rC3 NOWHERE Vorspannmusik Herald: Willkommen zurück in Halle, aus unserem ChaosZone TV-Studio. Der nächste Vortrag ist von egouvernante und HonkHase, es geht um "Rebuilding Landkreis Anhalt- Bitterfeld". egouvernante ist eigentlich eine Projektkoordinatorin zur Digitalisierung im Landkreis, hat sich aber im Juli 2021 als Einsatzleiterin "das technische Feuer zu bekämpfen" wiedergefunden. HonkHase ist ein Urgestein im Chaos Computer Club und hat viel Erfahrung mit Cybersicherheit als Berater. Er ist auch politisch aktiv in der NGO AG Kritis für kritische Infrastruktur. Viel Spaß! egouvernante: Ja hi und schönen guten Abend zusammen! Wir freuen uns, dass ihr hier seid, um euch ein bisschen was aus erster Hand zum Vorfall im Landkreis Anhalt-Bitterfeld anzuhören. Seit ich meine eigentlichen, also in meine eigentlichen Aufgaben als CDO zurückgekehrt bin, nehme ich öfter mal an Webkonferenzen teil und dann höre ich öfter mal so die Argumentation: hört auf mich, egal was ich erzähle, ne, sonst geht es euch wie denen, nämlich dem Landkreis Anhalt-Bitterfeld. Und ich denke, das ist einfach ein bisschen zu kurz gesprungen. Und ich glaube, der Vorfall taugt letztlich zu mehr als nur zum Verkaufsargument der eigenen Ansichten. Und deswegen der Titel "Rebuilding Landkreis Anhalt-Bitterfeld". Ich berichte ein bisschen was zum Wiederaufbau. HonkHase hatte mich heute als konstruktiv angekündigt. Das heißt, ich gebe mir Mühe, und Zeit also ein paar Erfahrungen zu teilen. Und inzwischen haben wir nämlich auch die Zeit und die Nerven dafür. "Rebuilding Landkreis Anhalt-Bitterfeld". Also was war passiert? Am 6.7. hat ein Mitarbeiter im Amt für Brand-, Katastrophenschutz und Rettungsdienst seinen Arbeitsplatz-PC eingeschaltet und sah genau das hier, was auf der Folie zu sehen ist. "Landkreis Anhalt-Bitterfeld: You are fucked do not touch anything". Persönliche Ansprache, ungewöhnlich klares Statement, das ist man in der Form in der öffentlichen Verwaltung ja erstmal nicht gewohnt, aber ein schneller Anruf bei der IT sollte eigentlich genügen. So zumindest die Denkweise der Mitarbeiter, und die würden sich dann schon drum kümmern, und dann geht es normal weiter. Der Anruf war so gegen 6:45 Uhr und trat etwas los, was uns jetzt wahrscheinlich noch bis Ende März '22 begleiten wird. Was war konkret passiert? Also am Morgen des 5.7. gehen wir davon aus, dass auf mehreren Systemen codierte PowerShell Befehle ausgeführt wurden, um Backdoors zu etablieren. Also die ersten Verschlüsselungaktivitäten gab es dann am 6.7., Das ist der Tag, an dem wir dann auch davon mitbekommen haben, davon etwas mitbekommen haben. Das war schon gegen 4:30 Uhr und auf anderen Systemen begann die Verschlüsselung hauptsächlich erst gegen 6:30 Uhr und auf jedem System wurden zu verschiedenen Uhrzeiten die Security Logs und einige andere Ereignisanzeigenlogs geleert und im Anschluss daran eine Remote-Desktop Sitzung getrennt. Also zusätzlich wurde das Remote-Desktop Protokoll gelöscht. Das heißt, wir werden im Endeffekt gar nicht mehr so viel wissen können. Wir werden im Endeffekt keine, keine Informationen, letztlich also bis zum Schluss haben und es ist lediglich bekannt, wann die Sitzung hier beendet wurde. Und es ist weiterhin davon auszugehen, dass die Verschlüsselung von Hand ausgelöst wurde, da bei den Systemen, bei denen eine komplette Abmeldung durchgeführt wurde, die Systeme aufhörten Daten zu verschlüsseln. Aber da uns die Logs fehlen, kann kaum nachvollzogen werden, welche Tätigkeiten auf welchen Systemen denn vom Angreifer durchgeführt wurden. Es ist aber wahrscheinlich, dass der Angreifer sich bewusst im System bewegt hat und eben auch entsprechend ausgewählt hat, was er dort tut. Die ersten Erkenntnisse haben dann auch gezeigt, dass der, dass der Angreifer mit PowerShell Scripts gearbeitet hat und eben um diese Backdoors zu installieren. Und was auch gesagt werden kann ist, dass die Verschlüsselung sehr schnell lief und dass eben großer Schaden angerichtet wurde. Das bedeutet im Endeffekt, dass wir davon ausgehen mussten, dass das komplette System kompromittiert ist. Und das bedeutet eben auch, dass wir hier die ganzheitliche Verfahrensweise geplant haben. So, also in der Pressemitteilung war es dann so formuliert und dann eben auch wurde es dann eben auch so weitergeführt. Also aus einer ungeklärten Quelle kam es zur Infektion mehrerer Server des Netz — mehrere Server des Netzwerkes. In dessen Folge kam es zur Verschlüsselung einer noch nicht näher spezifizierten Anzahl von Dateien und als Sofortmaßnahme wurden alle kritischen Systeme vom Netz getrennt um einen eventuellen Datenabfluss zu unterbinden. Und im Katastrophenmodus sind wir seit dem 9. Juli 2021 seit 11 Uhr, da waren 3 Tage vergangen. Also im Vorfeld gab es den Stab für außergewöhnliche Ereignisse. Was wir in der Zwischenzeit erledigt und probiert haben, das habe ich schon mal bei der Stiftung Neue Verantwortung berichtet. Also kann dann auch nachgehört werden. Aber vielleicht stellt sich aber nun anhand der vorangegangenen Informationen jetzt eigentlich nicht mehr so sehr die Frage, warum wir den Katastrophenfall ausgelöst haben. Denn eigentlich war es relativ schnell klar, dass wir die technische Infrastruktur, also das die technische Infrastruktur tatsächlich zeitlich länger ausfallen würde und auch, dass es ganz objektiv über das Eigentliche, also das Ausmaß eines alltäglichen Schadensereignisses hinausgeht, und dabei eben auch wie man es so sagt, die erheblichen Sachwerte oder lebensnotwendige Versorgungsmaßnahmen, wenn man das jetzt mal herunterbricht auf die Aufgaben des Sozialamtes tatsächlich für die Bevölkerung gefährdet sind oder eben eingeschränkt waren. Und das eben wie gesagt auf lange Zeit. Oder drücken wir es mal anders aus: also die Dienste für unsere zahlreichen oder zentralen, eben auch Geschäftsprozesse konnten auf einen absehbaren Zeitraum nicht mehr erbracht werden, und es stand zu dem Zeitpunkt weder ein Backup bereits, auf das wir zugreifen konnten, noch wussten wir, ob diese Backups nicht auch kompromittiert waren. Insofern stand das erstmal auch nicht zur Debatte. Und dann muss man eben auch im Hinterkopf haben, dass die