Es kommt immer häufiger vor: Unternehmen, Einrichtungen, Krankenhäuser und Behörden werden mit Hilfe von Software „überfallen“: Die Lösegeldforderung steht auf dem Bildschirm. Wird nicht bezahlt, sind alle Daten weg. Das ist in Deutschland in jüngster Zeit 100 Behörden und öffentlichen Einrichtungen so gegangen. Ein dramatisch unterschätztes Risiko.
Wir reden viel über Digitalisierung im Land – und viele beklagen sich, was alles noch nicht digital geht. Und die Liste der Unzulänglichkeiten ist wahrlich lang, wie wir alle nur zu gut wissen. Aber wie sieht es eigentlich in den Bereichen aus, in denen Bund, Länder und Kommunen bereits digital arbeiten?
Um gleich mal zu spoilern: In Behörden, öffentlichen Einrichtungen und Krankenhäusern sieht es schlimm aus. Richtig schlimm.
Behörden scheinen Ramsonware schutzlos ausgeliefert
Das belegen Recherchen vom Bayerischen Rundfunk und ZEIT. Die Redaktionen haben in den Bundesländern offiziell angefragt, wie häufig es zu Erpressungsversuchen mit Ramsonware gekommen ist. Ransomware – von „ransom“ = Lösegeld – nutzt Sicherheitslücken in Systemen aus, dringt in die IT-Infrastruktur ein, verschlüsselt Server, Datenbanken und Daten – und macht die Nutzung der IT-Systeme so unmöglich. Die Cyberkriminelle fordern ein Lösegeld.
Laut Recherchen sind mindestens 100 Behörden und Einrichtungen in Deutschland in den letzten Monaten Opfer von Cyber-Erpressern geworden. Einige Einrichtungen haben sogar Lösegeld gezahlt, in der Hoffnung, dass die Kriminellen die Systeme wieder entschlüsseln und so die Daten wieder freigeben. Was keineswegs immer passiert, wenn Lösegeld gezahlt wird.
Aber halten wir fest: Es sind Steuergelder an Erpresser geflossen.
Verantwortliche nehmen die Lage nicht ernst
Doch viele Bundesländer, darunter NRW, können nicht mal genaue Angaben machen, wie häufig öffentliche Systeme angegriffen wurden. Denn es gibt weder allgemeine Meldepflichten für Behörden und Einrichtungen, noch offizielle Statistiken. Und auch keine Leitlinien, wie in solchen Fällen vorgegangen werden muss.
Das ist – um es angesichts der Lage vorsichtig auszudrücken – eine Katastrophe.
Als ob niemand Zeitung liest, Radio hört und Fernsehen schaut – da wird schließlich praktisch täglich über Cyber-Angriffe und Cyber-Attacken berichtet: Die Verantwortlichen in Politik und Behörden verfahren eisern nach dem Sankt-Florian-Prinzip.
Heiliger Sankt Florian. Verschon‘ mein Haus, zünd‘ and’re an!
Die Verantwortlichen nehmen die Bedrohungslage nicht ernst. Angesichts der tatsächlichen Bedrohungslage ist das nicht weniger als ein Total-Versagen.
Es braucht gute Vorbereitungen
IT-Infrastruktur von Behörden muss optimal geschützt werden – nicht nur die im Bundestag. Da kümmern sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) darum, und die machen einen guten Job. Doch Behörden, Unikliniken, Kultureinrichtungen werden mit der Bedrohung völlig allein gelassen.
Es braucht viel besseren Schutz. Es braucht Schulungen, nicht nur bei IT-Kräften, sondern bei allen. Es gibt Feuerübungen – warum gibt es keine Cyber-Angriff-Übungen? Das ist nicht als Spaß gemeint: Das Risiko, dass eine Behörde oder Einrichtung Opfer von Cyber-Angriffen wird, ist um ein Vielfaches höher, als dass sie ein Feuer heimsucht. Aber es wird nichts unternommen.
Es betrifft uns alle. Es sind unsere Daten. Es ist unsere Infrastruktur. Der Druck nimmt zu – und niemand unternimmt etwas. Es ist zum Verzweifeln.
Kommentar: Es herrscht das Sankt-Florian-Prinzip
