 Willkommen zurück in Halle aus unserem Chaos-Zone-TV-Studio. Der nächste Vortrag ist von Egovernante und Honkhase. Es geht um Rebuilding Landkreis Anhalt Wetterfeld. Egovernante ist eigentlich eine Projektkoordinatoren zur Digitalisierung im Landkreis. Hat sich aber im Juli 2021 als Einsatzleiterin das technische Feuer zu bekämpfen wiedergefunden. Honkhase ist ein Urgestein im Chaos-Computer-Club und hat viel Erfahrung mit Cyber-Sicherheit als Berater. Er ist auch politisch aktiv in der NGO Agi-Kritis für Kritische Infrastruktur. Viel Spaß! Ja, hi und schönen guten Abend zusammen. Wir freuen uns, dass ihr hier seid, um euch ein bisschen was aus erster Hand zum Vorfall im Landkreis Anhalt Wetterfeld anzuhören. Seit ich in meine eigentlichen Aufgaben als CDO zurückgekehrt bin, nehme ich öfter mal ein Webkonferenzenteil und dann höre ich öfter mal die Argumentation. Hört auf mich, egal was ich erzähle, sonst geht es euch wie den, nämlich dem Landkreis Anhalt Wetterfeld. Und ich denke, das ist einfach ein bisschen zu kurz gesprungen und ich glaube, der Vorfall taugt letztlich zu mehr als nur zum Verkaufsargument der eigenen Ansichten. Deswegen der Titel Rebuilding Landkreis Anhalt Wetterfeld. Ich berichte ein bisschen was zum Wiederaufbau. Honkhase hatte mich heute als konstruktiv angekündigt. Das heißt, ich gebe mir Mühe und Zeit also ein paar Erfahrungen zu teilen und inzwischen haben wir nämlich auch die Zeit und die Nerven dafür. Rebuilding Landkreis Anhalt Wetterfeld. Also was war passiert? Am 6.07. hat ein Mitarbeiter im Amt für Brandkatastrophenschutz und Rettungsdienst seinen Arbeitsplatz PC eingeschaltet und sah genau das hier, was auf der Folie zu sehen ist. Landkreis Anhalt Wetterfeld, you are fucked, do not touch anything. Persönliche Ansprache, ungewöhnlich klare Statement. Das ist man in der Form in der öffentlichen Verwaltung ja erstmal nicht gewohnt, aber ein schneller Anruf bei der IT sollte eigentlich genügen, so zumindest die Denkweise der Mitarbeiter. Und die würden sich dann schon drum kümmern und dann geht es normal weiter. Der Anruf war so gegen 6.45. Und trat etwas los, was uns jetzt wahrscheinlich noch bis Ende März 22 begleiten wird. Was war konkret passiert? Also am Morgen des 5.07. gehen wir davon aus, dass auf mehreren Systemen kodierte PowerShell Befehle ausgeführt wurden, um Backdoors zu etablieren. Also die ersten Verschlüsselungsaktivitäten gab es dann am 6.07. Das ist der Tag, an dem wir dann auch davon mitbekommen haben, davon etwas mitbekommen haben. Das war schon gegen 4.30. Und auf anderen Systemen begann die Verschlüsselung hauptsächlich erst gegen 6.30 und auf jedem System wurden zu verschiedenen Uhrzeiten die Security Logs und einige andere Ereignisanzeigen Logs gelehrt. Und im Anschluss daran eine Remote Desktop Sitzung getrennt. Also zusätzlich wurde das Remote Desktop Protokoll gelöscht. Das heißt, wir werden am Endeffekt gar nicht mehr so viel wissen können. Also wir werden am Endeffekt keine Informationen letztlich bis zum Schluss haben. Und es ist lediglich bekannt, wann die Sitzung hier beendet wurde. Und es ist weiterhin davon auszugehen, dass die Verschlüsselung von Hand ausgelöst wurde, da bei den Systemen, bei denen eine komplette Abmeldung durchgeführt wurde, die Systeme aufführten, Daten zu verschlüsseln. Aber da uns die Logs fehlen, kann kaum nachvollzogen werden, welche Tätigkeiten auf welchen Systemen der vom Angreifer durchgeführt wurden. Es ist aber wahrscheinlich, dass der Angreifer sich bewusst im System bewegt hat und eben auch entsprechend ausgewählt hat, was er dort tut. Die ersten Erkenntnisse haben dann auch gezeigt, dass der Angreifer eben mit PowerShell Skrips gearbeitet hat und eben um diese Bektos zu installieren. Und was auch gesagt werden kann, ist, dass die Verschlüsselung sehr schnell lief und dass eben großer Schaden angerichtet wurde. Das bedeutet im Endeffekt, dass wir davon ausgehen mussten, dass das komplette System kompromittiert ist. Und das bedeutet eben auch, dass wir hier die ganzheitliche Verfahrensweise geplant haben. Also in der Pressemitteilung war es dann so formuliert und dann eben auch, wurde es dann eben auch so weitergeführt. Also aus einer ungeklärten Quelle kam es zur Infektion mehrerer Server des Netzwerkes, in dessen Folge kam es zur Verschlüsselung einer noch nicht mehr spezifizierten Anzahl von Dateien. Und als sofortmaßnahme wurden alle kritischen Systeme vom Netz getrennt um einen eventuellen Datenabfluss zu unterbinden. Und im Katastrophenmodus sind wir seit dem 9. Juli 2021, seit 11 Uhr. Da waren drei Tage vergangen. Also vor dem Vorfeld gab es den Stab für außergewöhnliche Ereignisse. Was wir in der Zwischenzeit erledigt und probiert haben, das habe ich schon mal bei der Stiftung neue Verantwortung berichtet. Also kann dann auch nachgehört werden. Aber vielleicht stellt sich aber nun anhand der vorangegangenen Informationen jetzt eigentlich nicht mehr so sehr die Frage, warum wir den Cutfall ausgelöst haben. Denn eigentlich war es relativ schnell klar, dass wir die technische Infrastruktur, dass die technische Infrastruktur tatsächlich zeitlich länger ausfallen würde. Und auch, dass es ganz objektiv über das eigentlich, also das Ausmaß des alltäglichen Schadensereignisses hinausgeht und dabei eben auch, wie man es so sagt, die erheblichen Sachwerte oder lebensnotwendige Versorgungsmaßnahmen. Also wenn man das jetzt mal runterbricht auf die Aufgaben des Sozialamtes tatsächlich für die Bevölkerung gefährdet sind oder eben eingeschränkt waren. Und das eben, wie gesagt, auf lange Zeit. Oder drücken wir es mal anders aus? Also die Dienste für unsere zahlreichen oder zentralen eben auch Geschäftsprozesse konnten auf einen absehbaren Zeitraum nicht mehr erbracht werden und es stand zu dem Zeitpunkt weder ein Backup bereits, auf das wir zugreifen konnten. Noch wussten wir, ob diese Backups nicht auch kompomentiert