Nach langer Offline-Zeit: Hacker lobt Potsdams Reaktion auf Cyberangriff

Nach der Cyberattacke Ende Dezember war die Potsdamer Stadtverwaltung rund sechs Wochen lang offline. Erst vor rund einer Woche gingen die Online-Dienste des Rathauses nach und nach wieder online.

Innerhalb der Stadtpolitik hatte es Kritik daran gegeben, die Dienste so lange vom Netz zu nehmen, doch der Hacker und IT–Sicherheitsexperte Carl Fabian Lüpke alias „Flüpke“ vom Chaos Computer Club beurteilt positiv, wie die Stadt reagiert hat: „Aus der Rückschau war es sinnvoll, schnell offline zu gehen.“ Durch das Kappen der Verbindung sei sehr wahrscheinlich weiterer Schaden auf Kosten der Verfügbarkeit verhindert worden.

Lob für das ständige Überprüfen der Systeme

„Ein paar Wochen offline zu sein ist im Zweifel das kleinere Übel“, so Lüpke. „Im Vergleich zu dem, was im anhaltinischen Bitterfeld passiert ist, ist das überschaubar.“ Der Landkreis in Sachsen-Anhalt war 2021 Opfer eines Cyberangriffs geworden und brauchte daraufhin anderthalb Jahre, um seine Systeme komplett neu zu installieren. Die Kommune hatte damals den Katastrophenfall ausgerufen.

Ein paar Wochen offline zu sein ist im Zweifel das kleinere Übel.

Carl Fabian Lüpke alias „Flüpke“ vom Chaos Computer Club

„Dort leidet man noch heute unter den Folgen“, sagt Lüpke. „Die Kommune hat zum Beispiel eine Umweltdatenbank verloren, in der Informationen zu Schadstoffen im Boden gespeichert waren. Davon sind wir in Potsdam weit entfernt.“

Dass Potsdam sich die Zeit genommen habe, die IT lange und gründlich zu prüfen, sei richtig gewesen: „Das Monitoring der Systeme war sehr sinnvoll.“ Da nach der Cyberattacke 3700 Computer und 260 Server auf Schadsoftware untersucht werden mussten, sei die lange Offline-Dauer nachvollziehbar.

„Es war auch gut, das Potsdam einzelne Dienste nach und nach wieder online geschaltet hat, anstatt alles auf einmal wieder ans Netz zu nehmen“, sagt Lüpke. „Unter Umständen haben wir hier vielleicht wirklich ein Positivbeispiel dafür, wie eine Kommune mit einem Cyberangriff umgeht.“

Lüpke begrüßt auch, dass die Stadt nun mit Zwei-Faktor-Authentifizierung arbeitet. Dabei wird beim Login in ein System nicht nur nach einem Passwort gefragt, sondern zusätzlich nach einer Bestätigung auf einem anderen Weg – zum Beispiel mit einer SMS oder einer Reaktion in einer App.

Virenscanner allein helfen laut Experten nicht

Ob der Angriff hätte verhindert werden können, kann Lüpke jedoch nicht beurteilen: Dafür hat er zu wenig Informationen über den Zustand der Systeme vor der Attacke. Potsdam war bereits 2020 Opfer eines Cyberangriffs geworden und hatte daraufhin seine Sicherheitsvorkehrungen verstärkt.

Andere Kommunen könnten von dem aktuellen Fall lernen, früh auf Hinweise zu reagieren und im Zweifel lieber offline zu gehen, als größere Schäden zu riskieren, so der Hacker. Wenig hält er von Antivirusprogrammen, die zusätzlich installiert werden, um die IT von Kommunen sicherer zu machen: „Virenscanner und Ähnliches sind letztlich nur Flickwerk für bereits unsichere Systeme“, sagt Lüpke. Entscheidend sei, dass die Systeme von vornherein sicher gebaut seien.

Warnung vor Versenden von Office-Dokumenten

Zum Beispiel sollte man darauf verzichten, innerhalb der Verwaltung Word-, Excel- oder Powerpoint-Dateien per Mail hin- und herzuschicken: „Solche Microsoft-Office-Dokumente können Makros enthalten, also Programmcode, der beim Draufklicken ausgeführt wird und im Zweifel Schaden anrichten kann“, sagt Lüpke. „Das ist eine beliebte Angriffsmethode von Cyberkriminellen, die in Unternehmensnetzwerke einsteigen wollen.“

Möglich sei aber auch, seine Systeme so einzustellen, dass Makros nicht ausgeführt werden dürfen. Eine weitere sinnvolle Methode sei die kryptographische Signatur von Emails, um sicherzustellen, dass ein Mail-Absender auch wirklich der ist, der er zu sein vorgibt.

Experte: Sicherheit nicht vom Bauchgefühl abhängig machen

Solche und ähnliche Strategien seien wesentlich effektiver, als Verwaltungsmitarbeiter:innen dazu anzuhalten, auf verdächtige Mails zu achten: „Damit macht man die IT-Sicherheit vom Bauchgefühl der Beamten abhängig“, sagt Lüpke. Dass Menschen Fehler machen, könne man nie völlig vermeiden: „Ein falscher Klick darf nicht dafür sorgen, dass eine ganze Stadt offline geht“, so Lüpke.

Die Verwaltung hatte am 29. Dezember 2022 nach Hinweisen auf einen Cyberangriff all ihre IT-Systeme vom Netz genommen. Kurz darauf wurde offenbar, dass der Angriff auf die Server der Potsdamer Stadtverwaltung Teil einer großangelegten Cyber-Attacke des kriminellen Hacker-Netzwerks „Hive“ war. Behörden in Deutschland und den USA hatten schließlich das weltweit agierende Hacker-Netzwerk zerschlagen. Die IT-Systeme sind bis heute noch nicht vollständig wieder hochgefahren.