WEBVTT
00:00:00.000 --> 00:00:08.920
rC3 NOWHERE Vorspannmusik
00:00:08.920 --> 00:00:14.670
Herald: Willkommen zurück in Halle, aus
unserem ChaosZone TV-Studio. Der nächste
00:00:14.670 --> 00:00:19.770
Vortrag ist von egouvernante und HonkHase,
es geht um "Rebuilding Landkreis Anhalt-
00:00:19.770 --> 00:00:26.260
Bitterfeld". egouvernante ist eigentlich
eine Projektkoordinatorin zur
00:00:26.260 --> 00:00:32.811
Digitalisierung im Landkreis, hat sich
aber im Juli 2021 als Einsatzleiterin "das
00:00:32.811 --> 00:00:39.210
technische Feuer zu bekämpfen"
wiedergefunden. HonkHase ist ein Urgestein
00:00:39.210 --> 00:00:44.040
im Chaos Computer Club und hat viel
Erfahrung mit Cybersicherheit als Berater.
00:00:44.040 --> 00:00:51.729
Er ist auch politisch aktiv in der NGO AG
Kritis für kritische Infrastruktur. Viel
00:00:51.729 --> 00:00:54.449
Spaß!
00:00:54.449 --> 00:00:58.800
egouvernante: Ja hi und schönen guten
Abend zusammen! Wir freuen uns, dass ihr
00:00:58.800 --> 00:01:03.960
hier seid, um euch ein bisschen was aus
erster Hand zum Vorfall im Landkreis
00:01:03.960 --> 00:01:09.220
Anhalt-Bitterfeld anzuhören. Seit ich
meine eigentlichen, also in meine
00:01:09.220 --> 00:01:12.700
eigentlichen Aufgaben als CDO
zurückgekehrt bin, nehme ich öfter mal an
00:01:12.700 --> 00:01:16.983
Webkonferenzen teil und dann höre ich
öfter mal so die Argumentation: hört auf
00:01:16.983 --> 00:01:20.880
mich, egal was ich erzähle, ne, sonst geht
es euch wie denen, nämlich dem Landkreis
00:01:20.880 --> 00:01:24.890
Anhalt-Bitterfeld. Und ich denke, das ist
einfach ein bisschen zu kurz gesprungen.
00:01:24.890 --> 00:01:27.860
Und ich glaube, der Vorfall taugt
letztlich zu mehr als nur zum
00:01:27.860 --> 00:01:32.961
Verkaufsargument der eigenen Ansichten.
Und deswegen der Titel "Rebuilding
00:01:32.961 --> 00:01:36.690
Landkreis Anhalt-Bitterfeld". Ich berichte
ein bisschen was zum Wiederaufbau.
00:01:36.690 --> 00:01:41.410
HonkHase hatte mich heute als konstruktiv
angekündigt. Das heißt, ich gebe mir Mühe,
00:01:41.410 --> 00:01:45.580
und Zeit also ein paar Erfahrungen zu
teilen. Und inzwischen haben wir nämlich
00:01:45.580 --> 00:01:50.040
auch die Zeit und die Nerven dafür.
"Rebuilding Landkreis Anhalt-Bitterfeld".
00:01:50.040 --> 00:01:55.470
Also was war passiert? Am 6.7. hat ein
Mitarbeiter im Amt für Brand-,
00:01:55.470 --> 00:02:00.020
Katastrophenschutz und Rettungsdienst
seinen Arbeitsplatz-PC eingeschaltet und
00:02:00.020 --> 00:02:04.601
sah genau das hier, was auf der Folie zu
sehen ist. "Landkreis Anhalt-Bitterfeld:
00:02:04.601 --> 00:02:08.429
You are fucked do not touch anything".
Persönliche Ansprache, ungewöhnlich klares
00:02:08.429 --> 00:02:12.280
Statement, das ist man in der Form in der
öffentlichen Verwaltung ja erstmal nicht
00:02:12.280 --> 00:02:17.200
gewohnt, aber ein schneller Anruf bei der
IT sollte eigentlich genügen. So zumindest
00:02:17.200 --> 00:02:20.930
die Denkweise der Mitarbeiter, und die
würden sich dann schon drum kümmern, und
00:02:20.930 --> 00:02:26.030
dann geht es normal weiter. Der Anruf war
so gegen 6:45 Uhr und trat etwas los, was
00:02:26.030 --> 00:02:31.659
uns jetzt wahrscheinlich noch bis Ende
März '22 begleiten wird. Was war konkret
00:02:31.659 --> 00:02:36.630
passiert? Also am Morgen des 5.7. gehen
wir davon aus, dass auf mehreren Systemen
00:02:36.630 --> 00:02:41.299
codierte PowerShell Befehle ausgeführt
wurden, um Backdoors zu etablieren. Also
00:02:41.299 --> 00:02:45.150
die ersten Verschlüsselungaktivitäten gab
es dann am 6.7., Das ist der Tag, an dem
00:02:45.150 --> 00:02:49.620
wir dann auch davon mitbekommen haben,
davon etwas mitbekommen haben. Das war
00:02:49.620 --> 00:02:53.480
schon gegen 4:30 Uhr und auf anderen
Systemen begann die Verschlüsselung
00:02:53.480 --> 00:02:59.219
hauptsächlich erst gegen 6:30 Uhr und auf
jedem System wurden zu verschiedenen
00:02:59.219 --> 00:03:04.099
Uhrzeiten die Security Logs und einige
andere Ereignisanzeigenlogs geleert und im
00:03:04.099 --> 00:03:08.669
Anschluss daran eine Remote-Desktop
Sitzung getrennt. Also zusätzlich wurde
00:03:08.669 --> 00:03:12.919
das Remote-Desktop Protokoll gelöscht. Das
heißt, wir werden im Endeffekt gar nicht
00:03:12.919 --> 00:03:17.900
mehr so viel wissen können. Wir werden im
Endeffekt keine, keine Informationen,
00:03:17.900 --> 00:03:24.139
letztlich also bis zum Schluss haben und
es ist lediglich bekannt, wann die Sitzung
00:03:24.139 --> 00:03:28.689
hier beendet wurde. Und es ist weiterhin
davon auszugehen, dass die Verschlüsselung
00:03:28.689 --> 00:03:33.120
von Hand ausgelöst wurde, da bei den
Systemen, bei denen eine komplette
00:03:33.120 --> 00:03:38.219
Abmeldung durchgeführt wurde, die Systeme
aufhörten Daten zu verschlüsseln. Aber da
00:03:38.219 --> 00:03:41.905
uns die Logs fehlen, kann kaum
nachvollzogen werden, welche Tätigkeiten
00:03:41.905 --> 00:03:45.369
auf welchen Systemen denn vom Angreifer
durchgeführt wurden. Es ist aber
00:03:45.369 --> 00:03:50.069
wahrscheinlich, dass der Angreifer sich
bewusst im System bewegt hat und eben auch
00:03:50.069 --> 00:03:54.999
entsprechend ausgewählt hat, was er dort
tut. Die ersten Erkenntnisse haben dann
00:03:54.999 --> 00:03:59.581
auch gezeigt, dass der, dass der Angreifer
mit PowerShell Scripts gearbeitet hat und
00:03:59.581 --> 00:04:04.739
eben um diese Backdoors zu installieren.
Und was auch gesagt werden kann ist, dass
00:04:04.739 --> 00:04:08.410
die Verschlüsselung sehr schnell lief und
dass eben großer Schaden angerichtet
00:04:08.410 --> 00:04:12.629
wurde. Das bedeutet im Endeffekt, dass wir
davon ausgehen mussten, dass das komplette
00:04:12.629 --> 00:04:18.239
System kompromittiert ist. Und das
bedeutet eben auch, dass wir hier die
00:04:18.239 --> 00:04:22.300
ganzheitliche Verfahrensweise geplant
haben. So, also in der Pressemitteilung
00:04:22.300 --> 00:04:26.370
war es dann so formuliert und dann eben
auch wurde es dann eben auch so
00:04:26.370 --> 00:04:30.390
weitergeführt. Also aus einer ungeklärten
Quelle kam es zur Infektion mehrerer
00:04:30.390 --> 00:04:34.130
Server des Netz — mehrere Server des
Netzwerkes. In dessen Folge kam es zur
00:04:34.130 --> 00:04:38.220
Verschlüsselung einer noch nicht näher
spezifizierten Anzahl von Dateien und als
00:04:38.220 --> 00:04:42.090
Sofortmaßnahme wurden alle kritischen
Systeme vom Netz getrennt um einen
00:04:42.090 --> 00:04:49.960
eventuellen Datenabfluss zu unterbinden.
Und im Katastrophenmodus sind wir seit dem
00:04:49.960 --> 00:04:55.750
9. Juli 2021 seit 11 Uhr, da waren 3
Tage vergangen. Also im Vorfeld gab es den
00:04:55.750 --> 00:04:59.418
Stab für außergewöhnliche Ereignisse. Was
wir in der Zwischenzeit erledigt und
00:04:59.418 --> 00:05:03.420
probiert haben, das habe ich schon mal bei
der Stiftung Neue Verantwortung berichtet.
00:05:03.420 --> 00:05:06.590
Also kann dann auch nachgehört werden.