waren. Insofern stand das erstmal auch nicht zur Debatte. Und dann muss man eben auch im Hinterkopf haben, dass die Erklärung oder nicht Erklärung des Katastrophen falls eben auch weitreichende juristische Konsequenzen für eine Verwaltung haben kann. Und da geht es um Schadensersatzforderungen, die dann tatsächlich auch im Endeffekt an uns herangetragen wurden, weil eben Autos nicht zugelassen werden konnten oder Termine nicht vergeben wurden und so weiter. Und vielleicht ist es ein guter Zeitpunkt, um also in kurzen Auszügen ein bisschen was zu den Aufgaben der Landkreisverwaltung zu erzählen, ohne jetzt so wahnsinnig ins Detail zu gehen. Das Amt 50, also unser Amt für unser Sozialamt ist zuständig für die Sozialhilfe. Ich denke, das stand im Vorfeld, das war das Wichtigste, weil das waren die Leute, die uns direkt angerufen haben. Also deren Aufgabe ist die Auszahlung der Sozialhilfe oder die Berechnung der Sozialhilfe. Das ist die Altenhilfe, die Feststellung und Durchsetzung von Unterhaltsansprüchen. Und da geht es um ganz essentielle Angelegenheiten der Menschen. Und ohne das Amt 20, also die Kämerei, passiert da auch nicht viel, denn das wickelt den kompletten Zahlungsverkehr. Es reicht nicht, das zu berechnen, es muss auch tatsächlich ausgezahlt werden können. Mahnverfahren müssen eingeleitet werden und so weiter. Also mit dem Bereich Soziales oder in den Bereich Soziales fallen das Amt für Ausländerangelegenheiten, aber eben auch das Jugendamt Letzteres hat, um so die vehement und die Dringlichkeit der Aufgaben zu erklären, ein Schutzauftrag zum Beispiel bei Kindwohlgefährdung. Und das heißt, ihr obliegt eben auch die, die geltend machen von Unterhaltsansprüchen, also Unterhaltsvorschussgesetz und so weiter. Und das sind Vorgänge, die eben existenziell wichtig sind für die Bürger und auch wirtschaftlich existenziell bedrohlich sind tatsächlich auch die Leistung des Ordnungsamtes, weil hier drin untergliedert sind eben auch die Kfz-Zulassung und die Führerscheinangelegenheiten, also das Vererlaubnisrecht. Und das kann eben alles sein, vom Pkw bis zum Mähdrescher und Menschen leben vom Handel mit Fahrzeugen. Sie leben aber auch mit der Nutz, also von der Nutzung ihre Fahrzeuge, in denen sie einfach zur Arbeit fahren. Und dann spielt auch eine ganz, tatsächlich also aktuell sehr wichtige Rolle, wie jeder weiß, das Gesundheitsamt und die Verhütung und Bekämpfung eben übertragbarer Krankheiten steht da im Fokus. Also jetzt unser Infektionsschutzgesetz, gerade zur Covid-19-Zeiten ist so aktuell wie nie. Und auch nicht ganz unproblematisch ist eben auch die fehlende Überwachung der Leichenschau und der von Totenscheinen. Und ich will jetzt nicht allzu sehr weiter ins Detail gehen, aber die Landkreisverwaltung hat eben auch in dem Bereich des inneren Aufgaben, die ganz normal durchgeführt werden müssen. Also das sind normale Vergaben, das sind Bekanntmachungen, das ist aber eben auch die Organisation des Sitzungsdienstes und weil die politischen Gremien eben auch nicht, weil wir einen Cutfall haben, die Arbeit einstellen. Und die erste Frage lautete dann eben auch vom BSI, ob wir noch die Möglichkeit haben, bei der Bundestagswahl. Also wir haben natürlich auch den Kreis Wahlleiter, also ob die Bundestagswahl quasi in unserem Kreis gefährdet ist. Ansonsten Schulverwaltungsamt, klar, uns geht wahnsinnige Summen verloren, wenn wir jetzt zum Beispiel beim Digitalpakt Schule nicht arbeiten können. Und auch Veterinär und Lebensmittelüberwachung, das mit der Tiersolchenbekämpfung, dem Tierschutz und dem Schlachtier und Fleischbeschaubefasst ist, ist natürlich irgendwo auch kritisch bei der Lebensmittelproduktion so einzuordnen. Und wenn wir jetzt auch mal den Blick nach innen richten, warum dieser Cutfall ausgelöst wurde, wussten wir zu dem Zeitpunkt nicht, wann wir irgendwas wieder hochfahren können. Und wenn wir es hochfahren, das gegebenenfalls die Verschlüsselung weitergeht. Und deswegen muss der neue Technik beschafft werden, insbesondere auch bei der Bereitstellung des Notnetzes. Und im Normalfall ist man als Verwaltung an Vergaberecht gebunden. Diejenigen von euch, die mit Verwaltungen arbeiten, kennen das, wie lange sich das hinziehen kann. Und auch wenn aktuell über die Vereinfachung verstärkt diskutiert wird, was absolut notwendig ist. In unserem Fall hat das Feststellen des Katastrophenfalls dafür gesorgt, dass Technik erstmal ohne Vergabeverfahren beschafft werden konnte. Also es musste nicht das komplette Vergabeprozedere hier durchexerziert werden. Es musste nicht geprüft werden, ob die Gelder im Haushaltsverfügung stehen. Es musste nicht das Rechnungsprüfungsamt bestätigen, dass die Gelder zur Verfügung stehende Vergabeausschuss musste nicht einberufen werden und zusammenkommen. Und ohne Zugriff auf die Daten wäre auch tatsächlich nichts von all dem möglich gewesen. Und die Technik für das Notnetz, das innerhalb einer Woche an drei Standorten aufgebaut wurde, liefer Fristen dann eben auch eingerechnet konnte. Nach einer ad hoc Vorstellung, also nach einer ad hoc Vorstellung von drei Systemhäusern, dann eben einfach beauftragt werden, was wahnsinnig geholfen hat. Der Schnelligkeit, die eigentlich in den ersten Phasen sein muss, entspricht und weiter geht es mit dem Ressourceneinsatz. Also alles, was im Haus IT buchstabieren konnte, wurde zusammengezogen. Also das heißt, das Sachgebiet EDV war zu diesem Zeitpunkt noch im Amt für Organisation, Personal und EDV zugeordnet. Andere IT-Kollegen waren dem Schulverwaltungsamt zugeordnet und ich, weil ich eher in den Themen Verwaltungsprozesse, OZG und Digitalisierung und Digitalstrategie tätig bin, war dem Amt für zentrale Steuerung und Recht zugeordnet. Und mit der Benennung als technische Einsatzleiterin, war ich dann tatsächlich mit einem mal nicht mehr Einzelkämpferin, sondern hatte eine ganze traube Menschen bei mir, also die IT-Lah, die Fachexperten und