Es ist nahezu exakt ein Jahr her, dass die Landeshauptstadt Schwerin Opfer eines Ransomware-Angriffs wurde. Im allgemeinen Sprachgebrauch wurde dies als „Cyberattacke“ bezeichnet. Diese Bezeichnung werden wir beibehalten, auch wenn sie technisch nicht korrekt ist. Der Oberbürgermeister der Landeshauptstadt Schwerin hatte auf eine Reihe von Fragen reagiert und geantwortet. Die Fragen, nebst Antworten nun hier für euch aufbereitet:
Sehr geehrter Oberbürgermeister Dr. Rico Badenschier, bitte beantworten Sie folgende Fragen:
Frage:
Hatten die IT-Dienstleister der Landeshauptstadt Schwerin im Vorfeld des erfolgreich
durchgeführten Cyberangriffs im Rahmen des Risikomanagements auf bestehende Sicherheitslücken in der IT der Landeshauptstadt Schwerin und daraus resultierten
Handlungs- und Investitionsbedarfe im Sinne der Datensicherheit hingewiesen? Auch,
um zum Beispiel die Ausfallzeiten nach einem etwaigen Cyberangriff auf einen möglichst kurzen Zeitraum des Ausfalls zu begrenzen und die Funktionsfähigkeit der EDV
der Stadtverwaltung nach einer Höchstausfallzeit wieder sicherzustellen?
Antwort des Oberbürgermeisters:
Die SIS nutzt im Rahmen ihrer Risikofrüherkennung ein risikobasiertes Managementsystem, wobei Konfigurationsänderungen entsprechend der Risikobewertung präventiv durchgeführt werden.
In der Umsetzung der gesetzlichen Forderungen des KonTraG hat die SIS das bereits eingerichtete System von Kontrollmaßnahmen um die Strategien zur Aufbereitung relevanter Daten als
Voraussetzung für eine effiziente Handhabung bestandsgefährdender und wesentlicher Risiken
bzw. Chancen erweitert. Hierzu werden halbjährliche Risiko-Inventuren durchgeführt und zu den
identifizierten Risiken erforderliche Maßnahmen und Verantwortlichkeiten festgelegt. Auch im
Zuge der Zertifizierung nach ISO 27001 werden im Speziellen die IT-Risiken unter Einbeziehung
der Grundanforderungen aus der Informationssicherheit (Vertraulichkeit, Verfügbarkeit, Integrität)
betrachtet. Informationen zu Sicherheitsvorfällen und Sicherheitslücken werden von den diversen
Sicherheitsbehörden (CERT-M-V, BSI, Verfassungsschutz,) gemeldet und entsprechend vom Sicherheitsteam der SIS/KSM bewertet und erforderliche Maßnahmen daraus abgeleitet und initiiert.
Frage:
Wer war für die augenscheinlich unzureichende, nicht gegebene Cybersicherheit der
IT der Stadtverwaltung und die kurzfristig nicht erfolgte Wiederherstellung der Funktionszeit der EDV verantwortlich? Welche Ziele und Vorgaben und Interventionszeiten
bzw. maximalen Zeiträume zur Wiederherstellung der Funktionsfähigkeit der EDV nach
einem Cyberangriff hatte die Stadt in der Vergangenheit gegenüber den beauftragten
IT-Dienstleistern als Krisenszenario formuliert und was wurde / ist dazu mit den
Dienstleistern vertraglich vereinbart worden?
Antwort des Oberbürgermeisters:
Die Cybersicherheit wurde in den vergangenen Jahren stetig ausgebaut und verbessert. Neben
der technischen Aufrüstung wurden auch diverse Sensibilisierungsmaßnahmen bei den Mitarbeitern durchgeführt. Eine 100%-ige Sicherheit ist niemals erreichbar. Sicherheit und Aufwand müssen in einem wirtschaftlichen Verhältnis stehen. Es werden daher immer gewisse Risiken zu akzeptieren sein. Die Aufgabe ist, im Falle eines Angriffs die Schäden zu begrenzen und die Betriebsbereitschaft schnellstmöglich wiederherzustellen.
