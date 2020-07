Potsdam

Vor genau sechs Monaten hat Thomas Morgenstern-Jehia den Stecker gezogen und die Computersysteme der Stadtverwaltung sicherheitshalber von der Außenwelt getrennt. Der große Citrix-Lockdown.

Sind wir schon wieder im Normalbetrieb?

Anzeige

Thomas Morgenstern-Jehia: Nein, sind wir nicht, aber wir haben schon vieles geschafft. Wir wollten eigentlich zum 20. März wieder weitestgehend im Normalbetrieb sein. Dann kam Corona, was auch auf meinen Fachbereich E-Government natürlich erhebliche Auswirkungen hatte. Das alles hat uns in der ursprünglichen Planung zurückgeworfen. Wir mussten plötzlich in nicht gekannter Art mobiles Arbeiten unterstützen, damit die Mitarbeiter auf E-Mails zurückgreifen können. Für das Gesundheitsamt haben wir mehr als 50 zusätzliche Arbeitsplätze eingerichtet. Außerdem haben wir Notebooks organisiert, was sehr schwierig war. Alles war weg vom Markt. Und auch die Datenverbindung der Stadt war zu schwach. Wir konnten diese aber kurzfristig massiv ausbauen und sie wird auch nicht mehr zurückgefahren.

Weitere MAZ+ Artikel

Und wie sieht es nun mit der Aufarbeitung des Citrix-Problems aus?

Unter Corona-Bedingungen konnte lange Zeit eine externe Firma nicht zu uns reisen, die wir dringend zur Unterstützung brauchten. Mittlerweile konnten wir uns aber wieder mit der geplanten Intensität mit dem liegengebliebenen Sicherheitsvorfall beschäftigen. Die internen Prozesse laufen jetzt alle wieder. Inzwischen ist auch der Großteil der Onlinedienste für die Bürger wieder da. Es fehlen noch einige Dinge, etwa das Bewohnerparken und die Gewerberegisterauskunft.

Was hatten Sie rückblickend im Moment des Abschaltens eigentlich gedacht?

Das war genau an meinem 100. Arbeitstag. Da wünscht man sich was Anderes. Keiner von uns hatte so eine Situation auch nur ansatzweise je erlebt. Es begann dann eine wochenlange konzentrierte Analyse. Das fühlte sich zeitweise wie eine Tunnelfahrt an. Wir hatten Raum und Zeit verloren, viele Mitarbeiter haben wochenlang durchgearbeitet. Auf die Uhr habe ich nicht gesehen und manchmal wusste ich auch nicht welchen Wochentag wir haben. Aber mein gesamtes Team und der Verwaltungsstab haben hier sehr gut und eng zusammengearbeitet.

Was haben Sie mittlerweile über die Attacke in Erfahrung bringen können?

Es gab einen standardisierten Angriff von außen, es war also kein gezielter Angriff auf das System der Landeshauptstadt. Der ist nachweisbar für den 12. Januar um die Mittagszeit. Das hat die forensische Untersuchung ergeben. Ein Täter konnte meines Wissens leider nicht identifiziert werden.

Was war denn die Schwachstelle in der Verwaltung?

Es gab eine Sicherheitslücke in der Software des Herstellers Citrix, die bekannt war. In Internetforen wurde beschrieben, wie man das ausnutzen kann und es wurde dann tatsächlich versucht Schadcode über diese Lücke ins System zu laden. Alle zwei Minuten geschah das. Die Firewall hat das aber erfolgreich geblockt und die Angriffe liefen ins Leere. Unsere Systeme haben funktioniert, sie waren ausreichend gehärtet, wie man sagt. Der Angriff blieb auf das betreffende Citrix-System begrenzt.