Aber vielleicht stellt sich aber nun
00:05:06.590 --> 00:05:10.450
anhand der vorangegangenen Informationen
jetzt eigentlich nicht mehr so sehr die
00:05:10.450 --> 00:05:14.300
Frage, warum wir den Katastrophenfall
ausgelöst haben. Denn eigentlich war es
00:05:14.300 --> 00:05:17.900
relativ schnell klar, dass wir die
technische Infrastruktur, also das die
00:05:17.900 --> 00:05:22.430
technische Infrastruktur tatsächlich
zeitlich länger ausfallen würde und auch,
00:05:22.430 --> 00:05:26.400
dass es ganz objektiv über das
Eigentliche, also das Ausmaß eines
00:05:26.400 --> 00:05:31.030
alltäglichen Schadensereignisses
hinausgeht, und dabei eben auch wie man es
00:05:31.030 --> 00:05:35.115
so sagt, die erheblichen Sachwerte oder
lebensnotwendige Versorgungsmaßnahmen,
00:05:35.115 --> 00:05:39.210
wenn man das jetzt mal herunterbricht auf
die Aufgaben des Sozialamtes tatsächlich
00:05:39.210 --> 00:05:43.470
für die Bevölkerung gefährdet sind oder
eben eingeschränkt waren. Und das eben wie
00:05:43.470 --> 00:05:47.290
gesagt auf lange Zeit. Oder drücken wir es
mal anders aus: also die Dienste für
00:05:47.290 --> 00:05:51.960
unsere zahlreichen oder zentralen, eben
auch Geschäftsprozesse konnten auf einen
00:05:51.960 --> 00:05:56.151
absehbaren Zeitraum nicht mehr erbracht
werden, und es stand zu dem Zeitpunkt
00:05:56.151 --> 00:05:59.990
weder ein Backup bereits, auf das wir
zugreifen konnten, noch wussten wir, ob
00:05:59.990 --> 00:06:03.771
diese Backups nicht auch kompromittiert
waren. Insofern stand das erstmal auch
00:06:03.771 --> 00:06:07.121
nicht zur Debatte. Und dann muss man eben
auch im Hinterkopf haben, dass die
00:06:07.121 --> 00:06:10.710
Erklärung oder nicht-Erklärung des
Katastrophenfall eben auch weitreichende
00:06:10.710 --> 00:06:14.365
juristische Konsequenzen für eine
Verwaltung haben kann. Und da geht es um
00:06:14.365 --> 00:06:17.890
Schadensersatzforderungen, die dann
tatsächlich auch im Endeffekt an uns
00:06:17.890 --> 00:06:21.460
herangetragen wurden, weil eben Autos
nicht zugelassen werden konnten oder
00:06:21.460 --> 00:06:25.606
Termine nicht vergeben wurden und so
weiter. Und vielleicht ist es ein guter
00:06:25.606 --> 00:06:30.230
Zeitpunkt, um mal so in kurzen Auszügen
ein bisschen was zu den Aufgaben der
00:06:30.230 --> 00:06:34.190
Landkreisverwaltung erzählen, ohne zu,
ohne jetzt so wahnsinnig ins Detail zu
00:06:34.190 --> 00:06:38.730
gehen. Das Amt 50, also unser Amt für
unser Sozialamt, ist zuständig für die
00:06:38.730 --> 00:06:42.650
Sozialhilfe. Ich denke, das stand im
Vorfeld, das war das Wichtigste, weil das
00:06:42.650 --> 00:06:48.080
waren die Leute, die uns direkt angerufen
haben. Also deren Aufgabe ist die
00:06:48.080 --> 00:06:51.662
Auszahlung der Sozialhilfe oder die
Berechnung der Sozialhilfe. Das ist die
00:06:51.662 --> 00:06:55.770
Altenhilfe, die Feststellung und
Durchsetzung von Unterhaltsansprüchen. Und
00:06:55.770 --> 00:06:59.640
da geht es um ganz essentielle
Angelegenheiten der Menschen. Und ohne das
00:06:59.640 --> 00:07:03.230
Amt 20, also die Kämmerei, passiert da
auch nicht viel, denn das wickelt den
00:07:03.230 --> 00:07:06.680
kompletten Zahlungsverkehr ab und es
reicht nicht, das zu berechnen, sondern es
00:07:06.680 --> 00:07:10.450
muss auch tatsächlich ausgezahlt werden
können. Mahnverfahren müssen eingeleitet
00:07:10.450 --> 00:07:14.660
werden und so weiter. Also mit dem Bereich
Soziales, oder in den Bereich Soziales
00:07:14.660 --> 00:07:17.670
fallen des Amts für
Ausländerangelegenheiten, aber eben auch
00:07:17.670 --> 00:07:22.210
das Jugendamt. Letzteres hat, um so die
Vehemenz und Dringlichkeit der, der
00:07:22.210 --> 00:07:27.750
Aufgaben zu erklären, ein Schutzauftrag
zum Beispiel bei Kindeswohlgefährdung. Und
00:07:27.750 --> 00:07:31.700
das heißt, ihr obliegt eben auch die die
Geltendmachung von Unterhaltsansprüchen,
00:07:31.700 --> 00:07:35.420
also Unterhaltsvorschussgesetz und so
weiter. Und das sind Vorgänge, die eben
00:07:35.420 --> 00:07:39.060
existenziell wichtig sind für die Bürger
und auch wirtschaftlich existenziell
00:07:39.060 --> 00:07:42.980
bedrohlich sind tatsächlich auch die
Leistungen des Ordnungsamtes, weil hier
00:07:42.980 --> 00:07:47.490
drin untergliedert sind eben auch die KFZ-
Zulassung und die und die
00:07:47.490 --> 00:07:51.570
Führerscheinangelegenheiten, also das
Fahrerlaubnisrecht. Und das kann eben
00:07:51.570 --> 00:07:55.880
alles sein, vom PKW bis zum Mähdrescher.
Und Menschen leben vom Handel mit
00:07:55.880 --> 00:07:59.897
Fahrzeugen, sie leben aber auch mitunter
mit der, also von der Nutzung ihrer
00:07:59.897 --> 00:08:04.241
Fahrzeuge, indem sie einfach zur Arbeit
fahren. Und dann spielt auch eine ganz
00:08:04.241 --> 00:08:09.020
tatsächlich, also sehr wichtige Rolle, wie
jeder weiß, das Gesundheitsamt und die
00:08:09.020 --> 00:08:14.120
Verhütung und Bekämpfung eben übertragbare
Krankheiten steht da im Fokus. Also jetzt
00:08:14.120 --> 00:08:18.340
unser Infektionschutzgesetz geradezu zu
Covid-19-Zeiten ist so aktuell wie nie.
00:08:18.340 --> 00:08:22.120
Und auch nicht ganz unproblematisch ist
eben auch die fehlende Überwachung der
00:08:22.120 --> 00:08:26.010
Leichenschau und der von Totenscheinen.
Und ich will jetzt nicht allzu sehr weiter
00:08:26.010 --> 00:08:29.790
ins Detail gehen. Aber die
Landkreisverwaltung hat eben auch in dem
00:08:29.790 --> 00:08:34.040
Bereich des Inneren Aufgaben, die ganz
normal durchgeführt werden müssen. Also
00:08:34.040 --> 00:08:37.830
das sind normale Vergaben, das sind
Bekanntmachungen. Das ist aber eben auch
00:08:37.830 --> 00:08:42.770
die Organisation des Sitzungsdienstes, und
weil die politischen Gremien eben auch
00:08:42.770 --> 00:08:46.760
nicht, weil wir einen Katastrophenfall
haben, die Arbeit einstellen. Und die
00:08:46.760 --> 00:08:53.290
erste Frage lautete dann eben auch vom
BSI, ob wir noch die Möglichkeit haben bei
00:08:53.290 --> 00:08:57.780
der Bundestagswahl — also wir haben
natürlich auch den Kreiswahlleiter, also
00:08:57.780 --> 00:09:01.410
ob die Bundestagswahl quasi in unserem
Kreis gefährdet ist. Ansonsten
00:09:01.410 --> 00:09:05.779
Schulverwaltungsamt, klar, uns geht
wahnsinnige Summen verloren, wenn wir
00:09:05.779 --> 00:09:10.020
jetzt z.B. beim Digitalpakt Schule
nicht arbeiten können und auch Veterinär-
00:09:10.020 --> 00:09:13.870
und Lebensmittelüberwachung, das mit der
Tierseuchenbekämpfung, dem Tierschutz und
00:09:13.870 --> 00:09:17.300
dem Schlachttier- und Fleischbeschau
befasst, ist natürlich irgendwo auch
00:09:17.300 --> 00:09:20.610
kritisch bei der bei der
Lebensmittelproduktion so einzuordnen. Und
00:09:20.610 --> 00:09:23.840
wenn wir jetzt auch mal den Blick nach
Innen richten warum dieser
00:09:23.840 --> 00:09:29.001
Katastrophenfall ausgelöst wurde, wussten
wir zu dem Zeitpunkt nicht, wann wir
00:09:29.001 --> 00:09:32.141
irgendwas wieder hochfahren können und
wenn wir es hochfahren, dass
00:09:32.141 --> 00:09:36.460
gegebenenfalls die Verschlüsselung
weitergeht. Und deswegen musste neue
00:09:36.460 --> 00:09:40.530
Technik beschafft werden, insbesondere
auch bei der Bereitstellung des Notnetzes.
00:09:40.530 --> 00:09:47.750
Und im Normalfall ist man als Verwaltung
an Vergaberecht gebunden. Also diejenigen
00:09:47.750 --> 00:09:52.140
von euch, die mit Verwaltungen arbeiten,
kennen das, wie lange sich das hinziehen
00:09:52.140 --> 00:09:56.580
kann. Und auch wenn aktuell über die
Vereinfachung verstärkt diskutiert wird —
00:09:56.580 --> 00:10:00.240
was absolut notwendig ist! — in unserem
Fall hat das Feststellen des
00:10:00.240 --> 00:10:04.750
Katastrophenfalls dafür gesorgt, dass
Technik erst mal ohne Vergabeverfahren
00:10:04.750 --> 00:10:09.240
beschafft werden konnte. Also es musste
nicht das komplette Vergabeprozedere hier
00:10:09.240 --> 00:10:13.010
durchexerziert werden. Es musste nicht
geprüft werden, ob die Gelder im Haushalt
00:10:13.010 --> 00:10:16.920
zur Verfügung stehen. Es musste nicht das
Rechnungsprüfungsamt bestätigen, dass die
00:10:16.920 --> 00:10:20.360
Gelder zur Verfügung stehen, der
Vergabeausschuss musste nicht einberufen
00:10:20.360 --> 00:10:24.110
werden und zusammenkommen und ähm, ohne
Zugriff auf die Daten wäre auch
00:10:24.110 --> 00:10:29.290
tatsächlich nichts von all dem möglich
gewesen. Und die Technik für das Notnetz,
00:10:29.290 --> 00:10:33.070
das innerhalb einer Woche an 3
Standorten aufgebaut wurde, Lieferfristen
00:10:33.070 --> 00:10:37.140
dann eben auch eingerechnet, konnte nach
einer ad-hoc Vorstellung so einfach, also
00:10:37.140 --> 00:10:41.110
nach einer ad-hoc Vorstellung von 3
Systemhäusern dann eben einfach beauftragt
00:10:41.110 --> 00:10:45.520
werden, was wahnsinnig geholfen hat und
was eben auch der Schnelligkeit, die
00:10:45.520 --> 00:10:50.350
eigentlich in den ersten Phasen sein muss,
entspricht. Und weiter geht's mit dem
00:10:50.350 --> 00:10:54.411
Ressourceneinsatz. Also alles, was im Haus
"IT" buchstabieren konnte, wurde
00:10:54.411 --> 00:10:59.310
zusammengezogen. Das heißt, das Sachgebiet
EDV war zu diesem Zeitpunkt noch im Amt
00:10:59.310 --> 00:11:05.110
für Organisation, Personal und EDV
zugeordnet. Andere IT-Kollegen waren dem
00:11:05.110 --> 00:11:10.040
Schulverwaltungamt zugeordnet und ich,
weil ich eher in den Themen Verwaltungs-,
00:11:10.040 --> 00:11:15.640
Prozesse OZG und Digitalisierung und
Digitalstrategie tätig bin, war dem Amt
00:11:15.640 --> 00:11:19.120
für zentrale Steuerung und Recht
zugeordnet. Und mit der Benennung als
00:11:19.120 --> 00:11:24.120
technische Einsatzleitung oder technische
Einsatzleiterin war ich dann tatsächlich
00:11:24.120 --> 00:11:28.170
mit einem Mal nicht mehr Einzelkämpferin,
sondern hatte eine ganze Traube Menschen
00:11:28.170 --> 00:11:34.810
bei mir, also die ITler, die Fachexperten
und eben auch die Assistenten. Und ich
00:11:34.810 --> 00:11:38.691
muss an der Stelle auch sagen, dass ich
mich von Tag eins an geweigert habe, das
00:11:38.691 --> 00:11:42.620
Sachgebiet EDV als solches zu benennen,
sondern hatte die tatsächlich immer gleich
00:11:42.620 --> 00:11:46.690
IT benannt, was dann irgendwann mal dazu
führte, dass im Kat-Stab abgefragt wurde.
