-
rC3 NOWHERE Vorspannmusik
-
Herald: Willkommen zurück in Halle, aus
unserem ChaosZone TV-Studio. Der nächste
-
Vortrag ist von egouvernante und HonkHase,
es geht um "Rebuilding Landkreis Anhalt-
-
Bitterfeld". egouvernante ist eigentlich
eine Projektkoordinatorin zur
-
Digitalisierung im Landkreis, hat sich
aber im Juli 2021 als Einsatzleiterin "das
-
technische Feuer zu bekämpfen"
wiedergefunden. HonkHase ist ein Urgestein
-
im Chaos Computer Club und hat viel
Erfahrung mit Cybersicherheit als Berater.
-
Er ist auch politisch aktiv in der NGO AG
Kritis für kritische Infrastruktur. Viel
-
Spaß!
-
egouvernante: Ja hi und schönen guten
Abend zusammen! Wir freuen uns, dass ihr
-
hier seid, um euch ein bisschen was aus
erster Hand zum Vorfall im Landkreis
-
Anhalt-Bitterfeld anzuhören. Seit ich
meine eigentlichen, also in meine
-
eigentlichen Aufgaben als CDO
zurückgekehrt bin, nehme ich öfter mal an
-
Webkonferenzen teil und dann höre ich
öfter mal so die Argumentation: hört auf
-
mich, egal was ich erzähle, ne, sonst geht
es euch wie denen, nämlich dem Landkreis
-
Anhalt-Bitterfeld. Und ich denke, das ist
einfach ein bisschen zu kurz gesprungen.
-
Und ich glaube, der Vorfall taugt
letztlich zu mehr als nur zum
-
Verkaufsargument der eigenen Ansichten.
Und deswegen der Titel "Rebuilding
-
Landkreis Anhalt-Bitterfeld". Ich berichte
ein bisschen was zum Wiederaufbau.
-
HonkHase hatte mich heute als konstruktiv
angekündigt. Das heißt, ich gebe mir Mühe,
-
und Zeit also ein paar Erfahrungen zu
teilen. Und inzwischen haben wir nämlich
-
auch die Zeit und die Nerven dafür.
"Rebuilding Landkreis Anhalt-Bitterfeld".
-
Also was war passiert? Am 6.7. hat ein
Mitarbeiter im Amt für Brand-,
-
Katastrophenschutz und Rettungsdienst
seinen Arbeitsplatz-PC eingeschaltet und
-
sah genau das hier, was auf der Folie zu
sehen ist. "Landkreis Anhalt-Bitterfeld:
-
You are fucked do not touch anything".
Persönliche Ansprache, ungewöhnlich klares
-
Statement, das ist man in der Form in der
öffentlichen Verwaltung ja erstmal nicht
-
gewohnt, aber ein schneller Anruf bei der
IT sollte eigentlich genügen. So zumindest
-
die Denkweise der Mitarbeiter, und die
würden sich dann schon drum kümmern, und
-
dann geht es normal weiter. Der Anruf war
so gegen 6:45 Uhr und trat etwas los, was
-
uns jetzt wahrscheinlich noch bis Ende
März '22 begleiten wird. Was war konkret
-
passiert? Also am Morgen des 5.7. gehen
wir davon aus, dass auf mehreren Systemen
-
codierte PowerShell Befehle ausgeführt
wurden, um Backdoors zu etablieren. Also
-
die ersten Verschlüsselungaktivitäten gab
es dann am 6.7., Das ist der Tag, an dem
-
wir dann auch davon mitbekommen haben,
davon etwas mitbekommen haben. Das war
-
schon gegen 4:30 Uhr und auf anderen
Systemen begann die Verschlüsselung
-
hauptsächlich erst gegen 6:30 Uhr und auf
jedem System wurden zu verschiedenen
-
Uhrzeiten die Security Logs und einige
andere Ereignisanzeigenlogs geleert und im
-
Anschluss daran eine Remote-Desktop
Sitzung getrennt. Also zusätzlich wurde
-
das Remote-Desktop Protokoll gelöscht. Das
heißt, wir werden im Endeffekt gar nicht
-
mehr so viel wissen können. Wir werden im
Endeffekt keine, keine Informationen,
-
letztlich also bis zum Schluss haben und
es ist lediglich bekannt, wann die Sitzung
-
hier beendet wurde. Und es ist weiterhin
davon auszugehen, dass die Verschlüsselung
-
von Hand ausgelöst wurde, da bei den
Systemen, bei denen eine komplette
-
Abmeldung durchgeführt wurde, die Systeme
aufhörten Daten zu verschlüsseln. Aber da
-
uns die Logs fehlen, kann kaum
nachvollzogen werden, welche Tätigkeiten
-
auf welchen Systemen denn vom Angreifer
durchgeführt wurden. Es ist aber
-
wahrscheinlich, dass der Angreifer sich
bewusst im System bewegt hat und eben auch
-
entsprechend ausgewählt hat, was er dort
tut. Die ersten Erkenntnisse haben dann
-
auch gezeigt, dass der, dass der Angreifer
mit PowerShell Scripts gearbeitet hat und
-
eben um diese Backdoors zu installieren.
Und was auch gesagt werden kann ist, dass
-
die Verschlüsselung sehr schnell lief und
dass eben großer Schaden angerichtet
-
wurde. Das bedeutet im Endeffekt, dass wir
davon ausgehen mussten, dass das komplette
-
System kompromittiert ist. Und das
bedeutet eben auch, dass wir hier die
-
ganzheitliche Verfahrensweise geplant
haben. So, also in der Pressemitteilung
-
war es dann so formuliert und dann eben
auch wurde es dann eben auch so
-
weitergeführt. Also aus einer ungeklärten
Quelle kam es zur Infektion mehrerer
-
Server des Netz — mehrere Server des
Netzwerkes. In dessen Folge kam es zur
-
Verschlüsselung einer noch nicht näher
spezifizierten Anzahl von Dateien und als
-
Sofortmaßnahme wurden alle kritischen
Systeme vom Netz getrennt um einen
-
eventuellen Datenabfluss zu unterbinden.
Und im Katastrophenmodus sind wir seit dem
-
9. Juli 2021 seit 11 Uhr, da waren 3
Tage vergangen. Also im Vorfeld gab es den
-
Stab für außergewöhnliche Ereignisse. Was
wir in der Zwischenzeit erledigt und
-
probiert haben, das habe ich schon mal bei
der Stiftung Neue Verantwortung berichtet.
-
Also kann dann auch nachgehört werden.
