Es gibt so viele Dinge, die wir alle in unserem Alltag für derart selbstverständlich halten, dass keiner auch nur eine Sekunde darüber nachdenkt. Beispielsweise dass man Licht hat, wenn man in der eigenen Wohnung den entsprechenden Schalter drückt. Oder dass beim Einkauf im Supermarkt die Kassiererin die Kasse öffnet, wenn man mit Bargeld bezahlt. Die völlige Selbstverständlichkeit wird einem erst dann als ein fragiles Konstrukt bewusst, wenn man auf einmal kein Licht mehr bekommt – oder wenn sich die Kassen in Supermärkten der Öffnung verweigern und einfach zu bleiben. Nichts geht mehr auf einmal.
Supermarkt-Kassen, die sich nicht mehr öffnen lassen, das ist nun keineswegs ein theoretisches Hirngespinst, sondern Millionen Schweden mussten genau diese Erfahrung machen. »Ein Hackerangriff auf US-Firmennetzwerke hat Auswirkungen bis nach Europa. Bei einer von Schwedens größten Supermarktketten funktionieren die Kassen nicht«, wurde Anfang Juli 2021 gemeldet: Cyberattacke trifft 800 Filialen einer schwedischen Supermarktkette. „Einer unserer Subunternehmer war Ziel eines digitalen Angriffs, und deshalb funktionieren unsere Kassen nicht mehr“, teilte Coop Schweden mit. Der Konzern hoffe, das Problem schnell in den Griff zu bekommen und die Filialen wieder öffnen zu können. Coop ist eine der größten Supermarktketten des Landes.
Aber es waren nicht nur Filialen einer Supermarkt-Kette betroffen: »In Schweden berichteten auch die staatlichen Eisenbahnen und eine Apothekenkette von Störungen. Verteidigungsminister Peter Hultqvist sprach von einem sehr gefährlichen Angriff. „In einer anderen geopolitischen Lage könnten uns staatliche Akteure auf diese Weise angreifen, um die Gesellschaft lahmzulegen und Chaos anzurichten“, sagte Hultqvist im Fernsehen.«
»Die schwedische Tochtergesellschaft des Softwarekonzerns Visma teilte jedoch mit, das Problem stehe im Zusammenhang mit einem größeren Cyberangriff auf das amerikanische IT-Unternehmen Kaseya … Kaseya hatte seine Kunden nach dem Angriff aufgefordert, sofort und bis auf Weiteres ihren sogenannten VSA-Server abzuschalten. Über den VSA-Server können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern. Kaseya hatte bereits am Vortag mitgeteilt, seine Software VSA sei möglicherweise gehackt worden. Das Unternehmen ist nach eigenen Angaben ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen.«
Das steht offensichtlich in einem Kontext mit einem globalen Problem: »Im Mai waren die Colonial-Ölpipeline in den USA und die US-Tochter des weltgrößten Fleischproduzenten JBS Opfer eines Cyberangriffs mit Ransomware geworden. Voriges Jahr hatten sich Hacker über Software des amerikanischen IT-Unternehmens SolarWinds Zugang zu den Systemen von Ministerien, Behörden und Unternehmen verschafft.« Dazu auch der Beitrag Wie Cyberangriffe funktionieren – und Supermarktkassen lahmlegen von Sebastian Christ, der zugleich verdeutlicht, dass wir es hier sozusagen mit Cyberangriffen zweiter Ordnung zu tun haben: »Cyberangriffe gegen wichtige Schnittstellen im Netz können weitreichende Folgen haben. Das betrifft zum Beispiel Hacks auf Sicherheitsfirmen, die auf den Computersystemen ihrer Kunden eigentlich dafür sorgen sollen, dass Daten geschützt bleiben. Solche Unternehmen haben über die von ihnen angebotenen Produkte bisweilen Zugriffsrechte auf die Rechner ihrer Kunden – etwa, um Systemupdates aufzuspielen. Gelingt es Hackern, sich in die Systeme einer solchen Sicherheitsfirma einzuschleichen, kann das massive Konsequenzen für Hunderte oder gar Tausende Systeme haben.«
Exkurs: Ein boomender Wachstumsmarkt