Die Dauer der Abschaltung der Systeme begründete sich nicht mit einem massiven Datenverlust
bzw. deren Rekonstruktion, sondern in der forensischen Analyse, um IT-Systeme und Daten auf
Schadcode zu prüfen und keine (eventuell versteckte) Infektionen zu übersehen. Die Arbeiten daran wurden unverzüglich aufgenommen und mit der notwendigen Sorgfalt vorangetrieben, wie es
mit dem Dienstleister vereinbart war.
Frage:
Welche personellen und organisatorischen Konsequenzen haben Sie im Nachgang aus dem Cyberangriff gezogen? Auch, um einen etwaigen erneuten Cyberangriff zukünftig besser abwehren zu können und einen über viele Wochen andauernde Ausfall der EDV mit massiven Auswirkungen für die Arbeitsfähigkeit der Stadtverwaltung zukünftig zu vermeiden?
Antwort des Oberbürgermeisters:
Im Nachgang des Cyberangriffs gab es eine Auswertung der Aktivitäten nach Eintritt des Schadensereignisses. Hierbei wurden einige Punkte erkannt, die verbessert werden sollen:
a) Dokumentation der Infrastruktur, der IT-Verfahren sowie der Datenbestände
b) Kontaktmöglichkeiten und Erreichbarkeit nach Ausfall der IT-Infrastruktur
c) Priorisierung der IT-Verfahren für den Wiederanlauf
d) Enge Abstimmung der IT-Sicherheitsbeauftragten der LHS und des Dienstleisters
Es hat sich gezeigt, dass das Vorhalten regelmäßiger Datensicherungen grundlegend für eine
schnelle Wiederherstellung der Betriebsbereitschaft ist. Die Sicherungen waren vorhanden und
dem Zugriff des Angreifers physisch entzogen. Dies ist einer der Hauptgründe, weshalb die IT-Verfahren in relativ kurzer Zeit wieder zur Verfügung standen und der reale Datenverlust sich
zwischen einigen Stunden und wenigen Tagen bewegte. Dies soll strikt beibehalten werden.
Frage:
War und ist die Landeshauptstadt Schwerin im Rahmen ihres Risikomanagements gegen die Schäden durch Cyberangriffen versichert? Waren ggf. die beauftragten IT-Dienstleister der Landeshauptstadt Schwerin gegen Schäden, die bei Kunden durch Cyberangriffe entstehen versichert, so dass der Stadt Schwerin kein Eigenschaden durch den Cyberangriff entstanden ist / entstehen wird? Wie sieht es dazu aus?
Antwort des Oberbürgermeisters:
Die Landeshauptstadt Schwerin hat die Aufgabe IT-Betrieb an die KSM Kommunalservice Mecklenburg AöR (KSM) übertragen. Die KSM ist gegen Schäden aus Cyber-Angriffen versichert. Hinsichtlich der Schadensregulierung läuft aktuell die Abstimmung mit dem Versicherers.
Frage:
Sind im Rahmen des Cyberangriffs Daten der Stadtverwaltung oder kommunaler Gesellschaften vernichtet worden und ist die EDV der Stadtverwaltung und der kommunalen Gesellschaften nunmehr wieder voll arbeitsfähig und alle verschlüsselten Daten wieder hergestellt worden?
Antwort des Oberbürgermeisters:
Es sind keine Daten vernichtet worden; alle Systeme konnten aus den vorhandenen Datensicherungen (nach forensischer Prüfung auf Schadsoftware) wiederhergestellt werden. Es wurden
keine verschlüsselten Daten wiederhergestellt, da der Schlüssel nicht vorhanden war und auf die
Erpressung nicht eingegangen wurde.
