Vortrag auf dem Hambacher Schloss: Als Hacker Ludwigshafen angriffen

Ludwigshafen. Der Krieg im Netz hat schon lange begonnen, und er funktioniert subtiler und weniger martialisch, als das auf den physischen Schlachtfeldern dieser Welt gerade zu beobachten ist. Es ist ein Krieg um Daten. Denn wer Daten hat, hat Macht. Und wer Macht hat, kann andere erpressen.

Genau das passierte im Frühjahr 2020 bei den Technischen Werken in Ludwigshafen (TWL). Die 100-prozentige Tochter der Stadt Ludwigshafen musste einen Millionenbetrag aufwenden, um die Schäden zu beseitigen, die eine Hackgergruppe verursacht hat. Und kaum hatte man bei TWL wieder festen Boden unter den Füßen, da erwischte es im Oktober 2022 eine Behörde, die ebenfalls in Ludwigshafen beheimatet ist - die Verwaltung des Rhein-Pfalz-Kreises. Vice Society - eine international agierende Gemeinschaft von Hackern - schickte eine Lösegeldforderung in Höhe von 1,5 Millionen Euro, die in Bitcoin zu zahlen seien, an Landrat Clemens Körner.

Wer den handelnden Personen heute zuhört, wird unweigerlich Zeuge eines Krimis. Alles begann am am 13. Februar 2020, als ein TWL-Mitarbeiter eine Mail mit einem Hyperlink öffnete. Die Forensik konnte das später sekundengenau nachweisen. Und kaum war dieser schadhafte Link angeklickt, da öffnete sich gewissermaßen die Büchse der Pandora. Ab diesem Moment konnten sich Hacker, die die Mail an das TWL-Mailpostfach gesendet hatten, in allen digitalen Sphären des Unternehmens umschauen - ohne zunächst bemerkt zu werden, wohlgemerkt.

Das Ausmaß des Schadens in den IT-Systemen war völlig unklar

Mehr als zwei Monate lang blieb der Einbruch bei den Administratoren des Gas-, Wasser- und Stromversorgers komplett unentdeckt. Man muss keine große Fantasie besitzen, um sich auszumalen, was alles möglich wäre bei einem Unternehmen, das als Stadtwerke nicht nur indirekt zur kritischen Infrastruktur gehört. Erst am 20. April 2020, also zwei Monate nach dem Einbruch in das IT-System des Versorgers, wurde klar: TWL ist Opfer von Cyberkriminellen geworden. Die Schadensdimension war zu diesem Zeitpunkt völlig unklar. Fest stand lediglich, dass auf jeden Fall auch Kundendaten auf den Fileservern betroffen waren.

Michael Georgi, Bereichsleiter IT, war in den Wochen danach die zentrale Figur in einer Art Krimi, der sich bei den TWL abspielte. Was ist betroffen? Wie groß ist der Schaden? Wie bleiben wir arbeitsfähig? Das waren die Fragen, die zu klären waren, als er um 8.20 Uhr am Morgen des 20. April von einem seiner System-Administratoren ins Bild gesetzt wurde. Stunden später sitzen in einer Video-Konferenz die Polizei, das Landeskriminalamt, der TWL-Vorstand, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Firma 8com aus Neustadt an der Weinstraße mit am Tisch. Hunderte Telefonate führt Georgi in den Tagen danach. Er schläft wenig - ebenso seine IT-Abteilung. Ihm zur Seite steht immer 8com - seit 20 Jahren auf dem Gebiet der Cybersicherheit beheimatet. Die Pfälzer sind Experten in Sachen Cybersicherheit und leiten gemeinsam mit Georgi die notwendigen Schritte ein, um zu sichern, was zu sichern ist.

Der Elefant im Raum heißt Ransomware

Wichtige Erkenntnis: Die 516 Gibgabyte an Daten, die abgeflossen sind, wurden wenigstens nicht verschlüsselt, wie das später bei der Kreisverwaltung der Fall sein sollte. Georgi leitete technische und organisatorische Sofortmaßnahmen ein, die sich im Nachhinein als richtig erwiesen haben. Sein Dank dafür ging vor allem an 8com, die nicht ganz uneigennützig am Donnerstag auf das Hambacher Schloss geladen hatte, um ein wenig Werbung in eigener Sache zu betreiben. Herzstück von 8com ist das Security Operations Center (SOC) in Neustadt. Dort arbeiten Spezialisten aus den Bereichen Security Monitoring, Schwachstellenmanagement, Forensik und mehr Hand in Hand, um Cyberangriffe auf Kundensysteme frühzeitig zu erkennen und abzuwehren. Geschäftsführer Götz Schartner wies auf dem Hambacher Schloss darauf hin, dass seine 101 Angestellten an 365 Tagen im Jahr im Schichtbetrieb rund um die Uhr im Einsatz seien, um dem „Elefanten im Raum“ die Stirn zu bieten.

Der Elefant heißt Ransomware, eine Schadsoftware, die Daten verschlüsselt und Nutzer erpressbar macht, was in nicht wenigen Fällen gelingt. Ein nicht unerheblicher Risiko-Faktor bei Hackerangriffen sei der Mensch, der sich über die Gefahren beim Öffnen einer Mail nicht genug bewusst sei, sagte Tobias Kopf, der bei 8com dafür zuständig ist, die IT-Systeme von Auftraggebern wie TWL Stresstests zu unterziehen. Zudem schult 8com Mitarbeiter von Unternehmen, um den richtigen Blick für gefährliche Mails zu entwickeln, die fast immer nach dem selben Muster gestrickt sind. Es reicht ein einziger Klick, um Schäden in siebenstelliger Höhe zu verursachen, wie Georgi einräumte.

Cybersicherheit als Teil einer „wehrhaften Demokratie“? Ja, sagte Kristian Buchna von der Stiftung Hambacher Schloss in seiner Begrüßung. „Erfolgreiche Cyberangriffe sind Angriffe auf das Vertrauen der Bevölkerung in die staatlichen Behörden“, formulierte er. Die aktuelle Bedrohungslage blieb nicht außen vor. Cyberangriffe beschränkten sich nicht auf Firmen oder Behörden. In sozialen Netzwerken ist von ganzen Trollarmeen die Rede. Nur wenige registrieren diesen Krieg.