsprüfungsamt bestätigen, dass die
141
00:10:16,920 --> 00:10:20,360
Gelder zur Verfügung stehen, der
Vergabeausschuss musste nicht einberufen
142
00:10:20,360 --> 00:10:24,110
werden und zusammenkommen und ähm, ohne
Zugriff auf die Daten wäre auch
143
00:10:24,110 --> 00:10:29,290
tatsächlich nichts von all dem möglich
gewesen. Und die Technik für das Notnetz,
144
00:10:29,290 --> 00:10:33,070
das innerhalb einer Woche an 3
Standorten aufgebaut wurde, Lieferfristen
145
00:10:33,070 --> 00:10:37,140
dann eben auch eingerechnet, konnte nach
einer ad-hoc Vorstellung so einfach, also
146
00:10:37,140 --> 00:10:41,110
nach einer ad-hoc Vorstellung von 3
Systemhäusern dann eben einfach beauftragt
147
00:10:41,110 --> 00:10:45,520
werden, was wahnsinnig geholfen hat und
was eben auch der Schnelligkeit, die
148
00:10:45,520 --> 00:10:50,350
eigentlich in den ersten Phasen sein muss,
entspricht. Und weiter geht's mit dem
149
00:10:50,350 --> 00:10:54,411
Ressourceneinsatz. Also alles, was im Haus
"IT" buchstabieren konnte, wurde
150
00:10:54,411 --> 00:10:59,310
zusammengezogen. Das heißt, das Sachgebiet
EDV war zu diesem Zeitpunkt noch im Amt
151
00:10:59,310 --> 00:11:05,110
für Organisation, Personal und EDV
zugeordnet. Andere IT-Kollegen waren dem
152
00:11:05,110 --> 00:11:10,040
Schulverwaltungamt zugeordnet und ich,
weil ich eher in den Themen Verwaltungs-,
153
00:11:10,040 --> 00:11:15,640
Prozesse OZG und Digitalisierung und
Digitalstrategie tätig bin, war dem Amt
154
00:11:15,640 --> 00:11:19,120
für zentrale Steuerung und Recht
zugeordnet. Und mit der Benennung als
155
00:11:19,120 --> 00:11:24,120
technische Einsatzleitung oder technische
Einsatzleiterin war ich dann tatsächlich
156
00:11:24,120 --> 00:11:28,170
mit einem Mal nicht mehr Einzelkämpferin,
sondern hatte eine ganze Traube Menschen
157
00:11:28,170 --> 00:11:34,810
bei mir, also die ITler, die Fachexperten
und eben auch die Assistenten. Und ich
158
00:11:34,810 --> 00:11:38,691
muss an der Stelle auch sagen, dass ich
mich von Tag eins an geweigert habe, das
159
00:11:38,691 --> 00:11:42,620
Sachgebiet EDV als solches zu benennen,
sondern hatte die tatsächlich immer gleich
160
00:11:42,620 --> 00:11:46,690
IT benannt, was dann irgendwann mal dazu
führte, dass im Kat-Stab abgefragt wurde.
161
00:11:46,690 --> 00:11:50,990
Heißen die jetzt IT? Und wir dann diese
Verwaltungsmodernisierung wenigstens in
162
00:11:50,990 --> 00:11:55,220
diesem Punkt sofort umgesetzt haben. Also
jedenfalls, das war noch mal wichtig zum
163
00:11:55,220 --> 00:12:00,350
Thema Ressourceneinsatz. Der war jetzt
händelbar, denn tatsächlich ging es in den
164
00:12:00,350 --> 00:12:05,330
ersten Stunden oder in den ersten Tagen
und Wochen auch um den Zugriff auf
165
00:12:05,330 --> 00:12:09,290
Besprechungsräume, die Kommunikation mit
Externen, die Beschaffung von Technik, den
166
00:12:09,290 --> 00:12:12,680
Personaleinsatz am Wochenende und in der
Nacht, die Anpassung der
167
00:12:12,680 --> 00:12:16,810
Bereitschaftsdienste, des Wachschutzes und
auch um die – ganz profanen, die
168
00:12:16,810 --> 00:12:21,230
Verpflegung der Mitarbeiter. Und das wäre
tatsächlich auch ohne Katastrophenfall in
169
00:12:21,230 --> 00:12:24,940
der Form nicht möglich gewesen und auch
nicht in der Schnelligkeit. Also wie
170
00:12:24,940 --> 00:12:29,330
kommts zum Katastrophen Stab und Incident
Response? Weil da ist es schon so ein
171
00:12:29,330 --> 00:12:33,840
bisschen kollidiert und ich hatte eben
kurz an die Externen und die Gremien
172
00:12:33,840 --> 00:12:37,550
angesprochen und es war in erster Linie
natürlich der Katastrophenstab als
173
00:12:37,550 --> 00:12:43,470
wichtigstes Entscheidungsgremium, das war
die technische Einsatzleitung 1 und die
174
00:12:43,470 --> 00:12:47,642
technische Einsatzleitung 2, komme ich
gleich noch mal darauf zu. Und auch die
175
00:12:47,642 --> 00:12:51,670
Arbeitsgruppe Wiederaufbau, deren
Entscheidungen mittel- bis langfristig
176
00:12:51,670 --> 00:12:56,540
wirken. Und damit waren eben tatsächlich
die Kollision vorprogrammiert. Die einen,
177
00:12:56,540 --> 00:13:01,720
die da zum einen länger an der Behörde
bleiben und die anderen, die relativ
178
00:13:01,720 --> 00:13:08,550
schnell auf klare Entscheidungen drängen
müssen. Ähm … und das trifft mitunter da
179
00:13:08,550 --> 00:13:13,560
drauf, dass so ein Verhalten an den Tag
gelegt wird und dann auch zusätzlich eine
180
00:13:13,560 --> 00:13:19,030
neue Hausspitze etabliert wird oder
gewählt wurde und dann eben sein Amt
181
00:13:19,030 --> 00:13:23,870
antritt. Das war 3 Tage nach dem
Katastrophenfall, dass dann eben auch so
182
00:13:23,870 --> 00:13:28,200
die eine oder andere Diskussion entstand,
die tatsächlich nicht hätte sein müssen,
183
00:13:28,200 --> 00:13:33,697
die man durchaus sehr, sehr abkürzen
konnte. Also, als Externe waren dabei das
184
00:13:33,697 --> 00:13:37,580
Finanzministerium, es war das Bundesamt
für Sicherheit in der Informationstechnik
185
00:13:37,580 --> 00:13:41,150
dabei, es war tatsächlich auch die
Bundeswehr dabei, es war das CERT Nord
186
00:13:41,150 --> 00:13:44,820
dabei, das Landeskriminalamt, einen
Kollegen, ein Professor von der Hochschule
187
00:13:44,820 --> 00:13:51,790
Harz, und tatsächlich waren alle in ihrem
Bereich für uns sehr hilfreich. Und noch
188
00:13:51,790 --> 00:13:56,490
mal im Detail zu den Rollen Technische
Einsatzleitung I und II, also die während
189
00:13:56,490 --> 00:14:00,190
technische Einsatzleitung I mit der IT
Infrastruktur mit dem Wiederaufbau
190
00:14:00,190 --> 00:14:04,136
beschäftigt war, war es bei der II die
Wiederinbetriebnahme der Fachverfahren und
191
00:14:04,136 --> 00:14:07,490
eben auch die Priorisierung der
Wiederinbetriebnahme der Fachverfahren.