eben auch die Assistenten. Und ich muss an der Stelle auch sagen, dass ich mich von Tag 1 angeweigert habe, das Sachgebiet EDV als solches zu benennen, sondern hatte die tatsächlich immer gleich IT benannt, was dann irgendwann mal dazu führte, dass im Cardstab gefragt wurde, heißen die jetzt IT und wir dann diese Verwaltungsmodernisierung wenigstens in diesem Punkt zur Verfügung gesetzt haben. Also jedenfalls das war noch mal wichtig zum Thema Ressourceneinsatz, der war jetzt handelbar, denn tatsächlich ging es in den ersten Stunden oder in den ersten Tagen und Wochen auch um den Zugriff auf Besprechungsräume, die Kommunikation mit externen, die Beschaffung von Technik, den Personaleinsatz am Wochenende und in der Nacht die Anpassung der Bereitschaftsdienste des Wachschutzes und auch um die ganz profanen Verpflegungen der Mitarbeiter und das wäre tatsächlich auch ohne Katastrophenfall in der Form nicht möglich gewesen und auch nicht in der Schnelligkeit. Also, wie kommt zum Katastrophenstab und Incident Response? Weil das ist schon so ein bisschen kollidiert und ich hatte eben kurz die externen und die Gremien angesprochen und das war in erster Linie natürlich der Katastrophenstab als wichtigstes Entscheidungsgremium. Das war die technische Einsatzleitung 1 und die technische Einsatzleitung 2 komme ich gleich nochmal drauf zu und auch die Arbeitsgruppe wieder aufbaut, deren Entscheidungen mittel bis langfristig wirken und damit waren eben tatsächlich die Kollision vorprogrammiert, die einen wieder zum einen länger an der Behörde bleiben und die anderen, die relativ schnell auf klare Entscheidungen drängen müssen. Und das trifft mitunter darauf, dass ein Verhalten an den Tag gelegt wird und dann auch zusätzlich eine neue Hausspitze etabliert wird oder gewählt wurde und dann eben seinen Amtantritt. Das war drei Tage nach dem Katfall, dass dann eben auch so die eine oder andere Diskussion entstand, die tatsächlich nicht hätte sein müssen, die man durchaus sehr abkürzen konnte. Also als Externe waren dabei das Finanzministerium, es war das Bundesamt für Sicherheit in der Informationstechnik dabei, es war tatsächlich auch die Bundeswehr dabei, es war das Zert Nord dabei, das Landeskriminalamt, einen Kollegen, Professor von der Hochschule Harz und tatsächlich waren alle in ihrem Bereich für uns sehr hilfreich und nochmal im Detail zu den Rollentechnische Einsatzleitung 1 und 2, also die während technische Einsatzleitung 1 mit der IT-Infrastruktur, mit dem Wiederaufbau beschäftigt war, war es bei der 2, die Wiederinbetriebnahme der Fachverfahren und eben auch die Priorisierung der Wiederinbetriebnahme der Fachverfahren und auch wenn man meinen müsste, man baut zunächst die Infrastruktur auf, das wäre das Einfachste und danach nimmt man die Fachverfahren wieder in Betrieb. Das funktioniert tatsächlich nicht, weil die Verwaltung im laufenden Betrieb weitergearbeitet hat, weil es funktionierte das Telefon, es funktionierte das Fax und die Türen waren auch offen. Und das bedeutet, dass eigentlich die Ansprüche an die Verwaltung und eben auch die Anfragen und Anträge an die Verwaltung tatsächlich nahtlos so weitergegen. Und ich hatte schon vorhin gesagt, dass für viele Bürgerinnen und Bürger und Unternehmen ist die Leistungserbringung durch die Kommune existenziell. Und wenn wir uns nochmal das Beispiel Kfz-Zulassung so vornehmen, dann haben Leute vielleicht ein Auto gekauft oder die haben es kaputt gefahren oder keine Ahnung. Auf jeden Fall, während eine Abmeldung möglich ist, ist eine Anmeldung tatsächlich nur am Wohnort möglich. Also das heißt, dieses Wohnortprinzip gilt hier tatsächlich ganz, also ganz vornehmlich sozusagen. Und das heißt, dass die Fachverfahren in den anderen Kommunen, also es hätte keine Amtshilfe stattfinden können, weil einfach die ganz profanen Gemeindeschlüssel auch nicht hinterlegt sind oder hinterlegt werden können. Oder ein anderes Beispiel, Genehmigungsfiktion ist bedeutet, entscheidet eine Behörde, eine zuständige Behörde, nicht innerhalb einer bestimmten Frist über eine beantragte Genehmigung. So gilt die Genehmigung als erteilt. Und das hat Potenzial für durchaus außerufernde Streitigkeiten und richtig große Schäden, die im Nachgang entstehen. Und das Ganze musste auch immer mal wieder abgewogen werden. Das heißt, diese Listen waren erstmal flexibel und die Diskussion war eine permanente Diskussion zwischen der technischen Einsatzleitung 1 und der technischen Einsatzleitung 2. Und dann gab es eben auch noch ganz andere Abwägungen. Es war eine Entscheidung, die Frage, ob die Verwaltung in die Cloud geht oder eben auch der Personalrat beteiligt werden muss. Es waren Fragen, ob man mit dem Forensik-Team weiterarbeiten kann und möchte. Es waren Fragen, ob man Aufgaben und Leistungen in Rechenzentren auslagert. Und es war natürlich auch die Entscheidung. Es standen Erpressungen im Raum, ob man beispielsweise dieser Lösegeldforderung nachgeht, was aber sehr schnell klar war, dass dem nicht so sein wird. Und zu den besten Herausforderungen, da gibt es gleich noch ein paar Anekdoten am Ende. Aber wir kommen zu der Organisation. Nur ganz kurz, also was hatte sich sofort verändert im direkten Anschluss an diesen Cutfall? Also ich hatte es gerade noch auf der letzten Folie, die IT stand im Fokus. Also das Zusammenziehen der IT-Mitarbeiterin wurde beibehalten inzwischen. Das Sachgebet wird jetzt in ein eigenes Amt überführt und nimmt eben auch die Mitarbeiter des Schulverwaltungsamtes auf. Also die IT-Mitarbeiter des Schulverwaltungsamtes und eine Amtsleiterstelle wurde ausgeschrieben. Und auch der IT-Sicherheitsbeauftragte wird neu benannt und dadurch, dass da auch dafür keine neue Stelle geschaffen wird und niemand aus dem operativen Bereich IT-Sicherheitsbeauftragte werden kann, also aus dem operativen Bereich der IT-Abteilung, muss jemand gefunden werden. Tatsächlich gibt es auch Interessenten, aber