Aber vielleicht stellt sich aber nun
-
anhand der vorangegangenen Informationen
jetzt eigentlich nicht mehr so sehr die
-
Frage, warum wir den Katastrophenfall
ausgelöst haben. Denn eigentlich war es
-
relativ schnell klar, dass wir die
technische Infrastruktur, also das die
-
technische Infrastruktur tatsächlich
zeitlich länger ausfallen würde und auch,
-
dass es ganz objektiv über das
Eigentliche, also das Ausmaß eines
-
alltäglichen Schadensereignisses
hinausgeht, und dabei eben auch wie man es
-
so sagt, die erheblichen Sachwerte oder
lebensnotwendige Versorgungsmaßnahmen,
-
wenn man das jetzt mal herunterbricht auf
die Aufgaben des Sozialamtes tatsächlich
-
für die Bevölkerung gefährdet sind oder
eben eingeschränkt waren. Und das eben wie
-
gesagt auf lange Zeit. Oder drücken wir es
mal anders aus: also die Dienste für
-
unsere zahlreichen oder zentralen, eben
auch Geschäftsprozesse konnten auf einen
-
absehbaren Zeitraum nicht mehr erbracht
werden, und es stand zu dem Zeitpunkt
-
weder ein Backup bereits, auf das wir
zugreifen konnten, noch wussten wir, ob
-
diese Backups nicht auch kompromittiert
waren. Insofern stand das erstmal auch
-
nicht zur Debatte. Und dann muss man eben
auch im Hinterkopf haben, dass die
-
Erklärung oder nicht-Erklärung des
Katastrophenfall eben auch weitreichende
-
juristische Konsequenzen für eine
Verwaltung haben kann. Und da geht es um
-
Schadensersatzforderungen, die dann
tatsächlich auch im Endeffekt an uns
-
herangetragen wurden, weil eben Autos
nicht zugelassen werden konnten oder
-
Termine nicht vergeben wurden und so
weiter. Und vielleicht ist es ein guter
-
Zeitpunkt, um mal so in kurzen Auszügen
ein bisschen was zu den Aufgaben der
-
Landkreisverwaltung erzählen, ohne zu,
ohne jetzt so wahnsinnig ins Detail zu
-
gehen. Das Amt 50, also unser Amt für
unser Sozialamt, ist zuständig für die
-
Sozialhilfe. Ich denke, das stand im
Vorfeld, das war das Wichtigste, weil das
-
waren die Leute, die uns direkt angerufen
haben. Also deren Aufgabe ist die
-
Auszahlung der Sozialhilfe oder die
Berechnung der Sozialhilfe. Das ist die
-
Altenhilfe, die Feststellung und
Durchsetzung von Unterhaltsansprüchen. Und
-
da geht es um ganz essentielle
Angelegenheiten der Menschen. Und ohne das
-
Amt 20, also die Kämmerei, passiert da
auch nicht viel, denn das wickelt den
-
kompletten Zahlungsverkehr ab und es
reicht nicht, das zu berechnen, sondern es
-
muss auch tatsächlich ausgezahlt werden
können. Mahnverfahren müssen eingeleitet
-
werden und so weiter. Also mit dem Bereich
Soziales, oder in den Bereich Soziales
-
fallen des Amts für
Ausländerangelegenheiten, aber eben auch
-
das Jugendamt. Letzteres hat, um so die
Vehemenz und Dringlichkeit der, der
-
Aufgaben zu erklären, ein Schutzauftrag
zum Beispiel bei Kindeswohlgefährdung. Und
-
das heißt, ihr obliegt eben auch die die
Geltendmachung von Unterhaltsansprüchen,
-
also Unterhaltsvorschussgesetz und so
weiter. Und das sind Vorgänge, die eben
-
existenziell wichtig sind für die Bürger
und auch wirtschaftlich existenziell
-
bedrohlich sind tatsächlich auch die
Leistungen des Ordnungsamtes, weil hier
-
drin untergliedert sind eben auch die KFZ-
Zulassung und die und die
-
Führerscheinangelegenheiten, also das
Fahrerlaubnisrecht. Und das kann eben
-
alles sein, vom PKW bis zum Mähdrescher.
Und Menschen leben vom Handel mit
-
Fahrzeugen, sie leben aber auch mitunter
mit der, also von der Nutzung ihrer
-
Fahrzeuge, indem sie einfach zur Arbeit
fahren. Und dann spielt auch eine ganz
-
tatsächlich, also sehr wichtige Rolle, wie
jeder weiß, das Gesundheitsamt und die
-
Verhütung und Bekämpfung eben übertragbare
Krankheiten steht da im Fokus. Also jetzt
-
unser Infektionschutzgesetz geradezu zu
Covid-19-Zeiten ist so aktuell wie nie.
-
Und auch nicht ganz unproblematisch ist
eben auch die fehlende Überwachung der
-
Leichenschau und der von Totenscheinen.
Und ich will jetzt nicht allzu sehr weiter
-
ins Detail gehen. Aber die
Landkreisverwaltung hat eben auch in dem
-
Bereich des Inneren Aufgaben, die ganz
normal durchgeführt werden müssen. Also
-
das sind normale Vergaben, das sind
Bekanntmachungen. Das ist aber eben auch
-
die Organisation des Sitzungsdienstes, und
weil die politischen Gremien eben auch
-
nicht, weil wir einen Katastrophenfall
haben, die Arbeit einstellen. Und die
-
erste Frage lautete dann eben auch vom
BSI, ob wir noch die Möglichkeit haben bei
-
der Bundestagswahl — also wir haben
natürlich auch den Kreiswahlleiter, also
-
ob die Bundestagswahl quasi in unserem
Kreis gefährdet ist. Ansonsten
-
Schulverwaltungsamt, klar, uns geht
wahnsinnige Summen verloren, wenn wir
-
jetzt z.B. beim Digitalpakt Schule
nicht arbeiten können und auch Veterinär-
-
und Lebensmittelüberwachung, das mit der
Tierseuchenbekämpfung, dem Tierschutz und
-
dem Schlachttier- und Fleischbeschau
befasst, ist natürlich irgendwo auch
-
kritisch bei der bei der
Lebensmittelproduktion so einzuordnen. Und
-
wenn wir jetzt auch mal den Blick nach
Innen richten warum dieser
-
Katastrophenfall ausgelöst wurde, wussten
wir zu dem Zeitpunkt nicht, wann wir
-
irgendwas wieder hochfahren können und
wenn wir es hochfahren, dass
-
gegebenenfalls die Verschlüsselung
weitergeht. Und deswegen musste neue
-
Technik beschafft werden, insbesondere
auch bei der Bereitstellung des Notnetzes.
-
Und im Normalfall ist man als Verwaltung
an Vergaberecht gebunden. Also diejenigen
-
von euch, die mit Verwaltungen arbeiten,
kennen das, wie lange sich das hinziehen
-
kann. Und auch wenn aktuell über die
Vereinfachung verstärkt diskutiert wird —
-
was absolut notwendig ist! — in unserem
Fall hat das Feststellen des
-
Katastrophenfalls dafür gesorgt, dass
Technik erst mal ohne Vergabeverfahren
-
beschafft werden konnte. Also es musste
nicht das komplette Vergabeprozedere hier
-
durchexerziert werden. Es musste nicht
geprüft werden, ob die Gelder im Haushalt
-
zur Verfügung stehen. Es musste nicht das
Rechnungsprüfungsamt bestätigen, dass die
-
Gelder zur Verfügung stehen, der
Vergabeausschuss musste nicht einberufen
-
werden und zusammenkommen und ähm, ohne
Zugriff auf die Daten wäre auch
-
tatsächlich nichts von all dem möglich
gewesen. Und die Technik für das Notnetz,
-
das innerhalb einer Woche an 3
Standorten aufgebaut wurde, Lieferfristen
-
dann eben auch eingerechnet, konnte nach
einer ad-hoc Vorstellung so einfach, also
-
nach einer ad-hoc Vorstellung von 3
Systemhäusern dann eben einfach beauftragt
-
werden, was wahnsinnig geholfen hat und
was eben auch der Schnelligkeit, die
-
eigentlich in den ersten Phasen sein muss,
entspricht. Und weiter geht's mit dem
-
Ressourceneinsatz. Also alles, was im Haus
"IT" buchstabieren konnte, wurde
-
zusammengezogen. Das heißt, das Sachgebiet
EDV war zu diesem Zeitpunkt noch im Amt
-
für Organisation, Personal und EDV
zugeordnet. Andere IT-Kollegen waren dem
-
Schulverwaltungamt zugeordnet und ich,
weil ich eher in den Themen Verwaltungs-,
-
Prozesse OZG und Digitalisierung und
Digitalstrategie tätig bin, war dem Amt
-
für zentrale Steuerung und Recht
zugeordnet. Und mit der Benennung als
-
technische Einsatzleitung oder technische
Einsatzleiterin war ich dann tatsächlich
-
mit einem Mal nicht mehr Einzelkämpferin,
sondern hatte eine ganze Traube Menschen
-
bei mir, also die ITler, die Fachexperten
und eben auch die Assistenten. Und ich
-
muss an der Stelle auch sagen, dass ich
mich von Tag eins an geweigert habe, das
-
Sachgebiet EDV als solches zu benennen,
sondern hatte die tatsächlich immer gleich
-
IT benannt, was dann irgendwann mal dazu
führte, dass im Kat-Stab abgefragt wurde.