192
00:14:07,490 --> 00:14:11,350
Und auch wenn man meinen müsste, man baut
zunächst die Infrastruktur auf, das wäre
193
00:14:11,350 --> 00:14:15,170
das einfachste und danach nimmt man die
Fachverfahren wieder in Betrieb. Das
194
00:14:15,170 --> 00:14:19,260
funktioniert tatsächlich nicht, weil die
Verwaltung im laufenden Betrieb
195
00:14:19,260 --> 00:14:22,399
weitergearbeitet hat, weil es
funktionierte das Telefon, es
196
00:14:22,399 --> 00:14:26,870
funktionierte, das Fax und die Türen waren
auch offen. Und das bedeutet, dass
197
00:14:26,870 --> 00:14:30,879
eigentlich die die Ansprüche an die
Verwaltung und eben auch die, die Anfragen
198
00:14:30,879 --> 00:14:34,810
und Anträge an die Verwaltung tatsächlich
nahtlos weitergingen. Und ich hatte schon
199
00:14:34,810 --> 00:14:38,387
vorhin gesagt, dass für viele Bürgerinnen
und Bürger und Unternehmen ist die
200
00:14:38,387 --> 00:14:42,970
Leistungserbringung durch die Kommune
existenziell, und wenn wir uns noch mal
201
00:14:42,970 --> 00:14:46,590
das Beispiel KFZ Zulassung so vornehmen,
dann haben Leute vielleicht ein Auto
202
00:14:46,590 --> 00:14:50,398
gekauft oder sie haben es kaputt gefahren,
oder keine Ahnung, auf jeden Fall, während
203
00:14:50,398 --> 00:14:55,180
eine Abmeldung möglich ist, ist eine
Anmeldung tatsächlich nur am Wohnort
204
00:14:55,180 --> 00:15:01,330
möglich. Also das heißt, dieses
Wohnortprinzip gilt hier tatsächlich ganz,
205
00:15:01,330 --> 00:15:07,200
also ganz vornehmlich sozusagen. Und das
heißt dieses, dass die Fachverfahren in
206
00:15:07,200 --> 00:15:11,390
den anderen Kommunen, also es hätte keine
Amtshilfe stattfinden können, weil einfach
207
00:15:11,390 --> 00:15:15,350
die ganz profanen, die Gemeindeschlüssel
auch nicht hinterlegt sind oder hinterlegt
208
00:15:15,350 --> 00:15:20,170
werden können und — oder anderes Beispiel
Genehmigungfiktion: das bedeutet,
209
00:15:20,170 --> 00:15:24,320
entscheidet eine Behörde, eine zuständige
Behörde nicht innerhalb einer bestimmten
210
00:15:24,320 --> 00:15:30,320
Frist über eine beantragte Genehmigung, so
geht die Genehmigung als erteilt. Und das
211
00:15:30,320 --> 00:15:34,510
hat Potenzial für durchaus ausufernde
Streitigkeiten und richtig große Schäden,
212
00:15:34,510 --> 00:15:38,570
die im Nachgang entstehen. Und das Ganze
musste auch immer mal wieder abgewogen
213
00:15:38,570 --> 00:15:43,179
werden. Das heißt, diese Listen waren
erstmal flexibel und die Diskussion war
214
00:15:43,179 --> 00:15:47,019
eine permanente Diskussion zwischen der
technischen Einsatzleitung I und der
215
00:15:47,019 --> 00:15:52,070
technischen Einsatzleitung II. Und dann
gab es eben auch noch ganz andere
216
00:15:52,070 --> 00:15:56,000
Abwägungen und Entscheidungen. Also das
war … ähm … es war eine Entscheidung, die
217
00:15:56,000 --> 00:15:59,740
Frage, ob die Verwaltung in die Cloud
geht, wo dann eben auch der Personalrat
218
00:15:59,740 --> 00:16:05,740
beteiligt werden muss. Es waren Fragen, ob
man mit dem Forensikteam weiterarbeiten
219
00:16:05,740 --> 00:16:13,100
kann und möchte, es waren Fragen, ob man
Aufgaben und Leistungen in Rechenzentren
220
00:16:13,100 --> 00:16:17,060
auslagert. Und es war natürlich auch die
Entscheidung: es stand eine Erpressung im
221
00:16:17,060 --> 00:16:20,950
Raum, ob man beispielsweise dieser
Lösegeldforderung nachgeht, was aber sehr
222
00:16:20,950 --> 00:16:26,610
schnell klar war, dass dem nicht so sein
wird. Und unter den besten
223
00:16:26,610 --> 00:16:30,660
Herausforderungen, da gibt es gleich noch
ein paar Anekdoten am Ende, so, aber wir
224
00:16:30,660 --> 00:16:35,850
kommen zu der Organisation. Nur ganz kurz
Also was hatte sich sofort verändert, im,
225
00:16:35,850 --> 00:16:39,970
direkt im Anschluss an diesen
Katastrophenfall? Also ich habe es gerade
226
00:16:39,970 --> 00:16:44,150
noch auf der letzten Folie. Die IT stand
im Fokus. Also das Zusammenziehen der IT
227
00:16:44,150 --> 00:16:47,850
Mitarbeiter*innen wurde beibehalten
inzwischen, das Sachgebiet wird jetzt in
228
00:16:47,850 --> 00:16:51,920
ein eigenes Amt überführt und nimmt eben
auch die Mitarbeiter des
229
00:16:51,920 --> 00:16:56,010
Schulverwaltungsamtes auf, also die IT-
Mitarbeiter des Schulverwaltungsamtes und
230
00:16:56,010 --> 00:16:59,190
eine Amtsleiterstelle wurde
ausgeschrieben. Und auch der IT
231
00:16:59,190 --> 00:17:04,500
Sicherheitsbeauftragte wird neu benannt,
und dadurch, dass da auch dafür keine neue
232
00:17:04,500 --> 00:17:08,620
Stelle geschaffen wird und niemand aus dem
operativen Bereich IT-
233
00:17:08,620 --> 00:17:13,070
Sicherheitsbeauftragter werden kann, also
aus dem operativen Bereich der IT-
234
00:17:13,070 --> 00:17:18,350
Abteilung, muss jemand gefunden werden,
tatsächlich gibt es auch Interessenten,
235
00:17:18,350 --> 00:17:22,240
aber das Land unterstützt auch hier diese
Interessenten dann eben auch zu schulen,
236
00:17:22,240 --> 00:17:25,903
damit die wissen, was sie da tun. Und die
erste Aufgabe wird es eben sein IT-
237
00:17:25,903 --> 00:17:30,720
Sicherheitskonzept zu schreiben und das
Ganze muss dann die Dienstvereinbarung
238
00:17:30,720 --> 00:17:36,260
ergänzen. Und organisatorisch wurde all
das bestimmt, was jetzt sozusagen nahezu
239
00:17:36,260 --> 00:17:40,510
mit Bordmitteln möglich war und wofür
nicht extra irgendwelche Finanzmittel
240
00:17:40,510 --> 00:17:45,200
bereitgestellt werden müssen. Also was den
Wiederaufbau betrifft, sind wir hier
241
00:17:45,200 --> 00:17:51,200
weiterhin dabei Entscheidungen für die
Zukunft zu treffen. Also das passiert in
242
00:17:51,200 --> 00:17:55,320
der Arbeitsgruppe Wiederaufbau und auch
die wird noch weit nach dem
243
00:17:55,320 --> 00:17:59,420
Katastrophenfall bestehen müssen.
Ansonsten ist geplant oder ist es nicht
244
00:17:59,420 --> 00:18:05,639
nur geplant, sondern eben auch soll der
IT-Grundschutz so umgesetzt werden, wie
245
00:18:05,639 --> 00:18:11,300
wir das uns finanziell leisten können und
wie es notwendig ist und wie es
246
00:18:11,300 --> 00:18:17,270
tatsächlich auch wichtig ist, um wieder
sozusagen arbeiten zu können. Und nicht
247
00:18:17,270 --> 00:18:20,830
bewilligt wurden erst mal
Mitarbeiter*innen und auch hier wieder die
248
00:18:20,830 --> 00:18:25,960
Grundlage der Politik, also sozusagen im
Kreis- und Finanzausschuss wurden erst mal
249
00:18:25,960 --> 00:18:29,860
keine neuen Stellen bewilligt und auch
hier war die Diskussion erst mal wieder
250
00:18:29,860 --> 00:18:34,830
groß, ähm, die Leute, die gebraucht
werden, dann auch für diese Positionen zu
251
00:18:34,830 --> 00:18:40,530
argumentieren. So, noch kurz zur
Wiederherstellung und zur Komplexität der
252
00:18:40,530 --> 00:18:44,760
Fachverfahren. Zunächst mal ist das
Landratsamt nicht abgebrannt. Also das ist
253
00:18:44,760 --> 00:18:48,450
das, was wir am Anfang immer wieder sagen
mussten: das große Geschäft mit dem
254
00:18:48,450 --> 00:18:51,970
Landkreis war also nicht zu machen, und
überhaupt lautete der Auftrag, den
255
00:18:51,970 --> 00:18:56,700
Landkreis wieder aufzubauen, und nur
diesmal in sicher. Und daher auch der
256
00:18:56,700 --> 00:19:00,180
Titel den "Rebuilding Landkreis Anhalt-
Bitterfeld". Es sollte kein neuer
257
00:19:00,180 --> 00:19:04,050
entstehen. So, der Wiederaufbau des Active
Directory ist inzwischen abgeschlossen.
258
00:19:04,050 --> 00:19:08,929
Aktuell erfolgt jetzt so schrittweise die
Neuinstallation der Fachverfahren und eben
259
00:19:08,929 --> 00:19:14,544
auch sind wir hier gebunden an die
Kapazitäten der Fachverfahrenshersteller.
260
00:19:14,544 --> 00:19:21,549
Und was jetzt noch passiert ist die
Absicherung der Verfahrensserver. So, und
261
00:19:21,549 --> 00:19:27,660
ansonsten funktioniert auch das wieder
nach der Priorisierung und — ich kürze das
262
00:19:27,660 --> 00:19:33,030
Ganze mal ein bisschen ab, wir kommen zur
Schadensbilanz: die sieht wie folgt aus,
263
00:19:33,030 --> 00:19:39,100
also die Kosten belaufen sich aktuell auf
2 Millionen. Weitaus mehr als die Lösegeld
264
00:19:39,100 --> 00:19:43,250
Summe war, Mittel, die auch nicht
unbedingt zusätzlich jetzt im Haushalt
265
00:19:43,250 --> 00:19:48,510
ausgegeben werden, aber mit dem geplanten
? Budget im nächsten für oder für das
266
00:19:48,510 --> 00:19:53,330
nächste Jahr verrechnet wurden und quasi
jegliche Planung erst mal zunichte gemacht
267
00:19:53,330 --> 00:19:57,470
haben, es sind neue Konflikte entstanden.