00:11:46.690 --> 00:11:50.990
Heißen die jetzt IT? Und wir dann diese
Verwaltungsmodernisierung wenigstens in
00:11:50.990 --> 00:11:55.220
diesem Punkt sofort umgesetzt haben. Also
jedenfalls, das war noch mal wichtig zum
00:11:55.220 --> 00:12:00.350
Thema Ressourceneinsatz. Der war jetzt
händelbar, denn tatsächlich ging es in den
00:12:00.350 --> 00:12:05.330
ersten Stunden oder in den ersten Tagen
und Wochen auch um den Zugriff auf
00:12:05.330 --> 00:12:09.290
Besprechungsräume, die Kommunikation mit
Externen, die Beschaffung von Technik, den
00:12:09.290 --> 00:12:12.680
Personaleinsatz am Wochenende und in der
Nacht, die Anpassung der
00:12:12.680 --> 00:12:16.810
Bereitschaftsdienste, des Wachschutzes und
auch um die – ganz profanen, die
00:12:16.810 --> 00:12:21.230
Verpflegung der Mitarbeiter. Und das wäre
tatsächlich auch ohne Katastrophenfall in
00:12:21.230 --> 00:12:24.940
der Form nicht möglich gewesen und auch
nicht in der Schnelligkeit. Also wie
00:12:24.940 --> 00:12:29.330
kommts zum Katastrophen Stab und Incident
Response? Weil da ist es schon so ein
00:12:29.330 --> 00:12:33.840
bisschen kollidiert und ich hatte eben
kurz an die Externen und die Gremien
00:12:33.840 --> 00:12:37.550
angesprochen und es war in erster Linie
natürlich der Katastrophenstab als
00:12:37.550 --> 00:12:43.470
wichtigstes Entscheidungsgremium, das war
die technische Einsatzleitung 1 und die
00:12:43.470 --> 00:12:47.642
technische Einsatzleitung 2, komme ich
gleich noch mal darauf zu. Und auch die
00:12:47.642 --> 00:12:51.670
Arbeitsgruppe Wiederaufbau, deren
Entscheidungen mittel- bis langfristig
00:12:51.670 --> 00:12:56.540
wirken. Und damit waren eben tatsächlich
die Kollision vorprogrammiert. Die einen,
00:12:56.540 --> 00:13:01.720
die da zum einen länger an der Behörde
bleiben und die anderen, die relativ
00:13:01.720 --> 00:13:08.550
schnell auf klare Entscheidungen drängen
müssen. Ähm … und das trifft mitunter da
00:13:08.550 --> 00:13:13.560
drauf, dass so ein Verhalten an den Tag
gelegt wird und dann auch zusätzlich eine
00:13:13.560 --> 00:13:19.030
neue Hausspitze etabliert wird oder
gewählt wurde und dann eben sein Amt
00:13:19.030 --> 00:13:23.870
antritt. Das war 3 Tage nach dem
Katastrophenfall, dass dann eben auch so
00:13:23.870 --> 00:13:28.200
die eine oder andere Diskussion entstand,
die tatsächlich nicht hätte sein müssen,
00:13:28.200 --> 00:13:33.697
die man durchaus sehr, sehr abkürzen
konnte. Also, als Externe waren dabei das
00:13:33.697 --> 00:13:37.580
Finanzministerium, es war das Bundesamt
für Sicherheit in der Informationstechnik
00:13:37.580 --> 00:13:41.150
dabei, es war tatsächlich auch die
Bundeswehr dabei, es war das CERT Nord
00:13:41.150 --> 00:13:44.820
dabei, das Landeskriminalamt, einen
Kollegen, ein Professor von der Hochschule
00:13:44.820 --> 00:13:51.790
Harz, und tatsächlich waren alle in ihrem
Bereich für uns sehr hilfreich. Und noch
00:13:51.790 --> 00:13:56.490
mal im Detail zu den Rollen Technische
Einsatzleitung I und II, also die während
00:13:56.490 --> 00:14:00.190
technische Einsatzleitung I mit der IT
Infrastruktur mit dem Wiederaufbau
00:14:00.190 --> 00:14:04.136
beschäftigt war, war es bei der II die
Wiederinbetriebnahme der Fachverfahren und
00:14:04.136 --> 00:14:07.490
eben auch die Priorisierung der
Wiederinbetriebnahme der Fachverfahren.
00:14:07.490 --> 00:14:11.350
Und auch wenn man meinen müsste, man baut
zunächst die Infrastruktur auf, das wäre
00:14:11.350 --> 00:14:15.170
das einfachste und danach nimmt man die
Fachverfahren wieder in Betrieb. Das
00:14:15.170 --> 00:14:19.260
funktioniert tatsächlich nicht, weil die
Verwaltung im laufenden Betrieb
00:14:19.260 --> 00:14:22.399
weitergearbeitet hat, weil es
funktionierte das Telefon, es
00:14:22.399 --> 00:14:26.870
funktionierte, das Fax und die Türen waren
auch offen. Und das bedeutet, dass
00:14:26.870 --> 00:14:30.879
eigentlich die die Ansprüche an die
Verwaltung und eben auch die, die Anfragen
00:14:30.879 --> 00:14:34.810
und Anträge an die Verwaltung tatsächlich
nahtlos weitergingen. Und ich hatte schon
00:14:34.810 --> 00:14:38.387
vorhin gesagt, dass für viele Bürgerinnen
und Bürger und Unternehmen ist die
00:14:38.387 --> 00:14:42.970
Leistungserbringung durch die Kommune
existenziell, und wenn wir uns noch mal
00:14:42.970 --> 00:14:46.590
das Beispiel KFZ Zulassung so vornehmen,
dann haben Leute vielleicht ein Auto
00:14:46.590 --> 00:14:50.398
gekauft oder sie haben es kaputt gefahren,
oder keine Ahnung, auf jeden Fall, während
00:14:50.398 --> 00:14:55.180
eine Abmeldung möglich ist, ist eine
Anmeldung tatsächlich nur am Wohnort
00:14:55.180 --> 00:15:01.330
möglich. Also das heißt, dieses
Wohnortprinzip gilt hier tatsächlich ganz,
00:15:01.330 --> 00:15:07.200
also ganz vornehmlich sozusagen. Und das
heißt dieses, dass die Fachverfahren in
00:15:07.200 --> 00:15:11.390
den anderen Kommunen, also es hätte keine
Amtshilfe stattfinden können, weil einfach
00:15:11.390 --> 00:15:15.350
die ganz profanen, die Gemeindeschlüssel
auch nicht hinterlegt sind oder hinterlegt
00:15:15.350 --> 00:15:20.170
werden können und — oder anderes Beispiel
Genehmigungfiktion: das bedeutet,
00:15:20.170 --> 00:15:24.320
entscheidet eine Behörde, eine zuständige
Behörde nicht innerhalb einer bestimmten
00:15:24.320 --> 00:15:30.320
Frist über eine beantragte Genehmigung, so
geht die Genehmigung als erteilt. Und das
00:15:30.320 --> 00:15:34.510
hat Potenzial für durchaus ausufernde
Streitigkeiten und richtig große Schäden,
00:15:34.510 --> 00:15:38.570
die im Nachgang entstehen. Und das Ganze
musste auch immer mal wieder abgewogen
00:15:38.570 --> 00:15:43.179
werden. Das heißt, diese Listen waren
erstmal flexibel und die Diskussion war
00:15:43.179 --> 00:15:47.019
eine permanente Diskussion zwischen der
technischen Einsatzleitung I und der
00:15:47.019 --> 00:15:52.070
technischen Einsatzleitung II. Und dann
gab es eben auch noch ganz andere
00:15:52.070 --> 00:15:56.000
Abwägungen und Entscheidungen. Also das
war … ähm … es war eine Entscheidung, die
00:15:56.000 --> 00:15:59.740
Frage, ob die Verwaltung in die Cloud
geht, wo dann eben auch der Personalrat
00:15:59.740 --> 00:16:05.740
beteiligt werden muss. Es waren Fragen, ob
man mit dem Forensikteam weiterarbeiten
00:16:05.740 --> 00:16:13.100
kann und möchte, es waren Fragen, ob man
Aufgaben und Leistungen in Rechenzentren
00:16:13.100 --> 00:16:17.060
auslagert. Und es war natürlich auch die
Entscheidung: es stand eine Erpressung im
00:16:17.060 --> 00:16:20.950
Raum, ob man beispielsweise dieser
Lösegeldforderung nachgeht, was aber sehr
00:16:20.950 --> 00:16:26.610
schnell klar war, dass dem nicht so sein
wird. Und unter den besten
00:16:26.610 --> 00:16:30.660
Herausforderungen, da gibt es gleich noch
ein paar Anekdoten am Ende, so, aber wir
00:16:30.660 --> 00:16:35.850
kommen zu der Organisation. Nur ganz kurz
Also was hatte sich sofort verändert, im,
00:16:35.850 --> 00:16:39.970
direkt im Anschluss an diesen
Katastrophenfall? Also ich habe es gerade
00:16:39.970 --> 00:16:44.150
noch auf der letzten Folie. Die IT stand
im Fokus. Also das Zusammenziehen der IT
00:16:44.150 --> 00:16:47.850
Mitarbeiter*innen wurde beibehalten
inzwischen, das Sachgebiet wird jetzt in
00:16:47.850 --> 00:16:51.920
ein eigenes Amt überführt und nimmt eben
auch die Mitarbeiter des
00:16:51.920 --> 00:16:56.010
Schulverwaltungsamtes auf, also die IT-
Mitarbeiter des Schulverwaltungsamtes und
00:16:56.010 --> 00:16:59.190
eine Amtsleiterstelle wurde
ausgeschrieben. Und auch der IT
00:16:59.190 --> 00:17:04.500
Sicherheitsbeauftragte wird neu benannt,
und dadurch, dass da auch dafür keine neue
00:17:04.500 --> 00:17:08.620
Stelle geschaffen wird und niemand aus dem
operativen Bereich IT-
00:17:08.620 --> 00:17:13.070
Sicherheitsbeauftragter werden kann, also
aus dem operativen Bereich der IT-
00:17:13.070 --> 00:17:18.350
Abteilung, muss jemand gefunden werden,
tatsächlich gibt es auch Interessenten,
00:17:18.350 --> 00:17:22.240
aber das Land unterstützt auch hier diese
Interessenten dann eben auch zu schulen,
00:17:22.240 --> 00:17:25.903
damit die wissen, was sie da tun. Und die
erste Aufgabe wird es eben sein IT-
00:17:25.903 --> 00:17:30.720
Sicherheitskonzept zu schreiben und das
Ganze muss dann die Dienstvereinbarung
00:17:30.720 --> 00:17:36.260
ergänzen. Und organisatorisch wurde all
das bestimmt, was jetzt sozusagen nahezu
00:17:36.260 --> 00:17:40.510
mit Bordmitteln möglich war und wofür
nicht extra irgendwelche Finanzmittel
00:17:40.510 --> 00:17:45.200
bereitgestellt werden müssen. Also was den
Wiederaufbau betrifft, sind wir hier
00:17:45.200 --> 00:17:51.200
weiterhin dabei Entscheidungen für die
Zukunft zu treffen. Also das passiert in
00:17:51.200 --> 00:17:55.320
der Arbeitsgruppe Wiederaufbau und auch
die wird noch weit nach dem
00:17:55.320 --> 00:17:59.420
Katastrophenfall bestehen müssen.
