Hackerangriff auf Rhein-Pfalz-Kreis galt Ukrainern und kostete 1,2 Millionen Euro

Rhein-Pfalz-Kreis. Die gute Nachricht mal vorweg: Nach einem dreitägigen Stresstest in der vergangenen Woche sieht es so aus, als hätte die Verwaltung des Rhein-Pfalz-Kreises die schlimmste Zeit hinter sich. Der Hackerangriff, der am Freitag, 21. Oktober 2022, dazu geführt hatte, dass drei IT-Verantwortliche nach 20 Uhr zurück ins Ludwigshafener Dienstgebäude am Europlatz 5 fuhren, um eilig den großen Netzstecker zu ziehen, ist so gut wie bewältigt, und das System hält neuen Angriffen stand. Zuvor war an jenem Herbstabend eine Warnung eingegangen, dass große Datenmengen abfließen würden. Seither war die Verwaltung isoliert. Es war der bisher folgenreichste Angriff auf eine Behörde im Bundesland.

Nicht nur die persönlichen Passwörter von Landrat Clemens Körner (CDU) wurden im Darknet veröffentlicht, es waren mehr als 5000 Bürger betroffen. Die Rückkehr in den Normalbetrieb kostete nach Angaben des Kreises bisher rund 1,2 Millionen Euro. Immerhin müssen die Arbeitsplätze fast aller Mitarbeiter komplett neu aufgebaut werden. Allein das kostete 500 000 Euro. Die alten Rechner wurden vernichtet. Ganz bald soll die Verwaltung Schritt für Schritt wieder mit dem RLP-Netz des Landes Rheinland-Pfalz verbunden werden, um konkrete Datenanwendungen wieder teilen zu können. Dazu gehört etwa die Kraftfahrzeug-Zulassungsstelle, deren Informationen ständig bundesweit verfügbar sein müssen. Damit endet für mehrere Hundert Mitarbeiter eine Zeit des Improvisierens und des Verzichts.

Landrat Clemens Körner (CDU) und Alexander Schweitzer (SPD), in Rheinland-Pfalz Minister für Arbeit, Soziales, Transformation und Digitalisierung, haben am Montagmorgen eine Zielvereinbarung zur IT-Sicherheit unterschrieben, um für die Zukunft einen hohen Schutz der IT-Infrastruktur in der Kreisverwaltung sicherzustellen. Dazu sollen die Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) angewendet werden, wie Schweitzer erklärte. Die Kreisverwaltung des Rhein-Pfalz-Kreises ist die erste Verwaltung in Rheinland-Pfalz, die sich zu diesen hohen Standards selbst verpflichtet. Das in Neustadt an der Weinstraße ansässige Cyber-Security-Unternehmen 8com überwacht die Behörde 24/7. Diese Sicherheit kostet eine Stange Geld und ist Teil der genannten 1,2 Millionen Euro. Dass diesen Job nun ein externes Unternehmen leistet, hat laut Körner und Schweitzer auch damit zu tun, dass entsprechende Fachkräfte in den Verwaltungen fehlen. Ein hoher Schutz ist aber wichtig. Nicht zuletzt mit Beginn des russischen Angriffskrieges in der Ukraine sei das klarer geworden. Schweitzer spricht von einem „höheren Grundrauschen“ an der Hackerfront.

Hacker suchten nach Ukrainern

Bei den Angreifern auf die Kreisverwaltung handelte es sich um die Gruppierung „Vice Society“ - eine international operierende Gang. Was sich die Kriminellen vordergründig gewünscht haben, ist bei der Forensik klar geworden: Es ging ihnen um Daten von Menschen, die aus der Ukraine geflüchtet sind. Corona-Daten waren laut Körner auch ein Thema. So wurden Impftermine von Kreisbürgern im Darknet veröffentlicht. Darum geht es Hackern nämlich grundsätzlich - um den Raub und um das Publizieren dieser Daten. Um eine Veröffentlichung im Darknet, einem abgeschlossenen Teil des Internets, zu verhindern, werden Geschädigte aufgefordert, ein Lösegeld zu bezahlen. Auch der Rhein-Pfalz-Kreis sollte zahlen, ging aber auf die Forderungen nicht ein.

Kein Beweis für Schlupfloch

„Wir können uns nicht erpressbar machen“, hatte Körner im vergangenen November gesagt. Und so kam es, dass die Daten im Darknet auftauchten - ohne ganz großen Schaden anzurichten. Immerhin waren keine Daten des Jugendamts oder anderes sensibles Material zu finden. Und die Abfuhr des Sperrmülls funktionierte dann irgendwie doch.

Aber: Was am Montag nach großem Einvernehmen und kongenialer Aufarbeitung zwischen Kreisführung in Ludwigshafen und Mainzer Regierung aussehen sollte, das klang unmittelbar nach dem Angriff noch anders. Der Landrat hatte damals sein Missfallen gegenüber dieser Redaktion formuliert und fühlte sich alleine gelassen mit den Erfahrungen des ersten großen Hackerangriffs auf ein Landratsamt in Rheinland-Pfalz. Erst danach gab es Unterstützung aus der Landeshauptstadt. Der Minister wollte es gestern so darstellen, als habe man ab der ersten Minute Schulter an Schulter gearbeitet. Tatsache war: Das Landeskriminalamt ermittelte, ansonsten war Hilfe zunächst Mangelware.

Herausfinden konnten die LKA-Beamten indes nicht sehr viel zu der Frage, über welchen Weg die Hacker ins System der Kreisverwaltung gelangt waren. Möglich erscheint weiterhin, dass ein Mitarbeiter oder eine Mitarbeiterin eine Mail mit Schadsoftware geöffnet hat. Möglich ist aber auch, dass ein infizierter Datenstick die Falle war, wie Körner am Montag wiederholte. Der Landrat selbst ist indessen ein viel gehörter Gesprächspartner bei Kreisen und Städten. Einig sind sich Körner und Schweitzer in der Frage, dass es bei der Sicherheitsarchitektur mehr Zusammenarbeit zwischen Kommunen geben müsse. „Wir haben viel gelernt“, sagte Körner und meinte damit die offenen Flanken der kommunalen Familie. Insofern sind die 1,2 Millionen Euro auch Lehrgeld, denn eine Versicherung kommt für den Schaden bisher nicht auf.