Konflikte zwischen Infrastruktur und
268
00:19:57,470 --> 00:20:04,420
Anwendungsbetreuern, im Zusammenspiel der
Kollegen untereinander. Auch das Vertrauen
269
00:20:04,420 --> 00:20:10,299
in die Digitalisierung ist nachhaltig
zerstört. Also die ersten Antworten dazu
270
00:20:10,299 --> 00:20:15,280
waren: ach hätten wir mal noch die
Papierakte behalten, und dann haben wir
271
00:20:15,280 --> 00:20:19,750
ein Datenverlust im Umweltamt. Wir haben
vollends verschlüsselte Mailserver und wir
272
00:20:19,750 --> 00:20:23,810
haben ein verlorenes Intranet. Und
tatsächlich waren einige Mitarbeiter ins
273
00:20:23,810 --> 00:20:27,419
Homeoffice gewechselt, um dort Internet
und überhaupt Technik zu haben, um
274
00:20:27,419 --> 00:20:32,890
überhaupt weiterarbeiten zu können. Denen
jetzt zu sagen, ihr dürft eure private
275
00:20:32,890 --> 00:20:37,910
Technik nicht mehr benutzen und auch vor
dem Hintergrund, dass sie jetzt ein
276
00:20:37,910 --> 00:20:41,880
anderes Arbeiten eben auch gelernt haben
oder sich angelernt haben, ist es
277
00:20:41,880 --> 00:20:47,179
natürlich schwierig, dort einfach
zurückzukehren. Wir hatten extrem viel
278
00:20:47,179 --> 00:20:51,500
Hilfe durch andere Landkreise. Wir hatten
super viel Hilfe durch kreisangehörige
279
00:20:51,500 --> 00:20:54,700
Städte und Gemeinden explizit. Auch durch
das Land und den IT-
280
00:20:54,700 --> 00:20:59,580
Sicherheitsbeauftragten, der uns über
Monate eigentlich in Amtshilfe, also nach
281
00:20:59,580 --> 00:21:04,260
dem Amtshilfeersuchen, sozusagen zur
Verfügung gestellt wurde und durch das BSI
282
00:21:04,260 --> 00:21:09,340
und eben auch durch die Bundeswehr, die
explizit technisch unterstützt hat. Aber
283
00:21:09,340 --> 00:21:14,430
das heißt eben auch, dass wir in der
Verantwortung sind und sein möchten, den
284
00:21:14,430 --> 00:21:21,390
Wissenstransfer jetzt zu initiieren, und
wir gehen davon aus, uns hat es in dem
285
00:21:21,390 --> 00:21:25,720
Moment richtig erwischt. Wir sind
allerdings die ersten, und werden nicht
286
00:21:25,720 --> 00:21:29,670
die einzigen bleiben. Und insofern ist es
wichtig, dass hier der Wissenstransfer
287
00:21:29,670 --> 00:21:33,410
stattfindet. Und tatsächlich denke ich
auch, dass der Steuerzahler das erwarten
288
00:21:33,410 --> 00:21:38,070
kann. Und zudem haben wir nebenbei auch
schon so viele Fragen beantwortet, und so
289
00:21:38,070 --> 00:21:42,450
vielen Konferenzen teilgenommen, bei Frag
den Staat geantwortet, in Ausschüssen Rede
290
00:21:42,450 --> 00:21:45,750
und Antwort gestanden und, also das
ziemlich deutlich wurde, dass das
291
00:21:45,750 --> 00:21:49,430
Interesse da ist. Und damit übergebe ich
ein HonkHase, der mich auf Twitter so
292
00:21:49,430 --> 00:21:53,440
professionell angepisst hat, dass ich ihn
direkt ins Expertengremium berufen habe!
293
00:21:53,440 --> 00:22:02,350
HonkHase: lacht Ja okay, meine Steuern
würde ich da auch ganz gerne in
294
00:22:02,350 --> 00:22:07,270
vertrauensvolle Hände legen, allerdings
muss man ja sagen, wenn man sich das so
295
00:22:07,270 --> 00:22:11,720
anguckt: Wie digital handlungsfähig ist
eigentlich der Kritis-Sektor, Staat und
296
00:22:11,720 --> 00:22:17,230
Verwaltung? Sieht man ja nicht nur an
euch, an eurem Beispiel, sondern man hat
297
00:22:17,230 --> 00:22:21,799
ja dieses Jahr schon allein über 100
Behörden und Verwaltungen kompromittiert
298
00:22:21,799 --> 00:22:27,630
gehabt, und das ist ja nicht das Ende der
Fahnenstange. Also insofern habe ich mir
299
00:22:27,630 --> 00:22:31,820
gedacht so ja, die brennende Mülltonne
passt eigentlich, möchte alles anzünden,
300
00:22:31,820 --> 00:22:35,510
aber wait a sec, digital handlungsfähig
ist der Staat gar nicht, der brennt ja
301
00:22:35,510 --> 00:22:39,900
schon von selbst. Da kannst du eigentlich
nur noch Brandroden und neu machen.
302
00:22:39,900 --> 00:22:46,040
Unauffälliger Hinweis für den
Folienwechsel. Die Frage ist ja was
303
00:22:46,040 --> 00:22:52,110
brauchen wir? Die echte, das was wir
wirklich brauchen ist doch eine Cyber-
304
00:22:52,110 --> 00:22:56,820
Resilienz. Ja, cyber bla. Lassen wir's
einfach. Ich bin Urgestein, Cyber-Grandpa,
305
00:22:56,820 --> 00:23:02,740
ich darf das, ja? Wir brauchen eine
Resilienz für den Cyberraum von kritischen
306
00:23:02,740 --> 00:23:07,420
Infrastrukturen, und dazu gehört eben auch
der Sektor Staat und Verwaltung. Und da
307
00:23:07,420 --> 00:23:11,820
gehört er ganz besonders zu egouvernante
hat ja vorhin schon gesagt, das sind auch
308
00:23:11,820 --> 00:23:16,460
durchaus bedrohliche Fachverfahren dabei
gewesen, die eben gar nicht resilient
309
00:23:16,460 --> 00:23:20,160
waren, weil sie einfach auseinander
gefallen sind, nachdem die hochkriminellen
310
00:23:20,160 --> 00:23:24,760
Tätergruppen aktiv geworden sind. Wir
reden ja hier nicht von Bespaßung,
311
00:23:24,760 --> 00:23:29,760
bisschen fun, bisschen rumhacken oder
kaputt spielen. Wir reden hier von
312
00:23:29,760 --> 00:23:33,490
kriminellen Banden organisierter
Kriminalität, die irgendwie Millionen
313
00:23:33,490 --> 00:23:38,500
versuchen abzugreifen, ja. Und was wir
auch brauchen, um dem gegenzusteuern: wie
314
00:23:38,500 --> 00:23:41,940
schaffen wir diese Resilienz? Durch
Krisenerfahrung und Übung bei den
315
00:23:41,940 --> 00:23:46,870
Verantwortlichen. Ja, dazu zähle ich
explizit Bürgermeister*innen, Landräte,
316
00:23:46,870 --> 00:23:51,360
you name it, egal. Wer keine
Krisenerfahrung hat, wer keine Übungen
317
00:23:51,360 --> 00:23:56,270
regelmäßig macht, steht dann genauso da
wie auch beispielsweise bei euch, aber
318
00:23:56,270 --> 00:24:03,280
eben auch beim Ahrtal, ja, Klimakatastrophe
ist ja dasselbe Phänomen, dasselbe
319
00:24:03,280 --> 00:24:07,150
Problem. Die waren alle nicht geübt, die
haben nicht regelmäßig die Einsätze
320
00:24:07,150 --> 00:24:11,760
trainiert. Und dann steht man da vor dem
Trümmerhaufen und sagt: Oh, alles kaputt,
321
00:24:11,760 --> 00:24:16,240
kostet teilweise sogar Menschenleben. Und
nein, was wir nicht brauchen ist – ne,
322
00:24:16,240 --> 00:24:20,720
Rebuilding Anhalt-Bitterfeld ja, aber ey,
echt keine Fachverfahren auf Windows 98 in
323
00:24:20,720 --> 00:24:28,760
2021, so. Das haben wir beispielsweise
hier im Gericht in Berlin erlebt. Vorher
324
00:24:28,760 --> 00:24:33,429
war es Windows 98 Fachverfahren, nachher
ist es immer noch eins. Ja, nee, fail, so
325
00:24:33,429 --> 00:24:37,930
das will echt keiner haben. Baut diese
Fachverfahren neu, baut sie sinnvoll,
326
00:24:37,930 --> 00:24:41,929
digitalisiert Ende zu Ende für die
Bürger*innen und das muss die Erwartungen
327
00:24:41,929 --> 00:24:48,090
an den Sektor Staat und Verwaltung sein,
ja. Was wir auch brauchen und was einfach
328
00:24:48,090 --> 00:24:51,900
mal fehlt sind Sicherheitsanforderungen