das Land unterstützt auch hier diese Interessenten dann eben auch zu Schulen, damit die wissen, was sie da tun. Und die erste Aufgabe wird es eben sein, ein IT-Sicherheitskonzept zu schreiben. Und das Ganze muss dann die Dienstvereinbarung ergänzen. Und organisatorisch wurde all das bestimmt, was jetzt sozusagen nahezu mit Bordmitteln möglich war und wofür nicht extra irgendwelche Finanzmittel bereitgestellt werden müssen. Also was den Wiederaufbau betrifft, sind wir hier weiterhin dabei, Entscheidungen für die Zukunft zu treffen. Also das passiert in der Arbeitsgruppe Wiederaufbau und auch die wird noch weit nach dem Katastrophenfall bestehen müssen. Ansonsten ist geplant oder ist es nicht nur geplant, sondern eben auch soll der IT-Grundschutz so umgesetzt werden, wie wir das uns finanziell leisten können. Und wie es notwendig ist und wie es tatsächlich auch wichtig ist, um wieder sozusagen arbeiten zu können. Und nicht bewilligt wurden erst mal Mitarbeiterinnen und auch hier wieder die Grundlage der Politik. Also sozusagen im Kreisenfinanzausschuss wurden erst mal keine neuen Stellen bewilligt. Und auch hier war die Diskussion erst mal wieder groß. Die Leute, die gebraucht werden, dann auch für diese Person zu argumentieren. Noch kurz wieder Herstellung und zur Komplexität der Fachverfahren. Und zunächst mal ist das Landratsamt nicht abgebrannt. Also das ist das, was wir am Anfang immer wieder sagen mussten. Das große Geschäft mit dem Landkreis war also nicht zu machen und überhaupt lautete der Auftrag, den Landkreis wieder aufzubauen und nur diesmal insicher. Und daher auch der Titel Rebuilding Landkreisanhalt Bitterfeld sollte kein Neuer entstehen. So der Wiederaufbau des Active Directory ist inzwischen abgeschlossen. Aktuell erfolgt jetzt so schrittweise die neue Installation der Fachverfahren und eben auch sind wir hier gebunden an die an die Kapazitäten der Fachverfahrenshersteller. Und was jetzt noch passiert, ist die Absicherung der Verfahrens-Server. So und ansonsten funktioniert auch das wieder nach der nach der Priorisierung. Und ich gehörts das Ganze mal ein bisschen ab. Wir kommen zur Schadensbilanz. Die sieht wie folgt aus. Die Kosten belaufen sich aktuell auf zwei Millionen. Weit aus mehr als die Lösegeldsumme war Mittel, die auch nicht unbedingt zusätzlich jetzt im Haushalt ausgegeben werden, aber mit dem geplanten EGET-Budget im nächsten, oder für das nächste Jahr, verrechnet wurden und quasi jegliche Planungen erst mal zunichte gemacht haben. Es sind neue Konflikte entstanden, Konflikte zwischen Infrastruktur und Fachanwendungsbetreuern im Zusammenspiel der Kollegen untereinander. Auch das Vertrauen in die Digitalisierung ist nachhaltig zerstört. Also die ersten Antworten dazu waren, ach, hätten wir mal noch die Papierakte behalten. Und dann haben wir Datenverlust im Umweltamt. Wir haben voll ins verschlüsselte Mailserver und wir haben ein verlorenes Internet. Und tatsächlich waren einige Mitarbeiter ins Homeoffice gewechselt, um dort Internet und überhaupt Technik zu haben, um überhaupt weiterarbeiten zu können, denen jetzt zu sagen, ihr dürft eure private Technik nicht mehr benutzen und auch vor dem Hintergrund, dass sie jetzt ein anderes Arbeiten eben auch gelernt haben oder sich an gelernt haben, ist es natürlich schwierig dort einfach zurückzukehren. Wir hatten extrem viel Hilfe durch andere Landkreise. Wir hatten super viel Hilfe durch kreisangehörige Städte und Gemeinden, explizit auch durch das Land und den IT-Sicherheitsbeauftragten, der uns über Monate eigentlich in einem Amtshilfe, also nach einem Amtshilfeersuchung sozusagen zur Verfügung gestellt wurde und durch das BSI und eben auch durch die Bundeswehr, die explizit technisch unterstützt hat. Aber das heißt eben auch, dass wir in der Verantwortung sind und sein möchten, den Wissenstransfer jetzt zu initiieren. Und wir gehen davon aus und hat das in dem Moment richtig erwischt. Wir sind allerdings die Ersten und werden nicht die Einzigen bleiben. Und insofern ist es wichtig, dass hier der Wissenstransfer stattfindet und tatsächlich denke ich auch, dass der Steuerzahler das erwarten kann und zudem haben wir nebenbei auch schon so viele Fragen beantwortet und so vielen Konferenzen teilgenommen bei Frag den Staat geantwortet, in Ausschüssen rede und Antwort gestanden und so, dass ziemlich deutlich wurde, dass das Interesse da ist. Das wird ja so professionell angepisst hat, dass ich ihn direkt ins Expertengremium berufen habe. Ja, okay. Meine Steuern würde ich da auch ganz gerne in vertrauensvolle Hände legen. Allerdings muss man ja sagen, wenn man sich das so anguckt, wie digital handlungsfähig ist eigentlich der Kritisektor Staat und Verwaltung, sieht man ja nicht nur an euch, an eurem Beispiel, man hat ja dieses Jahr schon allein über 100 Behörden und Verwaltungen kompromittiert gehabt und das ist ja nicht das Ende der Fahnenstange. Also insofern habe ich mir gedacht, so, ja, die brennende Mülltonne passt eigentlich, ich möchte alles anzünden, aber wait a sec, digital handlungsfähig ist der Staat gar nicht, der brennt ja schon von selbst, da kann es eigentlich nur noch brandroden und neu machen. Unaufhelliger Hinweis für den Folienwechsel. Die Frage ist ja, was brauchen wir? Ja, die echte, das, was wir wirklich brauchen, ist doch eine Cyberresilienz. Ja, Cyberbla, lassen wir es einfach. Ich bin Ugestein, Cybergrandpaar, ich darf das. Wir brauchen eine Resilienz für den Cyberraum von kritischen Infrastrukturen und dazu gehört eben auch der Sektor Staat und Verwaltung und da gehört er ganz besonders zu. Ergovernante hat ja vorhin schon gesagt, das sind auch durchaus bedrohliche Fachverfahren dabei gewesen, die eben gar nicht resilient waren, weil sie einfach auseinander gefallen sind, nachdem die hochkriminellen Tätergruppen aktiv geworden sind. Wir reden ja hier nicht von Bespaßung, bisschen umhacken oder kaputt