Der Vorfall
Am 6. Juli 2021 geschah in Deutschland etwas, das es in dieser Form noch nie gegeben hatte: Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt rief den Katastrophenfall aus – nicht wegen eines Naturereignisses, sondern wegen eines Cyberangriffs. Es war der erste „Cyber-Katastrophenfall" in der deutschen Geschichte.
Ransomware hatte die gesamte IT-Infrastruktur des Landkreises lahmgelegt. 800 Mitarbeiter der Kreisverwaltung konnten nicht mehr arbeiten. Sozialleistungen konnten nicht ausgezahlt werden. Kfz-Zulassungen waren unmöglich. Baugenehmigungen lagen auf Eis. Elterngeld, Wohngeld, Jugendhilfe – nichts ging mehr.
157.000 Bürgerinnen und Bürger waren betroffen. Die Verwaltung musste auf Notbetrieb umstellen: handschriftliche Formulare, improvisierte Abläufe, Behördengänge, die plötzlich wieder per Papier erledigt werden mussten. Der Katastrophenfall blieb offiziell bis zum 2. Februar 2022 bestehen – fast sieben Monate.
Die Angreifer forderten ein Lösegeld, dessen genaue Höhe nicht öffentlich bekannt wurde. Der Landkreis weigerte sich zu zahlen. Stattdessen begann ein monatelanger Wiederaufbau der gesamten IT. Hunderte Rechner mussten neu aufgesetzt, Netzwerke komplett neu konfiguriert, Daten aus Backups wiederhergestellt werden.
Die Kosten für den Wiederaufbau beliefen sich auf mindestens 2 Millionen Euro – bei einem Landkreis, dessen IT-Budget ohnehin knapp war. Dazu kommen die indirekten Kosten: verlorene Arbeitszeit, verzögerte Verwaltungsakte, der Reputationsschaden.
Ermittlungen des Bundeskriminalamts ergaben, dass die Angreifer die Ransomware-Variante „PayOrGrief" eingesetzt hatten – eine Weiterentwicklung der DoppelPaymer-Ransomware. Die initiale Kompromittierung erfolgte vermutlich bereits Wochen vor dem eigentlichen Angriff.
Wie der Angriff funktionierte
Die Ermittlungen zeigten ein typisches Muster professioneller Ransomware-Angriffe auf kommunale Infrastruktur:
Stufe 1 – Initialer Zugang: Die Angreifer verschafften sich vermutlich über eine Phishing-Mail oder eine verwundbare Fernzugangslösung Zugang zum Netzwerk des Landkreises. In vielen Kommunen waren während der Corona-Pandemie hastig Homeoffice-Zugänge eingerichtet worden – oft ohne ausreichende Sicherheitsmaßnahmen. VPN-Zugänge mit schwachen Passwörtern oder ohne Zwei-Faktor-Authentifizierung waren weit verbreitet.
Stufe 2 – Ausbreitung und Aufklärung: Nach dem initialen Zugang bewegten sich die Angreifer wochen- oder tagelang unbemerkt durch das Netzwerk. Sie nutzten Tools wie Cobalt Strike – eigentlich ein kommerzielles Penetrationstest-Werkzeug – um das Netzwerk zu kartografieren, Administratorkonten zu übernehmen und sich Zugang zu möglichst vielen Systemen zu verschaffen.
Stufe 3 – Vorbereitung: Bevor die eigentliche Verschlüsselung begann, trafen die Angreifer Vorbereitungen: Backups wurden identifiziert und nach Möglichkeit gelöscht oder verschlüsselt. Schattenkopien wurden entfernt. Sicherheitslösungen wurden deaktiviert. Alles, was eine schnelle Wiederherstellung ermöglicht hätte, wurde systematisch ausgeschaltet.
Stufe 4 – Verschlüsselung: Am 6. Juli 2021 lösten die Angreifer die Verschlüsselung aus. PayOrGrief verschlüsselte Dateien auf Hunderten von Rechnern und Servern gleichzeitig. Die Erpressernachricht drohte zusätzlich mit der Veröffentlichung gestohlener Daten – Double Extortion, wie es in der Fachsprache heißt.
Tatsächlich veröffentlichten die Angreifer später Teile der gestohlenen Daten im Darknet, darunter persönliche Daten von Bürgerinnen und Bürgern.
Warum Virenscanner versagten
Der Fall Anhalt-Bitterfeld zeigt exemplarisch, warum kommunale IT besonders verwundbar ist:
Ressourcenmangel: Kommunale IT-Abteilungen sind chronisch unterbesetzt und unterfinanziert. Während Großunternehmen Security Operations Center mit 24/7-Überwachung betreiben, teilen sich kleine Landkreise oft eine Handvoll IT-Mitarbeiter für hunderte Arbeitsplätze. Virenscanner werden zwar installiert, aber nicht optimal konfiguriert oder überwacht.