Erklärung oder nicht-Erklärung des Katastrophenfall eben auch weitreichende juristische Konsequenzen für eine Verwaltung haben kann. Und da geht es um Schadensersatzforderungen, die dann tatsächlich auch im Endeffekt an uns herangetragen wurden, weil eben Autos nicht zugelassen werden konnten oder Termine nicht vergeben wurden und so weiter. Und vielleicht ist es ein guter Zeitpunkt, um mal so in kurzen Auszügen ein bisschen was zu den Aufgaben der Landkreisverwaltung erzählen, ohne zu, ohne jetzt so wahnsinnig ins Detail zu gehen. Das Amt 50, also unser Amt für unser Sozialamt, ist zuständig für die Sozialhilfe. Ich denke, das stand im Vorfeld, das war das Wichtigste, weil das waren die Leute, die uns direkt angerufen haben. Also deren Aufgabe ist die Auszahlung der Sozialhilfe oder die Berechnung der Sozialhilfe. Das ist die Altenhilfe, die Feststellung und Durchsetzung von Unterhaltsansprüchen. Und da geht es um ganz essentielle Angelegenheiten der Menschen. Und ohne das Amt 20, also die Kämmerei, passiert da auch nicht viel, denn das wickelt den kompletten Zahlungsverkehr ab und es reicht nicht, das zu berechnen, sondern es muss auch tatsächlich ausgezahlt werden können. Mahnverfahren müssen eingeleitet werden und so weiter. Also mit dem Bereich Soziales, oder in den Bereich Soziales fallen des Amts für Ausländerangelegenheiten, aber eben auch das Jugendamt. Letzteres hat, um so die Vehemenz und Dringlichkeit der, der Aufgaben zu erklären, ein Schutzauftrag zum Beispiel bei Kindeswohlgefährdung. Und das heißt, ihr obliegt eben auch die die Geltendmachung von Unterhaltsansprüchen, also Unterhaltsvorschussgesetz und so weiter. Und das sind Vorgänge, die eben existenziell wichtig sind für die Bürger und auch wirtschaftlich existenziell bedrohlich sind tatsächlich auch die Leistungen des Ordnungsamtes, weil hier drin untergliedert sind eben auch die KFZ- Zulassung und die und die Führerscheinangelegenheiten, also das Fahrerlaubnisrecht. Und das kann eben alles sein, vom PKW bis zum Mähdrescher. Und Menschen leben vom Handel mit Fahrzeugen, sie leben aber auch mitunter mit der, also von der Nutzung ihrer Fahrzeuge, indem sie einfach zur Arbeit fahren. Und dann spielt auch eine ganz tatsächlich, also sehr wichtige Rolle, wie jeder weiß, das Gesundheitsamt und die Verhütung und Bekämpfung eben übertragbare Krankheiten steht da im Fokus. Also jetzt unser Infektionschutzgesetz geradezu zu Covid-19-Zeiten ist so aktuell wie nie. Und auch nicht ganz unproblematisch ist eben auch die fehlende Überwachung der Leichenschau und der von Totenscheinen. Und ich will jetzt nicht allzu sehr weiter ins Detail gehen. Aber die Landkreisverwaltung hat eben auch in dem Bereich des Inneren Aufgaben, die ganz normal durchgeführt werden müssen. Also das sind normale Vergaben, das sind Bekanntmachungen. Das ist aber eben auch die Organisation des Sitzungsdienstes, und weil die politischen Gremien eben auch nicht, weil wir einen Katastrophenfall haben, die Arbeit einstellen. Und die erste Frage lautete dann eben auch vom BSI, ob wir noch die Möglichkeit haben bei der Bundestagswahl — also wir haben natürlich auch den Kreiswahlleiter, also ob die Bundestagswahl quasi in unserem Kreis gefährdet ist. Ansonsten Schulverwaltungsamt, klar, uns geht wahnsinnige Summen verloren, wenn wir jetzt z.B. beim Digitalpakt Schule nicht arbeiten können und auch Veterinär- und Lebensmittelüberwachung, das mit der Tierseuchenbekämpfung, dem Tierschutz und dem Schlachttier- und Fleischbeschau befasst, ist natürlich irgendwo auch kritisch bei der bei der Lebensmittelproduktion so einzuordnen. Und wenn wir jetzt auch mal den Blick nach Innen richten warum dieser Katastrophenfall ausgelöst wurde, wussten wir zu dem Zeitpunkt nicht, wann wir irgendwas wieder hochfahren können und wenn wir es hochfahren, dass gegebenenfalls die Verschlüsselung weitergeht. Und deswegen musste neue Technik beschafft werden, insbesondere auch bei der Bereitstellung des Notnetzes. Und im Normalfall ist man als Verwaltung an Vergaberecht gebunden. Also diejenigen von euch, die mit Verwaltungen arbeiten, kennen das, wie lange sich das hinziehen kann. Und auch wenn aktuell über die Vereinfachung verstärkt diskutiert wird — was absolut notwendig ist! — in unserem Fall hat das Feststellen des Katastrophenfalls dafür gesorgt, dass Technik erst mal ohne Vergabeverfahren beschafft werden konnte. Also es musste nicht das komplette Vergabeprozedere hier durchexerziert werden. Es musste nicht geprüft werden, ob die Gelder im Haushalt zur Verfügung stehen. Es musste nicht das Rechnungsprüfungsamt bestätigen, dass die Gelder zur Verfügung stehen, der Vergabeausschuss musste nicht einberufen werden und zusammenkommen und ähm, ohne Zugriff auf die Daten wäre auch tatsächlich nichts von all dem möglich gewesen. Und die Technik für das Notnetz, das innerhalb einer Woche an 3 Standorten aufgebaut wurde, Lieferfristen dann eben auch eingerechnet, konnte nach einer ad-hoc Vorstellung so einfach, also nach einer ad-hoc Vorstellung von 3 Systemhäusern dann eben einfach beauftragt werden, was wahnsinnig geholfen hat und was eben auch der Schnelligkeit, die eigentlich in den ersten Phasen sein muss, entspricht. Und weiter geht's mit dem Ressourceneinsatz. Also alles, was im Haus "IT" buchstabieren konnte, wurde zusammengezogen. Das heißt, das Sachgebiet EDV war zu diesem Zeitpunkt noch im Amt für Organisation, Personal und EDV zugeordnet. Andere IT-Kollegen waren dem Schulverwaltungamt zugeordnet und ich, weil ich eher in den Themen Verwaltungs-, Prozesse OZG und Digitalisierung und Digitalstrategie tätig bin, war dem Amt für zentrale Steuerung und Recht zugeordnet. Und mit der Benennung als technische Einsatzleitung oder technische Einsatzleiterin war ich dann tatsächlich mit einem Mal nicht mehr Einzelkämpferin, sondern hatte eine ganze Traube Menschen bei mir, also die ITler, die Fachexperten und eben auch die Assistenten. Und ich muss an der Stelle auch sagen, dass ich mich von Tag eins an geweigert habe, das Sachgebiet EDV als solches zu benennen, sondern hatte die tatsächlich immer gleich IT benannt, was dann irgendwann mal dazu führte, dass im Kat-Stab abgefragt