Frage:
Welche finanziellen oder sonstigen Schäden haben die Landeshauptstadt Schwerin
und die kommunalen Gesellschaften aktuell durch den Cyberangriff – Stand
31.03.2022- erlitten und wie setzen sich die Schadenspositionen zusammen?
Antwort des Oberbürgermeisters:
Durch die schnellen Reaktionen konnte der Schaden enorm begrenzt werden (siehe zum Vergleich Schäden und Ausfallzeiten bei anderen Vorfällen wie z.B. dem Landkreis Anhalt-Bitterfeld).
Auf Grund der vorhandenen Datensicherungen konnten verschlüsselte/vernichtete Daten fast
vollständig rekonstruiert werden und die Datenverluste hielten sich stark in Grenzen. Durch das
eingerichtete Notsystem wurden die wesentlichen Funktionen kurz nach dem Angriff wiederhergestellt. Die forensische Analyse beanspruchte allerdings seine Zeit. Hier ging Gründlichkeit vor Schnelligkeit. Die Ausfallszeit von Systemen beruht überwiegend auf die gründliche Untersuchung und ist keinesfalls ein Index für den entstandenen Schaden. Die sekundär entstandenen Kollateralschäden durch Verfristungen, zusätzliche Aufwände für analoge Bearbeitung und nicht nutzbare Systeme (z.B. mobile Geschwindigkeitsüberwachung) sind nur schwer ermittelbar. Sie sind unter Berücksichtigung der Schwere des Angriffs jedoch als gering anzusehen. Die genaue Ermittlung von Schäden sowie deren Übernahme durch die Versicherung sind Gegenstand von Verhandlungen mit den Versicherungsunternehmen.
Frage:
Wer war für die augenscheinlich unzureichende, nicht gegebene Cybersicherheit der EDV der Stadtverwaltung und das Krisenkonzept zur Sicherstellung des weiteren Betriebs der EDV nach einer kurzen Ausfallzeit verantwortlich? Welche Ziele und Vorgaben und Interventionszeiten hatte die Stadt hierzu formuliert und mit den Dienstleistern vereinbart?
Antwort des Oberbürgermeisters:
Die installierten Sicherheitsmechanismen entsprachen zum Zeitpunkt des Cyberangriffs der Bedrohungslage, waren angemessen und verhältnismäßig. Die Mitarbeiter waren entsprechend
sensibilisiert. Eine 100%ige Sicherheit ist auf Grund der Komplexität und der technischen Entwicklung in der IT nicht zu erreichen. Nach Entdeckung des Angriffs wurden umgehend Gegenmaßnahmen eingeleitet, um weiteren Schaden zu verhindern und im Rahmen der Cyberversicherung ein externer Forensik Dienstleister hinzugezogen, der umgehend seine Arbeit aufnahm. Der
Schwachstelle, die für den Angriff genutzt wurde, konnte damit stark eingegrenzt und der Weg
des Angreifers größtenteils nachvollzogen werden. Die Reaktion entsprach den Vereinbarungen
zwischen LHS und Dienstleister.
Frage:
War und ist die Landeshauptstadt Schwerin gegen die Schäden von Cyberangriffen
versichert? Sind ggf. die EDV-Dienstleister der Landeshauptstadt Schwerin gegen
Schäden, die bei Kunden durch Cyberangriffe entstehen versichert, so dass der Stadt
Schwerin kein Eigenschaden durch den Cyberangriff entstanden ist / entstehen wird?
Antwort des Oberbürgermeisters:
Die Landeshauptstadt Schwerin hat die Aufgabe IT-Betrieb an die KSM Kommunalservice Mecklenburg AöR (KSM) übertragen. Die KSM ist gegen Schäden aus Cyber-Angriffen versichert. Hinsichtlich der Schadensregulierung läuft aktuell die Abstimmung mit dem Versicherer.
Quelle: Anfrage an den Oberbürgermeister der Landeshauptstadt Schwerin, eines Stadtvertreters.
