Angriff auf Ludwigshafener Kreisverwaltung brisanter als gedacht

Ludwigshafen. Die Attacke aus dem Internet auf die Ludwigshafener Kreisverwaltung (wir berichteten bereits am Dienstag, 25. Oktober) zieht größere Konsequenzen nach sich, als Landrat Clemens Körner (CDU) bisher gehofft hatte. Das sieht man schon an der Tatsache, dass das Landeskriminalamt in Mainz und die Generalstaatsanwaltschaft in Koblenz inzwischen gemeinsam in dem Fall ermitteln. Körner verbrachte deshalb sogar den Sonntag bei den LKA-Beamten in Mainz. Am Montagnachmittag suchte der Landrat den Kontakt zu Journalisten, um auf diesem Wege sinngemäß folgende Botschaft an etwa 155 000 Bewohner des Rhein-Pfalz-Kreises zu richten: „Es ist möglich, dass vertrauliche und kompromittierende Daten über Einwohnerinnen und Einwohner des Kreises sowie Mitarbeiter und Mitarbeiterinnen der Verwaltung im Darknet veröffentlicht werden.“

Man habe keinerlei Einfluss darauf, was mit den gestohlenen Daten geschehe, so Körner in einem Offenen Brief, in dem er sich bei den Kreisbewohnern für etwaige Unannehmlichkeiten im Vorhinein entschuldigt. Er unterstrich, dass es ihm wichtig sei, sehr frühzeitig Transparenz herzustellen. Körner schreibt außerdem: „Es handelt sich bei den Tätern um eine hoch professionelle und organisierte Gruppe, die aus „Cyberangriffen“ ein regelrechtes „Geschäftsmodell“ gemacht hat. So könnten die neuen Besitzer solcher Daten beispielsweise Einsicht in die Besitztümer einer Person bekommen. Oder sie könnten einsehen, ob die Kreisverwaltung jemanden schon mal in eine psychiatrische Anstalt hat bringen lassen. Oder wer an wen Unterhalt bezahlt – oder eben nicht. Kurzum: Jeder Kontakt mit der Behörde könnte auf irgendeine Art und Weise irgendwo veröffentlicht werden. Einen Ladendieb zu erwischen ist derweil deutlich einfacher, als einen Raub im Internet aufzuklären. Es seien sehr „unmoralische Kriminelle“, sagte Körner – ohne jedoch zu erklären, was ein moralischer Krimineller ist.

Täterherkunft unbekannt

Abstand nehmen musste der Landrat indessen von seiner in de vergangenen Woche getätigten Aussage, dass es sich um russische Täter handele. Die Gruppen seien nicht homogen und deshalb sei die nationale Herkunft nicht bekannt. Es gebe aber definitiv ein Bekennerschreiben, über dessen Inhalt er allerdings aufgrund der laufenden Ermittlungen nicht sprechen dürfe. Auch der Name der Gruppierung ist bisher nur den Ermittlern und den involvierten Mitarbeitern der Kreisverwaltung bekannt.

Forensik untersucht Ursache

Inwiefern Fristen für eine oft mit solchen Angriffen verbundene Lösegeldforderung bestehen, lässt Körner nicht eindeutig durchblicken. Erfahrungen aus der Vergangenheit zeigten indessen, dass selbst in Fällen, in denen ein Lösegeld gezahlt worden sei, Daten irgendwo im Darknet aufgetaucht seien.

Wie die kriminellen Internetspione, die man in der Fachsprache als Hacker (gesprochen: Häcker) bezeichnet, in das Netzwerk der Kreisverwaltung eindringen konnten, wird gegenwärtig geprüft. Es findet eine sogenannte Forensik statt. Das bedeutet, dass das ganze System in seinen Tiefen untersucht wird, um den Ursprung zu finden.

Über den Zeitraum, wie lange das dauern kann, ist bisher nur bekannt, dass es sich eher um Wochen und Monate als um Tage handelt. Körner und seine Leute in der IT-Abteilung sprachen am Montag davon, dass man über aktuellste Sicherheitsupdates verfügt habe und die Mitarbeiter entsprechend geschult gewesen seien, keine verdächtigen Mail-Anhänge zu öffnen.

Typischerweise wird – das bestätigte in der vergangenen Woche auch ein Experte vom Chaos Computer Club Mannheim – bei solchen digitalen Überfällen auf Behörde-Netzwerke sogenannte Ransomware angewendet. Solche Programme, die etwa als Anhang einer Mail Eingang in ein System finden können, verschlüsseln Daten. Dann kann deren „Besitzer“ selbst nicht mehr zugreifen. Im konkreten Fall funktioniert in der Kreisverwaltung nicht einmal mehr das Telefon. In einigen Fällen bieten die Kriminellen eine Entschlüsselungssoftware an – gegen ein Lösegeld. Ein Bekennerschreiben sieht in der Regel so aus, dass sich darin Mailadressen ohne Hinweise auf die Identität befinden, an die sich Betroffene wenden können. Möglich ist nach Darstellung des Experten auch, dass der Angriff gar nicht der Kreisverwaltung galt, sondern Teil einer größeren Attacke war. Dann spricht man in der Szene von einem Beifang. Ob Beifang oder nicht – in der Verwaltung arbeite man daran, die Funktionsfähigkeit Schritt für Schritt wieder herzustellen, so Körner. Das hat anderswo auch schon mal ein Jahr gedauert.