wurde. Heißen die jetzt IT? Und wir dann diese Verwaltungsmodernisierung wenigstens in diesem Punkt sofort umgesetzt haben. Also jedenfalls, das war noch mal wichtig zum Thema Ressourceneinsatz. Der war jetzt händelbar, denn tatsächlich ging es in den ersten Stunden oder in den ersten Tagen und Wochen auch um den Zugriff auf Besprechungsräume, die Kommunikation mit Externen, die Beschaffung von Technik, den Personaleinsatz am Wochenende und in der Nacht, die Anpassung der Bereitschaftsdienste, des Wachschutzes und auch um die – ganz profanen, die Verpflegung der Mitarbeiter. Und das wäre tatsächlich auch ohne Katastrophenfall in der Form nicht möglich gewesen und auch nicht in der Schnelligkeit. Also wie kommts zum Katastrophen Stab und Incident Response? Weil da ist es schon so ein bisschen kollidiert und ich hatte eben kurz an die Externen und die Gremien angesprochen und es war in erster Linie natürlich der Katastrophenstab als wichtigstes Entscheidungsgremium, das war die technische Einsatzleitung 1 und die technische Einsatzleitung 2, komme ich gleich noch mal darauf zu. Und auch die Arbeitsgruppe Wiederaufbau, deren Entscheidungen mittel- bis langfristig wirken. Und damit waren eben tatsächlich die Kollision vorprogrammiert. Die einen, die da zum einen länger an der Behörde bleiben und die anderen, die relativ schnell auf klare Entscheidungen drängen müssen. Ähm … und das trifft mitunter da drauf, dass so ein Verhalten an den Tag gelegt wird und dann auch zusätzlich eine neue Hausspitze etabliert wird oder gewählt wurde und dann eben sein Amt antritt. Das war 3 Tage nach dem Katastrophenfall, dass dann eben auch so die eine oder andere Diskussion entstand, die tatsächlich nicht hätte sein müssen, die man durchaus sehr, sehr abkürzen konnte. Also, als Externe waren dabei das Finanzministerium, es war das Bundesamt für Sicherheit in der Informationstechnik dabei, es war tatsächlich auch die Bundeswehr dabei, es war das CERT Nord dabei, das Landeskriminalamt, einen Kollegen, ein Professor von der Hochschule Harz, und tatsächlich waren alle in ihrem Bereich für uns sehr hilfreich. Und noch mal im Detail zu den Rollen Technische Einsatzleitung I und II, also die während technische Einsatzleitung I mit der IT Infrastruktur mit dem Wiederaufbau beschäftigt war, war es bei der II die Wiederinbetriebnahme der Fachverfahren und eben auch die Priorisierung der Wiederinbetriebnahme der Fachverfahren. Und auch wenn man meinen müsste, man baut zunächst die Infrastruktur auf, das wäre das einfachste und danach nimmt man die Fachverfahren wieder in Betrieb. Das funktioniert tatsächlich nicht, weil die Verwaltung im laufenden Betrieb weitergearbeitet hat, weil es funktionierte das Telefon, es funktionierte, das Fax und die Türen waren auch offen. Und das bedeutet, dass eigentlich die die Ansprüche an die Verwaltung und eben auch die, die Anfragen und Anträge an die Verwaltung tatsächlich nahtlos weitergingen. Und ich hatte schon vorhin gesagt, dass für viele Bürgerinnen und Bürger und Unternehmen ist die Leistungserbringung durch die Kommune existenziell, und wenn wir uns noch mal das Beispiel KFZ Zulassung so vornehmen, dann haben Leute vielleicht ein Auto gekauft oder sie haben es kaputt gefahren, oder keine Ahnung, auf jeden Fall, während eine Abmeldung möglich ist, ist eine Anmeldung tatsächlich nur am Wohnort möglich. Also das heißt, dieses Wohnortprinzip gilt hier tatsächlich ganz, also ganz vornehmlich sozusagen. Und das heißt dieses, dass die Fachverfahren in den anderen Kommunen, also es hätte keine Amtshilfe stattfinden können, weil einfach die ganz profanen, die Gemeindeschlüssel auch nicht hinterlegt sind oder hinterlegt werden können und — oder anderes Beispiel Genehmigungfiktion: das bedeutet, entscheidet eine Behörde, eine zuständige Behörde nicht innerhalb einer bestimmten Frist über eine beantragte Genehmigung, so geht die Genehmigung als erteilt. Und das hat Potenzial für durchaus ausufernde Streitigkeiten und richtig große Schäden, die im Nachgang entstehen. Und das Ganze musste auch immer mal wieder abgewogen werden. Das heißt, diese Listen waren erstmal flexibel und die Diskussion war eine permanente Diskussion zwischen der technischen Einsatzleitung I und der technischen Einsatzleitung II. Und dann gab es eben auch noch ganz andere Abwägungen und Entscheidungen. Also das war … ähm … es war eine Entscheidung, die Frage, ob die Verwaltung in die Cloud geht, wo dann eben auch der Personalrat beteiligt werden muss. Es waren Fragen, ob man mit dem Forensikteam weiterarbeiten kann und möchte, es waren Fragen, ob man Aufgaben und Leistungen in Rechenzentren auslagert. Und es war natürlich auch die Entscheidung: es stand eine Erpressung im Raum, ob man beispielsweise dieser Lösegeldforderung nachgeht, was aber sehr schnell klar war, dass dem nicht so sein wird. Und unter den besten Herausforderungen, da gibt es gleich noch ein paar Anekdoten am Ende, so, aber wir kommen zu der Organisation. Nur ganz kurz Also was hatte sich sofort verändert, im, direkt im Anschluss an diesen Katastrophenfall? Also ich habe es gerade noch auf der letzten Folie. Die IT stand im Fokus. Also das Zusammenziehen der IT Mitarbeiter*innen wurde beibehalten inzwischen, das Sachgebiet wird jetzt in ein eigenes Amt überführt und nimmt eben auch die Mitarbeiter des Schulverwaltungsamtes auf, also die IT- Mitarbeiter des Schulverwaltungsamtes und eine Amtsleiterstelle wurde ausgeschrieben. Und auch der IT Sicherheitsbeauftragte wird neu benannt, und dadurch, dass da auch dafür keine neue Stelle geschaffen wird und niemand aus dem operativen Bereich IT- Sicherheitsbeauftragter werden kann, also aus dem operativen Bereich der IT- Abteilung, muss jemand gefunden werden, tatsächlich gibt es auch Interessenten, aber das Land unterstützt auch hier diese Interessenten dann eben auch zu schulen, damit die wissen, was sie da tun. Und die erste Aufgabe wird es eben sein IT- Sicherheitskonzept zu schreiben und das Ganze muss dann die Dienstvereinbarung ergänzen. Und organisatorisch wurde all das bestimmt, was jetzt sozusagen nahezu mit Bordmitteln möglich war und wofür nicht extra irgendwelche Finanzmittel