Vor einem halben Jahr kam es zur Cyber-Attacke auf die Potsdamer Stadtverwaltung. Foto: Quelle: Laines Rumpff/MAZ, mit Bernd Gartenschläger, Sina Schuldt/dpar

Sie sagen selbst, dass die Schwachstelle bekannt war. Auch das Bundesamt für Sicherheit in der Informationstechnik BSI hatte gewarnt. Was würde heute in der Verwaltung passieren, wenn ein großer Software-Hersteller oder das BSI wieder eine Warnung veröffentlichen? Was hat sich da verändert?

Wir nehmen die Bewertung solcher Warnungen jetzt anders vor und haben den bisherigen Prozess kritisch hinterfragt. Wir bewerten diese Meldungen jetzt konsequent und prüfen dabei, ob es eine Relevanz für uns gibt. Was wir als Kommune nicht leisten können ist es sämtliche Herstellerwebseiten nach Warnungen abzusuchen. Dazu dient uns das CERT, das Computer Emergency Response Team des Landes. Das ist das Pendant des Landes zum CERT des Bundes beim BSI.

Gab es damals nicht auch eine CERT-Meldung zur Citrix-Lücke?

Ja. Ich muss gestehen, dass wir sie nicht ausreichend bewertet haben. Aber wir haben unsere Lehre daraus gezogen.

Welche Schlussfolgerungen haben Sie denn aus dem Angriff auf das System gezogen?

Es gibt Verbesserungen beim Personal, auch große Änderungen bei den Prozessen und natürlich technisch bei der Sicherheit. Wir haben jetzt am Netzübergang zum Internet und auch bei den Onlineverfahren eine deutliche höhere Qualität der Sicherheit als vorher. Da gibt es deutliche Schritte nach vorne.

Was ist denn personell verbessert worden?

Die lange nicht besetzte Stelle des Bereichsleiters für die IT-Infrastruktur konnte endlich besetzt werden – mit einem sehr guten Kollegen. Der ist verantwortlich für das „Maschinenhaus“ mit der Hardware und der dort betriebenen Software. Es sind allerdings gerade 20 von 70 Stellen nicht besetzt. Elf davon sind gerade im neuen Doppelhaushalt neu geschaffen worden. Wir schreiben diese Stellen nun nach und nach aus.

Wie schätzen Sie Ihr persönliches Krisenmanagement ein?

Mir wurden Ruhe und Konzentration von meinem Team und der Verwaltung gespiegelt, aber keine Gelassenheit. Geschlafen habe ich wenig in diesen Wochen. Das normale Liniengeschäft habe ich nicht ausreichend im Blick gehabt, das müsste nächstes Mal anders laufen. Aber meine Bereichsleiterin Strategie und Gesamtsteuerung hat hier sehr gut diese Lücke geschlossen.

Im Potsdam-Museum hat sich das nächste Problem ergeben. Da wurde die Servertechnik einfach mal verändert, sodass Daten offen einsehbar waren. Wie kann das passieren? Wie ist das aufgefallen?

Da muss ich mich bedeckt halten, bis wir die Lücke wirksam und vollständig geschlossen haben. Wir analysieren das noch. Es geht dabei darum die Nachahmung zu vermeiden.

Warum können Sie nicht die Server auf einen früheren Stand zurücksetzen, damit die Kollegen wenigstens wieder arbeiten können?

Viele Daten haben die Mitarbeiter dezentral auf ihren eigenen Rechnern gespeichert und die analysieren wir noch. Das Potsdam-Museum ist jetzt aber bei unseren Prioritäten ganz nach oben gerutscht. Vorher mussten wir erst die Online-Bürgerdienste abarbeiten.

Wie lange wird es noch dauern, bis das Museum wieder richtig arbeiten kann?

Wenn wir keine kritischen Befunde haben und ich keinen plötzlichen Personalengpass habe, wollen wir in der ersten Augustwoche fertig sein

Sie sind seit Oktober im Amt und seitdem dafür verantwortlich, dass das IT-System der Stadt zukunftsfähig gemacht wird. Was haben Sie langfristig vor?

