zum Hauptinhalt
Welche Lehren die Stadt aus dem Angriff zieht, kann noch nicht beantwortet werden.

© Sebastian Gollnow (dpa)/ Sebastian Gabsch

Cyber-Attacke auf Stadtverwaltung: Potsdam bleibt auf unbestimme Zeit offline

Der Hackerangriff auf das Rathaus legt die Stadtverwaltung in Teilen lahm - wie lang, ist noch unklar. Die wichtigsten Fragen und Antworten zu der Attacke.

Von

Am Mittwoch hat das Rathaus seine Server heruntergefahren und ist seither offline. Ein Überblick darüber, was bekannt ist und was Bürger nun beachten müssen. 

Was ist über den Angriff bekannt?

Hacker haben nach bisherigen Erkenntnissen eine Sicherheitslücke in der sogenannten Citrix-Software genutzt. Es habe einen Zugriffsversuch gegeben, sagte Rathaus-IT-Chef Thomas Morgenstern-Jehia am Mittwoch. Bisher hat das Rathaus aber keine Hinweise darauf, dass persönliche Daten abgegriffen wurden. Auf den Rathausservern werden etwa Melde- und KfZ-Daten der Bürger verwaltet. 

Was ist die Citrix-Software?

Laut Experten wird das Programm der US-amerikanischen Firma Citrix fast ausschließlich in großen Institutionen verwendet und soll eigentlich Prozesse absichern, die über das Internet erreichbar sind. Es geht etwa um virtuelle Desktop-Umgebungen und Cloud-Dienste für Unternehmen. Potentielle Ziele sind damit alle Einrichtungen, etwa Banken, Krankenhäuser und Behörden, die die Citrix-Serversoftware verwenden. Das Rathaus nutzt das Programm vor allem zur Kommunikation des Verwaltungssystems nach Außen. Es geht etwa um Anwendungen wie Mails oder den Kalender. Auch der Handy-Zugang zum System ist so für Mitarbeiter möglich.

Gab es Warnungen?

Der Software-Hersteller Citrix hat bereits am 17. Dezember eine Schwachstelle bei seinen Programmen gemeldet. Es empfahl den Nutzern, bestimmte Maßnahmen zu ergreifen, bis ein Update zur Verfügung steht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 7. Januar über die Sicherheitslücke informiert. Im Internet kursiert bereits der Hashtag #Shitrix. Bei der Pressekonferenz des Rathauses zu dem Hackerangriff am Mittwochabend sagte IT-Chef Morgenstern-Jehia, die Stadt habe nach Medienberichten am 15. Januar erstmals reagiert, indem Teile der Software abgeschaltet wurden. Die Server wurden dann am Mittwoch heruntergefahren, nachdem ein Zugriffsversuch festgestellt worden war.

Hätte die Stadt schneller agieren können?

Das Rathaus will dazu bisher nichts sagen. „Wir werden das natürlich analysieren müssen“, sagte Stadtsprecherin Christine Homann auf Anfrage. Das werde jedoch erst in einem zweiten Schritt geschehen, wenn die Systeme wieder laufen. Man stehe bereits im Informationsaustausch mit dem Bundeskriminalamt und dem BSI, das werde sicher auch bei der Untersuchung helfen. Auch die Frage, ob die angespannte Personallage im IT-Bereich des Rathauses die Reaktion auf den Angriff behindert hat, werde ein Aspekt der Analyse sein, so Homann.

Wie geht es jetzt weiter?

Die IT-Mitarbeiter der Stadt arbeiten laut Verwaltung derzeit mit Hochdruck. „Der Hauptaugenmerk liegt auf der Wiederherstellung der sicheren Arbeitsfähigkeit. Ziel ist es, dass möglichst schnell alle Dienstleistungen wieder angeboten werden können“, sagte Stadtsprecherin Homann. Wann dies jedoch der Fall sein wird, könne man noch immer nicht abschätzen – es steht vermutlich Arbeit auch am Wochenende an. Bisher will man sich nicht einmal festlegen, ob es um Tage oder Monate geht. Wie genau die IT die Sicherheit prüft und verbessert, will das Rathaus aus Sicherheitsgründen nicht öffentlich machen. 

Wie arbeitet die Stadt offline?

Es ist das Prinzip Käseglocke: Intern kann die Verwaltung über das Intranet und auch per Mail kommunizieren, nur der Austausch über das Internet nach außen ist unterbrochen. Deshalb wird nun vieles per Telefon geregelt, auch Faxe werden wieder versendet. Auch die Stadtverordneten haben über ihre Fraktionsbüros Zugriff auf Dokumente, so dass Ausschusssitzungen stattfinden können.

Welche Dienstleistungen sind möglich?

Alle Dienstleistungen, bei denen das Rathaus nach Außen kommunizieren muss, sei es mit Bürgern oder mit anderen Behörden, sind nicht oder nur eingeschränkt möglich. Nach Angaben von Stadtsprecherin Homann ist die KfZ- und Zulassungsstelle derzeit komplett geschlossen. Der Bürgerservice vergibt derzeit keine neuen Termine, bis klar ist, wann der Service wieder uneingeschränkt genutzt werden kann. Bereits beantragte Reisepässe und Personalausweise können abgeholt werden, neue auch beantragt werden. Allerdings kann die Verwaltung die Anträge nicht an die Bundesdruckerei weiterleiten, weshalb sich die Fristen verlängern könnten. Lediglich vorläufige Reisepässe können im Bürgerservice der Stadt beantragt und ausgestellt werden. Wer einen Express-Reisepass benötigt, kann das gegen eine zusätzliche Gebühr in der Verwaltung anderer Städte tun. Trauungen, so versichert Homann, werden jedoch uneingeschränkt durchgeführt. Beurkundungen im Standesamt sind allerdings nicht möglich, es werden also keine Geburts- oder Sterbeurkunden ausgestellt. Anmeldungen sind nur bei Umzügen innerhalb der Stadt möglich, nicht bei Zuzug aus anderen Städten oder dem Ausland. Mails können weiterhin nicht an die Verwaltung geschrieben werden, per Fax oder Telefon ist diese aber erreichbar. Bei Fragen empfielt das Rathaus die Behördennummer 115 sowie die zentrale Nummer (0331)2890.