»Kriminalität im Internet nimmt stark zu. Es entwickelt sich eine Parallelwelt, in der man Straftaten wie in den Gelben Seiten buchen kann«, so Paul Dale in seinem Beitrag Die boomende Branche der Cyberkriminalität. Cyberkriminalität gehört zu den boomenden Wirtschaftsbranchen – und der Autor bezieht sich bei dieser Aussage auf die Erkenntnisse aus dem Bundeslagebild Cybercrime 2020, das vom Bundeskriminalamt (BKA) im Mai 2021 veröffentlicht wurde. »Neben zahlreichen Einzel- und Gelegenheitstätern zählt das BKA eine Zunahme bei Cyberkriminellen, die sich auf Angriffe auf IT-Systeme von Unternehmen, staatliche Behörden und Infrastruktur spezialisieren. Sowohl eine „zunehmende Professionalisierung der Täter“ als auch „steigende Fähigkeiten der Schadsoftware selbst zur Verschleierung vor Sicherheitsmaßnahmen“ seien problematisch, heißt es im Bericht.« „Cyberangriffe mittels Ransomware sind die derzeit größte Bedrohung für Wirtschaftsunternehmen und kritische Infrastrukturen“, wird der BKA-Abteilungsleiter Cybercrime, Carsten Meywirth, zitiert. Dabei soll mit verschlüsselten Server-Daten ein Lösegeld erpresst werden.
»Global hat sich bereits eine Parallelwirtschaft entwickelt: Die Underground Economy. Dabei setzen Kriminelle auf ähnliche Wertschöpfungsketten wie in der legalen Digitalwirtschaft: So bieten Programmierer auf illegalen Markplätzen Trojaner für den Bankbetrug an, andere verkaufen persönliche Daten für Kreditkartenbetrüger. Bot-Netzwerke für DDoS-Angriffe lassen sich mieten. Wie früher bei den Gelben Seiten gebe es inzwischen auch Verzeichnisse für kriminelle Dienstleister und Zwischenhändler.«
»Das BKA sieht vor allem drei Gründe für den Anstieg im Bereich der Cyberkriminalität: mehr Tatgelegenheiten durch die stark voranschreitende Digitalisierung, eine Professionalisierung der Täter und ein wachsendes Angebot für technisch weniger versierte Kriminelle, sich Schadsoftware und andere Cybercrime-Tools quasi als Dienstleistung zu beschaffen«, so das Fazit in diesem Bericht über die neuen Zahlen des BKA: Cybercrime nimmt weiter zu.
Mit Blick auf die Lage in Deutschland wurde Anfang Juli 2021 gemeldet: Zahl der Hackerangriffe so hoch wie nie zuvor: »Die Cyberattacken auf deutsche Unternehmen ist in der Pandemie weiter gestiegen, warnt der Bundesverband der Deutschen Industrie. Homeoffice mache verwundbarer.«
Und hier findet man auch einen Hinweis, der überleitet zur Frage einer möglichen sozialpolitischen Bedeutung des zunehmenden Cybercrime: Neben »Privatleuten und Unternehmen (sind) auch mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte in den vergangenen sechs Jahren von Ransomware-Banden attackiert worden.«
Krankenhäuser unter Cyber-Beschuss – mit lebensbedrohlichen Folgen
Wenn Kliniken zum Ziel von Cyberkriminellen werden, dann stehen im wahrsten Sinne des Wortes Menschenleben auf dem Spiel. »Hacker dringen … immer häufiger in Computernetze von Krankenhäusern und anderen systemrelevanten Organisationen ein. So registrierte die Bundesregierung 2020 bis Anfang November 43 erfolgreiche Angriffe auf Gesundheitsdienstleister … Das seien mehr als doppelt so viele wie im gesamten vergangenen Jahr«, berichtet des Deutsche Ärzteblatt im November des vergangenen Jahres unter der Überschrift Mehr Cyberangriffe auf Krankenhäuser. Und ergänzend: »Nicht nur Krankenhäuser sind von den Hackerattacken betroffen, sondern auch Energie- und Wasserversorger, Banken und Versicherungen sowie andere Organisationen. Insgesamt wurden … bis Anfang November 171 erfolgreiche Angriffe auf Einrichtungen der kritischen Infrastruktur gezählt. Im vergangenen Jahr waren es demnach 121, im Jahr davor 62.«
Die Verletzlichkeit der Kliniken und ihrer IT-Infrastruktur hat nicht nur, aber auch damit zu tun, was bislang (nicht) investiert wurde in Cyber-Sicherheit. Und die eigentlich erforderlichen Investitionen sind erheblich und liegen bei weitem über den Budgets der allermeisten Krankenhäuser: „Die Krankenhäuser holen in Sachen IT-Sicherheit gerade auf, aber noch nicht jedes ist dort, wo es sein sollte. Mindestens 15 Prozent der IT-Investitionen müssen in die IT- und Cybersicherheit gehen“, so die Einschätzung von Isabel Münch, Expertin für kritische Infrastruktur im Bundesamt für Sicherheit in der Informationstechnik (BSI).