und Vorgaben, so dieser — es gibt den
329
00:24:51,900 --> 00:24:56,549
Kritis-Sektor Staat und Verwaltung. Und
welche Vorgaben hat er? Ja, machste
330
00:24:56,549 --> 00:25:02,150
dicke Backen. Also paar Öhrchen drauf,
kannste nichts mehr zu sagen. Es gibt für
331
00:25:02,150 --> 00:25:07,950
8 der 10 Kritis-Sektoren im BSI
Gesetz § 8a, und der anhängigen Kritis-
332
00:25:07,950 --> 00:25:11,770
Verordnung genaue Vorgaben, was für
Sicherheitsanforderungen die zu erfüllen
333
00:25:11,770 --> 00:25:16,330
haben. Bei Medien und Kultur ist es
landesweit nicht geregelt, aber eben bei
334
00:25:16,330 --> 00:25:20,982
Staat und Verwaltung ist es ja, öh, gar
nicht geregelt. So ja, da kann ich, ja,
335
00:25:20,982 --> 00:25:25,510
bin ich auch schon wieder kurz vorm — vorm
anzünden hier lacht Das muss dringend
336
00:25:25,510 --> 00:25:30,990
weg. Da muss wirklich die die Koalition,
die Ampel mal das BMI wachrütteln und
337
00:25:30,990 --> 00:25:34,330
vielleicht wirklich mal
Sicherheitsanforderungen an Tag legen und
338
00:25:34,330 --> 00:25:39,140
sagen: so, das ist jetzt der Maßstab,
nachdem dieser Sektor betrieben wird. Was
339
00:25:39,140 --> 00:25:43,210
wir brauchen sind kommunale CERTs mit
Hilfe für alle kleinen Kommunen, weil wie
340
00:25:43,210 --> 00:25:48,320
soll denn — also ihr als Landkreis wart ja
schon sozusagen überrannt worden von
341
00:25:48,320 --> 00:25:53,400
diesem koordinierten Angriff. Ja, was
macht denn da eine kleine Kommune, die hat
342
00:25:53,400 --> 00:25:57,590
ja vielleicht eine halbe IT-Stelle, eine
IT Stelle keine Ahnung, das ist sehr
343
00:25:57,590 --> 00:26:01,360
überschaubar, die haben doch noch nie
Incidence Response gemacht, die haben noch
344
00:26:01,360 --> 00:26:05,170
nie irgendwelche Fachverfahren gesichert,
die haben noch nie mit 15 verschiedenen
345
00:26:05,170 --> 00:26:12,360
Behörden und Verantwortlichen und
Sicherheitseinrichtungen irgendwie
346
00:26:12,360 --> 00:26:17,049
kommuniziert um abzustimmen: wer kommt
jetzt eigentlich und hilft? Die machen ja
347
00:26:17,049 --> 00:26:21,640
auch, die – die gucken wie Rebhühner
einmal groß in die Unterlagen und sagen:
348
00:26:21,640 --> 00:26:25,940
ja es gibt dieses Cyber-Wimmelbild der
Verantwortungsdiffusion, da sind ganz
349
00:26:25,940 --> 00:26:31,170
viele drauf. Wen frag ich denn jetzt? Ja,
das kann es ja irgendwie auch nicht sein.
350
00:26:31,170 --> 00:26:36,870
Kleiner Hinweis für die Folien. Was wir
auch bräuchten, und da stehe ich natürlich
351
00:26:36,870 --> 00:26:40,890
mit Herz und Seele dahinter, weil es meine
Passion ist, als als Mitgründer der
352
00:26:40,890 --> 00:26:44,610
unabhängigen Arbeitsgemeinschaft AG
Kritis, wir bräuchten ein Cyber-Hilfswerk,
353
00:26:44,610 --> 00:26:48,520
das ist der Arbeitstitel, den wir dem
Ganzen verpasst haben. Soll die
354
00:26:48,520 --> 00:26:53,080
existierenden Bewältigungskapazitäten für
Großschadenslagen durch Cybervorfälle bei
355
00:26:53,080 --> 00:26:56,910
kritischen Infrastrukturen kooperativ
ergänzen. Dazu haben wir ein Konzept
356
00:26:56,910 --> 00:27:01,970
entwickelt, hat knapp 40 Seiten, da haben
wir teilweise in Workshops
357
00:27:01,970 --> 00:27:06,340
zusammengesessen mit dem BSI, mit dem BBK,
also Bundesamt für Bevölkerungsschutz und
358
00:27:06,340 --> 00:27:10,100
Katastrophenhilfe, BSI, Bundesamt für
Sicherheit in der Informationstechnik und
359
00:27:10,100 --> 00:27:14,819
mit dem CCC, also im Chaos Computer Club
und haben einfach mal Gebrainstormed: wie
360
00:27:14,819 --> 00:27:19,899
würde man eigentlich Ehrenamtler,
Ehrenamtlerinnen dazu bewegen, irgendwie
361
00:27:19,899 --> 00:27:24,400
bei echt Großschadenslagen – nicht bei,
wenn wir ein paar Bitwerte umkippen und
362
00:27:24,400 --> 00:27:28,460
aus Einsen Nullen werden, sondern wirklich
in so einer Lage hier, wo es wirklich auch
363
00:27:28,460 --> 00:27:34,100
um Existenzbedrohung geht und ein ganzer
Landkreis auch einfach mal viele Monate
364
00:27:34,100 --> 00:27:39,890
kaputt optimiert wurde und lahmgelegt ist
und noch viele Monate bleiben wird. Das
365
00:27:39,890 --> 00:27:43,340
wir da irgendwie in der Lage sind
irgendwie auch zu agieren. Noch mal
366
00:27:43,340 --> 00:27:48,260
letzter Hinweis lacht. Ja, das Cyber-
Hilfswerk. Was? Was ist eigentlich der
367
00:27:48,260 --> 00:27:52,799
Plan? Der Plan ist, man soll eine,
wirklich das Primärziel ist nicht dieser,
368
00:27:52,799 --> 00:27:56,490
diesem Betreiber*innen von kritischen
Infrastrukturen zu helfen und Primärziel
369
00:27:56,490 --> 00:28:00,860
ist auch nicht deren Ergebnis und Erlöse
sichern, oder diesen deren — weiß der
370
00:28:00,860 --> 00:28:04,809
Kuckuck — Produktionsanlagen schick und
stylisch zu halten oder die
371
00:28:04,809 --> 00:28:09,370
Eingangspforten. Nee, es geht einzig und
allein um die Wiederherstellung der
372
00:28:09,370 --> 00:28:14,210
Versorgung der Bevölkerung mit den
kritischen Dienstleistungen, was eben beim
373
00:28:14,210 --> 00:28:18,000
Sektor Staat und Verwaltung wäre, dass die
Fachverfahren funktionieren, dass die
374
00:28:18,000 --> 00:28:23,159
Bürgerinnen mit ihren Bedürfnissen und mit
der Not sozusagen dann auch sich an die
375
00:28:23,159 --> 00:28:27,330
Bürgerämter wenden können und wo auch
geholfen wird und gekümmert wird, ja dass
376
00:28:27,330 --> 00:28:31,120
auch Sozialabgaben monatlich auf dem Konto
landen und nicht gesagt wird: Ja, ist
377
00:28:31,120 --> 00:28:35,070
gerade 'ne Ransomware, wir können keine
Überweisungen mehr tun. Pech gehabt, gehst
378
00:28:35,070 --> 00:28:39,460
du leer aus. So funktioniert das nicht bei
Leuten, die in Not sind und diese Not dann
379
00:28:39,460 --> 00:28:44,910
auch brauchen, ja als Hilfe. Also IT-
Sicherheit verbessern reicht nicht aus.
380
00:28:44,910 --> 00:28:48,960
Müssen wir natürlich sowieso tun. Absolut.
Dürfen wir nicht vernachlässigen. Aber wir
381
00:28:48,960 --> 00:28:53,299
brauchen eben Incident Response und
Krisenbewältigungskapazitäten auf einer
382
00:28:53,299 --> 00:28:57,520
Basis von ehrenamtlichen digitalen
Katastrophenschutzhelferinnen. Ja, wir
383
00:28:57,520 --> 00:29:01,650
haben genug Know how in unserer Community.
Wenn das on our terms, also nach unseren
384
00:29:01,650 --> 00:29:05,940
Spielregeln funktioniert, dass wir sagen:
Ey, wir wollen da helfen, da kommen keine
385
00:29:05,940 --> 00:29:09,650
komischen Sicherheitsbehörden, machen
komischen foo, da rückt das BSI Mobile
386
00:29:09,650 --> 00:29:13,640
Incident Resonse Team aus, wir kommen da
bei, und dann muss man vielleicht sogar
387
00:29:13,640 --> 00:29:17,750
auch nicht eine Bundeswehr rufen, weil
wird schon alles gekümmert. Die Bundeswehr
388
00:29:17,750 --> 00:29:21,530
sollte der letzte Notnagel am Ende der
Kette sein. Wirklich der letzte Notnagel.
