«Wir lassen uns nicht erpressen»: Eine schwedische Gemeinde geht nach einem Cyberangriff an die Öffentlichkeit

«Eine Gemeinde zahlt kein Lösegeld», wiederholte Bürgermeisterin Maria Henriksson Mal für Mal. Auch wenn alle Server der öffentlichen Verwaltung gehackt würden, auch wenn nichts mehr funktioniere, so lohne es sich nicht, den Erpressern entgegenzukommen. Wer bezahle, der werde bald wieder angegriffen.

Henrikssons nordschwedische Gemeinde Kalix wurde Mitte Dezember Opfer eines Ransomware-Angriffs. Der erste Alarm kam von der Nachtschicht der Spitex, die sich nicht mehr in ihr System einloggen konnte. Als sich die Anrufe an die IT-Abteilung häuften, wurde rasch klar, dass es sich nicht um eine simple Panne handelte. Vielmehr waren Cyberkriminelle in die mehr als hundert Server der Gemeinde eingedrungen, hatten alle Daten verschlüsselt und so sämtliche kommunalen Dienstleistungen lahmgelegt.

Alle digitalen Kommunikationswege waren blockiert, ebenso Personalsysteme, Rechnungssoftware und sensible Daten wie Patientendossiers, Medikamentenlisten, Dienstpläne. Weil die Weihnachtsferien schon begonnen hatten, blieb der Schulbetrieb vorerst von der Totalhavarie verschont.

Rasche öffentliche Information

Noch am Tag der Attacke meldeten sich die Erpresser, allerdings ohne konkrete Geldforderung. Experten schätzen, dass eine Gemeinde wie Kalix mit einem Lösegeld von mindestens 10 bis 15 Millionen Kronen (1 bis 1,5 Millionen Franken) hätte rechnen müssen, um wieder Zugang zu den gekaperten Daten zu erhalten. Statt zu bezahlen, ging man in Nordschweden in den Krisenmodus, zog externe Hilfe bei und orientierte die Öffentlichkeit detailliert über den Vorfall.

Die Hoffnung, die Probleme bis Weihnachten beheben zu können, erwies sich als unrealistisch. Weil die Hacker laufend neue Angriffe lancierten, kam die Arbeit nur langsam voran. Während rund 30 IT-Spezialisten die Server neu zu starten versuchten, mussten sich die Angestellten an Stift und Papier gewöhnen. Im Gemeindehaus stapelten sich die Rechnungen, die Dezemberlöhne konnten gerade noch rechtzeitig an die 1900 Beschäftigten überwiesen werden. Bis alle primären IT-Systeme aufgeschaltet waren und der Gemeindebetrieb wieder rundlief, sollte es vier Wochen dauern; die allerletzten Computer waren erst Ende Januar aufdatiert oder ausgetauscht.

Zwei von drei Gemeinden betroffen

Eine Frage, die die Bürgermeisterin lange nicht losliess, war jene nach dem Warum des Hackerangriffs. Warum ausgerechnet Kalix – eine Gemeinde mit einer Fläche so gross wie die Kantone Zürich und St. Gallen zusammen, aber mit nur 16 000 Einwohnern? Die Antwort war ein überraschendes «Warum nicht?». Kalix ist kein Einzelfall. Nachdem anfänglich vor allem Einzelpersonen von Hackerangriffen betroffen waren, hat sich die Cyberkriminalität in den vergangenen Jahren auf Unternehmen und den öffentlichen Sektor ausgerichtet. In Schweden haben bereits zwei Drittel aller 290 Gemeinden Erfahrung gemacht mit Erpressungssoftware, die ihnen mehr oder weniger schadete.

Anders als Kalix erstatteten aber nur die wenigsten Anzeige und informierten öffentlich. Stattdessen war von temporären IT-Störungen, von den Tücken der Technik oder vom menschlichen Faktor die Rede. Marcus Murray, Gründer der Cybersicherheitsfirma Truesec, sieht zwei Erklärungen für diese Verschlossenheit: Erstens fürchten die Opfer von Hackerangriffen den Vorwurf, nachlässig mit Kundendaten oder vertraulichen Informationen umgegangen zu sein. Zweitens können ihnen rechtliche Folgen und hohe Bussen drohen, wie der Sicherheitsexperte gegenüber Medien erklärte. Ein wichtiger Faktor ist auch der Zeitaufwand: Eine offene Kommunikation und intensive Medienpräsenz raubt den Verantwortlichen in der Krise zusätzliche Kräfte.