Ansonsten ist geplant oder ist es nicht
00:17:59.420 --> 00:18:05.639
nur geplant, sondern eben auch soll der
IT-Grundschutz so umgesetzt werden, wie
00:18:05.639 --> 00:18:11.300
wir das uns finanziell leisten können und
wie es notwendig ist und wie es
00:18:11.300 --> 00:18:17.270
tatsächlich auch wichtig ist, um wieder
sozusagen arbeiten zu können. Und nicht
00:18:17.270 --> 00:18:20.830
bewilligt wurden erst mal
Mitarbeiter*innen und auch hier wieder die
00:18:20.830 --> 00:18:25.960
Grundlage der Politik, also sozusagen im
Kreis- und Finanzausschuss wurden erst mal
00:18:25.960 --> 00:18:29.860
keine neuen Stellen bewilligt und auch
hier war die Diskussion erst mal wieder
00:18:29.860 --> 00:18:34.830
groß, ähm, die Leute, die gebraucht
werden, dann auch für diese Positionen zu
00:18:34.830 --> 00:18:40.530
argumentieren. So, noch kurz zur
Wiederherstellung und zur Komplexität der
00:18:40.530 --> 00:18:44.760
Fachverfahren. Zunächst mal ist das
Landratsamt nicht abgebrannt. Also das ist
00:18:44.760 --> 00:18:48.450
das, was wir am Anfang immer wieder sagen
mussten: das große Geschäft mit dem
00:18:48.450 --> 00:18:51.970
Landkreis war also nicht zu machen, und
überhaupt lautete der Auftrag, den
00:18:51.970 --> 00:18:56.700
Landkreis wieder aufzubauen, und nur
diesmal in sicher. Und daher auch der
00:18:56.700 --> 00:19:00.180
Titel den "Rebuilding Landkreis Anhalt-
Bitterfeld". Es sollte kein neuer
00:19:00.180 --> 00:19:04.050
entstehen. So, der Wiederaufbau des Active
Directory ist inzwischen abgeschlossen.
00:19:04.050 --> 00:19:08.929
Aktuell erfolgt jetzt so schrittweise die
Neuinstallation der Fachverfahren und eben
00:19:08.929 --> 00:19:14.544
auch sind wir hier gebunden an die
Kapazitäten der Fachverfahrenshersteller.
00:19:14.544 --> 00:19:21.549
Und was jetzt noch passiert ist die
Absicherung der Verfahrensserver. So, und
00:19:21.549 --> 00:19:27.660
ansonsten funktioniert auch das wieder
nach der Priorisierung und — ich kürze das
00:19:27.660 --> 00:19:33.030
Ganze mal ein bisschen ab, wir kommen zur
Schadensbilanz: die sieht wie folgt aus,
00:19:33.030 --> 00:19:39.100
also die Kosten belaufen sich aktuell auf
2 Millionen. Weitaus mehr als die Lösegeld
00:19:39.100 --> 00:19:43.250
Summe war, Mittel, die auch nicht
unbedingt zusätzlich jetzt im Haushalt
00:19:43.250 --> 00:19:48.510
ausgegeben werden, aber mit dem geplanten
? Budget im nächsten für oder für das
00:19:48.510 --> 00:19:53.330
nächste Jahr verrechnet wurden und quasi
jegliche Planung erst mal zunichte gemacht
00:19:53.330 --> 00:19:57.470
haben, es sind neue Konflikte entstanden.
Konflikte zwischen Infrastruktur und
00:19:57.470 --> 00:20:04.420
Anwendungsbetreuern, im Zusammenspiel der
Kollegen untereinander. Auch das Vertrauen
00:20:04.420 --> 00:20:10.299
in die Digitalisierung ist nachhaltig
zerstört. Also die ersten Antworten dazu
00:20:10.299 --> 00:20:15.280
waren: ach hätten wir mal noch die
Papierakte behalten, und dann haben wir
00:20:15.280 --> 00:20:19.750
ein Datenverlust im Umweltamt. Wir haben
vollends verschlüsselte Mailserver und wir
00:20:19.750 --> 00:20:23.810
haben ein verlorenes Intranet. Und
tatsächlich waren einige Mitarbeiter ins
00:20:23.810 --> 00:20:27.419
Homeoffice gewechselt, um dort Internet
und überhaupt Technik zu haben, um
00:20:27.419 --> 00:20:32.890
überhaupt weiterarbeiten zu können. Denen
jetzt zu sagen, ihr dürft eure private
00:20:32.890 --> 00:20:37.910
Technik nicht mehr benutzen und auch vor
dem Hintergrund, dass sie jetzt ein
00:20:37.910 --> 00:20:41.880
anderes Arbeiten eben auch gelernt haben
oder sich angelernt haben, ist es
00:20:41.880 --> 00:20:47.179
natürlich schwierig, dort einfach
zurückzukehren. Wir hatten extrem viel
00:20:47.179 --> 00:20:51.500
Hilfe durch andere Landkreise. Wir hatten
super viel Hilfe durch kreisangehörige
00:20:51.500 --> 00:20:54.700
Städte und Gemeinden explizit. Auch durch
das Land und den IT-
00:20:54.700 --> 00:20:59.580
Sicherheitsbeauftragten, der uns über
Monate eigentlich in Amtshilfe, also nach
00:20:59.580 --> 00:21:04.260
dem Amtshilfeersuchen, sozusagen zur
Verfügung gestellt wurde und durch das BSI
00:21:04.260 --> 00:21:09.340
und eben auch durch die Bundeswehr, die
explizit technisch unterstützt hat. Aber
00:21:09.340 --> 00:21:14.430
das heißt eben auch, dass wir in der
Verantwortung sind und sein möchten, den
00:21:14.430 --> 00:21:21.390
Wissenstransfer jetzt zu initiieren, und
wir gehen davon aus, uns hat es in dem
00:21:21.390 --> 00:21:25.720
Moment richtig erwischt. Wir sind
allerdings die ersten, und werden nicht
00:21:25.720 --> 00:21:29.670
die einzigen bleiben. Und insofern ist es
wichtig, dass hier der Wissenstransfer
00:21:29.670 --> 00:21:33.410
stattfindet. Und tatsächlich denke ich
auch, dass der Steuerzahler das erwarten
00:21:33.410 --> 00:21:38.070
kann. Und zudem haben wir nebenbei auch
schon so viele Fragen beantwortet, und so
00:21:38.070 --> 00:21:42.450
vielen Konferenzen teilgenommen, bei Frag
den Staat geantwortet, in Ausschüssen Rede
00:21:42.450 --> 00:21:45.750
und Antwort gestanden und, also das
ziemlich deutlich wurde, dass das
00:21:45.750 --> 00:21:49.430
Interesse da ist. Und damit übergebe ich
ein HonkHase, der mich auf Twitter so
00:21:49.430 --> 00:21:53.440
professionell angepisst hat, dass ich ihn
direkt ins Expertengremium berufen habe!
00:21:53.440 --> 00:22:02.350
HonkHase: lacht Ja okay, meine Steuern
würde ich da auch ganz gerne in
00:22:02.350 --> 00:22:07.270
vertrauensvolle Hände legen, allerdings
muss man ja sagen, wenn man sich das so
00:22:07.270 --> 00:22:11.720
anguckt: Wie digital handlungsfähig ist
eigentlich der Kritis-Sektor, Staat und
00:22:11.720 --> 00:22:17.230
Verwaltung? Sieht man ja nicht nur an
euch, an eurem Beispiel, sondern man hat
00:22:17.230 --> 00:22:21.799
ja dieses Jahr schon allein über 100
Behörden und Verwaltungen kompromittiert
00:22:21.799 --> 00:22:27.630
gehabt, und das ist ja nicht das Ende der
Fahnenstange. Also insofern habe ich mir
00:22:27.630 --> 00:22:31.820
gedacht so ja, die brennende Mülltonne
passt eigentlich, möchte alles anzünden,
00:22:31.820 --> 00:22:35.510
aber wait a sec, digital handlungsfähig
ist der Staat gar nicht, der brennt ja
00:22:35.510 --> 00:22:39.900
schon von selbst. Da kannst du eigentlich
nur noch Brandroden und neu machen.