»In der Pandemie sind Cyberattacken für die überlasteten Krankenhäuser eine noch größere Gefahr. IT-Experten legen eine bedrückende Analyse vor«, so Frank Jansen in seinem Artikel Kliniken besonders verletzlich bei Hackerangriffen. »Bei mindestens einem Drittel der Krankenhäuser in Deutschland ist die IT-Sicherheit mangelhaft. In vielen Kliniken sind Server und Software veraltet, Datenbanken werden nur mit einem Passwort gesichert … Es gibt sogar Krankenhäuser, in denen alte Windows 2003 Server im Einsatz sind, die seit 2015 von Microsoft kein Sicherheitsupdate mehr erhalten. Das ist das Ergebnis einer Untersuchung durch IT-Experten des Berliner Beratungsunternehmens Alpha Strike Labs, der österreichischen Firma Limes Security und aus der Universität der Bundeswehr in München. Analysiert wurden im November und Dezember 2020 öffentlich erreichbare Zugänge in die Netze von 1555 Krankenhäusern. Bei 36 Prozent waren Defizite zu erkennen.« Zu denen, die an der Untersuchung mitgewirkt haben, erfahren wir: »Alpha Strike hatte im vergangenen Jahr bereits gravierende Mängel bei der IT-Sicherheit der Berliner Wasserbetriebe festgestellt. Es bestand die Gefahr, dass die Abwasserentsorgung durch Hackerangriffe lahmgelegt würde … Die Wasserbetriebe begannen dann mit dem Umbau der IT-Sicherheit. Ähnliche Prozesse sind offenbar auch bei vielen Krankenhäusern notwendig.«
»Cyberkriminelle konzentrieren sich in Corona-Zeiten besonders auf kritische Infrastruktur, um möglichst viel Schaden anzurichten. Mittlerweile werden vermehrt Krankenhäuser zum Ziel von Hackerangriffen«, so Thomas Spinnler in seinem Beitrag Kliniken im Visier der Hacker. Der beginnt mit nur einigen wenigen Beispielen aus den vergangenen Monaten: »Im September 2020 konnte die Düsseldorfer Uniklinik wegen eines Hackerangriffs nicht mehr bei der Notfallversorgung mitwirken. Die Urologische Klinik in Planegg wurde zu Beginn dieses Jahres ebenfalls Ziel eines Cyberangriffs, im März wurde die Evangelische Klinik in Lippstadt attackiert. Die Liste der Angriffe wird immer länger.«
➞ Zu dem Fall in Düsseldorf wird hier berichtet: »Das Unheil begann um drei Uhr nachts am 10. September 2020. Es fallenrund 30 Server des Uniklinikums Düsseldorf aus, die IT der Uniklinik geht in rasantem Tempo in die Knie – mit ihr erhebliche Teile des medizinischen Betriebs. Wenige Tage später ist klar: Das Klinikum ist Opfer einer Hackerattacke mit Erpressersoftware („Ransomware“), unzählige Daten des Hauses wurden absichtlich verschlüsselt. Eine 78-jährige Notfallpatientin stirbt, weil ein Rettungswagen das UKD nicht anfahren kann und ins 25 Kilometer entfernte Wuppertal ausweichen muss. Erst am 12. Oktober 2020 – und damit mehr als vier Wochen später − kehrt das Klinikum nach eigenen Angaben wieder halbwegs in den Normalbetrieb zurück.«
»Der schwere Angriff auf die Uniklinik Düsseldorf ist längst kein Einzelfall mehr in Deutschland. Anfang 2020 legten Hacker das Klinikum Fürth in Bayern lahm. Nur wenige Monate davor hatte es die DRK-Südwest in Neuwied erwischt, elf Krankenhäuser in Rheinland-Pfalz und dem Saarland waren betroffen. Unvergessen ist auch die folgenreiche Attacke im Frühjahr 2016, als 28 Krankenhäuser in Nordrhein-Westfalen Cyberangriffe meldeten.«
»Die allgemeine Bedrohungslage für Krankenhäuser habe sich in Sachen Cybersicherheit in den letzten Jahren verschärft, erklärt Markus Holzbrecher-Morys, bei der Deutsche Krankenhausgesellschaft (DKG) Geschäftsführer für „IT, Datenaustausch und eHealth“ … Qualität und Anzahl von Cyberangriffen hätten in den letzten Jahren stark zugenommen.«