-
Heißen die jetzt IT? Und wir dann diese
Verwaltungsmodernisierung wenigstens in
-
diesem Punkt sofort umgesetzt haben. Also
jedenfalls, das war noch mal wichtig zum
-
Thema Ressourceneinsatz. Der war jetzt
händelbar, denn tatsächlich ging es in den
-
ersten Stunden oder in den ersten Tagen
und Wochen auch um den Zugriff auf
-
Besprechungsräume, die Kommunikation mit
Externen, die Beschaffung von Technik, den
-
Personaleinsatz am Wochenende und in der
Nacht, die Anpassung der
-
Bereitschaftsdienste, des Wachschutzes und
auch um die – ganz profanen, die
-
Verpflegung der Mitarbeiter. Und das wäre
tatsächlich auch ohne Katastrophenfall in
-
der Form nicht möglich gewesen und auch
nicht in der Schnelligkeit. Also wie
-
kommts zum Katastrophen Stab und Incident
Response? Weil da ist es schon so ein
-
bisschen kollidiert und ich hatte eben
kurz an die Externen und die Gremien
-
angesprochen und es war in erster Linie
natürlich der Katastrophenstab als
-
wichtigstes Entscheidungsgremium, das war
die technische Einsatzleitung 1 und die
-
technische Einsatzleitung 2, komme ich
gleich noch mal darauf zu. Und auch die
-
Arbeitsgruppe Wiederaufbau, deren
Entscheidungen mittel- bis langfristig
-
wirken. Und damit waren eben tatsächlich
die Kollision vorprogrammiert. Die einen,
-
die da zum einen länger an der Behörde
bleiben und die anderen, die relativ
-
schnell auf klare Entscheidungen drängen
müssen. Ähm … und das trifft mitunter da
-
drauf, dass so ein Verhalten an den Tag
gelegt wird und dann auch zusätzlich eine
-
neue Hausspitze etabliert wird oder
gewählt wurde und dann eben sein Amt
-
antritt. Das war 3 Tage nach dem
Katastrophenfall, dass dann eben auch so
-
die eine oder andere Diskussion entstand,
die tatsächlich nicht hätte sein müssen,
-
die man durchaus sehr, sehr abkürzen
konnte. Also, als Externe waren dabei das
-
Finanzministerium, es war das Bundesamt
für Sicherheit in der Informationstechnik
-
dabei, es war tatsächlich auch die
Bundeswehr dabei, es war das CERT Nord
-
dabei, das Landeskriminalamt, einen
Kollegen, ein Professor von der Hochschule
-
Harz, und tatsächlich waren alle in ihrem
Bereich für uns sehr hilfreich. Und noch
-
mal im Detail zu den Rollen Technische
Einsatzleitung I und II, also die während
-
technische Einsatzleitung I mit der IT
Infrastruktur mit dem Wiederaufbau
-
beschäftigt war, war es bei der II die
Wiederinbetriebnahme der Fachverfahren und
-
eben auch die Priorisierung der
Wiederinbetriebnahme der Fachverfahren.
-
Und auch wenn man meinen müsste, man baut
zunächst die Infrastruktur auf, das wäre
-
das einfachste und danach nimmt man die
Fachverfahren wieder in Betrieb. Das
-
funktioniert tatsächlich nicht, weil die
Verwaltung im laufenden Betrieb
-
weitergearbeitet hat, weil es
funktionierte das Telefon, es
-
funktionierte, das Fax und die Türen waren
auch offen. Und das bedeutet, dass
-
eigentlich die die Ansprüche an die
Verwaltung und eben auch die, die Anfragen
-
und Anträge an die Verwaltung tatsächlich
nahtlos weitergingen. Und ich hatte schon
-
vorhin gesagt, dass für viele Bürgerinnen
und Bürger und Unternehmen ist die
-
Leistungserbringung durch die Kommune
existenziell, und wenn wir uns noch mal
-
das Beispiel KFZ Zulassung so vornehmen,
dann haben Leute vielleicht ein Auto
-
gekauft oder sie haben es kaputt gefahren,
oder keine Ahnung, auf jeden Fall, während
-
eine Abmeldung möglich ist, ist eine
Anmeldung tatsächlich nur am Wohnort
-
möglich. Also das heißt, dieses
Wohnortprinzip gilt hier tatsächlich ganz,
-
also ganz vornehmlich sozusagen. Und das
heißt dieses, dass die Fachverfahren in
-
den anderen Kommunen, also es hätte keine
Amtshilfe stattfinden können, weil einfach
-
die ganz profanen, die Gemeindeschlüssel
auch nicht hinterlegt sind oder hinterlegt
-
werden können und — oder anderes Beispiel
Genehmigungfiktion: das bedeutet,
-
entscheidet eine Behörde, eine zuständige
Behörde nicht innerhalb einer bestimmten
-
Frist über eine beantragte Genehmigung, so
geht die Genehmigung als erteilt. Und das
-
hat Potenzial für durchaus ausufernde
Streitigkeiten und richtig große Schäden,
-
die im Nachgang entstehen. Und das Ganze
musste auch immer mal wieder abgewogen
-
werden. Das heißt, diese Listen waren
erstmal flexibel und die Diskussion war
-
eine permanente Diskussion zwischen der
technischen Einsatzleitung I und der
-
technischen Einsatzleitung II. Und dann
gab es eben auch noch ganz andere
-
Abwägungen und Entscheidungen. Also das
war … ähm … es war eine Entscheidung, die
-
Frage, ob die Verwaltung in die Cloud
geht, wo dann eben auch der Personalrat
-
beteiligt werden muss. Es waren Fragen, ob
man mit dem Forensikteam weiterarbeiten
-
kann und möchte, es waren Fragen, ob man
Aufgaben und Leistungen in Rechenzentren
-
auslagert. Und es war natürlich auch die
Entscheidung: es stand eine Erpressung im
-
Raum, ob man beispielsweise dieser
Lösegeldforderung nachgeht, was aber sehr
-
schnell klar war, dass dem nicht so sein
wird. Und unter den besten
-
Herausforderungen, da gibt es gleich noch
ein paar Anekdoten am Ende, so, aber wir
-
kommen zu der Organisation. Nur ganz kurz
Also was hatte sich sofort verändert, im,
-
direkt im Anschluss an diesen
Katastrophenfall? Also ich habe es gerade
-
noch auf der letzten Folie. Die IT stand
im Fokus. Also das Zusammenziehen der IT
-
Mitarbeiter*innen wurde beibehalten
inzwischen, das Sachgebiet wird jetzt in
-
ein eigenes Amt überführt und nimmt eben
auch die Mitarbeiter des
-
Schulverwaltungsamtes auf, also die IT-
Mitarbeiter des Schulverwaltungsamtes und
-
eine Amtsleiterstelle wurde
ausgeschrieben. Und auch der IT
-
Sicherheitsbeauftragte wird neu benannt,
und dadurch, dass da auch dafür keine neue
-
Stelle geschaffen wird und niemand aus dem
operativen Bereich IT-
-
Sicherheitsbeauftragter werden kann, also
aus dem operativen Bereich der IT-
-
Abteilung, muss jemand gefunden werden,
tatsächlich gibt es auch Interessenten,
-
aber das Land unterstützt auch hier diese
Interessenten dann eben auch zu schulen,
-
damit die wissen, was sie da tun. Und die
erste Aufgabe wird es eben sein IT-
-
Sicherheitskonzept zu schreiben und das
Ganze muss dann die Dienstvereinbarung
-
ergänzen. Und organisatorisch wurde all
das bestimmt, was jetzt sozusagen nahezu
-
mit Bordmitteln möglich war und wofür
nicht extra irgendwelche Finanzmittel
-
bereitgestellt werden müssen. Also was den
Wiederaufbau betrifft, sind wir hier
-
weiterhin dabei Entscheidungen für die
Zukunft zu treffen. Also das passiert in
-
der Arbeitsgruppe Wiederaufbau und auch
die wird noch weit nach dem
-
Katastrophenfall bestehen müssen.
