Erste Cyber-Amtshilfe: Bundeswehr zieht Bilanz
Angesichts der Ereignisse in den vergangenen Tagen ist es ziemlich untergegangen, dabei war es etwas grundlegend Neues: Am 27. August hat die Bundeswehr den ersten Einsatz ihrer Geschichte in der Cyber-Amtshilfe beendet. Soldatinnen und Soldaten des Kommandos Cyber- und Informationsraum (CIR) unterstützten den Landkreis Anhalt-Bitterfeld, dessen IT-Infrastruktur durch einen Erpresserangriff lahmgelegt worden war.
Das Verteidigungsministerium hatte am 2. August den ersten Amtshilfeantrag dieser Art von einer deutschen Behörde gebilligt. Die Computersysteme des Landkreises waren Anfang Juli angegriffen worden – dabei hatten die Hacker nicht nur die Kommunikation der Verwaltung, sondern alle Dienstleistungen des Landkreises bis hin zur Kfz-Anmeldung lahmgelegt. Die Täter hatten alle Daten auf den Computer der Verwaltung verschlüsselt und zuvor offensichtlich auch für weitere Erpressungen heruntergeladen. Der neu gewählte Landrat Andy Grabner (CDU), seit dem 12. Juli im Amt, hatte es abgelehnt, das von den Kriminellen geforderte Lösegeld für die kommunalen Daten zu zahlen.
Ab dem 3. August unterstützte zunächst Major Martin Jähring, Chef der 4. Kompanie des IT-Bataillons 383 in Erfurt, als Experte die Schadensanalyse und half bei der Konzeption des Aufbaus der neuen IT-Infrastruktur der Kreisverwaltung. Unter dem Kommando von Hauptmann Sascha Voges, Kompanieeinsatzoffizier in der 2. Kompanie des IT-Bataillons 381 in Storkow, arbeiteten ab dem 11. August IT-Spezialisten am Wiederaufbau der Netze, unter anderem mit Datensicherung und Grundinstallation neuer Software auf rund 1.000 Rechnern. Insgesamt waren nach Bundeswehrangaben bis zu sieben Soldatinnen und Soldaten eingesetzt.
Mit dieser Art der Amtshilfe … hat die Bundeswehr erstmals dabei geholfen, die Folgen eines Cyber-Angriffs zu bewältigen, heißt es in einer ersten Bilanz, die das Kommando CIR am (heutigen) Mittwoch auf seiner Webseite veröffentlichte. Beim Einsatz der IT-Spezialisten sei vor allem eines wichtig gewesen, sagte Voges: Wir konnten die Man-Power liefern, welche so dringend dort gebraucht wurde.
(Foto: Ein Oberfeldwebel bei der Besprechung mit Kommunalangestellten am 25. August 2021 – Alexander Zörner/Bundeswehr)
Das bei der öffentlichen Verwaltung, insbesondere bei einem laufenden Angriff, die Bundeswehr Amtshilfe leistet ist in Ordnung, aber die Konzepte für den Wiederaufbau und die Arbeiten daran haben zivile Firmen zu erledigen. Positiv ist hier, dass die Soldaten in Übung gehalten werden. Negativ ist, dass die Bundeswehr Fachfirmen den Job wegnimmt.
Also doch: Tätigkeit auf wirtschaftlichem Gebiet mit Ausbildungsinteresse der Truppe. Das spart natürlich die Ausschreibung.
Informationssicherheitskonzepte schreiben…..
Dafür gibt es mehr als genug Dienstleister und dafür brauche ich keine Amtshilfe. Es stehen mehr als genug Unternehmen bereit, auch kurzfristig, zu helfen….
Aber lieber die kostenlose Bundeswehr nehmen…
@FNU SNU
„Kostenlos“ – d.h. ohne Berechnung – wäre m.E. Untreue im Amt. Es ist eigentlich zwingend zu fakturieren.
