Sehr geehrte Damen und Herren,
Auf Anraten der Sicherheitsbehörden und in Absprache mit unseren Sicherheitsexperten, habe ich mich daher umgehend am 29. Dezember dafür entschieden, unsere Systeme vorsorglich vom Netz zu nehmen. Und nachdem wir die Systeme seit Mitte Januar schrittweise wieder einschalten konnten, sind wir seit gestern Abend – zumindest jetzt aktuell zu dieser Stunde und vorläufig – wieder offline. Ich möchte diese Gelegenheit nutzen, um Ihnen die Hintergründe darzulegen und Ihnen mögliche Konsequenzen aufzuzeigen, wenn diese Entscheidung nicht in dieser Form getroffen worden wäre.
Ein solcher Einbruchsversuch erfolgt in der Regel entweder mit dem Ziel, sensible Daten auszuspionieren und meistbietend weiterzuverkaufen oder mit dem Ziel, die Kontrolle über ein System zu erlangen und die Daten zu verschlüsseln und den Eigentümer zu zwingen, Lösegeld für die eigenen Daten zu zahlen. Hier sind Kriminelle am Werk, die am Ende auch billigend in Kauf nehmen, dass Patienten in Krankenhäusern, Arzneimittelhersteller, die Wärme- und Energieversorgung oder Sozialhilfeempfänger durch ihr Handeln Schaden nehmen. Das passierte zum Beispiel im Rhein-Pfalz-Kreis, in Schriesheim, Schwerin, Witten und vielen anderen Städten und Kommunen.
Bekanntestes Beispiel ist der Angriff 2021 im Landkreis Anhalt-Bitterfeld. Dort übernahmen die Angreifer die komplette IT-Struktur der Verwaltung, verschlüsselten große Datenmengen und legten den Landkreis damit faktisch lahm. Nichts ging mehr: weder ein Auto anzumelden noch sich nach einem Umzug ummelden oder einen Pass beantragen. Und nicht nur das – die gesamte Verwaltung war über Monate lahmgelegt, weil alle Rechner neu aufgebaut werden mussten und alle Fachverfahren neu aufgespielt wurde.
Einfach gesagt: von einem Tag auf den anderen gab es keine technische Unterstützung mehr und die Verwaltung musste wieder mit Papierakten und Aktenwagen organisiert werden. Da der Landkreis die Lösegeldforderungen nicht zahlte, musste er den Katastrophenfall ausrufen und die komplette IT-Infrastruktur von Grund auf neu aufbauen. Die Folgen sind im Landkreis auch heute noch deutlich spürbar.
Meine sehr geehrten Damen und Herren,
lassen Sie mich eines klarstellen: unser Haus ist keineswegs ungeschützt. Vielmehr verfügen wir über moderne und effektive Sicherheitsvorkehrungen, analog zu einer stabilen Eingangstür in einem realen Haus. Diese Tür ist fest verschlossen und lässt im Idealfall nur Berechtigte passieren. Auch bei dem Cyberangriff vor drei Jahren, war diese Tür verschlossen, damals gab es jedoch ein offenes Fenster, welches ein erhebliches Sicherheitsrisiko darstellte. Ein solch offenes Fenster gab es dieses Mal nicht, ebenso wenig handelte sich in der Warnung des LKA nicht um vorbeiziehende Diebe auf der Suche nach einer günstigen Gelegenheit, wie dies vor drei Jahren der Fall war. Vielmehr hatten die Sicherheitsbehörden belastbare Anzeichen dafür, dass ein gezielter Angriff durch hochprofessionelle kriminelle Angreifer auf unser Haus unmittelbar bevorstand.
Sehr geehrte Damen und Herren,
dies ist ein signifikanter Unterschied. Ein Dieb auf der Suche nach einer günstigen Gelegenheit, versucht nicht in ein gut gesichertes und überwachtes Haus einzubrechen. Ein Einbrecher hingegen, der ein bestimmtes Ziel vor Augen hat, lässt sich auch von starken Sicherheitsmaßnahmen nicht abschrecken, wenn er glaubt, dass die Beute sich lohnt oder die Störung der öffentlichen Sicherheit und Ordnung das Ziel ist. Denn er weiß, dass es keine Sicherheitsmaßnamen gibt, mit denen sich ein Einbruch zu einhundert Prozent verhindern lässt.
Dies ist schon allein dadurch bedingt, dass dieses Haus bewohnt wird; dass hier gearbeitet wird, dass seine Bewohner Fenster und Türen benötigen. Keine Tür bietet einhundertprozentigen Schutz, jedes noch so sichere System ist anfällig für Fehler in der Bedienung. Aus diesem Grund haben wir uns entschlossen, die Server vom Netz zu trennen, damit ein Angriff möglichst wenig Erfolg haben kann.