389
00:29:21,530 --> 00:29:25,191
Und nicht: ey, wir rufen mal kurz die
Bundeswehr. Die können wir mit einplanen
390
00:29:25,191 --> 00:29:29,220
und dann ist es kein Notnagel mehr,
sondern einkalkuliert. Die sollten niemals
391
00:29:29,220 --> 00:29:34,320
einkalkuliert sein, am besten nie genutzt
werden, weil wenn dann sozusagen The shit
392
00:29:34,320 --> 00:29:38,700
hits the fan, dann dann brauchen wir die
Bundeswehr wirklich, aber nicht in solchen
393
00:29:38,700 --> 00:29:43,280
Lagen, denn dafür ist das Cyber-Hilfswerk
gedacht. Ja und dafür werde ich jetzt in —
394
00:29:43,280 --> 00:29:48,230
du hast mich ja in diese in dieser Runde
rein genötigt — Expertenkreisen werde ich
395
00:29:48,230 --> 00:29:51,900
das jetzt für die AG Kritis dann auch
entsprechend vertreten und versuchen zu
396
00:29:51,900 --> 00:29:57,720
fördern, das wir das, ja ins Leben rufen.
Und dann wird vielleicht aus dem aus dem
397
00:29:57,720 --> 00:30:02,210
Anzünden und Brandroden vielleicht nur ein
professionell angepisst und dann ist die
398
00:30:02,210 --> 00:30:04,590
Welt wieder schön.
egouvernante: lacht
399
00:30:04,590 --> 00:30:08,120
HonkHase: Und damit übergebe ich wieder
zurück an dich. Bitte schön.
400
00:30:08,120 --> 00:30:12,905
egouvernante: Sehr gut. Und damit kommen
wir zu der ganzen Kategorie "Behind the
401
00:30:12,905 --> 00:30:17,280
Scenes" Best of Dienstleister. Nee,
Quatsch, Best of Kunden Beschimpfung. Ich
402
00:30:17,280 --> 00:30:21,059
glaube, dazu können wir da noch alle,
falls irgendeiner beim Lightning Talk
403
00:30:21,059 --> 00:30:25,799
abgesprungen ist, da kann ich E-Mails
vorlesen, die mich wunderbarerweise
404
00:30:25,799 --> 00:30:31,500
erreicht haben, nein kleiner Spaß. Also
ähm, es gab auch Situationen, die einfach
405
00:30:31,500 --> 00:30:38,809
in ihrer Art, in ihrer — alleine, in dem
Moment, in dem sie einen erreichen,
406
00:30:38,809 --> 00:30:44,980
unfassbar unglaubwürdig klingen. Also auf
der einen Seite klar, wenn, wenn es gut
407
00:30:44,980 --> 00:30:48,949
gemeint ist, ja. Also man sagt ja immer:
das Gegenteil von gut ist gut gemeint.
408
00:30:48,949 --> 00:30:55,200
Wenn Mitarbeiter auf die Idee kommen,
tatsächlich Dateien auf Memory Sticks zu
409
00:30:55,200 --> 00:30:59,530
sichern und die nach Hause zu schleppen,
um sie dann wieder ins Landratsamt zu
410
00:30:59,530 --> 00:31:04,570
bringen, dann könnt ihr das auch später
noch mal zu einem Problem werden. Was uns
411
00:31:04,570 --> 00:31:09,580
immer wieder getroffen hat, war, wenn IT-
Mitarbeiter direkt angesprochen wurden,
412
00:31:09,580 --> 00:31:14,880
weil irgendein Rechner auch ohne Netzwerk
auch und nur mit Drucker oder Scanner oder
413
00:31:14,880 --> 00:31:20,591
whatever sozusagen wieder wieder an den
Start gebracht werden mussten, dann ist es
414
00:31:20,591 --> 00:31:24,339
blöd, wenn es an der technischen
Einsatzleitung vorbeiläuft. Und es ist
415
00:31:24,339 --> 00:31:28,100
super blöd, wenn ich diese Ressourcen dann
irgendwo gebunden habe oder letztlich
416
00:31:28,100 --> 00:31:31,810
keine Rechner mehr hatte, ich platt machen
kann, weil alle irgendwie jetzt doch
417
00:31:31,810 --> 00:31:37,279
wieder in Benutzung sind. Spannend war
auch in den Runden die technische
418
00:31:37,279 --> 00:31:41,410
Einsatzleitung, welche das jetzt auch
immer war, zu erschlagen, wie es richtig
419
00:31:41,410 --> 00:31:45,140
ginge. Das führt dann tatsächlich zu
Situationen, dass man sein Mikrofon
420
00:31:45,140 --> 00:31:49,630
einschaltet und nach einem 10 minütigen
Vortrag, wie es richtig ginge, sagt so:
421
00:31:49,630 --> 00:31:54,809
Nein. Unverständige Gesichter, Mikrofon
noch mal an: Das ist technisch nicht
422
00:31:54,809 --> 00:31:59,290
möglich. Das auch, wenn wir uns sehr
wünschen, dass das Landratsamt wieder an
423
00:31:59,290 --> 00:32:04,390
den Start geht, sind verschiedene
Reihenfolgen einfach zu beachten.
424
00:32:04,390 --> 00:32:08,500
Highlight waren aber tatsächlich
Vertriebler, die direkt das Fachverfahrens
425
00:32:08,500 --> 00:32:12,880
Verzeichnis verlangt haben, OZG direkt
gleich mitmachen wollten und irgendwie mit
426
00:32:12,880 --> 00:32:18,059
einem leeren Kfz-Kennzeichen Datenbank
vielleicht am besten Morgen schon loslegen
427
00:32:18,059 --> 00:32:23,150
wollten. Aber sorry, Aubergine Aubergine
Zwinker-Smiley funktioniert nicht auf
428
00:32:23,150 --> 00:32:27,340
einem Kennzeichen und wir können nicht mit
doppelten Kennzeichen die Leute rumfahren
429
00:32:27,340 --> 00:32:31,190
lassen, das hat einfach
versicherungstechnischen Gründe. Auch
430
00:32:31,190 --> 00:32:35,850
waren Situationen, wo man einfach mit den
Geschäftsführern in einem Gespräch sitzt
431
00:32:35,850 --> 00:32:39,770
mit den Technikern und dann auf der
anderen Seite die Geschäftsführer und die
432
00:32:39,770 --> 00:32:43,160
dann permanent genervt die Augen
verdrehen, wenn man konkrete Details
433
00:32:43,160 --> 00:32:46,900
erfragt. Und einer war dann sehr arg
enttäuscht und kündigte an, dass er uns
434
00:32:46,900 --> 00:32:52,080
jetzt überall ausschmieren wird, wie
furchtbar wir sind und dass wir sozusagen
435
00:32:52,080 --> 00:32:56,242
nicht, dass diese Firma gewählt werden und
ich sei ne Landesverräterin, der Kollege,
436
00:32:56,242 --> 00:33:03,150
sei nen IT-Söldner. Und dabei war die
Entscheidung definitiv sehr objektiv und
437
00:33:03,150 --> 00:33:08,480
von Erfahrungswerten von allen am Tisch
getragen. So, also Ansagen wie: wir machen
438
00:33:08,480 --> 00:33:12,290
mal einen Termin und erklären, wie sie zu
uns in der Cloud kommen, und eigentlich
439
00:33:12,290 --> 00:33:15,800
interessiert uns ihre technische Ansicht
überhaupt nicht, sondern wir erklärens
440
00:33:15,800 --> 00:33:19,490
noch mal dem Hauptverwaltungsbeamten,
bringt Unruhe ins Haus und ist irgendwie
441
00:33:19,490 --> 00:33:25,160
auch nicht förderlich, weil wir letztlich
es doch umsetzen werden und müssen und
442
00:33:25,160 --> 00:33:29,210
sozusagen hier der Vertrauensverlust
tatsächlich schon vorprogrammiert ist. Und
443
00:33:29,210 --> 00:33:32,340
apropos nicht dabei sein: Wenn der
Auftraggeber oder wenn man 2
444
00:33:32,340 --> 00:33:37,780
Auftragnehmer hat, kam auch ganz gern mal
die Situation, wenn über Übergaben
445
00:33:37,780 --> 00:33:41,740
gesprochen werden soll, das wir am besten
gar nicht am Tisch sitzen, sondern dass
446
00:33:41,740 --> 00:33:46,549
die Dienstleister sich zusammensetzen, was
auch schwierig ist. Insofern versteh mich
447
00:33:46,549 --> 00:33:50,570
bitte auch einer, dass es immer wichtig
ist, ein IT-Projekt-Steuerer im Haus zu
448
00:33:50,570 --> 00:33:55,030
haben und das eine Landkreisverwaltung
überhaupt jegliche Behörde weiterhin in
449
00:33:55,030 --> 00:34:01,590
der Lage ist auch die Externen zu steuern,
und das ist essenziell notwendig. Wenn wir
450
00:34:01,590 --> 00:34:05,500
uns hier nicht die Butter vom Brot nehmen
lassen wollen. So, und Daten wollte auch
451
00:34:05,500 --> 00:34:09,510
kein Rechenzentrum von uns haben. Also das
hieß immer nur so: ja wir machen alles,
452
00:34:09,510 --> 00:34:13,230
aber waa, schickt uns bloß nichts, wir
wollen eure Daten definitiv nicht
453
00:34:13,230 --> 00:34:17,520
haben. Unser Leben als Aussätzige! Und