spielen. Wir reden hier von kriminellen Banden, organisierte Kriminalität, die irgendwie Millionen versucht abzugreifen. Und was wir auch brauchen, um dem gegenzusteuern, wie schaffen wir diese Resilienz durch Krisenerfahrungen und Übungen bei den Verantwortlichen? Dazu zählige explizit Bürgermeisterinnen, Landräte, you name it, egal. Wer keine Krisenerfahrungen hat, wer keine Übungen regelmäßig macht, steht dann genauso da wie auch beispielsweise bei euch, aber eben auch beim Ahrtal, Klimakatastrophe, ist ja das selbe Phänomen, dasselbe Problemen, die waren alle nicht geübt, die haben nicht regelmäßig die Einsätze trainiert und dann steht man da vor dem Traum auf und sagt, oh, alles kaputt, kostet teilweise sogar Menschenleben. Und nein, was wir nicht brauchen, ist Rebuilding, Anhalt, Bitterfeld, ja, aber echt keine Fachverfahren auf Windows 98 in 2021. Das haben wir beispielsweise hier im Gericht in Berlin erlebt. Vorher war es Windows 98 Fachverfahren, nachher ist es immer noch eins. Ja, nee, Fail so, das will echt keiner haben. Baut diese Fachverfahren neu, baut sie sinnvoll, digitalisiert, Ende zu Ende für die Bürgerinnen. Das muss die Erwartung an den Sektor Staat und Verwaltung sein. Was wir auch brauchen und was einfach mal fehlt, sind Sicherheitsanforderungen und Vorgaben. Es gibt den Critis Sektor, Staat und Verwaltung und welche Vorgaben hat der? Ja, machst du dicke Backen, also bei euch hintereauf, kannst du nichts mehr zu sagen. Es gibt für acht der zehn Critis-Sektoren im BSI-Gesetz bei auf 8a hängigen Critis-Verordnung genaue Vorgaben, was für Sicherheitsanforderungen die zu erfüllen haben. Bei Medien und Kultur ist es landesweit nicht geregelt, aber eben bei Staat und Verwaltung ist es ja gar nicht geregelt so. Da kann ich ja auch schon wieder kurz vorm Anzünden hier. Das muss dringend weg, da muss wirklich die Koalition, die Ampel mal das BMI-Wach rütteln und vielleicht wirklich mal Sicherheitsanforderungen an den Tag legen und sagen, das ist jetzt der Maßstab, nachdem dieser Sektor betrieben wird. Was wir auch brauchen, sind kommunale Zerts mithilfe für alle Kleinkommunen. Wie soll denn, also ihr als Landkreis wart ja schon sozusagen überrannt worden von diesem koordinierten Angriff. Was macht denn da eine kleine Kommune? Die hat ja vielleicht eine halbe IT-Stelle, eine IT-Stelle, keine Ahnung, das ist ja überschaubar. Die haben noch nie incident response gemacht. Die haben noch nie irgendwelche Fachverfahren gesichert. Die haben noch nie mit 15 verschiedenen Behörden und Verantwortlichen und Sicherheits-Einrichtungen irgendwie kommuniziert, um abzustimmen. Wer kommt jetzt eigentlich und hilft? Die machen auch wieder, die gucken wie Rebhühner einmal groß in die Unterlagen und sagen, ja, gibt dieses Cyberwimmelbild der Verantwortungsdiffusion. Da sind ganz viele drauf. Wen fragen jetzt? Das kann es irgendwie auch nicht sein. Kleiner Hinweis für die Folien. Was wir auch bräuchten, da stehe ich natürlich mit Herz und Seele dahinter, weil es meine Passion ist, als Mitgründer der unabhängigen Arbeitsgemeinschaft AG-Krit ist, wir bräuchten Cyber-Hilfswerk. Das ist der Arbeitsdittel, den wir dem Ganzen verpasst haben, soll die existierenden Bewältigungskapazitäten für Großschadenslagen durch Cybervorfälle bei kritischen Infrastrukturen kooperativ ergänzen. Dazu haben wir ein Konzept entwickelt, wir haben knapp 40 Seiten, da haben wir teilweise in Workshops zusammengesessen mit dem BSI, mit dem BBK, also Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. BSI, Bundesamt für Sicherheit in der Informationstechnik und mit dem CCC, also im Chaos Computer Club und haben einfach mal gebrainstormt, wie würde man eigentlich Ehrenamtler, Ehrenamtlerinnen dazu bewegen, irgendwie bei echt Großschadenslagen, nicht bei, wenn ein paar Bitwerte umkippen sollen werden, sondern wirklich in so einer Lage hier, wo es wirklich darum, Existenzbedrohung geht und ein ganzer Landkreis auch einfach mal viele Monate kaputt optimiert wurde und lahmgelegt ist und noch viele Monate bleiben wird, dass wir da irgendwie in der Lage sind, irgendwie auch zu agieren. Noch mal letzter Hinweis. Ja, der Cyber-Hilfswerk, was eigentlich der Plan, der Plan ist, man soll eine, wirklich das Primärziel ist, diesen Betreiberinnen von griechischen Infrastrukturen zu helfen, das Primärziele ist auch nicht deren Ergebnis und erlösesichern oder diesen, deren weißer Kuckuck Produktionsanlagen schick und stylig zu halten oder die Eingangsforten. Ne, es gibt einzig und allein um die Wiederherstellung der Versorgung der Bevölkerung mit den kritischen Dienstleistungen, was eben beim Sektor Staat und Verwaltung wäre, dass die Fachverfahren funktionieren, dass die Bürgerinnen mit ihren Bedürfnissen mit der Not sozusagen dann auch sich an die Bürgerämter wenden können und wo auch geholfen wird und gekümmert wird. Dass auch soziale Abgaben monatlich auf dem Konto landen und nicht gesagt wird, ja, es ist gerade gereinigt, wir können keine Überweisungen mehr tun, Pech gehabt. Gehst du leer aus? Ja, so funktioniert das nicht bei Leuten, die in Not sind und diese Not dann auch brauchen, als Hilfe. Also IT-Sicherheit verbessern reicht nicht aus. Müssen wir natürlich sowieso tun, absolut, dürfen wir nicht verlacht, wir brauchen eben Incident Response und Krisenbewältigungskapazitäten auf einer Basis von ehrenamtlichen digitalen Katastrophenschutzhelferinnen. Wir haben genug Know-how in unserer Community, wenn das on our terms, also nach unseren Spielregeln funktioniert, dass wir sagen, hey, wir wollen da helfen. Da kommen keine komischen Sicherheitsbehörden, machen komischen Fuh. Da rückt das BSE Mobile Incident Response Team aus. Wir kommen dabei und dann muss man vielleicht sogar auch nicht eine Bundeswehr rufen, weil wird schon alles gekümmert. Die Bundeswehr sollte der letzte Notnagel am Ende der Kette sein, wirklich der letzte Notnagel. Und nicht, hey, wir