bereitgestellt werden müssen. Also was den Wiederaufbau betrifft, sind wir hier weiterhin dabei Entscheidungen für die Zukunft zu treffen. Also das passiert in der Arbeitsgruppe Wiederaufbau und auch die wird noch weit nach dem Katastrophenfall bestehen müssen. Ansonsten ist geplant oder ist es nicht nur geplant, sondern eben auch soll der IT-Grundschutz so umgesetzt werden, wie wir das uns finanziell leisten können und wie es notwendig ist und wie es tatsächlich auch wichtig ist, um wieder sozusagen arbeiten zu können. Und nicht bewilligt wurden erst mal Mitarbeiter*innen und auch hier wieder die Grundlage der Politik, also sozusagen im Kreis- und Finanzausschuss wurden erst mal keine neuen Stellen bewilligt und auch hier war die Diskussion erst mal wieder groß, ähm, die Leute, die gebraucht werden, dann auch für diese Positionen zu argumentieren. So, noch kurz zur Wiederherstellung und zur Komplexität der Fachverfahren. Zunächst mal ist das Landratsamt nicht abgebrannt. Also das ist das, was wir am Anfang immer wieder sagen mussten: das große Geschäft mit dem Landkreis war also nicht zu machen, und überhaupt lautete der Auftrag, den Landkreis wieder aufzubauen, und nur diesmal in sicher. Und daher auch der Titel den "Rebuilding Landkreis Anhalt- Bitterfeld". Es sollte kein neuer entstehen. So, der Wiederaufbau des Active Directory ist inzwischen abgeschlossen. Aktuell erfolgt jetzt so schrittweise die Neuinstallation der Fachverfahren und eben auch sind wir hier gebunden an die Kapazitäten der Fachverfahrenshersteller. Und was jetzt noch passiert ist die Absicherung der Verfahrensserver. So, und ansonsten funktioniert auch das wieder nach der Priorisierung und — ich kürze das Ganze mal ein bisschen ab, wir kommen zur Schadensbilanz: die sieht wie folgt aus, also die Kosten belaufen sich aktuell auf 2 Millionen. Weitaus mehr als die Lösegeld Summe war, Mittel, die auch nicht unbedingt zusätzlich jetzt im Haushalt ausgegeben werden, aber mit dem geplanten ? Budget im nächsten für oder für das nächste Jahr verrechnet wurden und quasi jegliche Planung erst mal zunichte gemacht haben, es sind neue Konflikte entstanden. Konflikte zwischen Infrastruktur und Anwendungsbetreuern, im Zusammenspiel der Kollegen untereinander. Auch das Vertrauen in die Digitalisierung ist nachhaltig zerstört. Also die ersten Antworten dazu waren: ach hätten wir mal noch die Papierakte behalten, und dann haben wir ein Datenverlust im Umweltamt. Wir haben vollends verschlüsselte Mailserver und wir haben ein verlorenes Intranet. Und tatsächlich waren einige Mitarbeiter ins Homeoffice gewechselt, um dort Internet und überhaupt Technik zu haben, um überhaupt weiterarbeiten zu können. Denen jetzt zu sagen, ihr dürft eure private Technik nicht mehr benutzen und auch vor dem Hintergrund, dass sie jetzt ein anderes Arbeiten eben auch gelernt haben oder sich angelernt haben, ist es natürlich schwierig, dort einfach zurückzukehren. Wir hatten extrem viel Hilfe durch andere Landkreise. Wir hatten super viel Hilfe durch kreisangehörige Städte und Gemeinden explizit. Auch durch das Land und den IT- Sicherheitsbeauftragten, der uns über Monate eigentlich in Amtshilfe, also nach dem Amtshilfeersuchen, sozusagen zur Verfügung gestellt wurde und durch das BSI und eben auch durch die Bundeswehr, die explizit technisch unterstützt hat. Aber das heißt eben auch, dass wir in der Verantwortung sind und sein möchten, den Wissenstransfer jetzt zu initiieren, und wir gehen davon aus, uns hat es in dem Moment richtig erwischt. Wir sind allerdings die ersten, und werden nicht die einzigen bleiben. Und insofern ist es wichtig, dass hier der Wissenstransfer stattfindet. Und tatsächlich denke ich auch, dass der Steuerzahler das erwarten kann. Und zudem haben wir nebenbei auch schon so viele Fragen beantwortet, und so vielen Konferenzen teilgenommen, bei Frag den Staat geantwortet, in Ausschüssen Rede und Antwort gestanden und, also das ziemlich deutlich wurde, dass das Interesse da ist. Und damit übergebe ich ein HonkHase, der mich auf Twitter so professionell angepisst hat, dass ich ihn direkt ins Expertengremium berufen habe! HonkHase: lacht Ja okay, meine Steuern würde ich da auch ganz gerne in vertrauensvolle Hände legen, allerdings muss man ja sagen, wenn man sich das so anguckt: Wie digital handlungsfähig ist eigentlich der Kritis-Sektor, Staat und Verwaltung? Sieht man ja nicht nur an euch, an eurem Beispiel, sondern man hat ja dieses Jahr schon allein über 100 Behörden und Verwaltungen kompromittiert gehabt, und das ist ja nicht das Ende der Fahnenstange. Also insofern habe ich mir gedacht so ja, die brennende Mülltonne passt eigentlich, möchte alles anzünden, aber wait a sec, digital handlungsfähig ist der Staat gar nicht, der brennt ja schon von selbst. Da kannst du eigentlich nur noch Brandroden und neu machen. Unauffälliger Hinweis für den Folienwechsel. Die Frage ist ja was brauchen wir? Die echte, das was wir wirklich brauchen ist doch eine Cyber- Resilienz. Ja, cyber bla. Lassen wir's einfach. Ich bin Urgestein, Cyber-Grandpa, ich darf das, ja? Wir brauchen eine Resilienz für den Cyberraum von kritischen Infrastrukturen, und dazu gehört eben auch der Sektor Staat und Verwaltung. Und da gehört er ganz besonders zu egouvernante hat ja vorhin schon gesagt, das sind auch durchaus bedrohliche Fachverfahren dabei gewesen, die eben gar nicht resilient waren, weil sie einfach auseinander gefallen sind, nachdem die hochkriminellen Tätergruppen aktiv geworden sind. Wir reden ja hier nicht von Bespaßung, bisschen fun, bisschen rumhacken oder kaputt spielen. Wir reden hier von kriminellen Banden organisierter Kriminalität, die irgendwie Millionen versuchen abzugreifen, ja. Und was wir auch brauchen, um dem gegenzusteuern: wie schaffen wir diese Resilienz? Durch Krisenerfahrung und Übung bei den Verantwortlichen. Ja, dazu zähle ich explizit Bürgermeister*innen, Landräte, you name it, egal. Wer keine Krisenerfahrung hat, wer keine Übungen regelmäßig macht, steht dann genauso da wie auch beispielsweise bei euch, aber eben auch beim Ahrtal, ja, Klimakatastrophe ist ja dasselbe Phänomen, dasselbe Problem. Die waren alle nicht