Ansonsten ist geplant oder ist es nicht
-
nur geplant, sondern eben auch soll der
IT-Grundschutz so umgesetzt werden, wie
-
wir das uns finanziell leisten können und
wie es notwendig ist und wie es
-
tatsächlich auch wichtig ist, um wieder
sozusagen arbeiten zu können. Und nicht
-
bewilligt wurden erst mal
Mitarbeiter*innen und auch hier wieder die
-
Grundlage der Politik, also sozusagen im
Kreis- und Finanzausschuss wurden erst mal
-
keine neuen Stellen bewilligt und auch
hier war die Diskussion erst mal wieder
-
groß, ähm, die Leute, die gebraucht
werden, dann auch für diese Positionen zu
-
argumentieren. So, noch kurz zur
Wiederherstellung und zur Komplexität der
-
Fachverfahren. Zunächst mal ist das
Landratsamt nicht abgebrannt. Also das ist
-
das, was wir am Anfang immer wieder sagen
mussten: das große Geschäft mit dem
-
Landkreis war also nicht zu machen, und
überhaupt lautete der Auftrag, den
-
Landkreis wieder aufzubauen, und nur
diesmal in sicher. Und daher auch der
-
Titel den "Rebuilding Landkreis Anhalt-
Bitterfeld". Es sollte kein neuer
-
entstehen. So, der Wiederaufbau des Active
Directory ist inzwischen abgeschlossen.
-
Aktuell erfolgt jetzt so schrittweise die
Neuinstallation der Fachverfahren und eben
-
auch sind wir hier gebunden an die
Kapazitäten der Fachverfahrenshersteller.
-
Und was jetzt noch passiert ist die
Absicherung der Verfahrensserver. So, und
-
ansonsten funktioniert auch das wieder
nach der Priorisierung und — ich kürze das
-
Ganze mal ein bisschen ab, wir kommen zur
Schadensbilanz: die sieht wie folgt aus,
-
also die Kosten belaufen sich aktuell auf
2 Millionen. Weitaus mehr als die Lösegeld
-
Summe war, Mittel, die auch nicht
unbedingt zusätzlich jetzt im Haushalt
-
ausgegeben werden, aber mit dem geplanten
? Budget im nächsten für oder für das
-
nächste Jahr verrechnet wurden und quasi
jegliche Planung erst mal zunichte gemacht
-
haben, es sind neue Konflikte entstanden.
Konflikte zwischen Infrastruktur und
-
Anwendungsbetreuern, im Zusammenspiel der
Kollegen untereinander. Auch das Vertrauen
-
in die Digitalisierung ist nachhaltig
zerstört. Also die ersten Antworten dazu
-
waren: ach hätten wir mal noch die
Papierakte behalten, und dann haben wir
-
ein Datenverlust im Umweltamt. Wir haben
vollends verschlüsselte Mailserver und wir
-
haben ein verlorenes Intranet. Und
tatsächlich waren einige Mitarbeiter ins
-
Homeoffice gewechselt, um dort Internet
und überhaupt Technik zu haben, um
-
überhaupt weiterarbeiten zu können. Denen
jetzt zu sagen, ihr dürft eure private
-
Technik nicht mehr benutzen und auch vor
dem Hintergrund, dass sie jetzt ein
-
anderes Arbeiten eben auch gelernt haben
oder sich angelernt haben, ist es
-
natürlich schwierig, dort einfach
zurückzukehren. Wir hatten extrem viel
-
Hilfe durch andere Landkreise. Wir hatten
super viel Hilfe durch kreisangehörige
-
Städte und Gemeinden explizit. Auch durch
das Land und den IT-
-
Sicherheitsbeauftragten, der uns über
Monate eigentlich in Amtshilfe, also nach
-
dem Amtshilfeersuchen, sozusagen zur
Verfügung gestellt wurde und durch das BSI
-
und eben auch durch die Bundeswehr, die
explizit technisch unterstützt hat. Aber
-
das heißt eben auch, dass wir in der
Verantwortung sind und sein möchten, den
-
Wissenstransfer jetzt zu initiieren, und
wir gehen davon aus, uns hat es in dem
-
Moment richtig erwischt. Wir sind
allerdings die ersten, und werden nicht
-
die einzigen bleiben. Und insofern ist es
wichtig, dass hier der Wissenstransfer
-
stattfindet. Und tatsächlich denke ich
auch, dass der Steuerzahler das erwarten
-
kann. Und zudem haben wir nebenbei auch
schon so viele Fragen beantwortet, und so
-
vielen Konferenzen teilgenommen, bei Frag
den Staat geantwortet, in Ausschüssen Rede
-
und Antwort gestanden und, also das
ziemlich deutlich wurde, dass das
-
Interesse da ist. Und damit übergebe ich
ein HonkHase, der mich auf Twitter so
-
professionell angepisst hat, dass ich ihn
direkt ins Expertengremium berufen habe!
-
HonkHase: lacht Ja okay, meine Steuern
würde ich da auch ganz gerne in
-
vertrauensvolle Hände legen, allerdings
muss man ja sagen, wenn man sich das so
-
anguckt: Wie digital handlungsfähig ist
eigentlich der Kritis-Sektor, Staat und
-
Verwaltung? Sieht man ja nicht nur an
euch, an eurem Beispiel, sondern man hat
-
ja dieses Jahr schon allein über 100
Behörden und Verwaltungen kompromittiert
-
gehabt, und das ist ja nicht das Ende der
Fahnenstange. Also insofern habe ich mir
-
gedacht so ja, die brennende Mülltonne
passt eigentlich, möchte alles anzünden,
-
aber wait a sec, digital handlungsfähig
ist der Staat gar nicht, der brennt ja
-
schon von selbst. Da kannst du eigentlich
nur noch Brandroden und neu machen.