rufen mal kurz die Bundeswehr, die können wir mit einplanen und dann ist sie kein Notnagel mehr, sondern einkalkuliert. Die soll niemals einkalkuliert sein, am besten nie genutzt werden, weil wenn dann sozusagen so Shit Hitze fällen, dann brauchen wir die Bundeswehr wirklich, aber nicht in solchen Lagen und dafür ist das Cyber-Hübschwerk gedacht. Ja, und dafür werde ich jetzt in, was man hier in diese Runde reingenötig, der Expertenkreis, werde ich das jetzt für die AG-Kritis dann auch entsprechend vertreten und versuchen zu fördern, dass wir das ja ins Leben rufen und dann wird vielleicht aus dem Anzünden und Brandroden vielleicht nur ein professionell angepisst und dann ist die Welt wieder schön. Und damit übergebe ich wieder zurück an dich, bitte schön. Sehr gut, und damit kommen wir zur der ganzen Kategorie behind the scenes best of Dienstleister, nicht Quatsch, best of Kundenbeschimpfung. Ich glaube, dazu können wir dann noch einmal hier, falls irgendeiner beim Lightning Talk abgesprungen ist, da kann ich E-Mails vorlesen, die mich wunderbare Weise erreicht haben, ein kleiner Spaß. Also, es gab auch Situationen, die einfach in ihrer Art, in ihrer alleine in dem Moment, in dem sie einen erreichen, unfassbar unglaubwürdig klingen. Also, auf der einen Seite klar, wenn es gut gemeint ist. Also, man sagt ja immer so, das Gegenteil von gut ist gut gemeint. Also, wenn Mitarbeiter auf die Idee kommt, tatsächlich Dateien auf Memory Sticks zu sichern und die nach Hause zu schleppen, um sie dann wieder ins Landratsamt zu bringen, dann könnte das auch später nochmal zu einem Problem werden. Was uns immer wieder getroffen hat war, wenn IT-Mitarbeiter direkt angesprochen wurden, weil irgendein Rechner auch ohne Netzwerk auch und nur mit Drucker oder Scanner oder whatever, sozusagen wieder an den Start gebracht werden mussten, dann ist es blöd, wenn es eine technischen Einsatzleitung vorbeiläuft. Und es ist super blöd, wenn ich diese Ressourcen dann irgendwo gebunden habe oder letztlich keine Rechner mehr habe, die ich plattmachen kann, weil alle irgendwie jetzt doch wieder in Benutzung sind. Spannend war auch in den Runden die technische Einsatzleitung, welche das jetzt auch immer war zu erschlagen. Wie es richtig ginge, das führt dann tatsächlich zur Situation, dass man sein Mikrofon einschaltet und nach einem 10-minütigen Vortrag, wie es richtig ginge, sagt so Nein. Unverständige Gesichter, Mikrofon nochmal an, das ist technisch nicht möglich. Auch wenn wir uns sehr wünschen, dass das Landratsamt wieder an Start geht, sind verschiedene Reihenfolgen einfach zu beachten. Highlight waren aber tatsächlich Vertriebler, die direktes Fachverfahrensverzeichnis verlangt haben, OZG direkt gleich mitmachen wollten und irgendwie mit einem leeren Kfz-Kennzeichen-Datenbank vielleicht am besten morgen schon loslegen wollten, aber sorry Obazine, Obazine, Zwinker Smiley funktioniert nicht auf einem Kennzeichen und wir können nicht mit doppelten Kennzeichen die Leute rumfallen lassen. Das hat einfach versicherungstechnische Gründe. Auch waren Situationen, wo man einfach mit den Geschäftsführern in einem Gespräch sitzt mit Technikern und dann auf der anderen Seite die Geschäftsführer und die dann permanent genervt die Augen verdrehen, wenn man konkrete Details erfragt und einer war dann sehr arg enttäuscht und kündigte an, dass er uns jetzt überall ausschmieren wird, wie furchtbar wir sind und dass wir sozusagen nicht diese Firma gewählt werden und ich, seine Landesverräterin, der Kollege, seinen IT-Soldner und dabei waren die Entscheidungen definitiv sehr objektiv und von Erfahrungswerten von allen am Tisch getragen. Also, Ansagen wie wir machen mal einen Termin, erklären wie sie zu uns in der Cloud kommen und eigentlich interessiert uns ihre technische Ansicht überhaupt nicht, sondern wir erklären es nochmal dem Hauptverwaltungsbeamten bringt Unruhe ins Haus und ist irgendwie auch nicht förderlich, weil wir letztlich ist doch umsetzen werden und müssen und sozusagen hier der vertrauenslos Verlust tatsächlich schon vorprogrammiert ist und apropos nicht dabei sein, wenn der Auftraggeber oder wenn man zwei Auftragnehmer hat kam auch ganz gern mal die Situation wenn über übergaben gesprochen werden soll, dass wir am besten gar nicht am Tisch sitzen, sondern dass die Dienstleister sich zusammensetzen, was auch schwierig ist. Insofern verstehe mich bitte auch einer, dass es immer wichtig ist, ein IT-Projekt Steuere im Haus zu haben und dass eine Landkreisverwaltung überhaupt jegliche Behörde weiterhin in der Lage ist, auch die externen zu steuern und das ist essentiell notwendig wenn wir uns hier nicht die Butter vom Brot nehmen lassen wollen so und Daten wollte auch kein Rechenzentrum von uns haben, also das hieß einmal nur so, ja wir machen alles, aber wa, schickt uns bloß nichts, wir wollen eure Daten definitiv nicht haben, unser Leben als Aussätzige und schön ist natürlich auch, wenn der Dienstleister einen dann gleich nochmal erpresst, also sowas wie Budgetabsprachen hin oder her mit einmal Kostets ist aber auch nicht mit der Technik, sondern tatsächlich doch mit dem Landrat wieder und dann immer natürlich auch mit dem Nebensatz, bei den männlichen Kollegen da draußen warten die Sniper, die warten nur bis ihr wieder am Netz seid, bei mir waren es dann immer die Starker also zielgruppengerechte Ansprache ist auch toll, aber irgendwie dann auch durchschaubar und nervt und ja und das waren tatsächlich dann auch die gleichen Jungs, die meinten wir haben ein paar Fortinetz von dem Partner geordert das ist auch einer meiner Lieblinge und wir arbeiten damit, wenn wir hier euch wieder beim Aufbau helfen von Open Source raten wir ab das nehmen nämlich die Hacker, das sind die die euch angegriffen haben, das sind die, die euer System kaputt gemacht haben schwierig also man kann aber auch Glück im Unglück haben und das ist auch eine schöne