geübt, die haben nicht regelmäßig die Einsätze trainiert. Und dann steht man da vor dem Trümmerhaufen und sagt: Oh, alles kaputt, kostet teilweise sogar Menschenleben. Und nein, was wir nicht brauchen ist – ne, Rebuilding Anhalt-Bitterfeld ja, aber ey, echt keine Fachverfahren auf Windows 98 in 2021, so. Das haben wir beispielsweise hier im Gericht in Berlin erlebt. Vorher war es Windows 98 Fachverfahren, nachher ist es immer noch eins. Ja, nee, fail, so das will echt keiner haben. Baut diese Fachverfahren neu, baut sie sinnvoll, digitalisiert Ende zu Ende für die Bürger*innen und das muss die Erwartungen an den Sektor Staat und Verwaltung sein, ja. Was wir auch brauchen und was einfach mal fehlt sind Sicherheitsanforderungen und Vorgaben, so dieser — es gibt den Kritis-Sektor Staat und Verwaltung. Und welche Vorgaben hat er? Ja, machste dicke Backen. Also paar Öhrchen drauf, kannste nichts mehr zu sagen. Es gibt für 8 der 10 Kritis-Sektoren im BSI Gesetz § 8a, und der anhängigen Kritis- Verordnung genaue Vorgaben, was für Sicherheitsanforderungen die zu erfüllen haben. Bei Medien und Kultur ist es landesweit nicht geregelt, aber eben bei Staat und Verwaltung ist es ja, öh, gar nicht geregelt. So ja, da kann ich, ja, bin ich auch schon wieder kurz vorm — vorm anzünden hier lacht Das muss dringend weg. Da muss wirklich die die Koalition, die Ampel mal das BMI wachrütteln und vielleicht wirklich mal Sicherheitsanforderungen an Tag legen und sagen: so, das ist jetzt der Maßstab, nachdem dieser Sektor betrieben wird. Was wir brauchen sind kommunale CERTs mit Hilfe für alle kleinen Kommunen, weil wie soll denn — also ihr als Landkreis wart ja schon sozusagen überrannt worden von diesem koordinierten Angriff. Ja, was macht denn da eine kleine Kommune, die hat ja vielleicht eine halbe IT-Stelle, eine IT Stelle keine Ahnung, das ist sehr überschaubar, die haben doch noch nie Incidence Response gemacht, die haben noch nie irgendwelche Fachverfahren gesichert, die haben noch nie mit 15 verschiedenen Behörden und Verantwortlichen und Sicherheitseinrichtungen irgendwie kommuniziert um abzustimmen: wer kommt jetzt eigentlich und hilft? Die machen ja auch, die – die gucken wie Rebhühner einmal groß in die Unterlagen und sagen: ja es gibt dieses Cyber-Wimmelbild der Verantwortungsdiffusion, da sind ganz viele drauf. Wen frag ich denn jetzt? Ja, das kann es ja irgendwie auch nicht sein. Kleiner Hinweis für die Folien. Was wir auch bräuchten, und da stehe ich natürlich mit Herz und Seele dahinter, weil es meine Passion ist, als als Mitgründer der unabhängigen Arbeitsgemeinschaft AG Kritis, wir bräuchten ein Cyber-Hilfswerk, das ist der Arbeitstitel, den wir dem Ganzen verpasst haben. Soll die existierenden Bewältigungskapazitäten für Großschadenslagen durch Cybervorfälle bei kritischen Infrastrukturen kooperativ ergänzen. Dazu haben wir ein Konzept entwickelt, hat knapp 40 Seiten, da haben wir teilweise in Workshops zusammengesessen mit dem BSI, mit dem BBK, also Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, BSI, Bundesamt für Sicherheit in der Informationstechnik und mit dem CCC, also im Chaos Computer Club und haben einfach mal Gebrainstormed: wie würde man eigentlich Ehrenamtler, Ehrenamtlerinnen dazu bewegen, irgendwie bei echt Großschadenslagen – nicht bei, wenn wir ein paar Bitwerte umkippen und aus Einsen Nullen werden, sondern wirklich in so einer Lage hier, wo es wirklich auch um Existenzbedrohung geht und ein ganzer Landkreis auch einfach mal viele Monate kaputt optimiert wurde und lahmgelegt ist und noch viele Monate bleiben wird. Das wir da irgendwie in der Lage sind irgendwie auch zu agieren. Noch mal letzter Hinweis lacht. Ja, das Cyber- Hilfswerk. Was? Was ist eigentlich der Plan? Der Plan ist, man soll eine, wirklich das Primärziel ist nicht dieser, diesem Betreiber*innen von kritischen Infrastrukturen zu helfen und Primärziel ist auch nicht deren Ergebnis und Erlöse sichern, oder diesen deren — weiß der Kuckuck — Produktionsanlagen schick und stylisch zu halten oder die Eingangspforten. Nee, es geht einzig und allein um die Wiederherstellung der Versorgung der Bevölkerung mit den kritischen Dienstleistungen, was eben beim Sektor Staat und Verwaltung wäre, dass die Fachverfahren funktionieren, dass die Bürgerinnen mit ihren Bedürfnissen und mit der Not sozusagen dann auch sich an die Bürgerämter wenden können und wo auch geholfen wird und gekümmert wird, ja dass auch Sozialabgaben monatlich auf dem Konto landen und nicht gesagt wird: Ja, ist gerade 'ne Ransomware, wir können keine Überweisungen mehr tun. Pech gehabt, gehst du leer aus. So funktioniert das nicht bei Leuten, die in Not sind und diese Not dann auch brauchen, ja als Hilfe. Also IT- Sicherheit verbessern reicht nicht aus. Müssen wir natürlich sowieso tun. Absolut. Dürfen wir nicht vernachlässigen. Aber wir brauchen eben Incident Response und Krisenbewältigungskapazitäten auf einer Basis von ehrenamtlichen digitalen Katastrophenschutzhelferinnen. Ja, wir haben genug Know how in unserer Community. Wenn das on our terms, also nach unseren Spielregeln funktioniert, dass wir sagen: Ey, wir wollen da helfen, da kommen keine komischen Sicherheitsbehörden, machen komischen foo, da rückt das BSI Mobile Incident Resonse Team aus, wir kommen da bei, und dann muss man vielleicht sogar auch nicht eine Bundeswehr rufen, weil wird schon alles gekümmert. Die Bundeswehr sollte der letzte Notnagel am Ende der Kette sein. Wirklich der letzte Notnagel. Und nicht: ey, wir rufen mal kurz die Bundeswehr. Die können wir mit einplanen und dann ist es kein Notnagel mehr, sondern einkalkuliert. Die sollten niemals einkalkuliert sein, am besten nie genutzt werden, weil wenn dann sozusagen The shit hits the fan, dann dann brauchen wir die Bundeswehr wirklich, aber nicht in solchen Lagen, denn dafür ist das Cyber-Hilfswerk gedacht. Ja und dafür werde ich jetzt in — du hast mich ja in diese in dieser Runde rein genötigt — Expertenkreisen werde ich das jetzt für die AG Kritis dann auch entsprechend vertreten und versuchen zu fördern, das wir das, ja ins Leben rufen. Und dann wird vielleicht aus dem aus dem Anzünden und Brandroden vielleicht