Das ist kein auf Deutschland begrenztes Phänomen: »Die Cyber-Security-Firma Emsisoft hat beispielsweise festgestellt, dass in den USA im vergangenen Jahr mehr als 100 Behörden Opfer von Erpresserattacken wurden. Außerdem seien 500 Krankenhäuser und Gesundheitszentren angegriffen worden. Hinzu kämen noch etwa 1680 Schulen und Hochschulen und Hunderte Unternehmen.«
Die öffentliche IT-Infrastruktur und damit die dahinter stehenden Leistungen unter Cyber-Beschuss
Im Juni 2021 veröffentlichte Kai Biermann seinen Artikel Der Staat als Beute: »Mehr als 100 Behörden und öffentliche Einrichtungen wurden mit Ransomware angegriffen, einige zahlten gar Lösegeld.« Und legt einen Vorwurf nach: »Koordinierte Hilfe des Staates aber gibt es nicht.« Er beginnt seine Ausführungen mit einem Beispiel aus den Niederungen der Kommunalverwaltung: »Im März sind die Computer der Stadtverwaltung Angermünde „abgebrannt“. So bezeichnet es der Bürgermeister der Brandenburger Gemeinde, Frederik Bewer. Unbekannte hatten sich in das Computernetz der Stadtverwaltung gehackt und große Teile davon verschlüsselt. Einwohnermeldeamt, Standesamt und Grünflächenamt waren nicht mehr arbeitsfähig. Heiraten oder einen neuen Pass beantragen? Wochenlang unmöglich. Erst jetzt, vier Monate später, kann beispielsweise das Meldeamt wieder Bürgerinnen und Bürger empfangen.«
»Mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte sind in den vergangenen sechs Jahren von Ransomware-Banden attackiert worden. In den meisten Fällen ist es den Tätern dabei gelungen, in die IT-Systeme der Institutionen und öffentlichen Einrichtungen einzudringen und Daten zu verschlüsseln, sodass die Mitarbeiter und Mitarbeiterinnen keinen Zugriff mehr darauf hatten.« Das sei das Ergebnis einer Umfrage des Bayerischen Rundfunks und von ZEIT ONLINE unter allen Bundesländern. »Demnach wurden beispielsweise in Sachsen-Anhalt seit 2015 mindestens 20 landeseigene Institutionen angegriffen, darunter der Landtag, Landesministerien, Krankenhäuser und Polizeidienststellen. In Mecklenburg-Vorpommern traf es mindestens 17 öffentliche Einrichtungen …, in Hamburg 15, in Schleswig-Holstein acht und in Sachsen sieben. Thüringen erfasst solche Angriffe erst seit dem Jahr 2019 und hat seitdem 13 Attacken auf Behörden und öffentliche Institutionen registriert.« Aber: Sehr wahrscheinlich ist die Gesamtzahl erheblich höher. »Denn offenbar weiß keine Stelle in Deutschland genau, wie viele solche Ransomware-Angriffe auf staatliche Strukturen es gibt. So haben Berlin und Nordrhein-Westfalen gar keine Angaben dazu gemacht, niemand erfasst dort entsprechende Erpressungsversuche.«
»Das Problem trifft vor allem einen öffentlichen Bereich hart: die Kommunen. Das Grundgesetz sichert Gemeinden zu, ihre Belange selbst gestalten zu dürfen. Doch diese sinnvolle kommunale Selbstverwaltung gerät bei international agierenden Kriminellen schnell an ihre Grenzen. Es bedeutet, dass Gemeinden wie Angermünde, immerhin eine Stadt mit 13.000 Einwohnern, auf sich allein gestellt sind. „Es gibt kein organisiertes System, das eine Kommune in Anspruch nehmen kann“, sagt Bürgermeister Bewer. „Wir haben uns die Hilfe zusammengesucht und aus eigenen Mitteln finanziert.“ Die Folgekosten eines Angriffs sind erheblich, Angermünde musste die komplette Computerinfrastruktur neu aufbauen.«
Und hinsichtlich der hier besonders interessierenden Frage nach der möglichen sozialpolitischen Relevanz des Problems: Man denke an die vielen Sozialleistungen, die auf der kommunalen Ebene administriert werden.