@Thomas Melber sagt: 09.09.2021 um 9:54 Uhr
„@FNU SNU
„Kostenlos“ – d.h. ohne Berechnung – wäre m.E. Untreue im Amt. Es ist eigentlich zwingend zu fakturieren.“
Naja, der Landrat hat ja in seinem Hilfeleistungsantrag unterschrieben, das er bereit ist, die Kosten der Amtshilfe zu bezahlen. Aber der Hilfeleistende muss diese nicht zwingend in Rechnung stellen. §8 VwVfG ist da relativ eindeutig: „1) Die ersuchende Behörde hat der ersuchten Behörde für die Amtshilfe keine Verwaltungsgebühr zu entrichten. Auslagen hat sie der ersuchten Behörde auf Anforderung zu erstatten, wenn sie im Einzelfall 35 Euro übersteigen. Leisten Behörden desselben Rechtsträgers einander Amtshilfe, so werden die Auslagen nicht erstattet.“
Entscheidend „auf Anforderung“. Wenn die Bundeswehr also verzichtet, wie bisher nahezu immer, dann wäre das rechtmäßig.
Der Kostensatz eines Beraters Informationssicherheit liegt bei untergrenze 700 netto/Tag und bis zu 1700 netto/Tag. Plus meistens Spesen….
Ich persönlich glaube, dass die Stundensätze für einen StOffz/Offz und das weitere Personal im Rahmen der Amtshilfe weitaus günstiger ist….
Und dementsprechend ist es sicherlich rechtmäßig, ich spreche ja nicht davon, dass da etwas illegales passiert.
Aber wenn bei eben einem Angriff die Bundeswehr und andere behörden helfen, wieso soll der Landrat sich dann einen ISB leisten bzw. Beratungsunternehmen um ein ISMS aufzubauen?
Genau das Gespräch habe ich letzte Woche mit meinem zuständigen Landrat geführt. Der auch immer gerne Soldaten in der Pandemie genommen hat zur KPNV, aber Personalverstärkungen (freier Arbeitsmarkt) ablehnt.
Alle Kommunen, Gemeinden, Landesverwaltungen bzw. Behörden allgemein müssten im Jahr 2021 eindeutig wissen, dass hier Handlungsbedarf besteht, in den Bereich Informationssicherheit zu investieren.
Und wenn das eben nicht gemacht wird, dann, ja das meine ich so, sollte eben wegen grober Fahrlässigkeit die Bundeswehr eben nicht helfen.
@Pio-Fritz
Ich bemängele den ggf. erfolgenden Verzicht auf die Anforderung, zumal die Sätze eh schon lächerlich niedrig sind „bei Interesse der Truppe“. Zudem werden oftmals ja noch nicht einmal Sachkosten (Verpflegung, Unterkunft, Transport) in Rechnung gestellt.
Zudem werden auch RDL verwendet (z.B. bei der Fallwildsuche), die zusätzlich Geld kosten, da nicht „eh da“. Ich gönne das den Kameraden, aber wirtschaftliches Handeln, was auch bei der Bw gilt (ist das nicht sogar beurteilungsrelevant -?) darf ich schon voraussetzen.
@FNU SNU
„Der Kostensatz eines Beraters Informationssicherheit liegt bei untergrenze 700 netto/Tag und bis zu 1700 netto/Tag. Plus meistens Spesen….“
Gerade das – Kostenersparnis – ist aber keine Begründung für die Gewährung von Amtshilfe. Immerhin verdienen diese Personen (bzw. Unternehmen) ihren Lebensunterhalt damit und tragen mit ihren Steuern zum EP14 bei.
Hilfsweise hätte man auch die BWI nehmen können, aber die hätte wohl eine Rechnung schreiben müssen:
https://www.bwi.de/unternehmen
@FNU SNU und @Thomas Melber
Ich bin inhaltlich voll bei Ihnen. Aber es gilt der Primat der Politik weiterhin. Und wenn sich AKK und die Kanzlerin hinstellen und Personal als Schnelltester und Kontaktnachverfolger, für die Fallwildsuche wegen ASP (Afrikanische Schweinepest) oder eben auch jetzt IT-Hilfe anbieten, dann ist das eben so. Kann man gut finden oder nicht. Und wenn dann von vorneherein bei dem Corona-Personal auf Kostenerstattung verzichtet wird, welchem Landrat/Bürgermeister soll man es denn verdenken, das er zugreift. Darüber hinaus hat die Bundeswehr auch noch die Ausgaben der Kommunen für Unterkunft und Verpflegung auf Antrag erstattet.
Besser geht es doch nicht.
So kann man das Prinzip der Subsidiarität auch unterlaufen und aushöhlen. Und wenn Sie das dem Landeskommandeur vortragen, dann verdreht der leicht die Augen, gibt Ihnen recht und sagt, er habe seine Vorgaben. Beendet jede Diskussion.