nur ein professionell angepisst und dann ist die Welt wieder schön. egouvernante: lacht HonkHase: Und damit übergebe ich wieder zurück an dich. Bitte schön. egouvernante: Sehr gut. Und damit kommen wir zu der ganzen Kategorie "Behind the Scenes" Best of Dienstleister. Nee, Quatsch, Best of Kunden Beschimpfung. Ich glaube, dazu können wir da noch alle, falls irgendeiner beim Lightning Talk abgesprungen ist, da kann ich E-Mails vorlesen, die mich wunderbarerweise erreicht haben, nein kleiner Spaß. Also ähm, es gab auch Situationen, die einfach in ihrer Art, in ihrer — alleine, in dem Moment, in dem sie einen erreichen, unfassbar unglaubwürdig klingen. Also auf der einen Seite klar, wenn, wenn es gut gemeint ist, ja. Also man sagt ja immer: das Gegenteil von gut ist gut gemeint. Wenn Mitarbeiter auf die Idee kommen, tatsächlich Dateien auf Memory Sticks zu sichern und die nach Hause zu schleppen, um sie dann wieder ins Landratsamt zu bringen, dann könnt ihr das auch später noch mal zu einem Problem werden. Was uns immer wieder getroffen hat, war, wenn IT- Mitarbeiter direkt angesprochen wurden, weil irgendein Rechner auch ohne Netzwerk auch und nur mit Drucker oder Scanner oder whatever sozusagen wieder wieder an den Start gebracht werden mussten, dann ist es blöd, wenn es an der technischen Einsatzleitung vorbeiläuft. Und es ist super blöd, wenn ich diese Ressourcen dann irgendwo gebunden habe oder letztlich keine Rechner mehr hatte, ich platt machen kann, weil alle irgendwie jetzt doch wieder in Benutzung sind. Spannend war auch in den Runden die technische Einsatzleitung, welche das jetzt auch immer war, zu erschlagen, wie es richtig ginge. Das führt dann tatsächlich zu Situationen, dass man sein Mikrofon einschaltet und nach einem 10 minütigen Vortrag, wie es richtig ginge, sagt so: Nein. Unverständige Gesichter, Mikrofon noch mal an: Das ist technisch nicht möglich. Das auch, wenn wir uns sehr wünschen, dass das Landratsamt wieder an den Start geht, sind verschiedene Reihenfolgen einfach zu beachten. Highlight waren aber tatsächlich Vertriebler, die direkt das Fachverfahrens Verzeichnis verlangt haben, OZG direkt gleich mitmachen wollten und irgendwie mit einem leeren Kfz-Kennzeichen Datenbank vielleicht am besten Morgen schon loslegen wollten. Aber sorry, Aubergine Aubergine Zwinker-Smiley funktioniert nicht auf einem Kennzeichen und wir können nicht mit doppelten Kennzeichen die Leute rumfahren lassen, das hat einfach versicherungstechnischen Gründe. Auch waren Situationen, wo man einfach mit den Geschäftsführern in einem Gespräch sitzt mit den Technikern und dann auf der anderen Seite die Geschäftsführer und die dann permanent genervt die Augen verdrehen, wenn man konkrete Details erfragt. Und einer war dann sehr arg enttäuscht und kündigte an, dass er uns jetzt überall ausschmieren wird, wie furchtbar wir sind und dass wir sozusagen nicht, dass diese Firma gewählt werden und ich sei ne Landesverräterin, der Kollege, sei nen IT-Söldner. Und dabei war die Entscheidung definitiv sehr objektiv und von Erfahrungswerten von allen am Tisch getragen. So, also Ansagen wie: wir machen mal einen Termin und erklären, wie sie zu uns in der Cloud kommen, und eigentlich interessiert uns ihre technische Ansicht überhaupt nicht, sondern wir erklärens noch mal dem Hauptverwaltungsbeamten, bringt Unruhe ins Haus und ist irgendwie auch nicht förderlich, weil wir letztlich es doch umsetzen werden und müssen und sozusagen hier der Vertrauensverlust tatsächlich schon vorprogrammiert ist. Und apropos nicht dabei sein: Wenn der Auftraggeber oder wenn man 2 Auftragnehmer hat, kam auch ganz gern mal die Situation, wenn über Übergaben gesprochen werden soll, das wir am besten gar nicht am Tisch sitzen, sondern dass die Dienstleister sich zusammensetzen, was auch schwierig ist. Insofern versteh mich bitte auch einer, dass es immer wichtig ist, ein IT-Projekt-Steuerer im Haus zu haben und das eine Landkreisverwaltung überhaupt jegliche Behörde weiterhin in der Lage ist auch die Externen zu steuern, und das ist essenziell notwendig. Wenn wir uns hier nicht die Butter vom Brot nehmen lassen wollen. So, und Daten wollte auch kein Rechenzentrum von uns haben. Also das hieß immer nur so: ja wir machen alles, aber waa, schickt uns bloß nichts, wir wollen eure Daten definitiv nicht haben. Unser Leben als Aussätzige! Und schön ist natürlich auch, wenn der Dienstleister einen dann gleich noch mal erpresst. Also so was wie Budgetabsprachen hin oder her, mit einem Mal kostet es das Dreifache. Besprechen wir aber auch nicht mit der Technik, sondern tatsächlich doch mit dem Landrat wieder. Und ähm, dann immer natürlich auch mit dem Nebensatz, bei den männlichen Kollegen: da draußen warten die Sniper, die warten nur, bis er wieder am Netz seid. Bei mir waren es dann immer die Stalker, also zielgruppengerechte Ansprache ist auch toll, aber irgendwie dann auch durchschaubar und nervt. Und ja, und das waren tatsächlich dann auch die gleichen Jungs, die meinten, wir haben ein paar Fortinets von einem Partner geordert, das ist auch einer meiner Lieblinge und wir arbeiten damit; wenn wir hier euch wieder beim Aufbau helfen. Von Open Source raten wir ab, das nehmen nämlich die Hacker, das sind die, die euch angegriffen haben, das sind die, die euer System kaputt gemacht haben. Äh … schwierig also. Man kann aber auch Glück im Unglück haben und das ist auch eine schöne Situation, also wenn man zum Beispiel ein günstiges Angebot schießt, dass wenn man 7 Managed Services für nur 10% des Preises im ersten Jahr angeboten bekommt. Beim Kick off sollte dann aber tatsächlich ein Fernsehteam dabei sein. Wir haben uns nicht für das Angebot entschieden. Und jetzt noch ein ganz schöner Lichtblick: die Dienstleister, mit denen man tatsächlich seit Jahren wirklich vertrauensvoll zusammenarbeitet und von denen man natürlich auch ein Angebot anfordert, dann ist es natürlich schön, wenn die einem das nötige Lizenzgeraffel direkt auf das Angebot schreiben und dann auch wirklich dieses Wort benutzen. Und damit eigentlich so als kleines Fazit: der Landkreis ist nicht das Opfer dieser Attacke. Mit den Expertenkreisen glaube ich, dass