Die Gemeinde Kalix zieht im Rückblick ein positives Fazit aus der IT-Attacke. Im Gesundheitswesen gab es zwar Verspätungen, Patienten kamen aber nicht zu Schaden. Die Gemeinde schätzt die Kosten infolge des Angriffs auf 2,5 Millionen Kronen. Davon entfiel ein Drittel auf die Arbeit der zugezogenen Spezialisten, der Rest floss in den Aufbau eines komplett neuen IT-Systems. Diese Investitionen waren bereits geplant, doch wegen der Cyberattacke habe man «innert drei Wochen schaffen müssen, was unter kontrollierten Formen drei Jahre gedauert hätte», so die Bürgermeisterin. Die IT-Sicherheit der Kommune war vor einigen Jahren in einem Revisionsbericht kritisiert worden, doch laut dem Stabschef wurden die meisten Mängel behoben; Kalix sei kein leichteres Opfer für Hacker gewesen als andere Betroffene.

Cyberterroristen sind einen Schritt voraus

Nach Ansicht des IT-Experten Murray sind die Sicherheitsvorkehrungen der meisten Gemeinden gut. Dies allein genügt aber nicht. Weil die Hacker immer raffiniertere Erpressungssoftware verwendeten, liessen sich die Angriffe kaum verhindern, sondern bloss entdecken und dann bekämpfen. Dazu brauche es ausgeklügelte IT-Überwachungs-Funktionen, über die viele Behörden und Unternehmen nicht verfügten.

Cyberkriminalität hat sich zu einem Milliardengeschäft entwickelt, weil eine Mehrzahl der Erpressten den vermeintlich einfacheren Weg wählt und das meist in Kryptowährung geforderte Lösegeld bezahlt. Schweden, aber auch die Schweiz und Deutschland gehören gemäss einer internationalen Umfrage unter IT-Chefs zu den stark von Ransomware-Angriffen betroffenen Ländern: Fast die Hälfte der von Sophos befragten Unternehmen und Behörden waren 2020 Attacken ausgesetzt.

Lob aus Brüssel

Kalix’ ungewohnt transparenter Umgang mit dem Hackerangriff blieb auch bei der EU nicht unbemerkt. EU-Innenkommissarin Ylva Johansson lobte den Mut der kleinen nordschwedischen Gemeinde, den Erpressern zu trotzen. Auf europäischer Ebene versucht man die Cyberkriminalität mit dem Projekt «No More Ransom» zu bekämpfen. Auf der von Europol zusammen mit nationalen Polizei- und Justizbehörden und IT-Firmen betriebenen Website werden Entschlüsselungsprogramme gegen Hackerangriffe angeboten. Laut Johansson konnten dadurch bis im Herbst Lösegeldzahlungen von 900 Millionen Euro verhindert werden.

Passend zum Artikel

Wenn die Benzinversorgung ausfällt und das Spital stillsteht: Warum Ransomware-Angriffe so gefährlich sind

Unternehmen und Behörden werden immer wieder Opfer von Cybererpressungen, sogenannten Ransomware-Angriffen. Wie funktioniert diese Form der Cyberkriminalität, und wer steckt dahinter?

Lukas Mäder 11.12.2022 7 min

«Sharing is caring» im Kampf gegen Hacker: Wichtige Unternehmen sollen melden müssen, wenn sie Opfer eines Cyberangriffs werden

Der Bund will es wissen, wenn eine wichtige Infrastruktur der Schweiz über das Internet angegriffen wird. Von diesen Informationen möchte auch der Nachrichtendienst profitieren.

Lukas Mäder 12.01.2022

Kommentar

Bei der Cyberattacke von Rolle haben die Behörden versagt. Der Fall sollte für andere Gemeinden eine Lehre sein

Immer neue Informationen zu den im Darknet publizierten Bürgerdaten tauchen auf. Kriminelle könnten sich dies zunutze machen – auch, weil die Krisenkommunikation viel zu spät auf Touren kam.

Antonio Fumagalli, Lausanne 30.08.2021

Hackerangriff zwingt Supermarkt-Kette in die Knie – jetzt gibt's Lebensmittel gratis oder gegen eine freiwillige Spende

Bei Schwedens zweitgrösstem Detailhändler geht seit Freitag nicht mehr viel. Ein Hackerangriff hat Coop zur Schliessung fast aller Filialen gezwungen – viele blieben auch am Montag noch zu.

Ingrid Meissl Årebo, Stockholm 06.07.2021