Attacke auf 2700 Rechner: Hunderte Arbeitsstunden für IT-Mitarbeiter / Bürgerdaten sicher

Erpresser-Virus befällt Uelzener Verwaltung

+
Schlachtplan, Task-Forces, Checklisten – da wo gestern im IT-Verbund wieder recht entspannt miteinander gearbeitet werden konnte, herrschte am Wochenende absolute Alarmstimmung. Vorstand Andreas Hense (links stehend) mit einigen Mitarbeitern.

Uelzen. Drei Tage herrschte im IT-Verbund Uelzen der absolute Ausnahmezustand: Während Tausende in der Stadt das Oktober- und das Hansefest feierten waren durchschnittlich 20 Mitarbeiter des Verbundes von Freitag bis Sonntag rund um die Uhr im Einsatz.

Grund: Ein Virus-Angriff auf das Computer-Netzwerk, das die Einrichtung für Kreis und Stadt Uelzen, die meisten Samtgemeinden im Kreis sowie für Bienenbüttel betreibt (AZ berichtete). Und über das sämtliche Bürgerdaten, die in den Verwaltungen auflaufen, verwaltet werden.

„Ich bin auf das Engagement meiner Mitarbeiter richtig stolz“, sagte Andreas Hense, Vorstand des Verbundes, gestern. Dass man zum Wochenstart in den Verwaltungen wieder betriebsfähig war, sei überhaupt keine Selbstverständlichkeit gewesen und habe an dem tollen Teamwork seiner Mitarbeiter sowie aller anderen Beteiligten gelegen.

Das, was passiert ist, beschreibt der Experte für Informationstechnologie so: „Am Freitagmorgen wurde ein unnormales Verhalten der Systeme registriert. Daraufhin wurde veranlasst, dass die 2700 Rechner im Verbund ausgeschaltet wurden. Das ist Schritt eins in unserem Notfallplan für solch eine Situation – die nach sechs Jahren IT-Verbund erstmalig eintrat.“

Ohne Strom, so Hense weiter, könne sich Schadsoftware nicht verbreiten, der Virus werde isoliert. In einem zweiten Schritt wurde der Befall des Systems analysiert. Das Ergebnis: In einem E-Mail-Anhang hatte sich ein sogenannter Erpressungs-Trojaner befunden. Dessen Funktionsweise: Er verschlüsselt Dateien Ordner oder Laufwerke um den Nutzer, in diesem Fall die Kommunalverwaltungen zu Überweisungen in der digitalen Währung Bitcoins zu bringen. „So ein Ding hatten wir bei uns drin“, so Hense.

Während er gestern entspannt über den „Super-Gau für einen IT-ler“ sprechen konnte, hätten bei ihm und seinen Mitarbeitern das Wochenende aber andere Gefühle dominiert. „Die Ungewissheit, ob man das Problem in den Griff bekommt, sitzt im Magen“, so Hense. Dazu sei eine ordentliche Portion Angst gekommen, weil die gesamte öffentliche Verwaltung am IT-Verbund dranhänge. Von KfZ-Anmeldungen über Standes- und Bürgerämter verwalte der IT-Verbund Daten der 93 000 Menschen im Landkreis in 250 Fachanwendungen. Aber, so Hense: „Es gab null Datenschutzverletzungen.“

Dass das System trotz dreier Virenschutzprogramme befallen werden konnte, liege für ihn in der Natur der Sache: „Die Hacker haben immer Vorsprung.“ So haben seine Mitarbeiter bei ihrer Analyse erkennen können, dass der Trojaner nur eine Minute nachdem er fertig programmiert worden war, abgeschickt wurde. Sie konnten zudem eine Viren-Signatur erstellen und an die Hersteller der Schutzsoftware weiterleiten. Diese entwickelten dann ihr Antiviren-Programm entsprechend weiter und stellten es dem IT-Verbund einen Tag nach dem Angriff zur Verfügung.

Warum der Angriff den IT-Verbund traf, kann Hense nur mit Zufall erklären. Auch könne der Angriff bisher in keiner Weise lokalisiert werden. In der Sache ermittele aber jetzt die Kriminalpolizei. Hense mutmaßt, dass die Sache auf dem Stapel der „Angriffswelle“ mit vergleichbaren Attacken im Zusammenhang mit der Kommunalwahl landen werden. Hiervor habe das N-CERT, das „Niedersächsische Computer Emergency Response Team“, eine Landesinstitution für IT-Sicherheit, im Vorfelde der Wahlen bereits gewarnt.

In der Uelzener Taubenstraße 4, Standort des IT-Verbundes Uelzen, waren die Computer-Experten in Hunderten Arbeitsstunden am Wochenende vor allem damit beschäftigt, das IT-System komplett neu aufzubauen. Andreas Hense beschreibt das als ausgesprochen komplexen Vorgang, in dem nach jedem Schritt die Sicherheit und die Funktionsfähigkeit der Anwendungen miteinander überprüft werden musste.

Rückblickend stellt er fest: „Es gibt nichts Schlimmeres, was einer IT-Einrichtung wie unserer passieren kann. Aber wir sind überzeugt, dass das System jetzt sehr sicher ist. Und wir hoffen, dass etwas Vergleichbares so schnell nicht wieder vorkommt.“

Von Steffen Kahl

Kommentare