Der Vorfall
Am Wochenende des 16. Oktober 2021 bemerkten IT-Mitarbeiter der Stadt Witten in Nordrhein-Westfalen ungewöhnliche Aktivitäten in ihren Systemen. Was sie entdeckten, war ein Albtraum für jede Kommunalverwaltung: Ransomware hatte sich tief in die IT-Infrastruktur gefressen. Am Montagmorgen war die Katastrophe perfekt – die gesamte Stadtverwaltung war digital lahmgelegt.
Für die rund 97.000 Einwohner der Stadt bedeutete das: keine neuen Personalausweise, keine Reisepässe, keine Kfz-Zulassungen, keine Gewerbeummeldungen. Das Bürgerbüro, das Standesamt, die Kfz-Zulassungsstelle – alles stand still. E-Mails konnten weder empfangen noch gesendet werden. Telefonnummern funktionierten teilweise nicht mehr, weil auch die Telefonanlage betroffen war.
Bürger, die dringend einen Ausweis für eine Reise brauchten, standen vor verschlossenen digitalen Türen. Unternehmen konnten keine Fahrzeuge zulassen. Standesamtliche Urkunden ließen sich nicht ausstellen. Die Stadt kommunizierte über Facebook und eine Notfall-E-Mail-Adresse bei einem externen Anbieter. Wochen vergingen, bis erste Dienste wieder verfügbar waren. Manche Systeme brauchten Monate für die vollständige Wiederherstellung.
Die Stadt Witten war bei Weitem kein Einzelfall – deutsche Kommunen wurden 2021 reihenweise angegriffen. Doch der Fall Witten zeigt exemplarisch, wie verwundbar die digitale Verwaltung ist und wie lange die Folgen nachwirken.
Wie der Angriff funktionierte
Ransomware-Angriffe auf Kommunalverwaltungen folgen einem bewährten mehrstufigen Muster, das die Angreifer über Jahre perfektioniert haben.
Stufe 1 – Der erste Fuß in der Tür: Die initiale Infektion erfolgte aller Wahrscheinlichkeit nach über eine Phishing-E-Mail oder eine kompromittierte Remote-Desktop-Verbindung. Ein kleiner Loader – oft nur wenige Kilobyte groß – landete auf einem einzelnen Arbeitsplatzrechner. Dieser Loader war so unauffällig, dass er keinen Alarm auslöste. Er etablierte lediglich eine verschlüsselte Verbindung zu einem Command-and-Control-Server.
Stufe 2 – Erkundung und Ausbreitung: Über den Loader luden die Angreifer weitere Werkzeuge nach. Tools wie Cobalt Strike oder Mimikatz ermöglichten es ihnen, Zugangsdaten aus dem Speicher der infizierten Rechner auszulesen. Mit gestohlenen Administrator-Passwörtern bewegten sie sich lateral durch das Netzwerk – von Arbeitsplatz zu Arbeitsplatz, von Server zu Server.
Stufe 3 – Vorbereitung des Angriffs: Bevor die eigentliche Verschlüsselung begann, sicherten die Angreifer ihre Position. Sie deaktivierten Backup-Systeme, löschten Schattenkopien und sorgten dafür, dass eine Wiederherstellung möglichst schwierig würde. Gleichzeitig kopierten sie sensible Daten – als zusätzliches Druckmittel für die Erpressung.
Stufe 4 – Verschlüsselung: Am Wochenende, wenn niemand an den Rechnern sitzt, starteten die Angreifer die Verschlüsselung. Hunderte Rechner und Server wurden gleichzeitig verschlüsselt. Am Montagmorgen war die Verwaltung vollständig handlungsunfähig.
Dieses Muster ist entscheidend: Zwischen der initialen Infektion (Stufe 1) und der finalen Verschlüsselung (Stufe 4) lagen vermutlich Tage oder Wochen. In dieser Zeit hätte jeder Neustart eines mit Deep Freeze geschützten Rechners den Loader und alle nachgeladenen Werkzeuge gelöscht.
Warum Virenscanner versagten
Die IT-Abteilung der Stadt Witten hatte selbstverständlich Sicherheitssoftware im Einsatz. Doch die Angreifer wussten das – und hatten ihre Werkzeuge entsprechend angepasst.