schön ist natürlich auch, wenn der
454
00:34:17,520 --> 00:34:21,690
Dienstleister einen dann gleich noch mal
erpresst. Also so was wie Budgetabsprachen
455
00:34:21,690 --> 00:34:26,480
hin oder her, mit einem Mal kostet es das
Dreifache. Besprechen wir aber auch nicht
456
00:34:26,480 --> 00:34:32,270
mit der Technik, sondern tatsächlich doch
mit dem Landrat wieder. Und ähm, dann
457
00:34:32,270 --> 00:34:36,170
immer natürlich auch mit dem Nebensatz,
bei den männlichen Kollegen: da draußen
458
00:34:36,170 --> 00:34:40,320
warten die Sniper, die warten nur, bis er
wieder am Netz seid. Bei mir waren es dann
459
00:34:40,320 --> 00:34:44,179
immer die Stalker, also
zielgruppengerechte Ansprache ist auch
460
00:34:44,179 --> 00:34:47,889
toll, aber irgendwie dann auch
durchschaubar und nervt. Und ja, und das
461
00:34:47,889 --> 00:34:51,680
waren tatsächlich dann auch die gleichen
Jungs, die meinten, wir haben ein paar
462
00:34:51,680 --> 00:34:55,910
Fortinets von einem Partner geordert, das
ist auch einer meiner Lieblinge und wir
463
00:34:55,910 --> 00:35:00,220
arbeiten damit; wenn wir hier euch wieder
beim Aufbau helfen. Von Open Source raten
464
00:35:00,220 --> 00:35:04,470
wir ab, das nehmen nämlich die Hacker, das
sind die, die euch angegriffen haben, das
465
00:35:04,470 --> 00:35:12,001
sind die, die euer System kaputt gemacht
haben. Äh … schwierig also. Man kann aber
466
00:35:12,001 --> 00:35:16,340
auch Glück im Unglück haben und das ist
auch eine schöne Situation, also wenn man
467
00:35:16,340 --> 00:35:20,240
zum Beispiel ein günstiges Angebot
schießt, dass wenn man 7 Managed
468
00:35:20,240 --> 00:35:25,460
Services für nur 10% des Preises im ersten
Jahr angeboten bekommt. Beim Kick off
469
00:35:25,460 --> 00:35:28,970
sollte dann aber tatsächlich ein
Fernsehteam dabei sein. Wir haben uns
470
00:35:28,970 --> 00:35:33,390
nicht für das Angebot entschieden. Und
jetzt noch ein ganz schöner Lichtblick:
471
00:35:33,390 --> 00:35:36,760
die Dienstleister, mit denen man
tatsächlich seit Jahren wirklich
472
00:35:36,760 --> 00:35:40,400
vertrauensvoll zusammenarbeitet und von
denen man natürlich auch ein Angebot
473
00:35:40,400 --> 00:35:46,890
anfordert, dann ist es natürlich schön,
wenn die einem das nötige Lizenzgeraffel
474
00:35:46,890 --> 00:35:53,160
direkt auf das Angebot schreiben und dann
auch wirklich dieses Wort benutzen. Und
475
00:35:53,160 --> 00:36:00,540
damit eigentlich so als kleines Fazit: der
Landkreis ist nicht das Opfer dieser
476
00:36:00,540 --> 00:36:06,890
Attacke. Mit den Expertenkreisen glaube
ich, dass wir jetzt das wirklich Gute
477
00:36:06,890 --> 00:36:12,440
schaffen können. Und wir sind im Rahmen
eines Forschungsprojektes eben auch daran,
478
00:36:12,440 --> 00:36:16,460
nachdem wir jetzt diese Awareness haben,
ein Forschungsprojekt aufzubauen, in dem
479
00:36:16,460 --> 00:36:22,020
wir für verschiedene Verwaltungsprozesse
digitale Zwillinge aufbauen, und
480
00:36:22,020 --> 00:36:26,330
tatsächlich gibt es eben auch das nächste
Projekt, und zwar das Open Data Ecosystem,
481
00:36:26,330 --> 00:36:33,609
und das ist Open Source, also Spielwiese
für die IoT-Hacker. Und das sozusagen als
482
00:36:33,609 --> 00:36:39,200
das Gute in der Katastrophe, die hier
passiert ist. Und ich glaube eben auch die
483
00:36:39,200 --> 00:36:44,470
wichtige Message, dass die
Landkreisverwaltung, dass die Behörden
484
00:36:44,470 --> 00:36:51,630
tatsächlich hier wirklich nacharbeiten
müssen. Wir kommen zu den Fragen. Jetzt
485
00:36:51,630 --> 00:36:58,080
kann es losgehen!
HonkHase: Genau, fragt uns Dinge. Es
486
00:36:58,080 --> 00:37:01,490
drohen Antworten!
487
00:37:01,490 --> 00:37:08,810
Herald: Ja, sehr sehr schön, vielen Dank!
Es gibt viele Fragen, und viele Fragen von
488
00:37:08,810 --> 00:37:14,910
den Hackern natürlich ist über die Deeds,
über die Details, über den Hack, wenn das
489
00:37:14,910 --> 00:37:19,660
Verschlusssache ist, gerne abwinken.
egouvernante: Wir wissen noch gar nicht so
490
00:37:19,660 --> 00:37:25,000
viel, das ist das Problem. Wir ist –
tatsächlich ist dadurch dass die Logfiles
491
00:37:25,000 --> 00:37:29,330
ja eben auch gelöscht wurden können wir
tatsächlich jetzt auch gar nicht so sehr
492
00:37:29,330 --> 00:37:31,960
viel sagen.
HonkHase: Also vielleicht mal
493
00:37:31,960 --> 00:37:37,300
grundsätzlich: Bei der Incident Response
ist es ja so, wenn man versucht, nach
494
00:37:37,300 --> 00:37:43,480
einem Ransomware Angriff den Betroffenen
zu helfen: es ist meist so, dass ja die
495
00:37:43,480 --> 00:37:49,540
die Angreifer, also das — noch mal, das
sind organisierte Bandenkriminelle, das
496
00:37:49,540 --> 00:37:53,430
ist ja nicht irgendwie Feld Wald Wiesen,
ja die gehen in die Systeme rein,
497
00:37:53,430 --> 00:37:57,660
kundschaften das alles aus, taxieren,
welche Höhe man sozusagen an
498
00:37:57,660 --> 00:38:02,290
Lösegeldforderung setzen kann im Preis-
Leistungsverhältnis, gerade hier im
499
00:38:02,290 --> 00:38:06,099
Landkreis Anhalt-Bitterfeld wurde ja dann
auch nach dem gesagt wurde: pff, ihr
500
00:38:06,099 --> 00:38:12,000
kriegt gar nichts, 200 Megabyte ungefähr
an Daten geleakt, um anzuteasern und zu
501
00:38:12,000 --> 00:38:15,670
sagen: Naja komm, vielleicht wollt ihr
doch? Haben aber dann gesehen dass sie
502
00:38:15,670 --> 00:38:19,800
damit auch nicht vorwärts kommen. Aber die
gehen natürlich so vor, dass die Backups,
503
00:38:19,800 --> 00:38:25,730
die online sind, entweder vorher aktiv
zerstört werden oder eben mit
504
00:38:25,730 --> 00:38:31,460
verschlüsselt werden. Ist auch so, das
schon seit langem Zugangsdaten wie ssh,
505
00:38:31,460 --> 00:38:36,580
Passwörter etc. mit abgegriffen werden, so
dass man auf die Linux Büchsen mit drauf
506
00:38:36,580 --> 00:38:41,440
geht und und sagt na dann plätten wir mal
kurz das Syslog und dann sind eben keine
507
00:38:41,440 --> 00:38:46,250
Logdaten mehr da, und wenn halt nichts
mehr da ist, und das meiste verschlüsselt
508
00:38:46,250 --> 00:38:49,760
ist, dann kannst du nur die Reste
rauskratzen. Das heißt, es gibt fast
509
00:38:49,760 --> 00:38:54,330
immer, muss man auch fairerweise so sagen,
sehr viele Angriffsvektoren, die zum
510
00:38:54,330 --> 00:39:00,140
Ziel hätten führen können, welcher es am
Ende genau war, das ist eigentlich sogar
511
00:39:00,140 --> 00:39:04,170
fast schon unerheblich, denn in erster
Linie will man ja den Wiederaufbau
512
00:39:04,170 --> 00:39:07,276
hinbekommen und die kritischen
Dienstleistungen wieder ans Laufen
513
00:39:07,276 --> 00:39:10,909
bekommen. Also insofern ist es sehr oft
der Fall, dass man das gar nicht so
514
00:39:10,909 --> 00:39:14,280
detailliert ermitteln kann.
egouvernante: Genau, und wir gehen davon
515
00:39:14,280 --> 00:39:19,460
aus, dass der Angreifer seit Beginn des
Jahres im System war. Und ja, tatsächlich
516
00:39:19,460 --> 00:39:22,780
wissen wir von einem sehr viel größeren
Datenabzug.
517
00:39:22,780 --> 00:39:28,140
HonkHase: Das macht es nicht besser, aber
es ist halt so.
518
00:39:28,140 --> 00:39:32,529
Herald: Datenabzug: ist bekannt, ob
tatsächlich Daten abgeflossen sind? Also
519
00:39:32,529 --> 00:39:35,460
ob die nicht nur verschlüsselt, sondern
auch geleakt wurden?