-
Unauffälliger Hinweis für den
Folienwechsel. Die Frage ist ja was
-
brauchen wir? Die echte, das was wir
wirklich brauchen ist doch eine Cyber-
-
Resilienz. Ja, cyber bla. Lassen wir's
einfach. Ich bin Urgestein, Cyber-Grandpa,
-
ich darf das, ja? Wir brauchen eine
Resilienz für den Cyberraum von kritischen
-
Infrastrukturen, und dazu gehört eben auch
der Sektor Staat und Verwaltung. Und da
-
gehört er ganz besonders zu egouvernante
hat ja vorhin schon gesagt, das sind auch
-
durchaus bedrohliche Fachverfahren dabei
gewesen, die eben gar nicht resilient
-
waren, weil sie einfach auseinander
gefallen sind, nachdem die hochkriminellen
-
Tätergruppen aktiv geworden sind. Wir
reden ja hier nicht von Bespaßung,
-
bisschen fun, bisschen rumhacken oder
kaputt spielen. Wir reden hier von
-
kriminellen Banden organisierter
Kriminalität, die irgendwie Millionen
-
versuchen abzugreifen, ja. Und was wir
auch brauchen, um dem gegenzusteuern: wie
-
schaffen wir diese Resilienz? Durch
Krisenerfahrung und Übung bei den
-
Verantwortlichen. Ja, dazu zähle ich
explizit Bürgermeister*innen, Landräte,
-
you name it, egal. Wer keine
Krisenerfahrung hat, wer keine Übungen
-
regelmäßig macht, steht dann genauso da
wie auch beispielsweise bei euch, aber
-
eben auch beim Ahrtal, ja, Klimakatastrophe
ist ja dasselbe Phänomen, dasselbe
-
Problem. Die waren alle nicht geübt, die
haben nicht regelmäßig die Einsätze
-
trainiert. Und dann steht man da vor dem
Trümmerhaufen und sagt: Oh, alles kaputt,
-
kostet teilweise sogar Menschenleben. Und
nein, was wir nicht brauchen ist – ne,
-
Rebuilding Anhalt-Bitterfeld ja, aber ey,
echt keine Fachverfahren auf Windows 98 in
-
2021, so. Das haben wir beispielsweise
hier im Gericht in Berlin erlebt. Vorher
-
war es Windows 98 Fachverfahren, nachher
ist es immer noch eins. Ja, nee, fail, so
-
das will echt keiner haben. Baut diese
Fachverfahren neu, baut sie sinnvoll,
-
digitalisiert Ende zu Ende für die
Bürger*innen und das muss die Erwartungen
-
an den Sektor Staat und Verwaltung sein,
ja. Was wir auch brauchen und was einfach
-
mal fehlt sind Sicherheitsanforderungen
und Vorgaben, so dieser — es gibt den
-
Kritis-Sektor Staat und Verwaltung. Und
welche Vorgaben hat er? Ja, machste
-
dicke Backen. Also paar Öhrchen drauf,
kannste nichts mehr zu sagen. Es gibt für
-
8 der 10 Kritis-Sektoren im BSI
Gesetz § 8a, und der anhängigen Kritis-
-
Verordnung genaue Vorgaben, was für
Sicherheitsanforderungen die zu erfüllen
-
haben. Bei Medien und Kultur ist es
landesweit nicht geregelt, aber eben bei
-
Staat und Verwaltung ist es ja, öh, gar
nicht geregelt. So ja, da kann ich, ja,
-
bin ich auch schon wieder kurz vorm — vorm
anzünden hier lacht Das muss dringend
-
weg. Da muss wirklich die die Koalition,
die Ampel mal das BMI wachrütteln und
-
vielleicht wirklich mal
Sicherheitsanforderungen an Tag legen und
-
sagen: so, das ist jetzt der Maßstab,
nachdem dieser Sektor betrieben wird. Was
-
wir brauchen sind kommunale CERTs mit
Hilfe für alle kleinen Kommunen, weil wie
-
soll denn — also ihr als Landkreis wart ja
schon sozusagen überrannt worden von
-
diesem koordinierten Angriff. Ja, was
macht denn da eine kleine Kommune, die hat
-
ja vielleicht eine halbe IT-Stelle, eine
IT Stelle keine Ahnung, das ist sehr
-
überschaubar, die haben doch noch nie
Incidence Response gemacht, die haben noch
-
nie irgendwelche Fachverfahren gesichert,
die haben noch nie mit 15 verschiedenen
-
Behörden und Verantwortlichen und
Sicherheitseinrichtungen irgendwie
-
kommuniziert um abzustimmen: wer kommt
jetzt eigentlich und hilft? Die machen ja
-
auch, die – die gucken wie Rebhühner
einmal groß in die Unterlagen und sagen:
-
ja es gibt dieses Cyber-Wimmelbild der
Verantwortungsdiffusion, da sind ganz
-
viele drauf. Wen frag ich denn jetzt? Ja,
das kann es ja irgendwie auch nicht sein.
-
Kleiner Hinweis für die Folien. Was wir
auch bräuchten, und da stehe ich natürlich
-
mit Herz und Seele dahinter, weil es meine
Passion ist, als als Mitgründer der
-
unabhängigen Arbeitsgemeinschaft AG
Kritis, wir bräuchten ein Cyber-Hilfswerk,
-
das ist der Arbeitstitel, den wir dem
Ganzen verpasst haben. Soll die
-
existierenden Bewältigungskapazitäten für
Großschadenslagen durch Cybervorfälle bei
-
kritischen Infrastrukturen kooperativ
ergänzen. Dazu haben wir ein Konzept
-
entwickelt, hat knapp 40 Seiten, da haben
wir teilweise in Workshops
-
zusammengesessen mit dem BSI, mit dem BBK,
also Bundesamt für Bevölkerungsschutz und
-
Katastrophenhilfe, BSI, Bundesamt für
Sicherheit in der Informationstechnik und
-
mit dem CCC, also im Chaos Computer Club
und haben einfach mal Gebrainstormed: wie
-
würde man eigentlich Ehrenamtler,
Ehrenamtlerinnen dazu bewegen, irgendwie
-
bei echt Großschadenslagen – nicht bei,
wenn wir ein paar Bitwerte umkippen und
-
aus Einsen Nullen werden, sondern wirklich
in so einer Lage hier, wo es wirklich auch
-
um Existenzbedrohung geht und ein ganzer
Landkreis auch einfach mal viele Monate
-
kaputt optimiert wurde und lahmgelegt ist
und noch viele Monate bleiben wird. Das
-
wir da irgendwie in der Lage sind
irgendwie auch zu agieren. Noch mal
-
letzter Hinweis lacht. Ja, das Cyber-
Hilfswerk. Was? Was ist eigentlich der
-
Plan? Der Plan ist, man soll eine,
wirklich das Primärziel ist nicht dieser,
-
diesem Betreiber*innen von kritischen
Infrastrukturen zu helfen und Primärziel
-
ist auch nicht deren Ergebnis und Erlöse
sichern, oder diesen deren — weiß der
-
Kuckuck — Produktionsanlagen schick und
stylisch zu halten oder die
-
Eingangspforten. Nee, es geht einzig und
allein um die Wiederherstellung der
-
Versorgung der Bevölkerung mit den
kritischen Dienstleistungen, was eben beim
-
Sektor Staat und Verwaltung wäre, dass die
Fachverfahren funktionieren, dass die
-
Bürgerinnen mit ihren Bedürfnissen und mit
der Not sozusagen dann auch sich an die
-
Bürgerämter wenden können und wo auch
geholfen wird und gekümmert wird, ja dass
-
auch Sozialabgaben monatlich auf dem Konto
landen und nicht gesagt wird: Ja, ist
-
gerade 'ne Ransomware, wir können keine
Überweisungen mehr tun. Pech gehabt, gehst
-
du leer aus. So funktioniert das nicht bei
Leuten, die in Not sind und diese Not dann
-
auch brauchen, ja als Hilfe. Also IT-
Sicherheit verbessern reicht nicht aus.
-
Müssen wir natürlich sowieso tun. Absolut.
Dürfen wir nicht vernachlässigen. Aber wir
-
brauchen eben Incident Response und
Krisenbewältigungskapazitäten auf einer
-
Basis von ehrenamtlichen digitalen
Katastrophenschutzhelferinnen. Ja, wir
-
haben genug Know how in unserer Community.
Wenn das on our terms, also nach unseren
-
Spielregeln funktioniert, dass wir sagen:
Ey, wir wollen da helfen, da kommen keine
-
komischen Sicherheitsbehörden, machen
komischen foo, da rückt das BSI Mobile
-
Incident Resonse Team aus, wir kommen da
bei, und dann muss man vielleicht sogar
-
auch nicht eine Bundeswehr rufen, weil
wird schon alles gekümmert. Die Bundeswehr
-
sollte der letzte Notnagel am Ende der
Kette sein. Wirklich der letzte Notnagel.
-
Und nicht: ey, wir rufen mal kurz die
Bundeswehr. Die können wir mit einplanen
-
und dann ist es kein Notnagel mehr,
sondern einkalkuliert. Die sollten niemals
-
einkalkuliert sein, am besten nie genutzt
werden, weil wenn dann sozusagen The shit
-
hits the fan, dann dann brauchen wir die
Bundeswehr wirklich, aber nicht in solchen
-
Lagen, denn dafür ist das Cyber-Hilfswerk
gedacht. Ja und dafür werde ich jetzt in —
-
du hast mich ja in diese in dieser Runde
rein genötigt — Expertenkreisen werde ich
-
das jetzt für die AG Kritis dann auch
entsprechend vertreten und versuchen zu
-
fördern, das wir das, ja ins Leben rufen.
Und dann wird vielleicht aus dem aus dem
-
Anzünden und Brandroden vielleicht nur ein
professionell angepisst und dann ist die
-
Welt wieder schön.
egouvernante: lacht
-
HonkHase: Und damit übergebe ich wieder
zurück an dich. Bitte schön.
