Laatzen-Mitte

Als dieses Virus eine ganze Stadtverwaltung lahmlegte, redete noch keiner von Corona: Vor einem Jahr, im September 2019, wurde die Stadt Neustadt Opfer eines Virenangriffs, der sogar bundesweit Schlagzeilen machte. Damals infizierte die Schadsoftware Emotet etliche Rechner im dortigen Rathaus. Der Trojaner verschlüsselte die Daten und führte zum wochenlangen Ausfall der Verwaltungs-IT. Unter den Folgen leiden die städtischen Ämter noch heute, Tausende Baupläne sind verschwunden, Vertragsunterlagen nicht mehr zugänglich, 550.000 Dateien nicht mehr lesbar.

In Laatzen hätte vor Kurzem Ähnliches passieren können: Wie erst Wochen später bekannt wurde, wurden das Erich-Kästner-Schulzentrum (EKS) und möglicherweise weitere Rechner im Rathaus bereits im August von einer ähnlichen Attacke heimgesucht. Ausgegangen war der Befall von einem Computer im Verwaltungsbereich der Schule, der infiziert wurde. „Auf besagtem Rechner wurde ein Link aus einer Spammail angeklickt, wodurch sich ein Trojaner installieren konnte“, bestätigt Stadtsprecher Matthias Brinkmann. Das Schadprogramm kopierte das E-Mail-Postfach und Adressbuch und löste eine Spamwelle an die darin aufgelisteten Adressaten aus.

Anzeige

18 Computer und Server unter Quarantäne

Aufgefallen sei der Befall erst, als die Mails mehrere Verwaltungsmitarbeiter im Rathaus erreichten. Auch das Laatzener Flüchtlingsnetzwerk sei unter den Adressaten gewesen, ebenso andere Institutionen, die mit der Stadt in Kontakt stehen, berichtet Lutz Peters, IT-Sicherheitsbeauftragter im Rathaus. Durch die Rückmeldungen habe Peters schließlich ermitteln können, dass die Spamwelle von einem Rechner im Schulzentrum ausging – glücklicherweise: „Die Schule hat ein geschlossenes Netzwerk von 18 Computern und Server, das ist überschaubar“, sagt der Fachmann. „Im Rathaus wären es mehrere Hundert Rechner und mehrere Dutzend Server gewesen.“

Lutz Peters ist im Rathaus für die IT-Sicherheit zuständig. Quelle: Matthias Brinkmann

In der Folge wurden alle EKS-Computer neu eingerichtet – „um auf Nummer sicher zu gehen“, wie Peters erläutert. Auch im Rathaus sei etwa eine Handvoll Computer, bei denen auch nur der entfernteste Verdacht auf einen Befall bestand, neu formatiert worden. Darüber hinaus sei kein Schaden entstanden, teilt die Stadt mit, Datenverluste wie in Neustadt habe es nicht gegeben. Auch gebe es keine Hinweise darauf, dass weitere Daten ausgespäht wurden – mit Ausnahme der E-Mail-Adressen und -Inhalte.

Virus verschickt Inhalte aus echtem Mailverkehr

Mit hoher Wahrscheinlich steckt der Trojaner Emotet hinter dem Angriff. „Ich gehe zu 99 Prozent davon aus“, sagt Peters. Dafür spreche die Masche, mit der sich Spammails in einer Art Schneeballsystem verbreiteten. Als Absender wurden die E-Mail-Adressmuster der Laatzener Verwaltung verwendet, der Betreff wurde mit den Buchstaben „RE:“ als Antwort gekennzeichnet, und selbst das Textfeld nahm Bezug auf echte Inhalte von Mails, die zwischen dem Schulrechner und den Adressaten zuvor ausgetauscht worden waren. „Emotet ist bislang das einzige Virus, das, wenn es den Computer befällt, E-Mail-Inhalte klaut, um Spamwellen zu produzieren.“ Insofern sei es „nicht unwahrscheinlich“, dass die Schadsoftware auch auf dem in Laatzen befallenen Computer später Daten verschlüsselt hätte: In anderen Fällen wurden Nutzer erpresst, das Passwort zur Datenentschlüsselung gegen Geld zu erhalten.

Im Laatzener Fall hat es wenige Tage gedauert, bis der Befall entdeckt wurde – und dies glücklicherweise auch noch am Ende der Ferien, in denen der Schulbetrieb weitgehend ruhte. Dank Sicherheitskopien seien alle Daten doppelt gesichert gewesen, sodass der Schaden gering blieb. Unbekannt ist allerdings, wie weit sich die Spammails mit den schädlichen Links verbreitet haben und ob auch Privatpersonen – etwa Eltern der Schulkinder – angeschrieben wurden. „Bei mir sind keine Meldungen dazu angekommen“, sagt Peters. Er wisse lediglich von dienstlichen Computern und denen anderer Institutionen. Auch Sven Hinzpeter, Leiter der Erich-Kästner-Oberschule, weiß nur von einer einzigen solchen Rückmeldung.

Deshalb habe sich die Stadt darauf beschränkt, andere Kommunalverwaltungen des Hann-IT-Verbundes, zu dem Laatzen gehört, und die direkt betroffenen Institutionen zu informieren. Auch Polizei, LKA, Landesschulbehörde und der E-Mail-Provider wurden eingeschaltet. Eine öffentliche Warnung habe es hingegen nicht gegeben.

Warum wurde die Öffentlichkeit nicht gewarnt?

Aber wäre dies angesichts der Gefahr nicht notwendig gewesen? Zumal ein Grundsatz der IT-Sicherheit das Motto „Sharing is caring“ trägt: Das Teilen von Informationen schützt andere, so empfiehlt es das Bundesamt für Sicherheit in der Informationstechnik ( BSI). „Möglicherweise betroffene E-Mail-Adressaten wurden von uns direkt über die ausgelösten Spams informiert und entsprechend gewarnt“, sagt Stadtsprecher Matthias Brinkmann. In dem konkreten Fall gingen Stadt und Schule davon aus, dass die Informationen ausreichend waren, um die Gefahren zu minimieren. „Bei Virusinfektionen mit stärkerer Auswirkung würde man sicher auch schnellstmöglich die Öffentlichkeit informieren“, sagt Brinkmann.

Immerhin: Bislang sind Attacken wie diese in der Region selten. Bei der Stadt könne er sich an keinen einzigen Vorfall in dieser Dimension erinnern, sagt Peters. Auch bei den Kommunen sei der Vorfall in Neustadt vor einem Jahr einzigartig. „ Neustadt ist sicherlich ein Weckruf gewesen“, sagt der IT-Experte, der seit 2010 bei der Stadt arbeitet und seit 2017 IT-Sicherheitsbeauftragter ist. „Ich bin mir sicher, dass alle ständig daran arbeiten, um dort besser zu werden.“

Für Laatzen kann sich Peters einen kompletten Datenverlust wie seinerzeit in Neustadt kaum vorstellen. Neben einer Reihe von Sicherheitsvorkehrungen seien die wichtigen Daten per Backup gesichert. „Aber eine 100-prozentige Sicherheit wird man nie erreichen“, sagt Peters. „Man muss dauerhaft am Ball bleiben. Wenn man stagniert, wird man deutlich angreifbarer.“

Von Johannes Dorndorf