520
00:39:35,460 --> 00:39:40,120
egouvernante: Es sind Daten abgeflossen,
ja, geleakt, die 200 MB, aber es sind sehr
521
00:39:40,120 --> 00:39:42,820
viel mehr.
HonkHase: Es wurde doch — warte mal. Es
522
00:39:42,820 --> 00:39:45,922
gab eine öffentliche Stellungnahme dazu.
Ich glaube, es waren 60 …
523
00:39:45,922 --> 00:39:48,813
e: 62 Gigabyte, ja.
Ho: 62 Gigabyte an Daten wurden
524
00:39:48,813 --> 00:39:51,570
abgezogen und keiner weiß was genau
abgezogen wurde.
525
00:39:51,570 --> 00:39:53,756
e: Genau das.
Ho: Die 200 Megabyte sind geleakt
526
00:39:53,756 --> 00:39:56,470
worden. Da weiß man natürlich sehr genau,
was es war, ne …
527
00:39:56,470 --> 00:39:58,570
e: Das sind Protokolle aus
Landkreis–, genau.
528
00:39:58,570 --> 00:40:03,260
Ho: Genau. Aber es sind insgesamt 62
Gigabyte verschütt gegangen und da muss
529
00:40:03,260 --> 00:40:08,810
man auch sagen, dass ja sogar noch wenig.
Es gibt auch Vorfälle, da werden Terabytes
530
00:40:08,810 --> 00:40:14,980
vorher abgegriffen, ja.
Herald: Nach dem Wiederauf – achso, ihr
531
00:40:14,980 --> 00:40:20,329
seid dabei bei dem Wiederaufbau. Eine
Frage ist: gibt es Material, was
532
00:40:20,329 --> 00:40:23,020
unwiderruflich, unwiederbringlich zerstört
wurde?
533
00:40:23,020 --> 00:40:28,779
e: Der komplette Mailserver,
Daten des Umweltamtes, also alle von einem
534
00:40:28,779 --> 00:40:32,690
Standort, sozusagen die Server, die an
einem bestimmten Standort in Bitterfeld
535
00:40:32,690 --> 00:40:38,730
waren, und das Intranet ist weg. Und alles
andere müssen wir schauen. Also wir sind
536
00:40:38,730 --> 00:40:43,880
immer noch dabei, die Daten zu sichten und
eben zu überführen. Aber wir wissen
537
00:40:43,880 --> 00:40:47,930
definitiv, dass Daten des Umweltamtes weg
sind, dass eben der komplette Mailserver
538
00:40:47,930 --> 00:40:52,800
verschlüsselt wurde, das ja … und eben
auch das Intranet nicht mehr vorhanden
539
00:40:52,800 --> 00:40:59,990
ist.
Herald: Okay, eine andere Frage, mehr oder
540
00:40:59,990 --> 00:41:03,390
weniger seriös: Wie hoch war die
Lösegeldforderung, wenn das nicht
541
00:41:03,390 --> 00:41:06,119
Verschlusssache ist?
e: Nee, ich glaube, das war
542
00:41:06,119 --> 00:41:08,849
sogar mal veröffentlicht. Also das war
eine halbe Million.
543
00:41:08,849 --> 00:41:11,179
Ho: Genau
Herald: Ok
544
00:41:11,179 --> 00:41:14,260
e: in Monero.
Ho: eigentlich noch ein Schnäppchen,
545
00:41:14,260 --> 00:41:18,110
ne, eine halbe Million Mal, also, da gibt
es auch durchaus Angreifer, die deutlich
546
00:41:18,110 --> 00:41:22,880
mehr verlangen, aber, naja, sind ja nicht
zum Zuge gekommen.
547
00:41:22,880 --> 00:41:33,200
Herald: Okay, HonkHase, du hattest
Empfehlungen ausgesprochen. Ähm. Wo
548
00:41:33,200 --> 00:41:38,750
Freiwillige Amtshilfe leisten können,
sodass die Bundeswehr nicht angerufen
549
00:41:38,750 --> 00:41:44,430
werden muss. Rückblickend betrachtet war
es Amtshilfeersuchen an die Bundeswehr
550
00:41:44,430 --> 00:41:49,240
angemessen und wurde von offizieller Seite
her was getan, damit künftig nicht gleich
551
00:41:49,240 --> 00:41:51,711
die Bundeswehr wieder angerufen werden
muss?
552
00:41:51,711 --> 00:41:57,800
Ho: Also ob das angemessen ist, kann
egouvernante glaube ich besser darlegen
553
00:41:57,800 --> 00:42:02,480
als ich, denn sie war ja in den Details
drin. Ich kenne den Vorfall ja nicht von
554
00:42:02,480 --> 00:42:08,589
Innen her. Sie mag es sicherlich sinnvoll
vertreten, dass das das angemessen war.
555
00:42:08,589 --> 00:42:13,461
Meine Position ist, damit das nicht noch
mal passieren muss oder die Runde macht,
556
00:42:13,461 --> 00:42:17,660
sozusagen, ah, wenn was passiert, rufen
wir die Bundeswehr und dann schön, dann
557
00:42:17,660 --> 00:42:21,790
legen wir uns wieder schlafen oder sowas!
Kann man ja hier nicht behaupten. Hast ja
558
00:42:21,790 --> 00:42:27,940
jede Menge erzählt, was ihr da tut und
macht, aber dafür will ja die AG Kritis
559
00:42:27,940 --> 00:42:31,630
dieses Cyber-Hilfswerk ins Leben rufen, um
zu sagen: Dann haben wir auch genug
560
00:42:31,630 --> 00:42:36,880
Kapazitäten. Und wenn dann eben eine eine
kritische Infrastruktur betroffen ist,
561
00:42:36,880 --> 00:42:42,619
dann helfen wir aus der Community heraus
ehrenamtlich und kommen eben als
562
00:42:42,619 --> 00:42:48,911
Amtshilfeersuchen dahin, reparieren eben
diese Versorgung der Dienstleistung mit
563
00:42:48,911 --> 00:42:56,220
den Berufswiederherstellen sozusagen. Und
dann geht man gemeinsam verrichteter Dinge
564
00:42:56,220 --> 00:43:00,360
halt wieder da weg. Und das ist ja genau
das Ziel, dass dann so was wie wir rufen
565
00:43:00,360 --> 00:43:04,290
die Bundeswehr quasi überflüssig wird, im
Idealfall. Wie gesagt, die soll nur als
566
00:43:04,290 --> 00:43:08,750
Notnagel im extremsten Fall abgerufen
werden können. So.
567
00:43:08,750 --> 00:43:12,869
e: und das war der Fall und das
war der erste Fall. Und sozusagen das soll
568
00:43:12,869 --> 00:43:19,369
definitiv nicht Standard werden. In dem
Moment war es nur, dass wir technisch
569
00:43:19,369 --> 00:43:23,780
nicht in der Lage waren, uns selbst zu
helfen. Und insofern war es diese
570
00:43:23,780 --> 00:43:28,540
technische, also diese rein technische
ausführende Tätigkeit, die hier
571
00:43:28,540 --> 00:43:31,400
abgewickelt wurde.
Ho: Naja, Stand heute sind fast alle
572
00:43:31,400 --> 00:43:35,700
Kommunen ungefähr auf demselben Niveau.
e: Ja ich hoffe, dass es jetzt
573
00:43:35,700 --> 00:43:39,460
anders wird.
Ho: Okay, die Hoffnung stirbt
574
00:43:39,460 --> 00:43:43,940
zuletzt lacht
e: ja , AG Hoffnungsvoll, ne?
575
00:43:43,940 --> 00:43:46,260
lacht auch
Ho: Genau.
576
00:43:46,260 --> 00:43:50,690
Herald: Schön. Äh. Eine andere Frage ist:
wie weit ist die Erneuerung der
577
00:43:50,690 --> 00:43:54,480
Infrastruktur und werden Möglichkeiten
genutzt, um die Sicherheit zu verbessern?
578
00:43:54,480 --> 00:43:57,590
e: Es wird jede Möglichkeit
genutzt, die Sicherheit zu verbessern.
579
00:43:57,590 --> 00:44:01,500
Also das fängt bei der Dienstvereinbarung
an. Das fängt bei Awarenessschulungen an.