-
egouvernante: Sehr gut. Und damit kommen
wir zu der ganzen Kategorie "Behind the
-
Scenes" Best of Dienstleister. Nee,
Quatsch, Best of Kunden Beschimpfung. Ich
-
glaube, dazu können wir da noch alle,
falls irgendeiner beim Lightning Talk
-
abgesprungen ist, da kann ich E-Mails
vorlesen, die mich wunderbarerweise
-
erreicht haben, nein kleiner Spaß. Also
ähm, es gab auch Situationen, die einfach
-
in ihrer Art, in ihrer — alleine, in dem
Moment, in dem sie einen erreichen,
-
unfassbar unglaubwürdig klingen. Also auf
der einen Seite klar, wenn, wenn es gut
-
gemeint ist, ja. Also man sagt ja immer:
das Gegenteil von gut ist gut gemeint.
-
Wenn Mitarbeiter auf die Idee kommen,
tatsächlich Dateien auf Memory Sticks zu
-
sichern und die nach Hause zu schleppen,
um sie dann wieder ins Landratsamt zu
-
bringen, dann könnt ihr das auch später
noch mal zu einem Problem werden. Was uns
-
immer wieder getroffen hat, war, wenn IT-
Mitarbeiter direkt angesprochen wurden,
-
weil irgendein Rechner auch ohne Netzwerk
auch und nur mit Drucker oder Scanner oder
-
whatever sozusagen wieder wieder an den
Start gebracht werden mussten, dann ist es
-
blöd, wenn es an der technischen
Einsatzleitung vorbeiläuft. Und es ist
-
super blöd, wenn ich diese Ressourcen dann
irgendwo gebunden habe oder letztlich
-
keine Rechner mehr hatte, ich platt machen
kann, weil alle irgendwie jetzt doch
-
wieder in Benutzung sind. Spannend war
auch in den Runden die technische
-
Einsatzleitung, welche das jetzt auch
immer war, zu erschlagen, wie es richtig
-
ginge. Das führt dann tatsächlich zu
Situationen, dass man sein Mikrofon
-
einschaltet und nach einem 10 minütigen
Vortrag, wie es richtig ginge, sagt so:
-
Nein. Unverständige Gesichter, Mikrofon
noch mal an: Das ist technisch nicht
-
möglich. Das auch, wenn wir uns sehr
wünschen, dass das Landratsamt wieder an
-
den Start geht, sind verschiedene
Reihenfolgen einfach zu beachten.
-
Highlight waren aber tatsächlich
Vertriebler, die direkt das Fachverfahrens
-
Verzeichnis verlangt haben, OZG direkt
gleich mitmachen wollten und irgendwie mit
-
einem leeren Kfz-Kennzeichen Datenbank
vielleicht am besten Morgen schon loslegen
-
wollten. Aber sorry, Aubergine Aubergine
Zwinker-Smiley funktioniert nicht auf
-
einem Kennzeichen und wir können nicht mit
doppelten Kennzeichen die Leute rumfahren
-
lassen, das hat einfach
versicherungstechnischen Gründe. Auch
-
waren Situationen, wo man einfach mit den
Geschäftsführern in einem Gespräch sitzt
-
mit den Technikern und dann auf der
anderen Seite die Geschäftsführer und die
-
dann permanent genervt die Augen
verdrehen, wenn man konkrete Details
-
erfragt. Und einer war dann sehr arg
enttäuscht und kündigte an, dass er uns
-
jetzt überall ausschmieren wird, wie
furchtbar wir sind und dass wir sozusagen
-
nicht, dass diese Firma gewählt werden und
ich sei ne Landesverräterin, der Kollege,
-
sei nen IT-Söldner. Und dabei war die
Entscheidung definitiv sehr objektiv und
-
von Erfahrungswerten von allen am Tisch
getragen. So, also Ansagen wie: wir machen
-
mal einen Termin und erklären, wie sie zu
uns in der Cloud kommen, und eigentlich
-
interessiert uns ihre technische Ansicht
überhaupt nicht, sondern wir erklärens
-
noch mal dem Hauptverwaltungsbeamten,
bringt Unruhe ins Haus und ist irgendwie
-
auch nicht förderlich, weil wir letztlich
es doch umsetzen werden und müssen und
-
sozusagen hier der Vertrauensverlust
tatsächlich schon vorprogrammiert ist. Und
-
apropos nicht dabei sein: Wenn der
Auftraggeber oder wenn man 2
-
Auftragnehmer hat, kam auch ganz gern mal
die Situation, wenn über Übergaben
-
gesprochen werden soll, das wir am besten
gar nicht am Tisch sitzen, sondern dass
-
die Dienstleister sich zusammensetzen, was
auch schwierig ist. Insofern versteh mich
-
bitte auch einer, dass es immer wichtig
ist, ein IT-Projekt-Steuerer im Haus zu
-
haben und das eine Landkreisverwaltung
überhaupt jegliche Behörde weiterhin in
-
der Lage ist auch die Externen zu steuern,
und das ist essenziell notwendig. Wenn wir
-
uns hier nicht die Butter vom Brot nehmen
lassen wollen. So, und Daten wollte auch
-
kein Rechenzentrum von uns haben. Also das
hieß immer nur so: ja wir machen alles,
-
aber waa, schickt uns bloß nichts, wir
wollen eure Daten definitiv nicht
-
haben. Unser Leben als Aussätzige! Und
schön ist natürlich auch, wenn der
-
Dienstleister einen dann gleich noch mal
erpresst. Also so was wie Budgetabsprachen
-
hin oder her, mit einem Mal kostet es das
Dreifache. Besprechen wir aber auch nicht
-
mit der Technik, sondern tatsächlich doch
mit dem Landrat wieder. Und ähm, dann
-
immer natürlich auch mit dem Nebensatz,
bei den männlichen Kollegen: da draußen
-
warten die Sniper, die warten nur, bis er
wieder am Netz seid. Bei mir waren es dann
-
immer die Stalker, also
zielgruppengerechte Ansprache ist auch
-
toll, aber irgendwie dann auch
durchschaubar und nervt. Und ja, und das
-
waren tatsächlich dann auch die gleichen
Jungs, die meinten, wir haben ein paar
-
Fortinets von einem Partner geordert, das
ist auch einer meiner Lieblinge und wir
-
arbeiten damit; wenn wir hier euch wieder
beim Aufbau helfen. Von Open Source raten
-
wir ab, das nehmen nämlich die Hacker, das
sind die, die euch angegriffen haben, das
-
sind die, die euer System kaputt gemacht
haben. Äh … schwierig also. Man kann aber
-
auch Glück im Unglück haben und das ist
auch eine schöne Situation, also wenn man
-
zum Beispiel ein günstiges Angebot
schießt, dass wenn man 7 Managed
-
Services für nur 10% des Preises im ersten
Jahr angeboten bekommt. Beim Kick off
-
sollte dann aber tatsächlich ein
Fernsehteam dabei sein. Wir haben uns
-
nicht für das Angebot entschieden. Und
jetzt noch ein ganz schöner Lichtblick:
-
die Dienstleister, mit denen man
tatsächlich seit Jahren wirklich
-
vertrauensvoll zusammenarbeitet und von
denen man natürlich auch ein Angebot
-
anfordert, dann ist es natürlich schön,
wenn die einem das nötige Lizenzgeraffel
-
direkt auf das Angebot schreiben und dann
auch wirklich dieses Wort benutzen. Und
-
damit eigentlich so als kleines Fazit: der
Landkreis ist nicht das Opfer dieser
-
Attacke. Mit den Expertenkreisen glaube
ich, dass wir jetzt das wirklich Gute
-
schaffen können. Und wir sind im Rahmen
eines Forschungsprojektes eben auch daran,
-
nachdem wir jetzt diese Awareness haben,
ein Forschungsprojekt aufzubauen, in dem
-
wir für verschiedene Verwaltungsprozesse
digitale Zwillinge aufbauen, und
-
tatsächlich gibt es eben auch das nächste
Projekt, und zwar das Open Data Ecosystem,
-
und das ist Open Source, also Spielwiese
für die IoT-Hacker. Und das sozusagen als
-
das Gute in der Katastrophe, die hier
passiert ist. Und ich glaube eben auch die
-
wichtige Message, dass die
Landkreisverwaltung, dass die Behörden
-
tatsächlich hier wirklich nacharbeiten
müssen. Wir kommen zu den Fragen. Jetzt
-
kann es losgehen!