Situation, also wenn man zum Beispiel ein günstiges Angebot schießt dass wenn man 7 Managed Services nur 10% des Preises im ersten Jahr angeboten bekommt beim Kickoff sollte dann aber tatsächlich ein Fernsehteam dabei sein wir haben uns nicht für das Angebot entschieden und jetzt noch ein ganz schöner Lichtblick die Dienstleister mit denen man tatsächlich seit Jahren wirklich vertrauensvoll zusammenarbeitet und von denen man natürlich auch ein Angebot anfordert dann ist es natürlich schön wenn die einem das nötige Lizenz-Geraffel direkt auf das Angebot schreiben und dann auch wirklich dieses Wort benutzen und damit eigentlich so als kleines Fazit der Landkreis ist nicht das Opfer dieser Attacke mit den Expertenkreis glaube ich, dass wir jetzt was wirklich Gute schaffen können und wir sind im Rahmen eines Forschungsprojekts eben auch daran, nachdem wir jetzt diese Awareness haben ein Forschungsprojekt eben aufzubauen, indem wir verschiedene Verwaltungsprozesse digitale Zwillinge aufbauen und tatsächlich gibt es eben auch das nächste Projekt und zwar das Open Data Ecosystem und das ist Open Source also Spielwiese für die IoT-Hacker und das sozusagen als das Gute in der Katastrophe die hier passiert ist und ich glaube eben auch die wichtige Message, dass die Landkreisverwaltung das die Behörden tatsächlich hier wirklich nacharbeiten müssen wir kommen zu den Fragen jetzt kann es losgehen genau, fragt uns Dinge ist drohen Antworten ja, sehr schön vielen Dank, es gibt viele Fragen viele Fragen von den Hackern natürlich ist über die Details über den Hack wenn das Verschlusssache ist gerne abwinken wir wissen auch gar nicht so viel, das ist das Problem wir tatsächlich durch die Log Files ja, eben auch gelöscht können wir tatsächlich jetzt auch gar nicht so sehr viel sagen also vielleicht mal grundsätzlich bei der Incident Response ist es ja so wenn man versucht nach einem Renzwehr-Angriff den Betroffenen zu helfen ist meist so, dass ja die Angreifer also das nochmal organisierte Bandenkriminelle das ist ja nicht irgendwie Feldwaldwiesen die gehen in die Systeme rein Kundschaften, das alles aus, taxieren welche Höhe man sozusagen an Lösgeldforderungen setzen kann im Preis-Leistungsverhältnis gerade hier im Landkreis-Anhalt Bitterfeld wurde ja dann auch nachdem gesagt wurde ihr kriegt gar nichts 200 Megabyte ungefähr an Daten geliegt um anzutiesern und zu sagen, na ja, komm vielleicht wollt ihr doch haben wir aber dann gesehen, dass wir damit auch nicht vorwärts kommen, aber die gehen natürlich so vor, dass die Backups, die online sind entweder vorher aktiv zerstört werden oder mitverschlüsselt werden ist auch so, dass schon seit langem Zugangsdaten wie SSH Passwörter etc. mitabgegriffen werden, so dass man auf die Linux-Büchsen mit draufgeht und sagt, na ja, dann pletten wir mal kurz das SysLog und dann sind eben keine Lockdaten mehr da und wenn halt nichts mehr da ist und das Meiste verschlüsselt ist, dann kannst du nur die Reste rauskratzen. Das heißt, es gibt fast immer, muss man auch, wäre so sagen, sehr viele Angriffsvektoren die zum Ziel hätten führen können welches am Ende genau war dass es eigentlich sogar fast schon unerheblich denn in erster Linie will man ja den Wiederaufbau hinbekommen und die kritischen Dienstleistungen wieder ans Laufen bekommen, also insofern ist es sehr oft der Fall, dass man das gar nicht so detailliert ermitteln kann. Genau und wir gehen davon aus, dass der Angreifer seit Beginn des Jahres in dem System war und ja tatsächlich wissen wir von einem sehr viel größeren Datenabzug. Das macht es nicht besser, aber es ist halt so. Datenabzug ist bekannt, ob tatsächlich Daten abgeflossen sind, also ob die nicht nur verschlüsselt, sondern auch gelegt sind. Es sind Daten abgeflossen, ja, gelegt die 200 MB, aber es sind sehr viel mehr. Es wird doch, warte mal, es gab eine öffentliche Stellungnahme dazu, ich glaube es waren 62 GB 62 GB an Datenwohnen abgezogen und keiner weiß was genau abgezogen wurde. Die 200 MB sind gelegt worden, da weiß man natürlich sehr genau was es war. Das sind Protokolle aus der Landkreik, genau. Aber es sind insgesamt 62 GB verschüttet gegangen und da muss man auch sagen, das ist ja sogar noch wenig, es gibt auch Vorfälle, da werden Terabytes vorher abgegriffen, ja. Nach dem Wiederauf, ach so, ihr seid noch dabei bei dem Wiederaufbau. Eine Frage ist, gibt es Material, was unwiderruflich, unwiderbringlich zerstört wurde? Der komplette Mail-Server Daten des Umweltamtes, also aller von einem Standort, sozusagen die Server die an einem bestimmten Standort in Bitterfeld waren und das Intrall nicht ist weg und das andere müssen wir schauen, also wir sind immer noch dabei die Daten zu sichten und eben zu überführen. Aber wir wissen definitiv das Daten des Umweltamtes wechseln, dass eben der komplette Mail-Server verschlüsselt wurde, und eben auch das Intrall nicht mehr vorhanden ist. Okay. Eine andere Frage mehr oder weniger seriös, wie hoch war die Lösegeldforderung wenn das nicht Verschlusssache ist? Nee, ich glaube das war sogar mal veröffentlicht, also das war eine halbe Million. Genau. Also eigentlich noch ein Schnäppchen eine halbe Million, also da gibt es auch durchaus Angreifer, die deutlich mehr verlangen, aber sind ja nicht zum Zuge willkommen. Okay. Hanke, du hattest Empfehlungen ausgesprochen wo freiwillige Amtshilfe leisten können, so dass die Bundeswehr nicht angerufen werden muss. Rückblickend betrachtet war das Amtshilfe, also suchen an die Bundeswehr angemessen und wurde von offizieller Seite her was getan, damit künftig nicht die Bundeswehr wieder angerufen werden muss. Also ob das angemessen ist, kann E-Governante glaube ich besser darlegen als ich, denn sie war ja in den Details drin, ich kenne den Vorfall ja nicht von innen her. Sie mag es sicherlich sinnvoll vertreten, dass das angemessen war. Meine Position ist, damit das nicht nochmal passieren muss oder