580
00:44:01,500 --> 00:44:05,349
Das … ich hatte es vorhin gesagt mit dem
IT-Sicherheitsbeauftragten. Das fängt mit
581
00:44:05,349 --> 00:44:10,640
der komplett neuen Aufstellung des IT-
Amtes an, und das geht natürlich auch da
582
00:44:10,640 --> 00:44:14,050
weiter, dass wir jetzt mehrstufige
Sicherheitskonzepte haben, die
583
00:44:14,050 --> 00:44:18,500
Arbeitsplatz-PCs nicht mehr mit allen
möglichen Rechten ausgestattet sind und,
584
00:44:18,500 --> 00:44:23,470
ja Passwort ist natürlich jetzt
unerheblich, aber die einfach das auch
585
00:44:23,470 --> 00:44:28,510
Passwörter auch mal ablaufen wieder. Und
das sind einfach Sachen die jetzt
586
00:44:28,510 --> 00:44:33,450
durchgeführt werden. Und was den Stand des
Wiederaufbaus betrifft: das Active
587
00:44:33,450 --> 00:44:37,920
Directory steht insoweit und die
Fachverfahren werden jetzt nach und nach
588
00:44:37,920 --> 00:44:42,250
wieder an den Start gehen. Und jetzt eben
auch die einzelnen Ämter werden jetzt nach
589
00:44:42,250 --> 00:44:45,970
und nach wieder ihre Arbeitsplatz-PCs in
Betrieb nehmen und die Clients sind
590
00:44:45,970 --> 00:44:51,660
gehärtet und so weiter und das bedeutet,
dass Ämter jetzt — Ich glaube, wir haben
591
00:44:51,660 --> 00:44:55,730
jetzt 4 oder 6 Ämter, die jetzt
tatsächlich wieder, wo jeder Mitarbeiter
592
00:44:55,730 --> 00:45:00,300
einen eigenen PC hat und nicht mehr einen
PC, der aus dem Notnetz bei der Sekretärin
593
00:45:00,300 --> 00:45:03,970
beim Amtsleiter steht und dort jeder
seinen E-Mail-Verkehr darüber abwickelt.
594
00:45:03,970 --> 00:45:08,070
Ho: Benutzt ihr dabei auch so krasse
Hacker Software wie Open Source?
595
00:45:08,070 --> 00:45:11,280
e: Wir arbeiten daran.
Ho: lacht, Mikro übersteuert kurz
596
00:45:11,280 --> 00:45:19,140
sehr schön!
Herald: Ja, schön. Zum Active Directory im
597
00:45:19,140 --> 00:45:24,590
Speziellen gab es die spezielle Frage:
Konnte man bei der forensischen
598
00:45:24,590 --> 00:45:28,320
Untersuchung einen Golden-Ticket Angriff
auf das Active Directory feststellen?
599
00:45:28,320 --> 00:45:34,770
e: Das kann ich nicht sagen.
Ich kann was anderes sagen zum Thema
600
00:45:34,770 --> 00:45:39,359
Active Directory. Und zwar, wir haben
tatsächlich auch erst mal nachgucken
601
00:45:39,359 --> 00:45:46,150
müssen, ob alle Mitarbeiter tatsächlich
auch bei uns arbeiten, also ob alle
602
00:45:46,150 --> 00:45:50,070
Einträge im Active Directory tatsächlich
noch hier Mitarbeiter bei uns sind oder ob
603
00:45:50,070 --> 00:45:54,070
das jetzt nicht irgendwie durch Zauberhand
mehr geworden sind. Und das war glaube ich
604
00:45:54,070 --> 00:45:57,640
die erste Tätigkeit, also die erste
Aktion, die wir hier durchgeführt haben.
605
00:45:57,640 --> 00:46:01,260
Und die auch wirklich lange dauerte,
tatsächlich erst mal zu schauen Sind die
606
00:46:01,260 --> 00:46:05,160
Azubis noch da? Das war im Endeffekt auch
eine Bestandsaufnahme aller Kollegen, die
607
00:46:05,160 --> 00:46:07,800
wir im Haus haben, was auch durchaus sehr
nützlich war.
608
00:46:07,800 --> 00:46:10,420
Ho: Historisch gereift sozusagen,
diese Benutzerliste.
609
00:46:10,420 --> 00:46:13,040
e: Absolut, ja.
Ho: Wie so oft und überall.
610
00:46:13,040 --> 00:46:16,885
e: Ja.
Ho: Genau.
611
00:46:16,885 --> 00:46:22,890
Herald: Sonst: gab es Backups? Zum
Beispiel in einem externen Rechenzentrum?
612
00:46:22,890 --> 00:46:27,428
e: Nein. Also ja, doch, bei
machen Fachverfahren und bei manchen
613
00:46:27,428 --> 00:46:30,720
Fachverfahren auch tatsächlich
überraschend. Da wussten wir gar nicht,
614
00:46:30,720 --> 00:46:35,710
dass die Backups von uns haben. Das war
auch neu und irritierend für den
615
00:46:35,710 --> 00:46:41,720
Datenschutzbeauftragten. Aber das …
zumindest hatten wir, hatten wir
616
00:46:41,720 --> 00:46:45,640
verschiedene Backups, aber eben auch
welche, die nicht in externen
617
00:46:45,640 --> 00:46:49,300
Rechenzentren sind und dann tatsächlich
auch jetzt händisch überprüft werden
618
00:46:49,300 --> 00:46:52,940
müssen, ob diese nicht vielleicht
kompromittiert sind. Also wir gehen davon
619
00:46:52,940 --> 00:46:57,450
aus, dass wir 80% bis 90% unserer Daten
zurückerhalten und dass die eben nicht
620
00:46:57,450 --> 00:47:00,040
beschädigt sind.
Ho: Aber nach viel Handarbeit beim
621
00:47:00,040 --> 00:47:02,330
wieder einspielen.
e: Ja, definitiv.
622
00:47:02,330 --> 00:47:07,450
Ho: Also vielleicht als Ergänzung
auch da. Backup ist halt schön, ne?
623
00:47:07,450 --> 00:47:11,600
Wiederherstellung ist noch viel cooler.
Alle, alle rufen nach Backup, aber
624
00:47:11,600 --> 00:47:14,950
eigentlich will keine Sau Backup. Alles
was man wirklich will ist die
625
00:47:14,950 --> 00:47:19,000
Wiederherstellung. Und die kriegt man eben
nur, wenn man ein sehr strukturiertes
626
00:47:19,000 --> 00:47:24,310
Backup Konzept hat mit mit Grandfathering
Modellen, mit rollierenden Backups, mit
627
00:47:24,310 --> 00:47:30,290
offline Backups wenn man… ihr habt 160
Fachverfahren glaube ich ungefähr?
628
00:47:30,290 --> 00:47:32,980
e: Ja.
Ho: Wenn man 160 verschiedene alte,
629
00:47:32,980 --> 00:47:37,190
historisch gewachsene Fachverfahren hat,
dann ist es nicht ein Backup auf ein Tape
630
00:47:37,190 --> 00:47:41,090
und dann ist gut und da legt man in den
Bankschließfach und wenn dann die Bösen
631
00:47:41,090 --> 00:47:47,270
kommen, dann packt man halt wieder aus und
sagt: Golden Ticket! Ich hab ein Golden …
632
00:47:47,270 --> 00:47:52,750
Golden Medium. So funktioniert das halt
nicht und insofern ist ein Backup Konzept,
633
00:47:52,750 --> 00:47:57,990
was auch die Wiederherstellung in einer
angemessenen Zeit sozusagen darstellt, für
634
00:47:57,990 --> 00:48:03,268
sich eine sehr sehr komplexe
Prozessaufgabe.
635
00:48:03,268 --> 00:48:07,530
Herald: Okay, ich kann mir vorstellen,
dass ist jetzt in den Wiederaufbau mit in
636
00:48:07,530 --> 00:48:11,630
den Plänen reingeschrieben.
e: absolut ja, klar.
637
00:48:11,630 --> 00:48:13,780
Herald: ok.
Ho: jetzt schon, ne?
638
00:48:13,780 --> 00:48:17,760
e: Ja, genau. Ja, ach das fängt
schon an, alleine wenn wir jetzt in diesem
639
00:48:17,760 --> 00:48:21,770
Zwischenbetrieb sozusagen schon
Fachverfahren am Start haben, die gar
640
00:48:21,770 --> 00:48:26,259
nicht im Zielsystem sind und im Ziel-IT-
System sind und wir dann beginnen, jetzt
641
00:48:26,259 --> 00:48:30,369
erst mal schon so Daten zu erheben, die
wir dann später wieder überführen müssen.
642
00:48:30,369 --> 00:48:33,780
Das wird dann auch noch mal sehr viel Spaß
machen.
643
00:48:33,780 --> 00:48:39,359
Herald: Ok, ja vielen Dank! Achso äh,
möchtest du noch was?
644
00:48:39,359 --> 00:48:44,260
Ho: Ne, alles gut, ich meinte nur
Spaß am Gerät! Das gehört ja zum Chaos
645
00:48:44,260 --> 00:48:49,050
dazu, das passt. lacht
Herald: Schön! Vielen Dank für die
646
00:48:49,050 --> 00:48:56,290
Einblicke in die Welt des Amtes und der
Digitalisierung. Vielen Dank HonkHase und
647
00:48:56,290 --> 00:49:01,190
egouvernante.
HonkHase: Ja, vielen Dank, bis zum
648
00:49:01,190 --> 00:49:05,110
nächsten Mal!
egouvernante: Vielen lieben Dank, Ciao!
649
00:49:05,110 --> 00:49:11,440
Herald: Tschüss! Sehr schön. Als nächstes
um 21:30 Uhr: "Local Emission Framework:
650
00:49:11,440 --> 00:49:17,970
Klimaschutz vor deiner Haustür". Hier aus
dem ChaosZone Studio aus Halle. Bis dahin!
651
00:49:17,970 --> 00:49:22,580
Abspannmusik
652
00:49:22,580 --> 00:49:29,000
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!