Und jetzt gibt es sogar den ersten „Cyber-Katastrophenfall“ auf kommunaler Ebene in Deutschland
»Der Landkreis Anhalt-Bitterfeld hat erstmals in Deutschland den Cyber-Katastrophenfall ausgerufen. Nach einem Hackerangriff ist die gesamte Verwaltung für zwei Wochen lahmgelegt. Fachleute des Bundes sind im Einsatz«, kann man dieser Meldung vom 10. Juli 2021 entnehmen: Erster Cyber-Katastrophenfall in Deutschland. Cyber-Kriminelle hatten das Computersystem am 6. Juli attackiert. „Wir sind praktisch vollkommen lahmgelegt“, so ein Sprecher des Landkreises
Mit handfesten sozialpolitisch hoch relevanten Folgen: »Der Landkreis mit rund 157.000 Einwohnern kann deshalb etwa keine Sozial- und Unterhaltsleistungen mehr auszahlen.«
Derzeit können Anliegen wie Anträge auf Sozialhilfe nicht bearbeitet werden, so auch dieser Beitrag mit einer rustikalen Überschrift: Anhalt-Bitterfeld: „Situation ist beschissen, aber nicht hoffnungslos“. Anliegen der Bürgerinnen und Bürger könnten derzeit nicht bearbeitet werden. Das könne unter Umständen gravierende Auswirkungen haben, zum Beispiel für Sozialhilfeempfänger.
»Der Katastrophenfall wurde ausgerufen, um schneller reagieren zu können, wie der Landkreis-Sprecher erläuterte. Jetzt gehe es darum, die Quelle der Infektion zu finden sowie um Analyse und Bekämpfung des Virus. Die IT-Infrastruktur müsse wieder aufgebaut werden. Schnellstmöglich sollten die Dienstleistungen für die Bürgerinnen und Bürger wieder aufgenommen werden.«
„Dieser Angriff hat auf alle Bereiche des Leistungsspektrums des Landkreises unmittelbare Auswirkungen und betrifft somit auch die Anliegen der Bürgerinnen und Bürger, die zurzeit nicht bearbeitet werden können“, teilte der Kreis mit.
Fazit: Es geht bei der sich ausbreitenden Cyber-Kriminalität, die sich immer stärker gegen die oftmals unterentwickelten öffentlichen IT-Systeme richten wird, nicht nur um die damit verbundenen wirtschaftlichen Schäden im engeren Sinne, die schon hoch genug sind. Es geht auch um möglicherweise erhebliche Beeinträchtigungen bei existenziellen Leistungen, die an Bedürftige ausgezahlt werden. Und um die Versorgung mit Krankenhaus- und anderen medizinischen Leistungen bis hin zur Datensicherheit, wenn wir an die zunehmende Zentralisierungsbewegungen bei den individuellen und höchst sensiblen Gesundheitsdaten denken. Man sollte sich rechtzeitig mit einer systematischen Erhebung der sozialpolitisch relevanten Schwachstellen hinsichtlich der sich ausbreitenden Cyber-Kriminalität beschäftigen. Denn so eine liegt nach Wissen des Verfassers nicht einmal in ganz groben Umrissen vor. Das kann sich mal bitter rächen.