HonkHase: Genau, fragt uns Dinge. Es
-
drohen Antworten!
-
Herald: Ja, sehr sehr schön, vielen Dank!
Es gibt viele Fragen, und viele Fragen von
-
den Hackern natürlich ist über die Deeds,
über die Details, über den Hack, wenn das
-
Verschlusssache ist, gerne abwinken.
egouvernante: Wir wissen noch gar nicht so
-
viel, das ist das Problem. Wir ist –
tatsächlich ist dadurch dass die Logfiles
-
ja eben auch gelöscht wurden können wir
tatsächlich jetzt auch gar nicht so sehr
-
viel sagen.
HonkHase: Also vielleicht mal
-
grundsätzlich: Bei der Incident Response
ist es ja so, wenn man versucht, nach
-
einem Ransomware Angriff den Betroffenen
zu helfen: es ist meist so, dass ja die
-
die Angreifer, also das — noch mal, das
sind organisierte Bandenkriminelle, das
-
ist ja nicht irgendwie Feld Wald Wiesen,
ja die gehen in die Systeme rein,
-
kundschaften das alles aus, taxieren,
welche Höhe man sozusagen an
-
Lösegeldforderung setzen kann im Preis-
Leistungsverhältnis, gerade hier im
-
Landkreis Anhalt-Bitterfeld wurde ja dann
auch nach dem gesagt wurde: pff, ihr
-
kriegt gar nichts, 200 Megabyte ungefähr
an Daten geleakt, um anzuteasern und zu
-
sagen: Naja komm, vielleicht wollt ihr
doch? Haben aber dann gesehen dass sie
-
damit auch nicht vorwärts kommen. Aber die
gehen natürlich so vor, dass die Backups,
-
die online sind, entweder vorher aktiv
zerstört werden oder eben mit
-
verschlüsselt werden. Ist auch so, das
schon seit langem Zugangsdaten wie ssh,
-
Passwörter etc. mit abgegriffen werden, so
dass man auf die Linux Büchsen mit drauf
-
geht und und sagt na dann plätten wir mal
kurz das Syslog und dann sind eben keine
-
Logdaten mehr da, und wenn halt nichts
mehr da ist, und das meiste verschlüsselt
-
ist, dann kannst du nur die Reste
rauskratzen. Das heißt, es gibt fast
-
immer, muss man auch fairerweise so sagen,
sehr viele Angriffsvektoren, die zum
-
Ziel hätten führen können, welcher es am
Ende genau war, das ist eigentlich sogar
-
fast schon unerheblich, denn in erster
Linie will man ja den Wiederaufbau
-
hinbekommen und die kritischen
Dienstleistungen wieder ans Laufen
-
bekommen. Also insofern ist es sehr oft
der Fall, dass man das gar nicht so
-
detailliert ermitteln kann.
egouvernante: Genau, und wir gehen davon
-
aus, dass der Angreifer seit Beginn des
Jahres im System war. Und ja, tatsächlich
-
wissen wir von einem sehr viel größeren
Datenabzug.
-
HonkHase: Das macht es nicht besser, aber
es ist halt so.
-
Herald: Datenabzug: ist bekannt, ob
tatsächlich Daten abgeflossen sind? Also
-
ob die nicht nur verschlüsselt, sondern
auch geleakt wurden?
-
egouvernante: Es sind Daten abgeflossen,
ja, geleakt, die 200 MB, aber es sind sehr
-
viel mehr.
HonkHase: Es wurde doch — warte mal. Es
-
gab eine öffentliche Stellungnahme dazu.
Ich glaube, es waren 60 …
-
e: 62 Gigabyte, ja.
Ho: 62 Gigabyte an Daten wurden
-
abgezogen und keiner weiß was genau
abgezogen wurde.
-
e: Genau das.
Ho: Die 200 Megabyte sind geleakt
-
worden. Da weiß man natürlich sehr genau,
was es war, ne …
-
e: Das sind Protokolle aus
Landkreis–, genau.
-
Ho: Genau. Aber es sind insgesamt 62
Gigabyte verschütt gegangen und da muss
-
man auch sagen, dass ja sogar noch wenig.
Es gibt auch Vorfälle, da werden Terabytes
-
vorher abgegriffen, ja.
Herald: Nach dem Wiederauf – achso, ihr
-
seid dabei bei dem Wiederaufbau. Eine
Frage ist: gibt es Material, was
-
unwiderruflich, unwiederbringlich zerstört
wurde?
-
e: Der komplette Mailserver,
Daten des Umweltamtes, also alle von einem
-
Standort, sozusagen die Server, die an
einem bestimmten Standort in Bitterfeld
-
waren, und das Intranet ist weg. Und alles
andere müssen wir schauen. Also wir sind
-
immer noch dabei, die Daten zu sichten und
eben zu überführen. Aber wir wissen
-
definitiv, dass Daten des Umweltamtes weg
sind, dass eben der komplette Mailserver
-
verschlüsselt wurde, das ja … und eben
auch das Intranet nicht mehr vorhanden
-
ist.
Herald: Okay, eine andere Frage, mehr oder
-
weniger seriös: Wie hoch war die
Lösegeldforderung, wenn das nicht
-
Verschlusssache ist?
e: Nee, ich glaube, das war
-
sogar mal veröffentlicht. Also das war
eine halbe Million.
-
Ho: Genau
Herald: Ok
-
e: in Monero.
Ho: eigentlich noch ein Schnäppchen,
-
ne, eine halbe Million Mal, also, da gibt
es auch durchaus Angreifer, die deutlich
-
mehr verlangen, aber, naja, sind ja nicht
zum Zuge gekommen.
-
Herald: Okay, HonkHase, du hattest
Empfehlungen ausgesprochen. Ähm. Wo
-
Freiwillige Amtshilfe leisten können,
sodass die Bundeswehr nicht angerufen
-
werden muss. Rückblickend betrachtet war
es Amtshilfeersuchen an die Bundeswehr
-
angemessen und wurde von offizieller Seite
her was getan, damit künftig nicht gleich
-
die Bundeswehr wieder angerufen werden
muss?
-
Ho: Also ob das angemessen ist, kann
egouvernante glaube ich besser darlegen
-
als ich, denn sie war ja in den Details
drin. Ich kenne den Vorfall ja nicht von
-
Innen her. Sie mag es sicherlich sinnvoll
vertreten, dass das das angemessen war.
-
Meine Position ist, damit das nicht noch
mal passieren muss oder die Runde macht,
-
sozusagen, ah, wenn was passiert, rufen
wir die Bundeswehr und dann schön, dann
-
legen wir uns wieder schlafen oder sowas!
Kann man ja hier nicht behaupten. Hast ja
-
jede Menge erzählt, was ihr da tut und
macht, aber dafür will ja die AG Kritis
-
dieses Cyber-Hilfswerk ins Leben rufen, um
zu sagen: Dann haben wir auch genug
-
Kapazitäten. Und wenn dann eben eine eine
kritische Infrastruktur betroffen ist,
-
dann helfen wir aus der Community heraus
ehrenamtlich und kommen eben als
-
Amtshilfeersuchen dahin, reparieren eben
diese Versorgung der Dienstleistung mit
-
den Berufswiederherstellen sozusagen. Und
dann geht man gemeinsam verrichteter Dinge
-
halt wieder da weg. Und das ist ja genau
das Ziel, dass dann so was wie wir rufen
-
die Bundeswehr quasi überflüssig wird, im
Idealfall. Wie gesagt, die soll nur als
-
Notnagel im extremsten Fall abgerufen
werden können. So.
