Hamburg. Die Zahl der Hackerangriffe auf Einrichtungen der Stadt Hamburg ist in den vergangenen Jahren deutlich gestiegen. Ziele der digitalen Attacken waren Krankenhäuser, Gerichte, wichtige Versorger wie die Stromnetz Hamburg und Hamburg Wasser, aber auch Einrichtungen wie das Berufsförderungswerk, die Hamburg Kreativ Gesellschaft, Kindertagesstätten und die Polizei. Das ergibt sich aus der Antwort des Senats auf eine Kleine Anfrage des FDP-Bürgerschaftsabgeordneten Michael Kruse.
Die Anzahl der in Art und Umfang unterschiedlich gravierenden Attacken wurde nicht immer vollständig erfasst. In einigen Fällen waren Datenserver über Tage nicht erreichbar, in anderen wurden Daten von Schadsoftware verschlüsselt und waren zunächst nicht nutzbar, oder Webseiten für Kunden waren im Netz nicht abrufbar. Der exakte Schaden der erfolgreichen Angriffe lässt sich nicht beziffern.
Sicherheitslücke beim UKE
Dass auch sensible Bereiche wie der zentrale Server im Ziviljustizgebäude, Kliniken oder Energie- und Wasserversorger betroffen waren, zeigt jedoch, dass es sich nicht nur um Lappalien handelt. Besonders stark fiel der dokumentierte Anstieg der Angriffe beim Universitätskrankenhaus Eppendorf (UKE) aus. Wurden im Jahr 2013 zwei Cyberangriffe festgestellt, so waren es im laufenden Jahr bereits 19 Attacken.
Schon im Sommer hatte der Senat in einer Antwort auf eine CDU-Anfrage eingeräumt, dass es seit 2013 eine große Zahl von Angriffen auf die Computersysteme der Hamburger Krankenhäuser gegeben hat. 2016 sei ein „außergewöhnliches Jahr mit vielen Hackerangriffen“, so der Senat. In der Regel seien die Angriffe zwar abgewehrt worden, allerdings habe es in einem Fall eine Sicherheitslücke beim UKE gegeben. Bereits 2013 sei es Angreifern in einem „Plankrankenhaus“ sogar gelungen, auf eine Patientenakte zuzugreifen. Um welche Klinik es sich handelte, wollte der Senat aus Sicherheitsgründen nicht mitteilen.
„Angriffe werden immer gezielter“
„Die Angriffe werden immer gezielter“, sagte FDP-Mann Michael Kruse. „Es ist beängstigend, dass sie immer häufiger auch ihr Ziel erreichen und Schäden verursachen.“ Besonders bedrohlich sei die starke Zunahme der Angriffe „auf besonders sensible Organisationen wie das UKE“. Es sei angesichts dieser Lage „geradezu grotesk, dass der Senat trotz des gerade beschlossenen Haushalts keine konkreten Aussagen über die Kosten zur Abwehr derartiger Attacken benennen kann“, so Kruse. „Mit einem derart laschen Umgang bei einem so wichtigen Thema sind Hamburgs Unternehmen und Behörden schlecht aufgestellt.“
Zuletzt hatte der Chef des Hamburger Verfassungsschutzes, Torsten Voß, in einer Mail an die Bürgerschaftsfraktionen vor aus Russland gesteuerter Spionage gewarnt. Der Verfassungsschutz könne bei Bedarf „über die aktuelle russische Angriffskampagne informieren, die derzeit die deutschen Parteien, sowohl auf Bundesebene als vereinzelt auch auf Landesebene, zum Ziel hat“, so Voß.
Schwer detektierbare Schadsoftware
„Neben dem Risiko der Ausspähung von Daten, durch Platzieren einer schwer detektierbaren Schadsoftware, besteht auch das Risiko, dass individuelle E-Mail-Accounts zum Ziel der Informationsabschöpfung werden.“ Die US-Wahl habe gezeigt, „dass durch Preisgabe beschränkt zugänglicher Informationen ... eine Diskreditierung ausgewählter politischer Vertreter und Verfassungsorgane möglich ist und Wahlverläufe beeinflusst werden können“.
Aus der Bürgerschaftskanzlei hieß es, dass das Hamburger Parlament „in sehr hohem Maße mit Unterlagen arbeitet, die öffentlich sind“. Geheime oder vertrauliche Unterlagen würden in der Bürgerschaftskanzlei generell nicht per E-Mail verschickt, sagte Bürgerschaftssprecher Ulfert Kaphengst. Die Abgeordneten seien nicht in das städtische Netz eingebunden. „Sie wickeln ihren E-Mail-Verkehr überwiegend über private E-Mail-Anbieter ab“, so Kaphengst. „Daher steht uns im Übrigen auch kein zentrales technisches Instrumentarium für Sicherungen zur Verfügung.“
Mithin: Jeder Abgeordnete ist selbst dafür verantwortlich, seine Kommunikation gegen Spionageattacken abzusichern. Inwieweit das in der Praxis auch passiert, weiß offenbar niemand so genau. „Wir versuchen, die Abgeordneten zu sensibilisieren, indem wir die Fraktionen per E-Mail über sicherheitsrelevante Vorkommnisse informieren“, sagte Kaphengst. Zuletzt habe es „am 7. Dezember eine Mail an die Fraktionen gegeben, in der von der Bürgerschaftskanzlei über eine Verschlüsselungssoftware informiert wird, die sich per E-Mail und über Dateianhänge verbreitet“, so der Bürgerschaftssprecher. „Dabei wurde vor allem auf die Gefahren hingewiesen, die von Mails ausgehen, die über Webmailer abgerufen bzw. geöffnet werden.“
Für die IT-Sicherheit der Behörden ist die Finanzbehörde zuständig. „Spezielle, gezielte Angriffe, die sich gezielt auf die Hamburger Verwaltung richten, hat es bisher nicht gegeben“, sagte deren Sprecher Daniel Stricker. „Die Bedrohungslage ist gleichwohl gleichmäßig hoch, weil allgemeine Angriffe auch die Stadt Hamburg treffen können.“