Welche Kosten kommen auf die Stadt zu?

Bisher kann das Rathaus keine Schätzung abgeben. 

Hätte sich die Stadt besser schützen können?

Das lässt sich derzeit schwer bewerten. Ein Sprecher des BSI sagte, Probleme wie jetzt mit Citrix habe es auch anderswo schon gegeben – zum Beispiel mit der gefährlichen Schad-Software Emotet, die im vergangenen Jahr für viele Schäden sorgte. Daran zeige sich, dass der Schutz der IT-Infrastruktur eine Daueraufgabe für Städte sei „Wir empfehlen dabei eine strukturierte Herangehensweise mit eigenem Managementsystem“, so der BSI-Sprecher. Kommunen müssten sich vergegenwärtigen, dass sich die Angriffsfläche im Zuge der stetigen Digitalisierung stetig weiter verbreitetere. Daher müsse das die IT-Sicherheit auf konstant hohem Niveau gehalten werden. Es gelte folgender Satz: „Die IT-Sicherheit ist die Voraussetzung für das Gelingen der Digitalisierung.“ Dies koste aber eben Geld. „Wenn das Thema Sicherheit vernachlässigt wird, werden wir durch solche Vorfälle wieder zurückgeworfen – das aber schafft bei den Bürgern kein Vertrauen.“ Klar sei, dass Städte angehalten sein müssten, mögliche Sicherheitslücken schnell zu schließen. 

Wie kann sich die Stadt künftig schützen?

Einen hundertprozentigen Schutz kann es nicht geben, so werten die IT-Experten im Rathaus laut Stadtsprecherin Homann die Lage. Es gebe permanent Angriffe auf solche Systeme weltweit, manche würden bemerkt, manche nicht. 

Was ist das mögliche Ziel der Täter?

Bisher ist dem Rathaus kein Erpressungsversuch bekannt. „Wir wissen nicht, worauf der Täter abzielte“, so Sprecherin Homann. Der BSI-Sprecher sagte, normalerweise seien solche Cyberattacken kriminell motiviert, üblicherweise gehe es um Erpressung. So hätten einzelne Kommunen in den USA schon Lösegelder für ihre Daten bezahlt, und die Stadt Baltimore sei wegen einer solchen Attacke sogar wochenlang offline gewesen. Auch Unternehmen und Krankenhäuser seien durch solche Vorgehensweise betroffen. 

Welche anderen Städte sind wie betroffen?

Mit einer ähnlichen Attacke, die ebenfalls mit der Citrix-Sicherheitslücke zu tun hatte, hatten die Städte Frankfurt am Main und Bad Homburg im Dezember zu kämpfen. Frankfurt konnte bereits am Folgetag die Server wieder hochfahren, auch wenn es weiter Probleme gab. Bad Homburg war fünf Tage lang offline. Das Kammergericht Berlin war nach einem Hacker-Angriff im September wochenlang lahmgelegt. Die Universität Gießen war nach einer Attacke im Dezember vier Wochen lang quasi außer Betrieb, nicht einmal Bibliotheksausleihen waren mehr möglich. Tausende Studenten mussten neue Passwörter bekommen. Die Gießener Allgemeine mutmaßte, dass die Uni durch das Herunterfahren aller Server einem Erpressungsversuch zuvor kam. Der BSI-Sprecher sagte, eine Meldepflicht für betroffene Kommunen gebe es aber nicht. Man sei aber am Beginn der Citrix-Krise von rund 5000 potentiell verwundbare Systemen in Deutschland ausgegangen. „Es kann dabei auch passieren, dass manche Angriff erst in ein paar Wochen oder Monaten bekannt werden.“

Welche Einrichtungen sind noch gefährdet?

Praktisch alle, die die Cirtix-Software nutzen. Auch die Mittelbrandenburgische Sparkasse (MBS) mit tausenden brisanten Daten zu finanziellen Lage ihrer Kunden hat nach eigenen Angaben ihr IT-System inzwischen überprüft, ist aber nicht betroffen.

Gab es schon ähnliche Fälle in Potsdam?

Anfang 2016 war das kommunale Klinikum „Ernst von Bergmann“ Ziel eines Cyber-Angriffs. Die Hacker hatten einen sogenannten Ransom-Virus in das System eingespeist. Nach Klinikangaben wurde das Virus allerdings von den hauseigenen Sicherheitssystemen rechtzeitig erkannt und unschädlich gemacht. Ein Erpresserbrief erhielt das Krankenhaus trotzdem. Dem Kriminalitätsbarometer Berlin-Brandenburg 2019 der Industrie- und Handelskammern (IHK) in Brandenburg zufolge sind allein im Jahr 2018 mehr als 28 Prozent der Unternehmen in der Hauptstadtregion Opfer einer Cyberattacke geworden. Die Zahl der Hackerangriffe sei damit in den vergangenen Jahren deutlich gestiegen: 2010 seien es noch 10 Prozent gewesen.

Zur Startseite