Um sicherzustellen, dass sich nicht bereits ein Angreifer in unserem Haus aufhält, haben wir direkt nach dem Shutdown mit der Hilfe externer Dienstleister umfangreiche und tiefgehende Scans durchgeführt. Bei diesen Scans wurden keine besonderen Auffälligkeiten festgestellt. Daher hatten wir die Entscheidung getroffen, in der vergangenen Woche wieder E-Mails zu ermöglichen und zu Beginn dieser Woche mehrere Fachverfahren wieder ans Netz zu bringen.
Im Rahmen der Wiederinbetriebnahme unserer Online-Dienstleistungen haben wir eine Reihe von zusätzlichen Sicherheitsmaßnahmen implementiert und bestehende Systeme verbessert. Also wir haben im Haus, doppelte Schlösser, Gitter an den Fenstern und Videoüberwachung mit Direktaufschaltung zu einer Sicherheitsfirma installiert. Dabei wurde im Laufe des gestrigen Tages allerdings eine ernste Bedrohung für unsere Netzwerkstruktur festgestellt.
Zum gegenwärtigen Zeitpunkt gehen wir davon aus, dass durch die schnelle Abschaltung ein Datenabfluss verhindert worden ist. Es gibt auch keine Hinweise auf die Verschlüsselung von Daten. Zur Reduzierung des Gefahrenpotenzials habe ich gestern in Absprache mit unseren IT-Experten entschieden, dass wir unsere Verbindung zum Landesverwaltungsnetz trennen und den externen Emailverkehr erneut einstellen. Dies bleibt solange der Fall, bis wir ausschließen können, dass für die Daten der Bürgerinnen und Bürger, die Server der Landeshauptstadt Potsdam oder unserer Partner eine Gefahr besteht.
Wir reden immer abstrakt von Servern, aber auf diesen Servern liegen sensible persönliche Daten der Potsdamerinnen und Potsdamer, Bauanträge, Anträge auf Wohngeld, die Daten der Ausländerbehörde oder die Daten von Fahrzeughaltern.
Diese sind gegen jede Art von unbefugten Nutzungen schützen - und zwar mit allen uns zur Verfügung stehenden Mitteln. Und man muss auf die Lage reagieren. Um in Bild zu bleiben. Nachdem wir aktuell nicht ausschließen können, dass professionelle Kriminelle versuchen unsere Daten zu stehlen, haben wir das Bundesamt für Sicherheit in der Informationstechnik um eine direkte Unterstützung ersucht. Seit heute unterstützt uns das BSI nicht mehr nur beratend, sondern direkt bei technischen Fragen.
Ich kann den Unmut der Potsdamerinnen und Potsdamer verstehen, die derzeit ihr Auto nicht anmelden können und keinen neuen Ausweis erhalten. Aber ich bitte um Verständnis für die Situation: wir haben den Hinweis auf eine kriminelle Attacke, arbeiten mit dem LKA und dem BSI zusammen und versuchen uns dagegen zu wehren.
Meine sehr geehrten Damen und Herren,
wir haben aus dem Vorfall des Jahres 2020 gelernt und waren vorbereitet. Es wurde sofort ein Notfallteam IT gebildet und ein Verwaltungsstab einberufen, der bereits am 30.12., also direkt am folgenden Tag zusammentrat, die Lage analysierte und die Notfallpläne aktivierte. Wir konnten auf eine Liste mit priorisierten Kernprozessen zurückgreifen und waren daher in der Lage, verschiedene kritische Vorgänge, wie etwa den Zahlungsverkehr, beinahe unterbrechungsfrei durch eine Bypass-Lösung zu gewährleisten. Wir waren zudem in ständigen Kontakt mit externen Experten, sei es über die Allianz für Cybersicherheit, das HPI oder unsere externen Dienstleister.
Gegen Cyberkriminalität kann man sich nicht abschotten. Man kann sich nur bestmöglich vorbereiten. Aber auch die beste Vorbereitung erfordert in ihrer Umsetzung im Falle eines Angriffs erhebliche Anstrengungen. Ich möchte daher auch die Gelegenheit nutzen, Dieter Jetschmanegg und den Mitarbeitenden des Bereichs E-Government zu danken, die in den letzten und vermutlich leider auch kommenden Wochen mit erheblichen Aufwand, wie etwa einer ständigen Rufbereitschaft und zahllosen Überstunden, tätig waren und sein werden.
Downloads
- Bericht des Oberbürgermeisters in der Sitzung der Stadtverordnetenversammlung vom 25. Januar 2023