wir jetzt das wirklich Gute schaffen können. Und wir sind im Rahmen eines Forschungsprojektes eben auch daran, nachdem wir jetzt diese Awareness haben, ein Forschungsprojekt aufzubauen, in dem wir für verschiedene Verwaltungsprozesse digitale Zwillinge aufbauen, und tatsächlich gibt es eben auch das nächste Projekt, und zwar das Open Data Ecosystem, und das ist Open Source, also Spielwiese für die IoT-Hacker. Und das sozusagen als das Gute in der Katastrophe, die hier passiert ist. Und ich glaube eben auch die wichtige Message, dass die Landkreisverwaltung, dass die Behörden tatsächlich hier wirklich nacharbeiten müssen. Wir kommen zu den Fragen. Jetzt kann es losgehen! HonkHase: Genau, fragt uns Dinge. Es drohen Antworten! Herald: Ja, sehr sehr schön, vielen Dank! Es gibt viele Fragen, und viele Fragen von den Hackern natürlich ist über die Deeds, über die Details, über den Hack, wenn das Verschlusssache ist, gerne abwinken. egouvernante: Wir wissen noch gar nicht so viel, das ist das Problem. Wir ist – tatsächlich ist dadurch dass die Logfiles ja eben auch gelöscht wurden können wir tatsächlich jetzt auch gar nicht so sehr viel sagen. HonkHase: Also vielleicht mal grundsätzlich: Bei der Incident Response ist es ja so, wenn man versucht, nach einem Ransomware Angriff den Betroffenen zu helfen: es ist meist so, dass ja die die Angreifer, also das — noch mal, das sind organisierte Bandenkriminelle, das ist ja nicht irgendwie Feld Wald Wiesen, ja die gehen in die Systeme rein, kundschaften das alles aus, taxieren, welche Höhe man sozusagen an Lösegeldforderung setzen kann im Preis- Leistungsverhältnis, gerade hier im Landkreis Anhalt-Bitterfeld wurde ja dann auch nach dem gesagt wurde: pff, ihr kriegt gar nichts, 200 Megabyte ungefähr an Daten geleakt, um anzuteasern und zu sagen: Naja komm, vielleicht wollt ihr doch? Haben aber dann gesehen dass sie damit auch nicht vorwärts kommen. Aber die gehen natürlich so vor, dass die Backups, die online sind, entweder vorher aktiv zerstört werden oder eben mit verschlüsselt werden. Ist auch so, das schon seit langem Zugangsdaten wie ssh, Passwörter etc. mit abgegriffen werden, so dass man auf die Linux Büchsen mit drauf geht und und sagt na dann plätten wir mal kurz das Syslog und dann sind eben keine Logdaten mehr da, und wenn halt nichts mehr da ist, und das meiste verschlüsselt ist, dann kannst du nur die Reste rauskratzen. Das heißt, es gibt fast immer, muss man auch fairerweise so sagen, sehr viele Angriffsvektoren, die zum Ziel hätten führen können, welcher es am Ende genau war, das ist eigentlich sogar fast schon unerheblich, denn in erster Linie will man ja den Wiederaufbau hinbekommen und die kritischen Dienstleistungen wieder ans Laufen bekommen. Also insofern ist es sehr oft der Fall, dass man das gar nicht so detailliert ermitteln kann. egouvernante: Genau, und wir gehen davon aus, dass der Angreifer seit Beginn des Jahres im System war. Und ja, tatsächlich wissen wir von einem sehr viel größeren Datenabzug. HonkHase: Das macht es nicht besser, aber es ist halt so. Herald: Datenabzug: ist bekannt, ob tatsächlich Daten abgeflossen sind? Also ob die nicht nur verschlüsselt, sondern auch geleakt wurden? egouvernante: Es sind Daten abgeflossen, ja, geleakt, die 200 MB, aber es sind sehr viel mehr. HonkHase: Es wurde doch — warte mal. Es gab eine öffentliche Stellungnahme dazu. Ich glaube, es waren 60 … e: 62 Gigabyte, ja. Ho: 62 Gigabyte an Daten wurden abgezogen und keiner weiß was genau abgezogen wurde. e: Genau das. Ho: Die 200 Megabyte sind geleakt worden. Da weiß man natürlich sehr genau, was es war, ne … e: Das sind Protokolle aus Landkreis–, genau. Ho: Genau. Aber es sind insgesamt 62 Gigabyte verschütt gegangen und da muss man auch sagen, dass ja sogar noch wenig. Es gibt auch Vorfälle, da werden Terabytes vorher abgegriffen, ja. Herald: Nach dem Wiederauf – achso, ihr seid dabei bei dem Wiederaufbau. Eine Frage ist: gibt es Material, was unwiderruflich, unwiederbringlich zerstört wurde? e: Der komplette Mailserver, Daten des Umweltamtes, also alle von einem Standort, sozusagen die Server, die an einem bestimmten Standort in Bitterfeld waren, und das Intranet ist weg. Und alles andere müssen wir schauen. Also wir sind immer noch dabei, die Daten zu sichten und eben zu überführen. Aber wir wissen definitiv, dass Daten des Umweltamtes weg sind, dass eben der komplette Mailserver verschlüsselt wurde, das ja … und eben auch das Intranet nicht mehr vorhanden ist. Herald: Okay, eine andere Frage, mehr oder weniger seriös: Wie hoch war die Lösegeldforderung, wenn das nicht Verschlusssache ist? e: Nee, ich glaube, das war sogar mal veröffentlicht. Also das war eine halbe Million. Ho: Genau Herald: Ok e: in Monero. Ho: eigentlich noch ein Schnäppchen, ne, eine halbe Million Mal, also, da gibt es auch durchaus Angreifer, die deutlich mehr verlangen, aber, naja, sind ja nicht zum Zuge gekommen. Herald: Okay, HonkHase, du hattest Empfehlungen ausgesprochen. Ähm. Wo Freiwillige Amtshilfe leisten können, sodass die Bundeswehr nicht angerufen werden muss. Rückblickend betrachtet war es Amtshilfeersuchen an die Bundeswehr angemessen und wurde von offizieller Seite her was getan, damit künftig nicht gleich die Bundeswehr wieder angerufen werden muss? Ho: Also ob das angemessen ist, kann egouvernante glaube ich besser darlegen als ich, denn sie war ja in den Details drin. Ich kenne den Vorfall ja nicht von Innen her. Sie mag es sicherlich sinnvoll vertreten, dass das das angemessen war. Meine Position ist, damit das nicht noch mal passieren muss oder die Runde macht, sozusagen, ah, wenn was passiert, rufen wir die Bundeswehr und dann schön, dann legen wir uns wieder schlafen oder sowas! Kann man ja hier nicht behaupten. Hast ja jede Menge erzählt, was ihr da tut und macht, aber dafür will ja die AG Kritis dieses Cyber-Hilfswerk ins Leben rufen, um zu sagen: Dann haben wir auch genug Kapazitäten. Und wenn dann eben eine eine kritische Infrastruktur betroffen ist, dann helfen wir aus der Community heraus ehrenamtlich und kommen eben als Amtshilfeersuchen dahin, reparieren eben diese Versorgung der Dienstleistung mit den Berufswiederherstellen