Anstatt Millionenbeträge irgendwelchen IT-Firmen in den Rachen zu werfen, ist es nach meiner Meinung ganz im Sinne des Steuerzahlers, wenn der Landrat sich in einem solchen Fall kurzfristig der Bundeswehr bedient.
Spätestens seit der Berateraffäre sollte jedem klar sein, welche Interessen die ganzen IT-Berater haben. Deren Interesse ist es nicht, eine sichere und funktionierende IT aufzustellen, sondern dauerhaft mit den schon oben genannten Tagessätzen aus der Staatskasse versorgt zu werden.
Der Landrat hat hier völlig richtig und im Interesse des Steuerzahlers gehandelt.
Prinzipiell ist zu begrüßen, wenn die Bundeswehr in Notsituationen hilft um beschädigte wichtige Infrastruktur der öffentlichen Hand wieder funktionsfähig zu machen. Wenn das auch noch kostengünstig erfolgt – umso besser ! Erbsenzählerei sollte hier möglichst nicht im Vordergrund stehen.
Im vorliegenden Fall dürfte auch ein erheblicher Lerneffekt erzielt worden sein, denn der Knowhow-Vorsprung der mit solchen Cyberangriffen vertrauten IT-Beratungsunternehmen muss ja erst mal aufgeholt werden.
Der Faktor Zeit spielt aber auch eine Rolle. Die IT des Landkreises wurde von den Angreifern Anfang Juli außer Gefecht gesetzt, dann verging noch etwa ein Monat bis die Amtshilfe beantragt und genehmigt war. Danach dauerte es noch eine Woche bis mit relativ trivialen praktischen Arbeiten zur Vorbereitung der Wiederinbetriebnahme begonnen wurde (die eigentliche Wiederinbetriebnahme hat man dann anscheinend doch lieber einem kommerziellen IT-Dienstleister übertragen). Leider können nicht alle kritischen Anwendungen so lange warten …
Ansonsten ist der geschilderte Ablauf kein Drama, und wenn sich die Bundeswehr zu einem qualifizierten Notfall-Dienstleister für kritische Bereiche des öffentlichen Dienstes entwickeln sollte hat niemand einen Nachteil.
Also ich bin führendes Mitglied einer Feuerwehr und selbst wir müssen bei Einsätzen, zu denen wir alarmiert wurden, aufpassen, dass wir keine Arbeiten erledigen, die zivile Firmen machen können. Zusammenfassend kann man sagen: Wenn die Gefahr abgewendet ist, die Lage also geklärt und statisch, dann haben wir das abzugeben. Es gibt da allenfalls kleinere Graubereiche, die man etwas dehnen kann.
Das was man hier liesst ist a) ein neues Konzept planen und b) basierend darauf 1000 Rechner neu aufsetzen aus Backups.
a) als planerische Aufgabe kann schon prinzipbedingt kein Notfall sein. b) ist auch „nur „niedere Fleissarbeit (aus EDV-Sicht).
Ich will eine Leistung des CIR nicht schmälern, hatte aber doch auf etwas mehr Cyber und Pro-Skillz gehofft. Wenn man nun einen Angriff hätte abwehren können, oder Täter aufklären oder die verschlüsselten Daten entschlüsseln, dann wäre da mal ein Raunen angebracht. Das was hier an Tätikeiten beschrieben wurde ist normaler, alltäglicher EDV-Kram. Daher bin ich auch der Meinung, das die Amtshilfe hier so nicht korrekt ist. Wenn man im CIR das Installieren von 1000 PCs als Übung braucht, dann ist das Niveau dort niedriger, als ich erhofft hatte…
ABER: Vielleicht gibt es ja noch Vertrauliches über das nicht berichtet werden durfte.
SvenS sagt:
08.09.2021 um 16:24 Uhr
„Das bei der öffentlichen Verwaltung, insbesondere bei einem laufenden Angriff, die Bundeswehr Amtshilfe leistet ist in Ordnung“
Die öffentliche Verwaltung spart sich so auf jeden Fall das was man als CISO abkürzt, auf deutsch vermutlich die Stabsstelle „Informationssicherheit“ oder wie auch immer. Zivile Behörden gibt es auch nicht (doch doch, ich weiß, das BSI). Kostet ja alles. sarc off
Maximal in absoluten Ausnahmefällen, z.B. beim Angriff auf Bundesstrukturen. Und da gibt es dann ja ZITIS. Von daher halte ich den Einsatz für sehr gewagt.
