Dettelbach ist bundesweit in die Schlagzeilen geraten, weil Bürgermeisterin Christine Konrad Lösegeld an Kriminelle bezahlt hat. Diese hatten mit einem Trojaner Einwohnermeldeamt und Stadtwerke des 7000-Einwohner-Ortes lahmgelegt. Ein Gespräch mit Michael Nöther, einem der drei Geschäftsführer der Firma H&W ProTel aus Eußenheim, die 400 Firmenkunden, darunter Gemeinden, hauptsächlich zum Thema Telefonie berät. Die Pflege von Netzwerken, das Thema Datensicherheit, die Betreuung von Anlagen und wirkungsvolle Backup-Strategien, die vor Datenverlust wie in Dettelbach schützen, gehören zum Aufgabengebiet der IT-Spezialisten.
Michael Nöther: Der erste Schritt wäre, die Bedeutung des Themas zu erkennen. Viele Privatleute, aber auch Behörden und Unternehmen sind arglos, ihnen ist das Thema mehr oder weniger egal. Dabei gilt der Grundsatz: Sicherheit ist unbequem und kostet Geld. Ich kenne Gemeinden und Betriebe, die das Thema sehr ernst nehmen, die eine gute Backup-Strategie haben. Sprich – eine wirkungsvolle Strategie gegen kriminelle Angriffe.
Außerdem gehört dazu, Mitarbeiter zu schulen und zu sensibilisieren, dass sie nicht jeden Mist anklicken. Jedem sollte klar sein: Das Internet ist ein weitgehend rechtsfreier Raum. Es gibt da draußen böse Menschen, international organisierte Kriminelle, die ihr Geschäft verstehen und Kasse machen wollen.
Nöther: Man muss in EDV-Hardware investieren, und kein Mitarbeiter darf an seinem PC oder Notebook Zugriff auf das Backup haben. Sprich, die Datensicherung muss offline sein, extern erfolgen. Sonst werden die gesicherten Daten bei einem Trojaner-Angriff mit verschlüsselt. Oft fehlt es an Wissen, wie man im Schadensfall richtig reagiert: Nämlich sofort, wenn einem etwas komisch vorkommt, man auf Laufwerke nicht zugreifen kann, den Rechner vom Netz nehmen, die IT-Spezialisten informieren. Wir hatten zwei Kunden, deren Rechner mit dem Trojaner aus Dettelbach befallen waren. Wir haben die Systeme um einen Tag zurückgestellt, und nach einem halben Tag war alles gut: Die Mitarbeiter konnten wieder an die Rechner, die Daten waren per Backup wieder hergestellt.
Nöther: Da wurden Fehler gemacht, ganz sicher. Ich kenne die Umstände und das Vorgehen nicht, deshalb eine generelle Antwort: Das Bundesamt für Sicherheit in der Informationstechnik, ebenso die Kripo Würzburg, raten dringend dazu, in so einem Fall die komplette Infrastruktur auf allen Rechnern neu zu installieren. Im optimalen Fall dauert so etwas zwei bis drei Tage, wenn mehrere Spezialisten im Zwölf-Stunden-Betrieb arbeiten. Bei 90 bis 120 Euro die Stunde kommt da Einiges zusammen, bei einer Gemeinde der Größenordnung Dettelbachs ist ein sechsstelliger Betrag durchaus möglich. Zumal: Wer ganz sicher gehen will, muss sogar die komplette Hardware austauschen, also alle Rechner und Notebooks. Das wurde zum Beispiel nach dem Hacker-Angriff auf den Deutschen Bundestag so gemacht, das war richtig teuer. Denn ansonsten bleibt ein Restrisiko, dass sich der Trojaner im Bootsektor des Rechners „einnistet“.
Nöther: Nein, das lässt sich nie hundertprozentig ausschließen. Wenn sich jemand richtig gut auskennt, kann er anhand der Bewegungen im Netzwerk mit hoher Wahrscheinlichkeit nachvollziehen, ob Daten kopiert wurden oder nicht. Aber es ist doch einfach so: Wenn sich jemand die Mühe macht, einen Trojaner zu programmieren, dann kann er das derart machen, dass dieser erst sensible Daten abfischt, also kopiert, und dann die Verschlüsselung eintritt, für die später Geld verlangt wird. Das bietet ja die Option, mehrfach zu kassieren. Die hoffnungsvolle Botschaft für Dettelbach ist: Ich halte das nach meiner Erfahrung mit dem dort eingesetzten Trojaner für eher unwahrscheinlich. Völlig auszuschließen ist es aber nicht.
Nöther: Selbstverständlich. Aber das gilt nicht nur für sie, das gilt für jeden. Wobei ein entscheidendes Problem ist: Behörden wie die Polizei können aufgrund der Struktur des Internets relativ wenig gegen international tätige Verbrecher tun. Deren Server stehen in Staaten, auf die die deutsche Justiz keinen Zugriff hat, zum Beispiel in Russland oder Jamaika. Trotzdem sollte jeder Vorfall angezeigt werden, auch um zu zeigen: Wir akzeptieren das nicht. Das erhöht den Druck auf die Ermittlungsbehörden und letztlich auf die Politik, an den Rahmenbedingungen etwas zu ändern.
Nöther: Das kann ich nicht beurteilen, ich kenne die Umstände des Falles nicht, weiß davon nur aus den Medien. Klar ist: Es gibt Richtlinien, an die sich Gemeinden ebenso wie Unternehmen zu halten haben. Einer der Punkte ist, dass ein Vorfall wie der in Dettelbach an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden muss.
Dort laufen die Fäden zusammen, Koordination ist gegen so einen ausgebufften Gegner unbedingt nötig. Was zu verantwortungsvollem Umgang mit einem Fall wie jetzt in Dettelbach gehört, ist eine umfassende Information der Öffentlichkeit: Das ist das Mindeste.
Ein Hardware Tausch macht erst recht keinen Sinn, wenn danach wieder ein Backup eingespielt werden soll. Wer sagt denn, dass nicht auch das Backup den Trojaner bereits enthält, er sich aber noch nicht aktiviert hat?
Dass der Bundestag seine Laptops getauscht hat, liegt wohl eher an einem cleveren "Spezialisten", der den ahnungslosen Damen und Herren noch ein schönes Zusatzgeschäft aus den Rippen geleiert hat.