-
e: und das war der Fall und das
war der erste Fall. Und sozusagen das soll
-
definitiv nicht Standard werden. In dem
Moment war es nur, dass wir technisch
-
nicht in der Lage waren, uns selbst zu
helfen. Und insofern war es diese
-
technische, also diese rein technische
ausführende Tätigkeit, die hier
-
abgewickelt wurde.
Ho: Naja, Stand heute sind fast alle
-
Kommunen ungefähr auf demselben Niveau.
e: Ja ich hoffe, dass es jetzt
-
anders wird.
Ho: Okay, die Hoffnung stirbt
-
zuletzt lacht
e: ja , AG Hoffnungsvoll, ne?
-
lacht auch
Ho: Genau.
-
Herald: Schön. Äh. Eine andere Frage ist:
wie weit ist die Erneuerung der
-
Infrastruktur und werden Möglichkeiten
genutzt, um die Sicherheit zu verbessern?
-
e: Es wird jede Möglichkeit
genutzt, die Sicherheit zu verbessern.
-
Also das fängt bei der Dienstvereinbarung
an. Das fängt bei Awarenessschulungen an.
-
Das … ich hatte es vorhin gesagt mit dem
IT-Sicherheitsbeauftragten. Das fängt mit
-
der komplett neuen Aufstellung des IT-
Amtes an, und das geht natürlich auch da
-
weiter, dass wir jetzt mehrstufige
Sicherheitskonzepte haben, die
-
Arbeitsplatz-PCs nicht mehr mit allen
möglichen Rechten ausgestattet sind und,
-
ja Passwort ist natürlich jetzt
unerheblich, aber die einfach das auch
-
Passwörter auch mal ablaufen wieder. Und
das sind einfach Sachen die jetzt
-
durchgeführt werden. Und was den Stand des
Wiederaufbaus betrifft: das Active
-
Directory steht insoweit und die
Fachverfahren werden jetzt nach und nach
-
wieder an den Start gehen. Und jetzt eben
auch die einzelnen Ämter werden jetzt nach
-
und nach wieder ihre Arbeitsplatz-PCs in
Betrieb nehmen und die Clients sind
-
gehärtet und so weiter und das bedeutet,
dass Ämter jetzt — Ich glaube, wir haben
-
jetzt 4 oder 6 Ämter, die jetzt
tatsächlich wieder, wo jeder Mitarbeiter
-
einen eigenen PC hat und nicht mehr einen
PC, der aus dem Notnetz bei der Sekretärin
-
beim Amtsleiter steht und dort jeder
seinen E-Mail-Verkehr darüber abwickelt.
-
Ho: Benutzt ihr dabei auch so krasse
Hacker Software wie Open Source?
-
e: Wir arbeiten daran.
Ho: lacht, Mikro übersteuert kurz
-
sehr schön!
Herald: Ja, schön. Zum Active Directory im
-
Speziellen gab es die spezielle Frage:
Konnte man bei der forensischen
-
Untersuchung einen Golden-Ticket Angriff
auf das Active Directory feststellen?
-
e: Das kann ich nicht sagen.
Ich kann was anderes sagen zum Thema
-
Active Directory. Und zwar, wir haben
tatsächlich auch erst mal nachgucken
-
müssen, ob alle Mitarbeiter tatsächlich
auch bei uns arbeiten, also ob alle
-
Einträge im Active Directory tatsächlich
noch hier Mitarbeiter bei uns sind oder ob
-
das jetzt nicht irgendwie durch Zauberhand
mehr geworden sind. Und das war glaube ich
-
die erste Tätigkeit, also die erste
Aktion, die wir hier durchgeführt haben.
-
Und die auch wirklich lange dauerte,
tatsächlich erst mal zu schauen Sind die
-
Azubis noch da? Das war im Endeffekt auch
eine Bestandsaufnahme aller Kollegen, die
-
wir im Haus haben, was auch durchaus sehr
nützlich war.
-
Ho: Historisch gereift sozusagen,
diese Benutzerliste.
-
e: Absolut, ja.
Ho: Wie so oft und überall.
-
e: Ja.
Ho: Genau.
-
Herald: Sonst: gab es Backups? Zum
Beispiel in einem externen Rechenzentrum?
-
e: Nein. Also ja, doch, bei
machen Fachverfahren und bei manchen
-
Fachverfahren auch tatsächlich
überraschend. Da wussten wir gar nicht,
-
dass die Backups von uns haben. Das war
auch neu und irritierend für den
-
Datenschutzbeauftragten. Aber das …
zumindest hatten wir, hatten wir
-
verschiedene Backups, aber eben auch
welche, die nicht in externen
-
Rechenzentren sind und dann tatsächlich
auch jetzt händisch überprüft werden
-
müssen, ob diese nicht vielleicht
kompromittiert sind. Also wir gehen davon
-
aus, dass wir 80% bis 90% unserer Daten
zurückerhalten und dass die eben nicht
-
beschädigt sind.
Ho: Aber nach viel Handarbeit beim
-
wieder einspielen.
e: Ja, definitiv.
-
Ho: Also vielleicht als Ergänzung
auch da. Backup ist halt schön, ne?
-
Wiederherstellung ist noch viel cooler.
Alle, alle rufen nach Backup, aber
-
eigentlich will keine Sau Backup. Alles
was man wirklich will ist die
-
Wiederherstellung. Und die kriegt man eben
nur, wenn man ein sehr strukturiertes
-
Backup Konzept hat mit mit Grandfathering
Modellen, mit rollierenden Backups, mit
-
offline Backups wenn man… ihr habt 160
Fachverfahren glaube ich ungefähr?
-
e: Ja.
Ho: Wenn man 160 verschiedene alte,
-
historisch gewachsene Fachverfahren hat,
dann ist es nicht ein Backup auf ein Tape
-
und dann ist gut und da legt man in den
Bankschließfach und wenn dann die Bösen
-
kommen, dann packt man halt wieder aus und
sagt: Golden Ticket! Ich hab ein Golden …
-
Golden Medium. So funktioniert das halt
nicht und insofern ist ein Backup Konzept,
-
was auch die Wiederherstellung in einer
angemessenen Zeit sozusagen darstellt, für
-
sich eine sehr sehr komplexe
Prozessaufgabe.
-
Herald: Okay, ich kann mir vorstellen,
dass ist jetzt in den Wiederaufbau mit in
-
den Plänen reingeschrieben.
e: absolut ja, klar.
-
Herald: ok.
Ho: jetzt schon, ne?
-
e: Ja, genau. Ja, ach das fängt
schon an, alleine wenn wir jetzt in diesem
-
Zwischenbetrieb sozusagen schon
Fachverfahren am Start haben, die gar
-
nicht im Zielsystem sind und im Ziel-IT-
System sind und wir dann beginnen, jetzt
-
erst mal schon so Daten zu erheben, die
wir dann später wieder überführen müssen.
-
Das wird dann auch noch mal sehr viel Spaß
machen.
-
Herald: Ok, ja vielen Dank! Achso äh,
möchtest du noch was?
-
Ho: Ne, alles gut, ich meinte nur
Spaß am Gerät! Das gehört ja zum Chaos
-
dazu, das passt. lacht
Herald: Schön! Vielen Dank für die
-
Einblicke in die Welt des Amtes und der
Digitalisierung. Vielen Dank HonkHase und
-
egouvernante.
HonkHase: Ja, vielen Dank, bis zum
-
nächsten Mal!
egouvernante: Vielen lieben Dank, Ciao!
-
Herald: Tschüss! Sehr schön. Als nächstes
um 21:30 Uhr: "Local Emission Framework:
-
Klimaschutz vor deiner Haustür". Hier aus
dem ChaosZone Studio aus Halle. Bis dahin!
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!
