Nachricht

In den vergangenen beiden Wochen war die Erreichbarkeit der Stadt Schriesheim in Folge eines Cyber-Angriffs stark eingeschränkt. Nun wurden in der Nacht zum heutigen Samstag, 7. Mai 2022 Daten im Darknet veröffentlicht, die im Zuge des Cyber-Angriffs von den Servern der Stadt Schriesheim gestohlen wurden. Nachfolgend möchten wir auf die wichtigsten Fragen hinsichtlich dieser Thematik eingehen:

Was ist passiert?

Am Abend des 18. April 2022 wurden erstmals technische Probleme bei der Stadt Schriesheim wahrgenommen. So war die Verwaltung beispielsweise weder telefonisch noch per Mail erreichbar. Die Probleme konnten am Dienstag, 19. April 2022 schließlich auf eine Verschlüsslung von Servern zurückgeführt werden. Als Ursache für die Verschlüsselung erhärtete sich nach und nach der Verdacht eines Cyber-Angriffs, welcher letztlich am Donnerstag, 21. April 2022 bestätigt wurde.

Was ist über den Cyber-Angriff bekannt?

Es ist derzeit noch nicht bekannt, welches Einfallstor die Cyber-Kriminellen für den Angriff nutzten. Außerdem ist Gegenstand der Ermittlungen des Kriminalkommissariats Mannheim und technischer Untersuchungen, wie die Schadsoftware, eine sogenannte „Ransomware“, die Server der Stadt Schriesheim verschlüsseln konnte. Das Kriminalkommissariat Mannheim hat nach entsprechender Anzeige der Stadtverwaltung bereits frühzeitig mit Unterstützung des Dezernats „Cybercrime“ der Kriminalpolizeidirektion Heidelberg die Ermittlungen aufgenommen. Grundsätzlich ist zu sagen, dass Angreifer dieser Art, welche der organisierten Kriminalität zuzurechnen sind, hochprofessionell agieren. Nach derzeitigem Kenntnisstand handelt es sich nicht um einen gezielten Angriff auf die Stadt Schriesheim. Wir bitten um Verständnis, dass aus ermittlungstaktischen Gründen weitere Details nicht genannt werden können.

Gab es eine Lösegeldforderung?

Eine explizite Lösegeldforderung wurde nicht gestellt. Jedoch wurde über einen standardisierten, in Englisch verfassten Text dazu aufgefordert, Kontakt zu den Angreifern aufzunehmen. Die fehlende konkrete Adressierung bekräftigt die derzeitige Annahme, dass es sich um einen breit gestreuten, nicht zielgerichteten Angriff handelt. Zugleich wurde in diesem Zuge mit der Veröffentlichung von Daten nach Ablauf eines Ultimatums gedroht. In enger Abstimmung mit der Kriminalpolizei Mannheim und der Cybersicherheitsagentur Baden-Württemberg (CSBW) hat die Stadt Schriesheim nach ausgiebigen Gesprächen keinen Kontakt zu den Angreifern hergestellt. Darüber hinaus wurde unmittelbar nach Kenntnis eines möglichen Datenverlusts mit dem Büro des Landesdatenschutzbeauftragten Kontakt aufgenommen, um hinsichtlich einer möglichen Veröffentlichung von Daten entsprechend der Empfehlungen des Landesdatenschutzbeauftragten zu agieren.

Warum wurde kein Lösegeld gezahlt?

Zum einen lag keine konkrete Lösegeldforderung vor. Zum anderen ist es aber für uns undenkbar als Stadtverwaltung – und damit aus Steuergeldern –, verbrecherisches Handeln zu unterstützen und dieser Art der organisierten Kriminalität damit noch Vorschub zu leisten oder es sogar zu befördern. Letztendlich gibt es ohnehin keine Garantie, dass die Daten nicht trotzdem veröffentlicht werden. Es handelt sich um organisierte Kriminelle, deren Handeln ausschließlich auf Gewinnmaximierung ausgerichtet sind.

Welche Maßnahmen wurden nach der Verschlüsselung der Server getroffen?

In den vergangenen Tagen und Wochen seit Entdeckung des Angriffs wurde gemeinsam mit der Kriminalpolizei Mannheim, dem IT-Dienstleister der Stadt Schriesheim sowie der städtischen EDV-Abteilung, dem kommunalen IT-Dienstleister Komm.ONE und der CSBW unter Hochdruck an der Problemursache, -behebung sowie der Prüfung und IT-forensischen Untersuchung der städtischen IT-Systeme gearbeitet. Im Rahmen der intensiven Untersuchung wurden für die städtischen Server Optimierungspotentiale hinsichtlich der Serversicherheit identifiziert. Vor diesem Hintergrund wurden Stück für Stück die städtischen Server vorübergehend abgeschaltet und neu installiert, um gänzlich auszuschließen, dass sich Schadsoftware auf den Servern befindet. Im Rahmen der Neuaufstellung der Infrastruktur wird der Sicherheitsstandard erhöht.

Welche Daten sind betroffen, was wurde veröffentlicht und wie wird weiter verfahren?

In der Nacht zum Samstag, 7. Mai 2022 wurden, wie von den Cyberkriminellen angedroht, Daten im Darknet veröffentlicht. Die veröffentlichten Daten werden bereits durch die Stadt Schriesheim und die Kriminalpolizeidirektion Heidelberg im Detail intensiv gesichtet und hinsichtlich ihrer Einstufung als sensible und/oder personenbezogene Daten geprüft. Wir bitten um Verständnis, dass dieser Prozess Zeit in Anspruch nimmt und wir vor Abschluss der Prüfungen keine weiterführenden Angaben machen können. Sobald die Prüfungen abgeschlossen sind, werden wir umgehend über den neuen Kenntnisstand informieren. Unabhängig von Umfang und Art der veröffentlichten Daten werden wir uns im Anschluss an die Untersuchungen zudem erneut mit dem Landesdatenschutzbeauftragten über das weitere Vorgehen beraten.

Werden betroffene Bürgerinnen und Bürger bei der Veröffentlichung von sensiblen Daten kontaktiert?

Sollte im Rahmen der Prüfung festgestellt werden, dass sensible Daten von Einzelpersonen veröffentlicht wurden, so werden die betreffenden Personen entsprechend informiert und über das weitere Vorgehen beraten. Sofern bereits an diesem Wochenende dringender Gesprächsbedarf besteht, ist die Stadtverwaltung Schriesheim am Samstag, 7. Mai und Sonntag, 8. Mai jeweils von 10:00 Uhr bis 16:00 Uhr unter der Rufnummer 06203 602-110 für Sie erreichbar. Auch in der kommenden Woche können sich Bürgerinnen und Bürger unter der oben genannten Rufnummer bei Rückfragen gerne an die Stadtverwaltung Schriesheim wenden.