00:22:39.900 --> 00:22:46.040
Unauffälliger Hinweis für den
Folienwechsel. Die Frage ist ja was
00:22:46.040 --> 00:22:52.110
brauchen wir? Die echte, das was wir
wirklich brauchen ist doch eine Cyber-
00:22:52.110 --> 00:22:56.820
Resilienz. Ja, cyber bla. Lassen wir's
einfach. Ich bin Urgestein, Cyber-Grandpa,
00:22:56.820 --> 00:23:02.740
ich darf das, ja? Wir brauchen eine
Resilienz für den Cyberraum von kritischen
00:23:02.740 --> 00:23:07.420
Infrastrukturen, und dazu gehört eben auch
der Sektor Staat und Verwaltung. Und da
00:23:07.420 --> 00:23:11.820
gehört er ganz besonders zu egouvernante
hat ja vorhin schon gesagt, das sind auch
00:23:11.820 --> 00:23:16.460
durchaus bedrohliche Fachverfahren dabei
gewesen, die eben gar nicht resilient
00:23:16.460 --> 00:23:20.160
waren, weil sie einfach auseinander
gefallen sind, nachdem die hochkriminellen
00:23:20.160 --> 00:23:24.760
Tätergruppen aktiv geworden sind. Wir
reden ja hier nicht von Bespaßung,
00:23:24.760 --> 00:23:29.760
bisschen fun, bisschen rumhacken oder
kaputt spielen. Wir reden hier von
00:23:29.760 --> 00:23:33.490
kriminellen Banden organisierter
Kriminalität, die irgendwie Millionen
00:23:33.490 --> 00:23:38.500
versuchen abzugreifen, ja. Und was wir
auch brauchen, um dem gegenzusteuern: wie
00:23:38.500 --> 00:23:41.940
schaffen wir diese Resilienz? Durch
Krisenerfahrung und Übung bei den
00:23:41.940 --> 00:23:46.870
Verantwortlichen. Ja, dazu zähle ich
explizit Bürgermeister*innen, Landräte,
00:23:46.870 --> 00:23:51.360
you name it, egal. Wer keine
Krisenerfahrung hat, wer keine Übungen
00:23:51.360 --> 00:23:56.270
regelmäßig macht, steht dann genauso da
wie auch beispielsweise bei euch, aber
00:23:56.270 --> 00:24:03.280
eben auch beim Ahrtal, ja, Klimakatastrophe
ist ja dasselbe Phänomen, dasselbe
00:24:03.280 --> 00:24:07.150
Problem. Die waren alle nicht geübt, die
haben nicht regelmäßig die Einsätze
00:24:07.150 --> 00:24:11.760
trainiert. Und dann steht man da vor dem
Trümmerhaufen und sagt: Oh, alles kaputt,
00:24:11.760 --> 00:24:16.240
kostet teilweise sogar Menschenleben. Und
nein, was wir nicht brauchen ist – ne,
00:24:16.240 --> 00:24:20.720
Rebuilding Anhalt-Bitterfeld ja, aber ey,
echt keine Fachverfahren auf Windows 98 in
00:24:20.720 --> 00:24:28.760
2021, so. Das haben wir beispielsweise
hier im Gericht in Berlin erlebt. Vorher
00:24:28.760 --> 00:24:33.429
war es Windows 98 Fachverfahren, nachher
ist es immer noch eins. Ja, nee, fail, so
00:24:33.429 --> 00:24:37.930
das will echt keiner haben. Baut diese
Fachverfahren neu, baut sie sinnvoll,
00:24:37.930 --> 00:24:41.929
digitalisiert Ende zu Ende für die
Bürger*innen und das muss die Erwartungen
00:24:41.929 --> 00:24:48.090
an den Sektor Staat und Verwaltung sein,
ja. Was wir auch brauchen und was einfach
00:24:48.090 --> 00:24:51.900
mal fehlt sind Sicherheitsanforderungen
und Vorgaben, so dieser — es gibt den
00:24:51.900 --> 00:24:56.549
Kritis-Sektor Staat und Verwaltung. Und
welche Vorgaben hat er? Ja, machste
00:24:56.549 --> 00:25:02.150
dicke Backen. Also paar Öhrchen drauf,
kannste nichts mehr zu sagen. Es gibt für
00:25:02.150 --> 00:25:07.950
8 der 10 Kritis-Sektoren im BSI
Gesetz § 8a, und der anhängigen Kritis-
00:25:07.950 --> 00:25:11.770
Verordnung genaue Vorgaben, was für
Sicherheitsanforderungen die zu erfüllen
00:25:11.770 --> 00:25:16.330
haben. Bei Medien und Kultur ist es
landesweit nicht geregelt, aber eben bei
00:25:16.330 --> 00:25:20.982
Staat und Verwaltung ist es ja, öh, gar
nicht geregelt. So ja, da kann ich, ja,
00:25:20.982 --> 00:25:25.510
bin ich auch schon wieder kurz vorm — vorm
anzünden hier lacht Das muss dringend
00:25:25.510 --> 00:25:30.990
weg. Da muss wirklich die die Koalition,
die Ampel mal das BMI wachrütteln und
00:25:30.990 --> 00:25:34.330
vielleicht wirklich mal
Sicherheitsanforderungen an Tag legen und
00:25:34.330 --> 00:25:39.140
sagen: so, das ist jetzt der Maßstab,
nachdem dieser Sektor betrieben wird. Was
00:25:39.140 --> 00:25:43.210
wir brauchen sind kommunale CERTs mit
Hilfe für alle kleinen Kommunen, weil wie
00:25:43.210 --> 00:25:48.320
soll denn — also ihr als Landkreis wart ja
schon sozusagen überrannt worden von
00:25:48.320 --> 00:25:53.400
diesem koordinierten Angriff. Ja, was
macht denn da eine kleine Kommune, die hat
00:25:53.400 --> 00:25:57.590
ja vielleicht eine halbe IT-Stelle, eine
IT Stelle keine Ahnung, das ist sehr
00:25:57.590 --> 00:26:01.360
überschaubar, die haben doch noch nie
Incidence Response gemacht, die haben noch
00:26:01.360 --> 00:26:05.170
nie irgendwelche Fachverfahren gesichert,
die haben noch nie mit 15 verschiedenen
00:26:05.170 --> 00:26:12.360
Behörden und Verantwortlichen und
Sicherheitseinrichtungen irgendwie
00:26:12.360 --> 00:26:17.049
kommuniziert um abzustimmen: wer kommt
jetzt eigentlich und hilft? Die machen ja
00:26:17.049 --> 00:26:21.640
auch, die – die gucken wie Rebhühner
einmal groß in die Unterlagen und sagen:
00:26:21.640 --> 00:26:25.940
ja es gibt dieses Cyber-Wimmelbild der
Verantwortungsdiffusion, da sind ganz
00:26:25.940 --> 00:26:31.170
viele drauf. Wen frag ich denn jetzt? Ja,
das kann es ja irgendwie auch nicht sein.
00:26:31.170 --> 00:26:36.870
Kleiner Hinweis für die Folien. Was wir
auch bräuchten, und da stehe ich natürlich
00:26:36.870 --> 00:26:40.890
mit Herz und Seele dahinter, weil es meine
Passion ist, als als Mitgründer der
00:26:40.890 --> 00:26:44.610
unabhängigen Arbeitsgemeinschaft AG
Kritis, wir bräuchten ein Cyber-Hilfswerk,
00:26:44.610 --> 00:26:48.520
das ist der Arbeitstitel, den wir dem
Ganzen verpasst haben. Soll die
00:26:48.520 --> 00:26:53.080
existierenden Bewältigungskapazitäten für
Großschadenslagen durch Cybervorfälle bei
00:26:53.080 --> 00:26:56.910
kritischen Infrastrukturen kooperativ
ergänzen. Dazu haben wir ein Konzept
00:26:56.910 --> 00:27:01.970
entwickelt, hat knapp 40 Seiten, da haben
wir teilweise in Workshops
00:27:01.970 --> 00:27:06.340
zusammengesessen mit dem BSI, mit dem BBK,
also Bundesamt für Bevölkerungsschutz und
00:27:06.340 --> 00:27:10.100
Katastrophenhilfe, BSI, Bundesamt für
Sicherheit in der Informationstechnik und
00:27:10.100 --> 00:27:14.819
mit dem CCC, also im Chaos Computer Club
und haben einfach mal Gebrainstormed: wie
00:27:14.819 --> 00:27:19.899
würde man eigentlich Ehrenamtler,
Ehrenamtlerinnen dazu bewegen, irgendwie
00:27:19.899 --> 00:27:24.400
bei echt Großschadenslagen – nicht bei,
wenn wir ein paar Bitwerte umkippen und
00:27:24.400 --> 00:27:28.460
aus Einsen Nullen werden, sondern wirklich
in so einer Lage hier, wo es wirklich auch
00:27:28.460 --> 00:27:34.100
um Existenzbedrohung geht und ein ganzer
Landkreis auch einfach mal viele Monate
00:27:34.100 --> 00:27:39.890
kaputt optimiert wurde und lahmgelegt ist
und noch viele Monate bleiben wird. Das
00:27:39.890 --> 00:27:43.340
wir da irgendwie in der Lage sind
irgendwie auch zu agieren. Noch mal
00:27:43.340 --> 00:27:48.260
letzter Hinweis lacht. Ja, das Cyber-
Hilfswerk. Was? Was ist eigentlich der
00:27:48.260 --> 00:27:52.799
Plan? Der Plan ist, man soll eine,
wirklich das Primärziel ist nicht dieser,
00:27:52.799 --> 00:27:56.490
diesem Betreiber*innen von kritischen
Infrastrukturen zu helfen und Primärziel
00:27:56.490 --> 00:28:00.860
ist auch nicht deren Ergebnis und Erlöse
sichern, oder diesen deren — weiß der
00:28:00.860 --> 00:28:04.809
Kuckuck — Produktionsanlagen schick und
stylisch zu halten oder die
00:28:04.809 --> 00:28:09.370
Eingangspforten. Nee, es geht einzig und
allein um die Wiederherstellung der
00:28:09.370 --> 00:28:14.210
Versorgung der Bevölkerung mit den
kritischen Dienstleistungen, was eben beim
00:28:14.210 --> 00:28:18.000
Sektor Staat und Verwaltung wäre, dass die
Fachverfahren funktionieren, dass die
00:28:18.000 --> 00:28:23.159
Bürgerinnen mit ihren Bedürfnissen und mit
der Not sozusagen dann auch sich an die
00:28:23.159 --> 00:28:27.330
Bürgerämter wenden können und wo auch
geholfen wird und gekümmert wird, ja dass
00:28:27.330 --> 00:28:31.120
auch Sozialabgaben monatlich auf dem Konto
landen und nicht gesagt wird: Ja, ist
00:28:31.120 --> 00:28:35.070
gerade 'ne Ransomware, wir können keine
Überweisungen mehr tun. Pech gehabt, gehst
00:28:35.070 --> 00:28:39.460
du leer aus. So funktioniert das nicht bei
Leuten, die in Not sind und diese Not dann
00:28:39.460 --> 00:28:44.910
auch brauchen, ja als Hilfe. Also IT-
Sicherheit verbessern reicht nicht aus.
00:28:44.910 --> 00:28:48.960
Müssen wir natürlich sowieso tun. Absolut.
Dürfen wir nicht vernachlässigen. Aber wir
00:28:48.960 --> 00:28:53.299
brauchen eben Incident Response und
Krisenbewältigungskapazitäten auf einer
00:28:53.299 --> 00:28:57.520
Basis von ehrenamtlichen digitalen
Katastrophenschutzhelferinnen. Ja, wir
00:28:57.520 --> 00:29:01.650
haben genug Know how in unserer Community.
Wenn das on our terms, also nach unseren
00:29:01.650 --> 00:29:05.940
Spielregeln funktioniert, dass wir sagen:
Ey, wir wollen da helfen, da kommen keine
00:29:05.940 --> 00:29:09.650
komischen Sicherheitsbehörden, machen
komischen foo, da rückt das BSI Mobile
00:29:09.650 --> 00:29:13.640
Incident Resonse Team aus, wir kommen da
bei, und dann muss man vielleicht sogar
00:29:13.640 --> 00:29:17.750
auch nicht eine Bundeswehr rufen, weil
wird schon alles gekümmert. Die Bundeswehr
00:29:17.750 --> 00:29:21.530
sollte der letzte Notnagel am Ende der
Kette sein. Wirklich der letzte Notnagel.
00:29:21.530 --> 00:29:25.191
Und nicht: ey, wir rufen mal kurz die
Bundeswehr. Die können wir mit einplanen
00:29:25.191 --> 00:29:29.220
und dann ist es kein Notnagel mehr,
sondern einkalkuliert. Die sollten niemals
00:29:29.220 --> 00:29:34.320
einkalkuliert sein, am besten nie genutzt
werden, weil wenn dann sozusagen The shit
00:29:34.320 --> 00:29:38.700
hits the fan, dann dann brauchen wir die
Bundeswehr wirklich, aber nicht in solchen
00:29:38.700 --> 00:29:43.280
Lagen, denn dafür ist das Cyber-Hilfswerk
gedacht. Ja und dafür werde ich jetzt in —
00:29:43.280 --> 00:29:48.230
du hast mich ja in diese in dieser Runde
rein genötigt — Expertenkreisen werde ich
00:29:48.230 --> 00:29:51.900
das jetzt für die AG Kritis dann auch
entsprechend vertreten und versuchen zu
00:29:51.900 --> 00:29:57.720
fördern, das wir das, ja ins Leben rufen.
Und dann wird vielleicht aus dem aus dem
00:29:57.720 --> 00:30:02.210
Anzünden und Brandroden vielleicht nur ein
professionell angepisst und dann ist die
00:30:02.210 --> 00:30:04.590
Welt wieder schön.
egouvernante: lacht
00:30:04.590 --> 00:30:08.120
HonkHase: Und damit übergebe ich wieder
zurück an dich. Bitte schön.