@Ghdstz sagt: 09.09.2021 um 14:32 Uhr
„Ansonsten ist der geschilderte Ablauf kein Drama, und wenn sich die Bundeswehr zu einem qualifizierten Notfall-Dienstleister für kritische Bereiche des öffentlichen Dienstes entwickeln sollte hat niemand einen Nachteil.“
Das ist nicht die Aufgabe der Bundeswehr, ein Blick in das Grundgesetz gibt da Auskunft. Zudem hält man sich dafür auf Bundesebene das Bundesamt für Sicherheit in der Informationstechnik und für die Kommunen sind die Bundesländer zuständig. Das ist quasi wie beim Katastrophenschutz. Ihr Vorschlag zieht einen Gutteil Gesetzesänderungen nach sich, die in unserer föderalen Struktur vor allem die Länder nicht wollen.
In diesem Fall hat die Landkreisverwaltung in ihrer IT-Sicherheit schlicht gepennt und ist nicht ihren Aufgaben nachgekommen, ansonsten kommt es nicht zu so einem Desaster. Das darf man bei der Betrachtung dieses Falles nicht außer acht lassen.
@SvenS und @roblfr
Nur mal so als Ergänzung – die Bundeswehr hat keinen Cyber-Angriff abgewehrt!
Sie wurde drei (!) Wochen nach dem Angriff mit den bekannten Folgen angefordert im Rahmen des ausgerufenen Katastrophenfalls. Also von vorneherein nur für Planungs- und Neuinstallationsarbeiten, vielleicht noch etwas Datenrettung.
Da bleibt von dem Argument „Gefahrenabwehr“ nicht mehr viel übrig. Das ist reine Betätigung auf wirtschaftlichem Gebiet, bei dem man mit dem Ausbildungsinteresse der Bundeswehr argumentiert. Sollte man kritisch hinterfragen.
„und die Arbeiten daran haben zivile Firmen zu erledigen. Positiv ist hier, dass die Soldaten in Übung gehalten werden. Negativ ist, dass die Bundeswehr Fachfirmen den Job wegnimmt.“
Auftragsbestand ist 100 % bei den Fachfirmen und das war auch der Grund wieso Amtshilfe geleistet werden musste. Da nimmt niemand momentan jemand den Job weg.
„a) als planerische Aufgabe kann schon prinzipbedingt kein Notfall sein.“
Das ist schon mal faktisch falsch.
Ein Notfall ist ganz anders definiert und ein Notfall kann sogar über Monate dauern und kann selbstverständlich eine Planung beinhalten.
Ich kann da allen eigentlich zustimmen, dass im Normalfall diese Aufgaben die Wirtschaft übernehmen muss oder extra dafür gegründete und dann auch kostendeckend bezahlte Abteilungen/GmbHs in Behörden.
„Das was hier an Tätikeiten beschrieben wurde ist normaler, alltäglicher EDV-Kram.“
Eben nicht!
Hier musste innerhalb sehr kurzer Zeit für mehrere Wochen ein Team von bis zu 7 IT-Mitarbeitern abgestellt werden.
Nennen Sie mir eine Firma in Deutschland, die das momentan (ohne bestehenden Wartungs-/Notfall-IT-Vertrag) kann und vor allem WILL.
Diese 7 Mitarbeiter fehlen dann nämlich an anderer Stelle im Unternehmen und können dort geplante Arbeiten (Vertragsfristen) oder sich kurzfristig ergebende Arbeiten (Wartung/Fehlerbehebung) nicht ausführen und diese IT-Firmen riskieren Vertragsstrafen und Auftragsverlust bei den Vertragspartnern, wenn sie diese Arbeiten nicht frist- und zeitgerecht erledigen.
@FNU SNU, bezüglich der Sätze die ein externer Berater nimmt und die die Bundeswehr berechnen würde. Vorsicht mit den Äpfeln und Birnen.