Zukunftsfähig heißt vor allem auch Zukunftssicherheit. Aber die IT wird nicht nur von der IT-Abteilung gemacht. Das ist kein Selbstzweck. Wir unterstützen die Nutzer in der Verwaltung, aber diese müssen selbst eine höhere Verantwortung für das Ergebnis übernehmen. Was ich meine: Wir benötigen genauere Beschreibungen der Anforderungen an ihre Projekte. Dann können wir die richtigen Werkzeuge zur Verfügung stellen. Das ist hier in der Vergangenheit nicht immer passiert. Wichtig ist auch die Vernetzung zum Informationsaustausch auf Landes-, Bundes- und auch internationaler Ebene. Wir bewerben uns beispielsweise um EU-Mittel, um die Cybersicherheit zu erhöhen, damit wir erkennen, ob die Einschläge quasi dichter kommen, eine Art Frühwarnsystem. Wir treten jetzt auch in den neugegründeten Zweckverband Digitale Kommunen Brandenburg ein.

Wieso waren Sie da eigentlich nicht von Beginn an involviert?

Es gab über ein Jahr keinen Fachbereichsleiter, da hatten meine Kollegen tatsächlich erst einmal andere Schwerpunkte zu bearbeiten. Ich habe aber den Kontakt zum Städte- und Gemeindebund Brandenburg schon vor meinem Dienstantritt aufgenommen und im August wird es eine Vorlage für die Stadtverordneten geben, damit wir dort auch Mitglied werden können.

Wie sieht es mit der Hardware aus, mit Bandbreite und zeitgemäßer Technik?

Wir haben ein Rechenzentrum, aber in Zusammenarbeit mit dem Campusprojekt müssen wir auch über ein neues Rechenzentrum sprechen. Die Frage ist, ob es effizienter ist ein eigenes zu betreiben oder es von einem externen Dienstleister betreiben zu lassen? Wir müssen darüber nachdenken, ob wir uns nicht auf unsere Kernaufgaben konzentrieren sollten.

Welcher Zeitplan gilt dafür?

Es ist sinnvoll das in Kombination mit dem Umzug des Verwaltungscampus zu realisieren. Ende 2020 soll die Standortentscheidung für den Campus fallen und dann werden wir 2021 überlegen können, wie unsere Zukunft aussehen soll. Die Umsetzung eines solchen Projekts bedeutet einen erheblichen Aufwand, vor allem weil das im laufenden Betrieb geschehen muss. Beim Land hat der Umzug des Rechenzentrums mehrere Jahre gedauert.

Welche Ressourcen an Personal und an Geld brauchen Sie langfristig?

Mit den elf zusätzlichen Stellen haben wir eine große Chance, aber es steht zweifellos fest, dass wir mehr brauchen und weiterer Zuwachs nötig ist.

Und wie sieht es mit Investitionen aus?

Vom Oberbürgermeister gab es mir gegenüber ein klares Statement. Wenn ich plausibel darlege, warum wir etwas brauchen, werden sie sich dafür einsetzen. Ihm ist das Thema sehr wichtig, das spüre ich. Ich habe den Rückhalt für alle nötigen Investitionen.

Viel Geld vom Bund gab es auch durch den „Digitalpakt Schule“, um die Schul-IT zu verbessern und digitale Unterrichtsformen zu ermöglichen. Wie steht es bei der Umsetzung?

Förderprojekte sind immer eine Chance, auch weil sie Druck zum Handeln schaffen. Oftmals muss die Kommune das aber nachhaltig betreiben und nicht nur die Fördermittel ausgeben. Da geht es auch viel um Baumaßnahmen an den Schulen, etwa eine strukturierte Verkabelung mit Zugangspunkten. An 19 Schulen muss umgebaut werden. Zugleich drängen auch andere Kommunen in der Region nach vorne, die Firmen suchen, die ähnliche Umbauten vornehmen. Das verzögert und macht die Sache nicht einfacher. Als mittelfristiges Ziel wollen wir, dass jeder Schüler ein Endgerät hat, dass er im Unterricht benutzen kann. Das soll ein Mix aus privaten und städtischen Geräten sein. Das bedeutet flächendeckendes WLAN in den Schulen und auch an den Sportanlagen. Das ist ein deutlicher Wechsel zur bisherigen Ausstattung. Eine große Herausforderung ist dabei die Breitbandanbindung der Schulen.

