Die vielleicht längste deutsche Trojaner-Geschichte ist zu Ende: Neun Jahre nach einem Cyber-Angriff auf die Stadtverwaltung ist jetzt auch die rechtliche Seite aufgearbeitet und das Urteil endgültig. Das Bamberger Oberlandesgericht bestätigte aktuell ein Urteil des Landgerichts und ließ eine Berufung erst gar nicht mehr zu. Diese hatte der damalige IT-Dienstleister der Stadt angestrebt. Damit ist klar, dass die Schuld für den Datenverlust bei dem Dienstleister liegt – und nicht bei der Stadt Dettelbach oder deren Fehlverhalten.
Es war Anfang Februar 2016, als auf den Computern der Stadtverwaltung und der Stadtwerke nichts mehr ging. Kein Zugriff auf nichts, alle Dateien verschlüsselt. Kriminelle hatten mit einer Schadsoftware das Computersystem gekapert. Sämtliche Daten waren per Trojaner verschlüsselt. Es folgte eine Lösegeld-Forderung, auf die die Stadt einging. Gegen Zahlung von 485 Euro, für die ein geforderter Bitcoin gekauft wurde, gab es im Gegenzug einen entsprechenden "Schlüssel". Dieser ermöglichte dann wieder den Zugriff auf die Daten.
Keine vernünftige Datensicherung
Das hätte auch funktioniert – hätte. Dass am Ende die Daten doch größtenteils verloren waren, lag daran, dass schlichtweg eine vernünftige Datensicherung, das sogenannte Back-up, fehlte. Mit einer aktuellen Sicherungskopie wäre es möglich gewesen, das System ohne Datenverluste wiederherzustellen. Der von den Internet-Gangstern nach Erhalt des Bitcoins freigegebene Entschlüsselungscode hätte bei einem Back-up funktioniert, so urteilten die Gerichte.
So aber entstand der Stadt ein Schaden von rund 212.000 Euro. Was es so teuer machte: Viele verschwundene Daten mussten später mühsam per Hand neu erfasst werden. Diesen Arbeitsaufwand haarklein nachzuweisen, machte es vor Gericht letztlich so langatmig. Bei dem jahrelangen Gang durch die Instanzen kristallisierten sich am Ende 155.000 Euro Schadensersatz heraus. Zu einer außergerichtlichen Einigung kam es damals nicht, weil das IT-Unternehmen, das einen Subunternehmer eingesetzt hatte, keine Schuld an der Datenpanne bei sich sah.
Bundesweite Schlagzeilen und Image-Schaden
Der Vorfall brachte einen knallharten Image-Schaden mit sich, Dettelbach geriet bundesweit in die Schlagzeilen. Gleichzeitig wurden auch Lehren aus dem Fall gezogen. Die Stadt beauftragte die in vielen Gemeinden tätige Firma Kommuna mit der Betreuung der eigenen EDV-Anlage. Der Internetverkehr wurde an das Kitzinger Landratsamt übertragen.
Auch für andere Städte und Gemeinden wirkte das Geschehen in Dettelbach wie eine Initialzündung – das Thema Sicherheit im Netz wurde zunehmend ernster genommen. Dettelbachs Bürgermeister Matthias Bielek betonte denn auch auf Anfrage, dass man heute "um ein Vielfaches besser aufgestellt" sei und die Stadt als gebranntes Kind ständig am Thema Datensicherheit arbeite.
Die vielleicht längste deutsche Trojaner-Geschichte geht mit einem ordentlichen Batzen Geld zu Ende: Durch Verzinsungen werden nunmehr um die 220.000 Euro in der Stadtkasse landen.