00:30:08.120 --> 00:30:12.905
egouvernante: Sehr gut. Und damit kommen
wir zu der ganzen Kategorie "Behind the
00:30:12.905 --> 00:30:17.280
Scenes" Best of Dienstleister. Nee,
Quatsch, Best of Kunden Beschimpfung. Ich
00:30:17.280 --> 00:30:21.059
glaube, dazu können wir da noch alle,
falls irgendeiner beim Lightning Talk
00:30:21.059 --> 00:30:25.799
abgesprungen ist, da kann ich E-Mails
vorlesen, die mich wunderbarerweise
00:30:25.799 --> 00:30:31.500
erreicht haben, nein kleiner Spaß. Also
ähm, es gab auch Situationen, die einfach
00:30:31.500 --> 00:30:38.809
in ihrer Art, in ihrer — alleine, in dem
Moment, in dem sie einen erreichen,
00:30:38.809 --> 00:30:44.980
unfassbar unglaubwürdig klingen. Also auf
der einen Seite klar, wenn, wenn es gut
00:30:44.980 --> 00:30:48.949
gemeint ist, ja. Also man sagt ja immer:
das Gegenteil von gut ist gut gemeint.
00:30:48.949 --> 00:30:55.200
Wenn Mitarbeiter auf die Idee kommen,
tatsächlich Dateien auf Memory Sticks zu
00:30:55.200 --> 00:30:59.530
sichern und die nach Hause zu schleppen,
um sie dann wieder ins Landratsamt zu
00:30:59.530 --> 00:31:04.570
bringen, dann könnt ihr das auch später
noch mal zu einem Problem werden. Was uns
00:31:04.570 --> 00:31:09.580
immer wieder getroffen hat, war, wenn IT-
Mitarbeiter direkt angesprochen wurden,
00:31:09.580 --> 00:31:14.880
weil irgendein Rechner auch ohne Netzwerk
auch und nur mit Drucker oder Scanner oder
00:31:14.880 --> 00:31:20.591
whatever sozusagen wieder wieder an den
Start gebracht werden mussten, dann ist es
00:31:20.591 --> 00:31:24.339
blöd, wenn es an der technischen
Einsatzleitung vorbeiläuft. Und es ist
00:31:24.339 --> 00:31:28.100
super blöd, wenn ich diese Ressourcen dann
irgendwo gebunden habe oder letztlich
00:31:28.100 --> 00:31:31.810
keine Rechner mehr hatte, ich platt machen
kann, weil alle irgendwie jetzt doch
00:31:31.810 --> 00:31:37.279
wieder in Benutzung sind. Spannend war
auch in den Runden die technische
00:31:37.279 --> 00:31:41.410
Einsatzleitung, welche das jetzt auch
immer war, zu erschlagen, wie es richtig
00:31:41.410 --> 00:31:45.140
ginge. Das führt dann tatsächlich zu
Situationen, dass man sein Mikrofon
00:31:45.140 --> 00:31:49.630
einschaltet und nach einem 10 minütigen
Vortrag, wie es richtig ginge, sagt so:
00:31:49.630 --> 00:31:54.809
Nein. Unverständige Gesichter, Mikrofon
noch mal an: Das ist technisch nicht
00:31:54.809 --> 00:31:59.290
möglich. Das auch, wenn wir uns sehr
wünschen, dass das Landratsamt wieder an
00:31:59.290 --> 00:32:04.390
den Start geht, sind verschiedene
Reihenfolgen einfach zu beachten.
00:32:04.390 --> 00:32:08.500
Highlight waren aber tatsächlich
Vertriebler, die direkt das Fachverfahrens
00:32:08.500 --> 00:32:12.880
Verzeichnis verlangt haben, OZG direkt
gleich mitmachen wollten und irgendwie mit
00:32:12.880 --> 00:32:18.059
einem leeren Kfz-Kennzeichen Datenbank
vielleicht am besten Morgen schon loslegen
00:32:18.059 --> 00:32:23.150
wollten. Aber sorry, Aubergine Aubergine
Zwinker-Smiley funktioniert nicht auf
00:32:23.150 --> 00:32:27.340
einem Kennzeichen und wir können nicht mit
doppelten Kennzeichen die Leute rumfahren
00:32:27.340 --> 00:32:31.190
lassen, das hat einfach
versicherungstechnischen Gründe. Auch
00:32:31.190 --> 00:32:35.850
waren Situationen, wo man einfach mit den
Geschäftsführern in einem Gespräch sitzt
00:32:35.850 --> 00:32:39.770
mit den Technikern und dann auf der
anderen Seite die Geschäftsführer und die
00:32:39.770 --> 00:32:43.160
dann permanent genervt die Augen
verdrehen, wenn man konkrete Details
00:32:43.160 --> 00:32:46.900
erfragt. Und einer war dann sehr arg
enttäuscht und kündigte an, dass er uns
00:32:46.900 --> 00:32:52.080
jetzt überall ausschmieren wird, wie
furchtbar wir sind und dass wir sozusagen
00:32:52.080 --> 00:32:56.242
nicht, dass diese Firma gewählt werden und
ich sei ne Landesverräterin, der Kollege,
00:32:56.242 --> 00:33:03.150
sei nen IT-Söldner. Und dabei war die
Entscheidung definitiv sehr objektiv und
00:33:03.150 --> 00:33:08.480
von Erfahrungswerten von allen am Tisch
getragen. So, also Ansagen wie: wir machen
00:33:08.480 --> 00:33:12.290
mal einen Termin und erklären, wie sie zu
uns in der Cloud kommen, und eigentlich
00:33:12.290 --> 00:33:15.800
interessiert uns ihre technische Ansicht
überhaupt nicht, sondern wir erklärens
00:33:15.800 --> 00:33:19.490
noch mal dem Hauptverwaltungsbeamten,
bringt Unruhe ins Haus und ist irgendwie
00:33:19.490 --> 00:33:25.160
auch nicht förderlich, weil wir letztlich
es doch umsetzen werden und müssen und
00:33:25.160 --> 00:33:29.210
sozusagen hier der Vertrauensverlust
tatsächlich schon vorprogrammiert ist. Und
00:33:29.210 --> 00:33:32.340
apropos nicht dabei sein: Wenn der
Auftraggeber oder wenn man 2
00:33:32.340 --> 00:33:37.780
Auftragnehmer hat, kam auch ganz gern mal
die Situation, wenn über Übergaben
00:33:37.780 --> 00:33:41.740
gesprochen werden soll, das wir am besten
gar nicht am Tisch sitzen, sondern dass
00:33:41.740 --> 00:33:46.549
die Dienstleister sich zusammensetzen, was
auch schwierig ist. Insofern versteh mich
00:33:46.549 --> 00:33:50.570
bitte auch einer, dass es immer wichtig
ist, ein IT-Projekt-Steuerer im Haus zu
00:33:50.570 --> 00:33:55.030
haben und das eine Landkreisverwaltung
überhaupt jegliche Behörde weiterhin in
00:33:55.030 --> 00:34:01.590
der Lage ist auch die Externen zu steuern,
und das ist essenziell notwendig. Wenn wir
00:34:01.590 --> 00:34:05.500
uns hier nicht die Butter vom Brot nehmen
lassen wollen. So, und Daten wollte auch
00:34:05.500 --> 00:34:09.510
kein Rechenzentrum von uns haben. Also das
hieß immer nur so: ja wir machen alles,
00:34:09.510 --> 00:34:13.230
aber waa, schickt uns bloß nichts, wir
wollen eure Daten definitiv nicht
00:34:13.230 --> 00:34:17.520
haben. Unser Leben als Aussätzige! Und
schön ist natürlich auch, wenn der
00:34:17.520 --> 00:34:21.690
Dienstleister einen dann gleich noch mal
erpresst. Also so was wie Budgetabsprachen
00:34:21.690 --> 00:34:26.480
hin oder her, mit einem Mal kostet es das
Dreifache. Besprechen wir aber auch nicht
00:34:26.480 --> 00:34:32.270
mit der Technik, sondern tatsächlich doch
mit dem Landrat wieder. Und ähm, dann
00:34:32.270 --> 00:34:36.170
immer natürlich auch mit dem Nebensatz,
bei den männlichen Kollegen: da draußen
00:34:36.170 --> 00:34:40.320
warten die Sniper, die warten nur, bis er
wieder am Netz seid. Bei mir waren es dann
00:34:40.320 --> 00:34:44.179
immer die Stalker, also
zielgruppengerechte Ansprache ist auch
00:34:44.179 --> 00:34:47.889
toll, aber irgendwie dann auch
durchschaubar und nervt. Und ja, und das
00:34:47.889 --> 00:34:51.680
waren tatsächlich dann auch die gleichen
Jungs, die meinten, wir haben ein paar
00:34:51.680 --> 00:34:55.910
Fortinets von einem Partner geordert, das
ist auch einer meiner Lieblinge und wir
00:34:55.910 --> 00:35:00.220
arbeiten damit; wenn wir hier euch wieder
beim Aufbau helfen. Von Open Source raten
00:35:00.220 --> 00:35:04.470
wir ab, das nehmen nämlich die Hacker, das
sind die, die euch angegriffen haben, das
00:35:04.470 --> 00:35:12.001
sind die, die euer System kaputt gemacht
haben. Äh … schwierig also. Man kann aber
00:35:12.001 --> 00:35:16.340
auch Glück im Unglück haben und das ist
auch eine schöne Situation, also wenn man
00:35:16.340 --> 00:35:20.240
zum Beispiel ein günstiges Angebot
schießt, dass wenn man 7 Managed
00:35:20.240 --> 00:35:25.460
Services für nur 10% des Preises im ersten
Jahr angeboten bekommt. Beim Kick off
00:35:25.460 --> 00:35:28.970
sollte dann aber tatsächlich ein
Fernsehteam dabei sein. Wir haben uns
00:35:28.970 --> 00:35:33.390
nicht für das Angebot entschieden. Und
jetzt noch ein ganz schöner Lichtblick:
00:35:33.390 --> 00:35:36.760
die Dienstleister, mit denen man
tatsächlich seit Jahren wirklich
00:35:36.760 --> 00:35:40.400
vertrauensvoll zusammenarbeitet und von
denen man natürlich auch ein Angebot
00:35:40.400 --> 00:35:46.890
anfordert, dann ist es natürlich schön,
wenn die einem das nötige Lizenzgeraffel
00:35:46.890 --> 00:35:53.160
direkt auf das Angebot schreiben und dann
auch wirklich dieses Wort benutzen. Und
00:35:53.160 --> 00:36:00.540
damit eigentlich so als kleines Fazit: der
Landkreis ist nicht das Opfer dieser
00:36:00.540 --> 00:36:06.890
Attacke. Mit den Expertenkreisen glaube
ich, dass wir jetzt das wirklich Gute
00:36:06.890 --> 00:36:12.440
schaffen können. Und wir sind im Rahmen
eines Forschungsprojektes eben auch daran,
00:36:12.440 --> 00:36:16.460
nachdem wir jetzt diese Awareness haben,
ein Forschungsprojekt aufzubauen, in dem
00:36:16.460 --> 00:36:22.020
wir für verschiedene Verwaltungsprozesse
digitale Zwillinge aufbauen, und
00:36:22.020 --> 00:36:26.330
tatsächlich gibt es eben auch das nächste
Projekt, und zwar das Open Data Ecosystem,
00:36:26.330 --> 00:36:33.609
und das ist Open Source, also Spielwiese
für die IoT-Hacker. Und das sozusagen als
00:36:33.609 --> 00:36:39.200
das Gute in der Katastrophe, die hier
passiert ist. Und ich glaube eben auch die
00:36:39.200 --> 00:36:44.470
wichtige Message, dass die
Landkreisverwaltung, dass die Behörden
00:36:44.470 --> 00:36:51.630
tatsächlich hier wirklich nacharbeiten
müssen. Wir kommen zu den Fragen. Jetzt
00:36:51.630 --> 00:36:58.080
kann es losgehen!