Veraltete Infrastruktur: In vielen Kommunen liefen zum Zeitpunkt des Angriffs noch Systeme mit veralteten Betriebssystemversionen oder fehlenden Sicherheitsupdates. Virenscanner können eine grundlegend unsichere Infrastruktur nicht kompensieren.
Cobalt Strike als Geisterwerkzeug: Die Angreifer nutzten Cobalt Strike, ein kommerzielles Tool, das von vielen Virenscannern nicht als Schadsoftware erkannt wird, weil es auch von legitimen Sicherheitsfirmen eingesetzt wird. Die Signaturen sind absichtlich so gestaltet, dass sie Sicherheitsprodukte umgehen.
Wochen der Vorbereitung: Die Angreifer waren vermutlich Wochen vor dem eigentlichen Angriff im Netzwerk. In dieser Zeit hätte ein gut konfiguriertes SIEM-System (Security Information and Event Management) möglicherweise Anomalien erkannt. Aber ein solches System hatte der Landkreis nicht – und ein Virenscanner allein erkennt keine laterale Bewegung durch das Netzwerk.
Deaktivierte Schutzmaßnahmen: Vor der Verschlüsselung wurden Virenscanner per Gruppenrichtlinie deaktiviert. Der Scanner kann nicht schützen, wenn er nicht läuft.
So hätte Deep Freeze geschützt
Für einen Landkreis wie Anhalt-Bitterfeld ist Deep Freeze geradezu die ideale Lösung – und zwar aus mehreren Gründen:
Kommunale Arbeitsplatzrechner sind prädestiniert für Deep Freeze. Die Sachbearbeiter nutzen Standardsoftware: ein Fachverfahren, einen Browser, Office. Die Software ändert sich selten. Die Benutzerdaten liegen typischerweise auf zentralen Servern oder Netzlaufwerken. Der lokale Rechner ist ein Arbeitsinstrument, das jeden Tag gleich sein sollte – genau das leistet Deep Freeze.
Stufe 1 wird neutralisiert: Ob Phishing-Mail oder kompromittierter VPN-Zugang – die initiale Schadsoftware muss sich auf der Systempartition einnisten, um persistent zu sein. Deep Freeze verhindert genau das. Nach dem nächsten Neustart ist der Rechner sauber.
Die wochenlange Aufklärungsphase wird unmöglich: Die Angreifer brauchen persistenten Zugang, um das Netzwerk zu erkunden. Wenn ihre Tools und Backdoors bei jedem Neustart der Arbeitsplatzrechner verschwinden, können sie kein Netzwerk kartografieren und keine Zugangsdaten sammeln.
Deep Freeze kann nicht per Gruppenrichtlinie deaktiviert werden. Während Virenscanner über die Windows-Verwaltung abgeschaltet werden können, operiert Deep Freeze auf einer tieferen Ebene. Selbst ein Angreifer mit Domänen-Admin-Rechten kann Deep Freeze nicht einfach ausschalten – dafür wird das Deep-Freeze-spezifische Passwort benötigt.
Der Wiederaufbau wäre trivial gewesen. Statt Hunderte Rechner über Monate hinweg neu aufzusetzen, hätte ein koordinierter Neustart aller Arbeitsplatzrechner gereicht. Am nächsten Morgen wären alle Arbeitsplätze wieder einsatzbereit gewesen. Die Verwaltung hätte am Tag nach dem Angriff weiterarbeiten können – statt sieben Monate im Katastrophenmodus zu verbringen.
Die Einsparung: statt 2 Millionen Euro Wiederaufbaukosten und sieben Monaten Katastrophenfall ein Wochenende für koordinierte Neustarts und Serverwiederherstellung.
Die Lehre
- Kommunale IT ist ein leichtes Ziel. Knappe Budgets, veraltete Systeme, wenig Personal – Angreifer wissen das und zielen gezielt auf Kommunen. Deep Freeze ist eine kosteneffiziente Antwort: einmal konfiguriert, schützt es dauerhaft ohne laufende Personalkosten.
- Der Katastrophenfall war vermeidbar. 157.000 Bürger waren monatelang betroffen, weil die Arbeitsplatzrechner nicht wiederhergestellt werden konnten. Mit Deep Freeze hätte ein Neustart gereicht.
- Persistenz ist der Schlüssel jedes Angriffs. Ohne die Möglichkeit, dauerhaft im Netzwerk zu bleiben, können Angreifer weder aufklären noch vorbereiten noch zuschlagen. Deep Freeze nimmt ihnen diese Möglichkeit auf jedem geschützten Rechner.
- Standardarbeitsplätze brauchen keinen individuellen Schutz – sie brauchen einen Reset-Mechanismus. Sachbearbeiter-PCs in einer Verwaltung sind austauschbar. Wichtig sind die Daten auf den Servern, nicht die lokale Installation. Deep Freeze schützt genau das, was geschützt werden muss: den sauberen, funktionsfähigen Arbeitsplatz.
- Zwei Millionen Euro hätten besser investiert werden können – zum Beispiel in Deep-Freeze-Lizenzen für alle kommunalen Rechner in Sachsen-Anhalt.