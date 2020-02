Potsdam

Nach dem Cyber-Angriff und dem Citrix-Blackout vom 15. Januar auf die Verwaltung der Landeshauptstadt werden die Systeme im Rathaus wieder hochgefahren. Nach Einschätzung von Key Pousttchi, IT-Professor an der Universität Potsdam, sind die Probleme aber längst nicht ausgestanden.

Herr Pousttchi, sind wir mit einem blauen Auge davon gekommen?

Key Pousttchi: Sind die Systeme denn wieder online? Wenn ich mir auf Twitter Meldungen der Landeshauptstadt aus 24 Stunden durchlese – das ist ja der Kanal auf dem man sich informieren können sollte über diese Sicherheitslücke – dann lese ich: Potsdamer Klimarat, Braunbärin Tapsi, Mike Schubert ins Präsidium des Deutschen Städtetages gewählt. Damit ist ein wesentlicher Teil des Problems schon erklärt. Es interessiert keinen. Das ist kein Problem, das auf der obersten Führungsebene der Stadt Priorität hat. Und auf der Ebene darunter: Wo sind überhaupt die Leute, die verstehen, worüber wir reden?

Im Rathaus arbeiten 20 Experten an Fehlerbehebung und Ursachenforschung. Zeigt die Stadt damit nicht ihre Handlungsfähigkeit?

Man hat offensichtlich Leute eingekauft vom Dienstleister, das kostet vergleichsweise wenig Geld. Als das Problem öffentlich wurde, habe ich der Stadt via Twitter die Frage gestellt, was sie in den vier Wochen zwischen der Warnung vom 17. Dezember bis zum Bemerken des Angriffs unternommen hat. Ich habe bis jetzt keine Antwort bekommen.

Zur Person Prof. Dr. Key Pousttchi ist Inhaber des SAP-Stiftungslehrstuhls für Wirtschaftsinformatik und Digitalisierung an der Wirtschafts- und Sozialwissenschaftlichen Fakultät der Universität Potsdam. In der Praxis ist Pousttchi seit vielen Jahren als Unternehmensberater, Experte und Keynote-Speaker aktiv. Sein Forschungsthema ist vor allem die Verschmelzung der virtuellen und der realen Welt durch Smartphone und weitere digitale Medien. Er gilt als Experte für Digitalisierungs- und Mobile-Business-Strategien.

Sind Warnungen wie die vom 17. Dezember in dieser Art häufig oder relativ selten?

In dieser Schwere sind Warnungen sehr selten.

Also hätte die Stadt unverzüglich handeln müssen?

Natürlich hätte sie das.

Wie ist es möglich, dass eine so große Verwaltung in solch einer Situation vier Wochen verharrt, bevor sie reagiert?

Es interessiert keinen dort wirklich, das ist meine Vermutung und die einzige plausible Erklärung. Offenkundig herrscht die Ansicht, IT sei einfach da. Und das führt dazu, dass Risiken ausgeblendet werden.

Welche Systeme sind eigentlich angegriffen worden?

Die Sicherheitslücke heißt 2019-19781. Sie betrifft zwei Komponenten. Die erste ist dazu da, dass die Last balanciert wird, damit nicht der eine Anwender stark bevorzugt wird, während der andere ewig warten muss. Das andere ist der Fernzugriff auf Anwendungen. Dieser Fernzugriff, die Fernsteuerung des Rechners, ist eines der Nummer- 1-Einfallstore.

Die Stadt sagt nach ersten Prüfungen, es seien weder Schadsoftware installiert noch Daten abgegriffen worden. Also erst einmal Entwarnung?

Wenn Ihnen jemand Akten stiehlt, dann merken sie das daran, dass der Schrank leer ist. Elektronischen Datenbeständen sehen Sie aber nicht an, ob sie kopiert wurden. Wenn Sie einen intelligenten Angreifer haben, schleust er Schadsoftware ein, die er hinterher auch wieder löscht. Wenn die Stadt nun sagt, es sei kein Schaden entstanden, kann ich nur sagen: Das kann sein, es kann aber auch nicht sein.

Ist es möglich, dass bei dem Angriff eine Erpresser-Software installiert oder weitere Systemausfälle programmiert worden sind?

Das ist unwahrscheinlich, denn das können Sie prüfen. Da können Sie schauen, ob sie Software-Bestandteile haben, die nicht auf das System gehören. Und wenn Sie welche finden, werden Sie natürlich misstrauisch.

Wie wird die Aufarbeitung des Systemausfalls laufen?

Da ruft man dann den externen Dienstleister an und der macht das dann.

Sie meinen, das macht die Stadt nicht aus eigener Kraft?

Also ich würde als Stadt schon eine gewisse kritische Kapazität an Fachpersonal vorhalten. Da muss man sich drum kümmern. Und eine gewisse kritische Fähigkeit muss ich auch in meinem eigenen Team haben. Wer kennt denn sonst die ganzen Anwendungen und kann zeitgerecht reagieren? Aber wenn eine so starke Sicherheitswarnung wie die vom 17. Dezember vier Wochen ohne Reaktion bleibt, lässt das nur die eine Schlussfolgerung zu: Wir haben diese Fachleute nicht. Wir haben nichts gemacht. Wir sind in die Weihnachtsferien gegangen. Doch das kann es nicht sein.

Im Rathaus herrschte zeitweilig regelrecht Funkstelle. Selbst der E-Mail-Verkehr wurde eingestellt. Kann es sein, dass zu viele Systeme abgestellt wurden?

Natürlich, selbstverständlich. Aber das macht man dann eben, wenn man zu spät dran ist, wenn man vorher nichts gemacht hat. In der IT-Szene war die Citrix-Lücke ein Brüller. 80.000 Unternehmen in mehr als 100 Ländern betroffen – das ist etwas, was in der IT-Welt einen ziemlich lauten Knall hinterlässt. Das ist vor Weihnachten publik geworden. Citrix hat bestimmte Empfehlungen gegeben: Man schaltet bestimmte Funktionalitäten ab und dann kann man versuchen, der Sache Herr zu werden. Und man sollte bestimmte Teile des Systems genau beobachten und sehen, ob irgendwas ausgenutzt wird. Wenn ich das alles aber nicht mache, dann muss ich hinterher sehr sehr viel abschalten, denn dann weiß ich nicht, was in den vier Wochen davor passiert ist.

Wie beurteilen Sie das Krisenmanagement der Stadt?

Es wirkt ad-hoc, nicht systematisch und geplant und womöglich geübt professionell. Stattdessen: Es ist ein Problem aufgetreten, ich habe es erst sehr viel später gemerkt. Da ich dann eine Weile nichts getan habe, musste ich so stark reagieren. Schließlich: Wenn ich so spät reagiere, muss ich auch sehr viel mehr Aufwand bei der Schadensanalyse und Fehlerbehebung betreiben.

Was muss die Lehre für die Stadt aus diesem Blackout sein?

Ein vernünftiges IT Sicherheitskonzept, ein vernünftiges Risikomanagement, ein hausinternes Team, das die Fähigkeiten besitzt, mit so etwas umzugehen. Und vor allem: Bei Sicherheitsthemen muss ich ständig am Puls der Zeit sein. Es kann nicht sein, dass mir so eine Warnung nicht auffällt als Verwaltung einer Stadt mit 180.000 Einwohnern.

Von Volker Oelschläger