Ein selbstständiger Berater muss von seinem Stundensatz noch Steuern und Sozialversicherung bezahlen und zusätzlich muss er darin auch Zeiten einkalkulieren in denen er nichts tut weil ihn keiner braucht, er nichts tun will weil er Urlaub hat oder sich fortbildet und in denen er nichts tun kann weil er krank ist. Und auch bei der Beauftragung einer Beratungsfirma muss diese ja ähnliche Kosten in die Tagessätze einpreisen.
Der Soldate hingegen wird so oder so aus dem Wehretat bezahlt und kann dementsprechend ganz anders kalkuliert werden.
@Flo
Natürlich sind das Äpfel und Birnen.
Aber, wenn ich Obst einkaufen muss, und die Äpfel sind teuer und Birnen günstiger. Dann werden viele sich für die Birnen entscheiden (wenn die Anforderung Obst ist). Und aus Sicht des Landrats/Kreisverwaltung ist im Zweifel die Bundeswehr billiger als der Dienstleister.
Es gibt genug Firmen, die einen solchen Auftrag annehmen. Und auch Kapazitäten haben.
Kräfte, Mittel und Raum. (Schnelle Hilfe ist teurer aus Ausschreibung).
Wenn der Gesetzgeber eine Art Cyber Feuerwehr haben will, soll er diese aufbauen. Aber der Bund stellt Streitkräfte zur Verteidigung auf. Und nicht als taktische Personalreserve für alle möglichen Lagen.
Das BSI hat mit dem aktuellen 200-4 Standard ja auch den Notfallmanager / Incident first responder konzeptionell ausgestaltet (und werden ausgebildet) und genau für solche Vorfälle sollen die ja bei Behörden und Unternehmen gegenseitig zur Verfügung stehen.
Andere Kommunen haben Cyber-Versicherungen und investieren in Technik&Personal.
Wenn aber durch diesen Präzedenzfall (IS-Konzept schreiben, Rechner aufsetzen) andere politische Entscheidungsträger dementsprechend wissen, dass hier die Bundeswehr hilft, dann ist das nicht gut.
Und auch beim Bundestagshack wurde weder der Kat-Fall ausgerufen, noch Bundeswehr benötigt.
Abschließend glaube ich, haben wir unsere Argumente ausgetauscht und sind uns einig, dass wir uns uneinig sind.
„Andere Kommunen haben Cyber-Versicherungen und investieren in Technik&Personal.“
Richtig.
Und für die Zukunft könnte man auch per Landesverordnungen eine Pflicht zu mehr IT-Sicherheit bestimmen. Ob eigene Kräfte, Verträge mit externen IT-Firmen oder über Versicherungen ist dann egal.
Aber im vorliegenden Fall war es nun mal so, dass ein Notfall da war und nichts von obiger IT-Sicherheit vorhanden.
Da leistet dann jede Behörde Amtshilfe, wenn möglich.
Da kann man sich nicht hinstellen und sagen, der Antragsteller soll die Suppe selbst auslöffeln. So funktioniert Amtshilfe nicht, zum Glück.
@Pio-Fritz
Auch mit „Gefahrenabwehr nicht mehr viel übrig“ wäre ich da vorsichtig. Einfach mal die Legaldefinition von „Gefahr“ anschauen und eine nicht voll funktionsfähige Kreisverwaltung (eine im Notprogramm laufendes IT-System) ist eine Gefahr. Aus gutem Grund sind viele Rechtsbegriffe eher allgemein als konkret gehalten, damit jede erdenkliche Möglichkeit (im Rahmen der Verfassung und geltender Gesetze) umfasst wird.
@Tom Cruise sagt: 10.09.2021 um 19:16 Uhr
„Und für die Zukunft könnte man auch per Landesverordnungen eine Pflicht zu mehr IT-Sicherheit bestimmen. Ob eigene Kräfte, Verträge mit externen IT-Firmen oder über Versicherungen ist dann egal.
Aber im vorliegenden Fall war es nun mal so, dass ein Notfall da war und nichts von obiger IT-Sicherheit vorhanden.“
Wieso in Zukunft? Die Gesetze und Verordnungen sind alle da, schon seit Jahren. Und auch das Land Sachsen-Anhalt hat eine eigene IT-Sicherheitsgesellschaft, die zwar eigenständig aber zuständig ist. Der Landkreis alles dies geflissentlich ignoriert.
Die Allgemeinheit spricht da von grober Fahrlässigkeit.