HonkHase: Genau, fragt uns Dinge. Es
00:36:58.080 --> 00:37:01.490
drohen Antworten!
00:37:01.490 --> 00:37:08.810
Herald: Ja, sehr sehr schön, vielen Dank!
Es gibt viele Fragen, und viele Fragen von
00:37:08.810 --> 00:37:14.910
den Hackern natürlich ist über die Deeds,
über die Details, über den Hack, wenn das
00:37:14.910 --> 00:37:19.660
Verschlusssache ist, gerne abwinken.
egouvernante: Wir wissen noch gar nicht so
00:37:19.660 --> 00:37:25.000
viel, das ist das Problem. Wir ist –
tatsächlich ist dadurch dass die Logfiles
00:37:25.000 --> 00:37:29.330
ja eben auch gelöscht wurden können wir
tatsächlich jetzt auch gar nicht so sehr
00:37:29.330 --> 00:37:31.960
viel sagen.
HonkHase: Also vielleicht mal
00:37:31.960 --> 00:37:37.300
grundsätzlich: Bei der Incident Response
ist es ja so, wenn man versucht, nach
00:37:37.300 --> 00:37:43.480
einem Ransomware Angriff den Betroffenen
zu helfen: es ist meist so, dass ja die
00:37:43.480 --> 00:37:49.540
die Angreifer, also das — noch mal, das
sind organisierte Bandenkriminelle, das
00:37:49.540 --> 00:37:53.430
ist ja nicht irgendwie Feld Wald Wiesen,
ja die gehen in die Systeme rein,
00:37:53.430 --> 00:37:57.660
kundschaften das alles aus, taxieren,
welche Höhe man sozusagen an
00:37:57.660 --> 00:38:02.290
Lösegeldforderung setzen kann im Preis-
Leistungsverhältnis, gerade hier im
00:38:02.290 --> 00:38:06.099
Landkreis Anhalt-Bitterfeld wurde ja dann
auch nach dem gesagt wurde: pff, ihr
00:38:06.099 --> 00:38:12.000
kriegt gar nichts, 200 Megabyte ungefähr
an Daten geleakt, um anzuteasern und zu
00:38:12.000 --> 00:38:15.670
sagen: Naja komm, vielleicht wollt ihr
doch? Haben aber dann gesehen dass sie
00:38:15.670 --> 00:38:19.800
damit auch nicht vorwärts kommen. Aber die
gehen natürlich so vor, dass die Backups,
00:38:19.800 --> 00:38:25.730
die online sind, entweder vorher aktiv
zerstört werden oder eben mit
00:38:25.730 --> 00:38:31.460
verschlüsselt werden. Ist auch so, das
schon seit langem Zugangsdaten wie ssh,
00:38:31.460 --> 00:38:36.580
Passwörter etc. mit abgegriffen werden, so
dass man auf die Linux Büchsen mit drauf
00:38:36.580 --> 00:38:41.440
geht und und sagt na dann plätten wir mal
kurz das Syslog und dann sind eben keine
00:38:41.440 --> 00:38:46.250
Logdaten mehr da, und wenn halt nichts
mehr da ist, und das meiste verschlüsselt
00:38:46.250 --> 00:38:49.760
ist, dann kannst du nur die Reste
rauskratzen. Das heißt, es gibt fast
00:38:49.760 --> 00:38:54.330
immer, muss man auch fairerweise so sagen,
sehr viele Angriffsvektoren, die zum
00:38:54.330 --> 00:39:00.140
Ziel hätten führen können, welcher es am
Ende genau war, das ist eigentlich sogar
00:39:00.140 --> 00:39:04.170
fast schon unerheblich, denn in erster
Linie will man ja den Wiederaufbau
00:39:04.170 --> 00:39:07.276
hinbekommen und die kritischen
Dienstleistungen wieder ans Laufen
00:39:07.276 --> 00:39:10.909
bekommen. Also insofern ist es sehr oft
der Fall, dass man das gar nicht so
00:39:10.909 --> 00:39:14.280
detailliert ermitteln kann.
egouvernante: Genau, und wir gehen davon
00:39:14.280 --> 00:39:19.460
aus, dass der Angreifer seit Beginn des
Jahres im System war. Und ja, tatsächlich
00:39:19.460 --> 00:39:22.780
wissen wir von einem sehr viel größeren
Datenabzug.
00:39:22.780 --> 00:39:28.140
HonkHase: Das macht es nicht besser, aber
es ist halt so.
00:39:28.140 --> 00:39:32.529
Herald: Datenabzug: ist bekannt, ob
tatsächlich Daten abgeflossen sind? Also
00:39:32.529 --> 00:39:35.460
ob die nicht nur verschlüsselt, sondern
auch geleakt wurden?
00:39:35.460 --> 00:39:40.120
egouvernante: Es sind Daten abgeflossen,
ja, geleakt, die 200 MB, aber es sind sehr
00:39:40.120 --> 00:39:42.820
viel mehr.
HonkHase: Es wurde doch — warte mal. Es
00:39:42.820 --> 00:39:45.922
gab eine öffentliche Stellungnahme dazu.
Ich glaube, es waren 60 …
00:39:45.922 --> 00:39:48.813
e: 62 Gigabyte, ja.
Ho: 62 Gigabyte an Daten wurden
00:39:48.813 --> 00:39:51.570
abgezogen und keiner weiß was genau
abgezogen wurde.
00:39:51.570 --> 00:39:53.756
e: Genau das.
Ho: Die 200 Megabyte sind geleakt
00:39:53.756 --> 00:39:56.470
worden. Da weiß man natürlich sehr genau,
was es war, ne …
00:39:56.470 --> 00:39:58.570
e: Das sind Protokolle aus
Landkreis–, genau.
00:39:58.570 --> 00:40:03.260
Ho: Genau. Aber es sind insgesamt 62
Gigabyte verschütt gegangen und da muss
00:40:03.260 --> 00:40:08.810
man auch sagen, dass ja sogar noch wenig.
Es gibt auch Vorfälle, da werden Terabytes
00:40:08.810 --> 00:40:14.980
vorher abgegriffen, ja.
Herald: Nach dem Wiederauf – achso, ihr
00:40:14.980 --> 00:40:20.329
seid dabei bei dem Wiederaufbau. Eine
Frage ist: gibt es Material, was
00:40:20.329 --> 00:40:23.020
unwiderruflich, unwiederbringlich zerstört
wurde?
00:40:23.020 --> 00:40:28.779
e: Der komplette Mailserver,
Daten des Umweltamtes, also alle von einem
00:40:28.779 --> 00:40:32.690
Standort, sozusagen die Server, die an
einem bestimmten Standort in Bitterfeld
00:40:32.690 --> 00:40:38.730
waren, und das Intranet ist weg. Und alles
andere müssen wir schauen. Also wir sind
00:40:38.730 --> 00:40:43.880
immer noch dabei, die Daten zu sichten und
eben zu überführen. Aber wir wissen
00:40:43.880 --> 00:40:47.930
definitiv, dass Daten des Umweltamtes weg
sind, dass eben der komplette Mailserver
00:40:47.930 --> 00:40:52.800
verschlüsselt wurde, das ja … und eben
auch das Intranet nicht mehr vorhanden
00:40:52.800 --> 00:40:59.990
ist.
Herald: Okay, eine andere Frage, mehr oder
00:40:59.990 --> 00:41:03.390
weniger seriös: Wie hoch war die
Lösegeldforderung, wenn das nicht
00:41:03.390 --> 00:41:06.119
Verschlusssache ist?
e: Nee, ich glaube, das war
00:41:06.119 --> 00:41:08.849
sogar mal veröffentlicht. Also das war
eine halbe Million.
00:41:08.849 --> 00:41:11.179
Ho: Genau
Herald: Ok
00:41:11.179 --> 00:41:14.260
e: in Monero.
Ho: eigentlich noch ein Schnäppchen,
00:41:14.260 --> 00:41:18.110
ne, eine halbe Million Mal, also, da gibt
es auch durchaus Angreifer, die deutlich
00:41:18.110 --> 00:41:22.880
mehr verlangen, aber, naja, sind ja nicht
zum Zuge gekommen.
00:41:22.880 --> 00:41:33.200
Herald: Okay, HonkHase, du hattest
Empfehlungen ausgesprochen. Ähm. Wo
00:41:33.200 --> 00:41:38.750
Freiwillige Amtshilfe leisten können,
sodass die Bundeswehr nicht angerufen
00:41:38.750 --> 00:41:44.430
werden muss. Rückblickend betrachtet war
es Amtshilfeersuchen an die Bundeswehr
00:41:44.430 --> 00:41:49.240
angemessen und wurde von offizieller Seite
her was getan, damit künftig nicht gleich
00:41:49.240 --> 00:41:51.711
die Bundeswehr wieder angerufen werden
muss?
00:41:51.711 --> 00:41:57.800
Ho: Also ob das angemessen ist, kann
egouvernante glaube ich besser darlegen
00:41:57.800 --> 00:42:02.480
als ich, denn sie war ja in den Details
drin. Ich kenne den Vorfall ja nicht von
00:42:02.480 --> 00:42:08.589
Innen her. Sie mag es sicherlich sinnvoll
vertreten, dass das das angemessen war.
00:42:08.589 --> 00:42:13.461
Meine Position ist, damit das nicht noch
mal passieren muss oder die Runde macht,
00:42:13.461 --> 00:42:17.660
sozusagen, ah, wenn was passiert, rufen
wir die Bundeswehr und dann schön, dann
00:42:17.660 --> 00:42:21.790
legen wir uns wieder schlafen oder sowas!
Kann man ja hier nicht behaupten. Hast ja
00:42:21.790 --> 00:42:27.940
jede Menge erzählt, was ihr da tut und
macht, aber dafür will ja die AG Kritis
00:42:27.940 --> 00:42:31.630
dieses Cyber-Hilfswerk ins Leben rufen, um
zu sagen: Dann haben wir auch genug
00:42:31.630 --> 00:42:36.880
Kapazitäten. Und wenn dann eben eine eine
kritische Infrastruktur betroffen ist,
00:42:36.880 --> 00:42:42.619
dann helfen wir aus der Community heraus
ehrenamtlich und kommen eben als
00:42:42.619 --> 00:42:48.911
Amtshilfeersuchen dahin, reparieren eben
diese Versorgung der Dienstleistung mit
00:42:48.911 --> 00:42:56.220
den Berufswiederherstellen sozusagen. Und
dann geht man gemeinsam verrichteter Dinge
00:42:56.220 --> 00:43:00.360
halt wieder da weg. Und das ist ja genau
das Ziel, dass dann so was wie wir rufen
00:43:00.360 --> 00:43:04.290
die Bundeswehr quasi überflüssig wird, im
Idealfall. Wie gesagt, die soll nur als
00:43:04.290 --> 00:43:08.750
Notnagel im extremsten Fall abgerufen
werden können. So.