Wo liegt da das Problem?

Wir sind Bittsteller bei den Leitungsversorgern wie der Telekom. Wir können die nicht dazu zwingen, eine Leitung bereitzustellen, wenn sie das nicht für wirtschaftlich halten. Und an manchen Schulen haben wir deshalb nur eine 16-Mbit-Leitung. Das reicht vielen kaum privat, schon gar nicht, wenn ich WLAN für hunderte Schüler bereitstellen will. Ich wünsche mir da eine deutlich stärkere Unterstützung des Landes für alle Kommunen.

Sie meinen finanzielle Unterstützung?

Nicht nur das. Das Land hat ganz andere Möglichkeiten. So wurde durch eine Ausschreibung sichergestellt, dass das Landesverwaltungsnetz überall dorthin ausgebaut wurde, wo es nötig ist. Da gibt es einen Vertrag, der den Versorger verpflichtet eine Leitung zu bauen. Solche Verträge brauchen wir auch für die Schulen. Die Kosten dafür sind das nächste Problem, die können die Kommunen alleine nicht tragen.

Bei der Schul-IT gab es auch Kritik an der mangelnden Unterstützung bei technischen Problemen mit der schon bestehenden Technik. Wie schnell wird zum Beispiel ein WLAN-Problem im neuen Schuljahr behoben?

Wir bereiten einen verlässlichen Support vor. Es wird einen Rahmenvertrag für einen Dienstleister geben, weil unser eigenes Personal nicht dafür ausreichen wird. Das wird ausgeschrieben und soll Ende des dritten Quartals wirksam werden. Dann wird es Fristen geben, wie schnell bei Problemen reagiert werden muss. Auch der unbürokratische Ersatz von kleiner Hardware ist vorgesehen, damit die Schulen sich nicht mehr um eine neue Maus oder eine Beamer-Lampe kümmern müssen. Bis das gilt, wollen wir noch einmal externes Personal für den Support der Schulen beauftragen.

Eine große Baustelle im ganzen Land ist das Onlinezugangsgesetz (OZG). Fast 600 verschiedene Anliegen sollen Bürger bis Ende 2022 allein mit dem Smartphone erledigen können. An diese Frist glaubt kaum noch jemand. Sprechen Sie doch mal ehrlich aus, was Sie für realistisch halten.

Ich kann mich den Zweiflern nur anschließen. Ich kann mir nicht vorstellen, wie das bis Ende 2022 geleistet werden kann. Die Idee des OZG halte ich für sehr sinnvoll und wichtig. Aber in dieser Größenordnung über alle drei Ebenen von Kommune, Land und Bund ist das ein Novum. Es hapert vor allem an den Schnittstellen zwischen den drei Partnern. Mir fehlt gerade die Schnittstelle zum Land. Das Ministerium für Inneres und Kommunales gibt keine Informationen an uns weiter. Es gibt faktisch keine geordnete Kommunikation dazu.

Ohne gute IT ist die Verwaltung nicht zukunftsfähig. Wenn Sie sich etwas von den Stadtverordneten und der Verwaltung wünschen könnten, was wäre das?

Dass sie uns auch künftig im Haushalt unterstützten. Die elf neuen Stellen waren nicht selbstverständlich. Da bin ich sehr zufrieden. Von den Kollegen hoffe ich auf Geduld und Vertrauen. Wir haben nur selten schnelle Erfolge. Das ist eine große Strapaze für die Verwaltung, weil sie schon sehr lange Geduld aufbringen mussten. Die Ungeduld kann ich nachvollziehen, aber es gibt keine schnelle Lösung. Die Lösung muss richtig sein.

Lesen Sie mehr:

Von Peter Degener