Wie das Krisenmangement des Rhein-Pfalz-Kreises nach dem Hackerangriff läuft

Ludwigshafen. Der Hackerangriff auf die Verwaltung des Rhein-Pfalz-Kreises mit Sitz in Ludwigshafen wirft vier Wochen nach dem Ereignis neue Fragen auf. Zum Beispiel auch jene nach der Qualität des Krisenmanagements beim Landrat und in der IT-Abteilung. Und nicht zuletzt: Wo ist die Landesregierung?

Es sind keine guten Nachrichten, die an diesem Montagmorgen bekannt werden. Recherchen dieser Redaktion im Darknet ergeben, dass buchstäblich jeder x-beliebige Nutzer sich bis zu diesem Zeitpunkt theoretisch ins Katwarn-System des Rhein-Pfalz-Kreises einloggen und Alarm auf den Handys Zehntausender Bewohner auslösen könnte – einfach so. Jeder könnte auch online einkaufen. Und zwar mit den Kontodaten eines Mannes, die unter den gestohlenen Daten der Kreisverwaltung Darknet zu finden sind – kein Problem. Obendrein könnte jeder einigermaßen geschulte Benutzer eines Computers zu diesem Zeitpunkt theoretisch noch immer auf die Bezahlsysteme des Kreises zugreifen und auf diese Weise vielleicht Geldströme umlenken – vieles ist denkbar. Ein Anruf des Verfassers dieses Textes bei Landrat Clemens Körner (CDU) am Montagabend um 19.15 Uhr macht diesen noch mal auf die nicht eben harmlose Problematik aufmerksam. Körner sagt: „Ich geb’s weiter.“ Schon tagsüber hatten er und seine IT-Leute Warnhinweise bekommen. Zu seiner Verteidigung: Erst am Montag erfährt die Kreisverwaltung von den Beamten des LKA, welche Daten im Darknet gelandet sind.

Lücken erst seit Dienstag dicht

Auch Mitglieder des Mannheimer Chaos Computer Clubs haben auf Anfrage dieser Redaktion auf die im Darknet veröffentlichten Daten geschaut und pauschal darauf hingewiesen, Passwörter rechtzeitig zu ändern und damit die Systeme besser zu schützen. Der Club versteht sich als Helfer und Berater. Ein Mitglied versuchte sogar, mit der IT-Abteilung des Kreises Kontakt aufzunehmen, um konkrete Hilfe anzubieten. Weil er am Abend niemanden erreichte, schrieb der Experte eine Mail an die IT-Abteilung – mit allen Dingen, die er und Kollegen mit Blick auf die geleakten Daten im Darknet als kritisch einstufen. Am Dienstagmorgen sind die eingangs genannten Lücken im System gestopft – vier (!) Tage nach dem Auftauchen.

Landrat Körner verwahrt sich am Mittwoch gegen kritische Fragen zum Krisenmanagement in seinem Haus. Sogar am Samstag habe man mit dem LKA zusammengesessen, sagt Körner. Man müsse jeden einzelnen Link öffnen und auf persönliche Daten hin prüfen, um Geschädigte rechtzeitig warnen zu können. Das sei ein riesiger Arbeitsaufwand, der Wochen und Monate dauere.

Gleichzeitig gingen die LKA-Beamten die im Darknet einsehbaren Inhalte nach strafrechtlich relevanten Verstößen der Hacker durch, so der Landrat. Dass es eine akute Gefahr sein könnte, wenn der Twitter-Account der Kreisverwaltung in die Hände Krimineller fiele, hatte auch dort offenbar nicht oberste Priorität.

Mitglieder des Chaos Computer Clubs um Steffen Haschler, den diese Redaktion in der vergangenen Woche zum Thema interviewt hat, reagieren verwundert: Die Beamten müssten akzeptieren, dass man wenig Chancen habe, die Täter zu finden, sagt Haschler. Daher sei es womöglich besser, die Prioritäten anders zu setzen und sich zunächst auf das Sichern der Dienste zu konzentrieren. Gleichwohl sei es ja die Aufgabe des LKA, die Täter zu ermitteln. „Wir wundern uns darüber, dass die Daten im Darknet nicht über das gesamte Wochenende bei der Kreisverwaltung durchforstet worden sind“, sagt er. Zudem findet er: Schon in dem Moment, da klar gewesen sei, dass die Hackergruppe Vice Society hinter dem Angriff steckt, hätte man die im Darknet veröffentlichten Passwörter ändern können.

Ministerium verweist auf LKA

Das Verhalten des rheinland-pfälzischen Innen- beziehungsweise des Digitalisierungsministeriums lässt sich nach dem Hackerangriff am ehesten mit „zurückhaltend“ beschreiben. Eine Anfrage, inwiefern Landrat Körner und sein Personal auf Unterstützung aus Mainz hoffen könnten, beantwortet ein Pressesprecher insofern, dass die Kreisverwaltung eigenverantwortlich über ihre IT-Infrastruktur entscheide. Ein Notfallplan sei vorhanden gewesen. Dieser sei abgearbeitet worden. Körner hatte den Medien gegenüber bisher davon gesprochen, recht schnell den Stecker gezogen zu haben. Aus Mainz heißt es, dass ein zertifizierter Dienstleister beauftragt worden sei, sich zu kümmern. Bei den Ermittlungen stehe das LKA beratend zur Seite. Für Cybersicherheitsvorfälle gebe es die Zentrale Ansprechstelle Cybercrime (ZAC).