00:43:08.750 --> 00:43:12.869
e: und das war der Fall und das
war der erste Fall. Und sozusagen das soll
00:43:12.869 --> 00:43:19.369
definitiv nicht Standard werden. In dem
Moment war es nur, dass wir technisch
00:43:19.369 --> 00:43:23.780
nicht in der Lage waren, uns selbst zu
helfen. Und insofern war es diese
00:43:23.780 --> 00:43:28.540
technische, also diese rein technische
ausführende Tätigkeit, die hier
00:43:28.540 --> 00:43:31.400
abgewickelt wurde.
Ho: Naja, Stand heute sind fast alle
00:43:31.400 --> 00:43:35.700
Kommunen ungefähr auf demselben Niveau.
e: Ja ich hoffe, dass es jetzt
00:43:35.700 --> 00:43:39.460
anders wird.
Ho: Okay, die Hoffnung stirbt
00:43:39.460 --> 00:43:43.940
zuletzt lacht
e: ja , AG Hoffnungsvoll, ne?
00:43:43.940 --> 00:43:46.260
lacht auch
Ho: Genau.
00:43:46.260 --> 00:43:50.690
Herald: Schön. Äh. Eine andere Frage ist:
wie weit ist die Erneuerung der
00:43:50.690 --> 00:43:54.480
Infrastruktur und werden Möglichkeiten
genutzt, um die Sicherheit zu verbessern?
00:43:54.480 --> 00:43:57.590
e: Es wird jede Möglichkeit
genutzt, die Sicherheit zu verbessern.
00:43:57.590 --> 00:44:01.500
Also das fängt bei der Dienstvereinbarung
an. Das fängt bei Awarenessschulungen an.
00:44:01.500 --> 00:44:05.349
Das … ich hatte es vorhin gesagt mit dem
IT-Sicherheitsbeauftragten. Das fängt mit
00:44:05.349 --> 00:44:10.640
der komplett neuen Aufstellung des IT-
Amtes an, und das geht natürlich auch da
00:44:10.640 --> 00:44:14.050
weiter, dass wir jetzt mehrstufige
Sicherheitskonzepte haben, die
00:44:14.050 --> 00:44:18.500
Arbeitsplatz-PCs nicht mehr mit allen
möglichen Rechten ausgestattet sind und,
00:44:18.500 --> 00:44:23.470
ja Passwort ist natürlich jetzt
unerheblich, aber die einfach das auch
00:44:23.470 --> 00:44:28.510
Passwörter auch mal ablaufen wieder. Und
das sind einfach Sachen die jetzt
00:44:28.510 --> 00:44:33.450
durchgeführt werden. Und was den Stand des
Wiederaufbaus betrifft: das Active
00:44:33.450 --> 00:44:37.920
Directory steht insoweit und die
Fachverfahren werden jetzt nach und nach
00:44:37.920 --> 00:44:42.250
wieder an den Start gehen. Und jetzt eben
auch die einzelnen Ämter werden jetzt nach
00:44:42.250 --> 00:44:45.970
und nach wieder ihre Arbeitsplatz-PCs in
Betrieb nehmen und die Clients sind
00:44:45.970 --> 00:44:51.660
gehärtet und so weiter und das bedeutet,
dass Ämter jetzt — Ich glaube, wir haben
00:44:51.660 --> 00:44:55.730
jetzt 4 oder 6 Ämter, die jetzt
tatsächlich wieder, wo jeder Mitarbeiter
00:44:55.730 --> 00:45:00.300
einen eigenen PC hat und nicht mehr einen
PC, der aus dem Notnetz bei der Sekretärin
00:45:00.300 --> 00:45:03.970
beim Amtsleiter steht und dort jeder
seinen E-Mail-Verkehr darüber abwickelt.
00:45:03.970 --> 00:45:08.070
Ho: Benutzt ihr dabei auch so krasse
Hacker Software wie Open Source?
00:45:08.070 --> 00:45:11.280
e: Wir arbeiten daran.
Ho: lacht, Mikro übersteuert kurz
00:45:11.280 --> 00:45:19.140
sehr schön!
Herald: Ja, schön. Zum Active Directory im
00:45:19.140 --> 00:45:24.590
Speziellen gab es die spezielle Frage:
Konnte man bei der forensischen
00:45:24.590 --> 00:45:28.320
Untersuchung einen Golden-Ticket Angriff
auf das Active Directory feststellen?
00:45:28.320 --> 00:45:34.770
e: Das kann ich nicht sagen.
Ich kann was anderes sagen zum Thema
00:45:34.770 --> 00:45:39.359
Active Directory. Und zwar, wir haben
tatsächlich auch erst mal nachgucken
00:45:39.359 --> 00:45:46.150
müssen, ob alle Mitarbeiter tatsächlich
auch bei uns arbeiten, also ob alle
00:45:46.150 --> 00:45:50.070
Einträge im Active Directory tatsächlich
noch hier Mitarbeiter bei uns sind oder ob
00:45:50.070 --> 00:45:54.070
das jetzt nicht irgendwie durch Zauberhand
mehr geworden sind. Und das war glaube ich
00:45:54.070 --> 00:45:57.640
die erste Tätigkeit, also die erste
Aktion, die wir hier durchgeführt haben.
00:45:57.640 --> 00:46:01.260
Und die auch wirklich lange dauerte,
tatsächlich erst mal zu schauen Sind die
00:46:01.260 --> 00:46:05.160
Azubis noch da? Das war im Endeffekt auch
eine Bestandsaufnahme aller Kollegen, die
00:46:05.160 --> 00:46:07.800
wir im Haus haben, was auch durchaus sehr
nützlich war.
00:46:07.800 --> 00:46:10.420
Ho: Historisch gereift sozusagen,
diese Benutzerliste.
00:46:10.420 --> 00:46:13.040
e: Absolut, ja.
Ho: Wie so oft und überall.
00:46:13.040 --> 00:46:16.885
e: Ja.
Ho: Genau.
00:46:16.885 --> 00:46:22.890
Herald: Sonst: gab es Backups? Zum
Beispiel in einem externen Rechenzentrum?
00:46:22.890 --> 00:46:27.428
e: Nein. Also ja, doch, bei
machen Fachverfahren und bei manchen
00:46:27.428 --> 00:46:30.720
Fachverfahren auch tatsächlich
überraschend. Da wussten wir gar nicht,
00:46:30.720 --> 00:46:35.710
dass die Backups von uns haben. Das war
auch neu und irritierend für den
00:46:35.710 --> 00:46:41.720
Datenschutzbeauftragten. Aber das …
zumindest hatten wir, hatten wir
00:46:41.720 --> 00:46:45.640
verschiedene Backups, aber eben auch
welche, die nicht in externen
00:46:45.640 --> 00:46:49.300
Rechenzentren sind und dann tatsächlich
auch jetzt händisch überprüft werden
00:46:49.300 --> 00:46:52.940
müssen, ob diese nicht vielleicht
kompromittiert sind. Also wir gehen davon
00:46:52.940 --> 00:46:57.450
aus, dass wir 80% bis 90% unserer Daten
zurückerhalten und dass die eben nicht
00:46:57.450 --> 00:47:00.040
beschädigt sind.
Ho: Aber nach viel Handarbeit beim
00:47:00.040 --> 00:47:02.330
wieder einspielen.
e: Ja, definitiv.
00:47:02.330 --> 00:47:07.450
Ho: Also vielleicht als Ergänzung
auch da. Backup ist halt schön, ne?
00:47:07.450 --> 00:47:11.600
Wiederherstellung ist noch viel cooler.
Alle, alle rufen nach Backup, aber
00:47:11.600 --> 00:47:14.950
eigentlich will keine Sau Backup. Alles
was man wirklich will ist die
00:47:14.950 --> 00:47:19.000
Wiederherstellung. Und die kriegt man eben
nur, wenn man ein sehr strukturiertes
00:47:19.000 --> 00:47:24.310
Backup Konzept hat mit mit Grandfathering
Modellen, mit rollierenden Backups, mit
00:47:24.310 --> 00:47:30.290
offline Backups wenn man… ihr habt 160
Fachverfahren glaube ich ungefähr?
00:47:30.290 --> 00:47:32.980
e: Ja.
Ho: Wenn man 160 verschiedene alte,
00:47:32.980 --> 00:47:37.190
historisch gewachsene Fachverfahren hat,
dann ist es nicht ein Backup auf ein Tape
00:47:37.190 --> 00:47:41.090
und dann ist gut und da legt man in den
Bankschließfach und wenn dann die Bösen
00:47:41.090 --> 00:47:47.270
kommen, dann packt man halt wieder aus und
sagt: Golden Ticket! Ich hab ein Golden …
00:47:47.270 --> 00:47:52.750
Golden Medium. So funktioniert das halt
nicht und insofern ist ein Backup Konzept,
00:47:52.750 --> 00:47:57.990
was auch die Wiederherstellung in einer
angemessenen Zeit sozusagen darstellt, für
00:47:57.990 --> 00:48:03.268
sich eine sehr sehr komplexe
Prozessaufgabe.
00:48:03.268 --> 00:48:07.530
Herald: Okay, ich kann mir vorstellen,
dass ist jetzt in den Wiederaufbau mit in
00:48:07.530 --> 00:48:11.630
den Plänen reingeschrieben.
e: absolut ja, klar.
00:48:11.630 --> 00:48:13.780
Herald: ok.
Ho: jetzt schon, ne?
00:48:13.780 --> 00:48:17.760
e: Ja, genau. Ja, ach das fängt
schon an, alleine wenn wir jetzt in diesem
00:48:17.760 --> 00:48:21.770
Zwischenbetrieb sozusagen schon
Fachverfahren am Start haben, die gar
00:48:21.770 --> 00:48:26.259
nicht im Zielsystem sind und im Ziel-IT-
System sind und wir dann beginnen, jetzt
00:48:26.259 --> 00:48:30.369
erst mal schon so Daten zu erheben, die
wir dann später wieder überführen müssen.
00:48:30.369 --> 00:48:33.780
Das wird dann auch noch mal sehr viel Spaß
machen.
00:48:33.780 --> 00:48:39.359
Herald: Ok, ja vielen Dank! Achso äh,
möchtest du noch was?
00:48:39.359 --> 00:48:44.260
Ho: Ne, alles gut, ich meinte nur
Spaß am Gerät! Das gehört ja zum Chaos
00:48:44.260 --> 00:48:49.050
dazu, das passt. lacht
Herald: Schön! Vielen Dank für die
00:48:49.050 --> 00:48:56.290
Einblicke in die Welt des Amtes und der
Digitalisierung. Vielen Dank HonkHase und
00:48:56.290 --> 00:49:01.190
egouvernante.
HonkHase: Ja, vielen Dank, bis zum
00:49:01.190 --> 00:49:05.110
nächsten Mal!
egouvernante: Vielen lieben Dank, Ciao!
00:49:05.110 --> 00:49:11.440
Herald: Tschüss! Sehr schön. Als nächstes
um 21:30 Uhr: "Local Emission Framework:
00:49:11.440 --> 00:49:17.970
Klimaschutz vor deiner Haustür". Hier aus
dem ChaosZone Studio aus Halle. Bis dahin!
00:49:17.970 --> 00:49:22.580
Abspannmusik
00:49:22.580 --> 00:49:29.000
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!