die Runde macht. Sozusagen, wenn was passiert, rufen wir die Bundeswehr und dann schön, dann legen wir uns wieder schlafen oder so was, kann man ja hier nicht behaupten, hast ja jede Menge erzählt, was ihr da tut und macht. Aber dafür will ja die AG-Kritis, dieses Cyber-Histwerk ins Leben rufen und sagen, dann haben wir auch genug Kapazitäten und wenn dann eine kritische Infrastruktur betroffen ist, dann helfen wir aus der Community heraus ehrenamtlich und kommen eben als Amtshilfe ersuchen, dahin reparieren diese Versorgung der Dienstleistung mit den Berufswiederherstellern und dann geht man gemeinsam verrichteter Dinge wieder da weg. Das Ziel, dass dann so was wie wir rufen die Bundeswehr quasi überflüssig wird im Idealfall. Wie gesagt, die sollen nur als Notnagel im extremsten Fall gerufen werden können. Und das war der Fall und das war der erste Fall und sozusagen das soll definitiv nicht Standard werden in dem Moment war es nur dass wir technisch nicht in der Lage waren uns selbst zu helfen und insofern war es diese technische also diese rein technische Redigkeit, die hier abgewickelt wurde. Na ja, Stand heute sind fast alle Kommunen ungefähr auf demselben Niveau. Ja, ich hoffe, dass es jetzt anders wird. Okay. Die Hoffnung stirbt zuletzt. Okay, Hoffnung ist feiner. Genau. Schön. Eine andere Frage ist, wie weit ist die Erneuerung der Infrastruktur und werden Möglichkeiten genutzt, um die Sicherheit zu verbessern? Es wird jede Möglichkeit genutzt, die Sicherheit zu verbessern. Also es fängt bei der Dienstvereinbarung an, es fängt bei Awarenesschulung an. Ich hatte es von gesagt mit dem IT-Sicherheitsbeauftragten. Das fängt mit der komplett neuen Aufstellung des IT-Ampfdes an und das geht natürlich auch da weiter, dass wir jetzt mehrstufige Sicherheitskonzepte haben, die Arbeitsplatz-PCs nicht mehr mit allen möglichen Rechten ausgestattet sind und ja, pass wird es natürlich jetzt unerheblich, aber die Einfache, dass auch pass wird da auch mal ablaufen wieder, und das sind einfach Sachen, die jetzt durchgeführt werden. Was den Stand des Wiederaufbaus betrifft, das Active Directory steht und die Fachverfahren hier werden jetzt nach und nach wieder anstatt gehen und es eben auch die einzelnen Ämter werden jetzt nach und nach wieder ihre Arbeitsplatz-PCs in Betrieb nehmen und die Kleinen sind gehertet und so weiter und das bedeutet jetzt, ich glaube, wir haben jetzt 4 oder 6 Ämter, die jetzt tatsächlich wieder wo jeder Mitarbeiter an eigenen PC hat und nicht mehr ein PC der aus dem Notnetz bei der Sekretärin beim Amtsleiter steht und dort jeder sein E-Mail-Verkehr darüber abwickelt. Benutzt ihr dabei auch so krasser Hackersoftware wie Open Source? Wir arbeiten dran. Sehr schön. Ja, schön, zum Active Directory in Speziellen gab es die spezielle Frage. Konnte man bei der forensischen Untersuchung einen golden Ticket-Angriff auf das Active Directory feststellen? Das kann ich nicht sagen. Ich kann was anderes sagen zum Thema Active Directory. Und zwar, wir haben tatsächlich auch erst mal nachgucken müssen, ob alle Mitarbeiter tatsächlich auch bei uns arbeiten. Wir haben auch noch ein paar Einträge im Active Directory tatsächlich noch hier Mitarbeiter bei uns sind oder ob das jetzt nicht durch Zauberhand mehr geworden sind. Das war, glaube ich, die erste Täti. Das ist die erste Aktion, die wir hier durchgeführt haben. Und die auch wirklich lange dauerte tatsächlich erst mal zu schauen sind die Azubis noch da. Das war im Endeffekt auch eine Bestandsaufnahme aller Kollegen, die wir im Haus haben. Was auch durchaus sehr notwendig war. Historisch gereift, aber auch in der Zeit, dass wir das nicht in den Ausdruck haben. Sonst gab es Backups z.B. in einem externen Rechenzentrum? Nein, doch bei manchen Fachverfahren auch tatsächlich überraschend. Da wussten wir gar nicht, dass die Backups von uns haben. Das war auch neu und irritierend für den Datenschutzbeauftragten. Wir haben auch noch die Ausdruck, die nicht in externen Rechenzentren sind und dann tatsächlich auch jetzt händisch überprüft werden müssen, ob diese nicht vielleicht kompromittiert sind. Wir gehen davon aus, dass wir 80-90 % unserer Daten zurückerhalten. Und dass die eben nicht beschädigt sind. Aber nach viel Handarbeit beim Wiedereinspielen? Ja, definitiv. Vielleicht als Ergänzung auch da. Aber es gibt auch keine Sauer-Backup. Was man wirklich will, ist die Wiederherstellung. Und die kriegt man eben nur, wenn man ein sehr strukturiertes Backup-Konzept hat mit Grandfathering-Modellen, mit rollierenden Backups, mit Offline-Backups, wenn man, ihr habt 160 Fachverfahren, glaube ich, ungefähr, wenn man 160 verschiedene und wenn dann die Bösen kommen, dann packt man das wieder aus und sagt, checker, golden ticket, ich habe einen golden Medium. So funktioniert das halt nicht. Und insofern ist ein Backup-Konzept, was auch die Wiederherstellung in einer angemessenen Zeit sozusagen darstellt, für sich eine sehr komplexe Prozessaufgabe. Ich kann mir vorstellen, das ist jetzt im Wiederaufbau mit in den Plänen reingeschrieben. Absolut, ja, klar. Okay. Ja, genau. Das fängt schon an alleine, wenn wir jetzt in diesem Zwischenbetrieb sozusagen schon Fachverfahren am Start haben, die gar nicht im Zielsystem sind und im Zielaktivsystem sind und wir dann beginnen jetzt erstmal schon so Daten zu erheben, die wir dann später wieder überführen müssen. Also das wird dann auch nochmal sehr viel Spaß machen. Ja, vielen Dank. Ach so, möchtest du noch was? Na ja, alles gut. Ich meinte nur Spaß am Gerät. Das gehört ja zum Chaos dazu, das passt. Schön. Vielen Dank für die Einblicke in die Welt des Amtes und in der Digitalisierung. Vielen Dank von Kaso und Ego der Uwutkovernante. Ja, vielen Dank. Bis zum nächsten Mal. Vielen lieben Dank. Ciao. Tschüss. Als nächstes um 21.30 Uhr Local Emission Framework Klimaschutz vor deiner Haustür hier aus dem Chaos Zone Studio aus Halle. Bis dahin.