sozusagen. Und dann geht man gemeinsam verrichteter Dinge halt wieder da weg. Und das ist ja genau das Ziel, dass dann so was wie wir rufen die Bundeswehr quasi überflüssig wird, im Idealfall. Wie gesagt, die soll nur als Notnagel im extremsten Fall abgerufen werden können. So. e: und das war der Fall und das war der erste Fall. Und sozusagen das soll definitiv nicht Standard werden. In dem Moment war es nur, dass wir technisch nicht in der Lage waren, uns selbst zu helfen. Und insofern war es diese technische, also diese rein technische ausführende Tätigkeit, die hier abgewickelt wurde. Ho: Naja, Stand heute sind fast alle Kommunen ungefähr auf demselben Niveau. e: Ja ich hoffe, dass es jetzt anders wird. Ho: Okay, die Hoffnung stirbt zuletzt lacht e: ja , AG Hoffnungsvoll, ne? lacht auch Ho: Genau. Herald: Schön. Äh. Eine andere Frage ist: wie weit ist die Erneuerung der Infrastruktur und werden Möglichkeiten genutzt, um die Sicherheit zu verbessern? e: Es wird jede Möglichkeit genutzt, die Sicherheit zu verbessern. Also das fängt bei der Dienstvereinbarung an. Das fängt bei Awarenessschulungen an. Das … ich hatte es vorhin gesagt mit dem IT-Sicherheitsbeauftragten. Das fängt mit der komplett neuen Aufstellung des IT- Amtes an, und das geht natürlich auch da weiter, dass wir jetzt mehrstufige Sicherheitskonzepte haben, die Arbeitsplatz-PCs nicht mehr mit allen möglichen Rechten ausgestattet sind und, ja Passwort ist natürlich jetzt unerheblich, aber die einfach das auch Passwörter auch mal ablaufen wieder. Und das sind einfach Sachen die jetzt durchgeführt werden. Und was den Stand des Wiederaufbaus betrifft: das Active Directory steht insoweit und die Fachverfahren werden jetzt nach und nach wieder an den Start gehen. Und jetzt eben auch die einzelnen Ämter werden jetzt nach und nach wieder ihre Arbeitsplatz-PCs in Betrieb nehmen und die Clients sind gehärtet und so weiter und das bedeutet, dass Ämter jetzt — Ich glaube, wir haben jetzt 4 oder 6 Ämter, die jetzt tatsächlich wieder, wo jeder Mitarbeiter einen eigenen PC hat und nicht mehr einen PC, der aus dem Notnetz bei der Sekretärin beim Amtsleiter steht und dort jeder seinen E-Mail-Verkehr darüber abwickelt. Ho: Benutzt ihr dabei auch so krasse Hacker Software wie Open Source? e: Wir arbeiten daran. Ho: lacht, Mikro übersteuert kurz sehr schön! Herald: Ja, schön. Zum Active Directory im Speziellen gab es die spezielle Frage: Konnte man bei der forensischen Untersuchung einen Golden-Ticket Angriff auf das Active Directory feststellen? e: Das kann ich nicht sagen. Ich kann was anderes sagen zum Thema Active Directory. Und zwar, wir haben tatsächlich auch erst mal nachgucken müssen, ob alle Mitarbeiter tatsächlich auch bei uns arbeiten, also ob alle Einträge im Active Directory tatsächlich noch hier Mitarbeiter bei uns sind oder ob das jetzt nicht irgendwie durch Zauberhand mehr geworden sind. Und das war glaube ich die erste Tätigkeit, also die erste Aktion, die wir hier durchgeführt haben. Und die auch wirklich lange dauerte, tatsächlich erst mal zu schauen Sind die Azubis noch da? Das war im Endeffekt auch eine Bestandsaufnahme aller Kollegen, die wir im Haus haben, was auch durchaus sehr nützlich war. Ho: Historisch gereift sozusagen, diese Benutzerliste. e: Absolut, ja. Ho: Wie so oft und überall. e: Ja. Ho: Genau. Herald: Sonst: gab es Backups? Zum Beispiel in einem externen Rechenzentrum? e: Nein. Also ja, doch, bei machen Fachverfahren und bei manchen Fachverfahren auch tatsächlich überraschend. Da wussten wir gar nicht, dass die Backups von uns haben. Das war auch neu und irritierend für den Datenschutzbeauftragten. Aber das … zumindest hatten wir, hatten wir verschiedene Backups, aber eben auch welche, die nicht in externen Rechenzentren sind und dann tatsächlich auch jetzt händisch überprüft werden müssen, ob diese nicht vielleicht kompromittiert sind. Also wir gehen davon aus, dass wir 80% bis 90% unserer Daten zurückerhalten und dass die eben nicht beschädigt sind. Ho: Aber nach viel Handarbeit beim wieder einspielen. e: Ja, definitiv. Ho: Also vielleicht als Ergänzung auch da. Backup ist halt schön, ne? Wiederherstellung ist noch viel cooler. Alle, alle rufen nach Backup, aber eigentlich will keine Sau Backup. Alles was man wirklich will ist die Wiederherstellung. Und die kriegt man eben nur, wenn man ein sehr strukturiertes Backup Konzept hat mit mit Grandfathering Modellen, mit rollierenden Backups, mit offline Backups wenn man… ihr habt 160 Fachverfahren glaube ich ungefähr? e: Ja. Ho: Wenn man 160 verschiedene alte, historisch gewachsene Fachverfahren hat, dann ist es nicht ein Backup auf ein Tape und dann ist gut und da legt man in den Bankschließfach und wenn dann die Bösen kommen, dann packt man halt wieder aus und sagt: Golden Ticket! Ich hab ein Golden … Golden Medium. So funktioniert das halt nicht und insofern ist ein Backup Konzept, was auch die Wiederherstellung in einer angemessenen Zeit sozusagen darstellt, für sich eine sehr sehr komplexe Prozessaufgabe. Herald: Okay, ich kann mir vorstellen, dass ist jetzt in den Wiederaufbau mit in den Plänen reingeschrieben. e: absolut ja, klar. Herald: ok. Ho: jetzt schon, ne? e: Ja, genau. Ja, ach das fängt schon an, alleine wenn wir jetzt in diesem Zwischenbetrieb sozusagen schon Fachverfahren am Start haben, die gar nicht im Zielsystem sind und im Ziel-IT- System sind und wir dann beginnen, jetzt erst mal schon so Daten zu erheben, die wir dann später wieder überführen müssen. Das wird dann auch noch mal sehr viel Spaß machen. Herald: Ok, ja vielen Dank! Achso äh, möchtest du noch was? Ho: Ne, alles gut, ich meinte nur Spaß am Gerät! Das gehört ja zum Chaos dazu, das passt. lacht Herald: Schön! Vielen Dank für die Einblicke in die Welt des Amtes und der Digitalisierung. Vielen Dank HonkHase und egouvernante. HonkHase: Ja, vielen Dank, bis zum nächsten Mal! egouvernante: Vielen lieben Dank, Ciao! Herald: Tschüss! Sehr schön. Als nächstes um 21:30 Uhr: "Local Emission Framework: Klimaschutz vor deiner Haustür". Hier aus dem ChaosZone Studio aus Halle. Bis dahin! Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2022. Mach mit und hilf uns!