Moderne Ransomware-Gruppen testen ihre Schadsoftware vor dem Einsatz gegen alle gängigen Virenscanner. Der initiale Loader wird so lange modifiziert, bis er von keinem Scanner mehr erkannt wird. Dieses Verfahren nennt sich „FUD" – Fully Undetectable. Erst wenn der Loader an keinem Virenscanner mehr scheitert, wird er eingesetzt.
Die nachgeladenen Tools wie Cobalt Strike sind in der Sicherheitsbranche als sogenannte „Dual-Use-Software" bekannt. Sie werden sowohl von legitimen Penetrationstestern als auch von Kriminellen verwendet. Virenscanner tun sich schwer, den legitimen vom bösartigen Einsatz zu unterscheiden.
Hinzu kommt: Kommunalverwaltungen haben oft heterogene IT-Landschaften mit veralteter Software, die nicht immer mit den neuesten Sicherheitsupdates versorgt wird. Die Budgets sind knapp, die IT-Abteilungen unterbesetzt. In dieser Situation ist ein Virenscanner wie ein einzelner Wachmann vor einem Gebäude mit hundert offenen Fenstern.
So hätte Deep Freeze geschützt
Stell Dir vor, die Arbeitsplatzrechner der Stadt Witten wären mit Deep Freeze geschützt gewesen. Das Szenario hätte sich fundamental verändert.
Der Loader landet auf einem Rechner. Ein Mitarbeiter öffnet eine präparierte E-Mail, der Loader installiert sich. Soweit identisch. Doch am Ende des Arbeitstages fährt der Rechner herunter. Am nächsten Morgen startet er – und Deep Freeze setzt die eingefrorene Systempartition auf den Originalzustand zurück. Der Loader ist verschwunden. Die Verbindung zum Command-and-Control-Server existiert nicht mehr.
Keine Erkundungsphase. Ohne den Loader können die Angreifer keine weiteren Werkzeuge nachladen. Keine Mimikatz-Installation, kein Cobalt Strike, kein Auslesen von Passwörtern. Die mehrstufige Angriffskette bricht an der ersten Stelle ab.
Keine laterale Ausbreitung. Selbst wenn der Angriff an einem Freitagnachmittag startet und der Loader über das Wochenende aktiv bleibt – am Montag nach dem ersten Neustart ist der Rechner sauber. Die Angreifer verlieren ihren Brückenkopf.
Die Verschlüsselung wird rückgängig gemacht. Selbst im schlimmsten Fall – die Angreifer schaffen es, die Verschlüsselung zu starten, bevor ein Neustart erfolgt – setzt Deep Freeze beim nächsten Boot alles zurück. Die verschlüsselten Dateien auf der eingefrorenen Partition werden durch die sauberen Originale ersetzt.
Die Bürger hätten am Montag ganz normal ihre Ausweise beantragen, ihre Autos anmelden und ihre Gewerbe ummelden können. Kein Notbetrieb, keine Facebook-Kommunikation, keine wochenlange Wiederherstellung.
Die Lehre
- Kommunalverwaltungen sind bevorzugte Ziele. Sie verwalten sensible Bürgerdaten, haben oft begrenzte IT-Budgets und stehen unter enormem Druck, schnell wieder funktionsfähig zu sein. Das macht sie ideal für Erpressung.
- Mehrstufige Angriffe brauchen Zeit. Zwischen dem ersten Eindringen und der finalen Verschlüsselung vergehen oft Tage oder Wochen. Jeder Neustart mit Deep Freeze hätte diese Kette unterbrochen.
- Virenscanner erkennen maßgeschneiderte Angriffe nicht. Professionelle Ransomware-Gruppen testen ihre Tools gegen alle gängigen Scanner. Am Tag des Angriffs bist Du mit einem Virenscanner allein schutzlos.
- Deep Freeze schützt das Fundament. Benutzerdaten liegen auf Netzlaufwerken und in Datenbanken, die separat gesichert werden. Die Arbeitsplatzrechner selbst – das Betriebssystem, die Software, die Konfiguration – schützt Deep Freeze durch den simplen Mechanismus des Neustarts.
- Ein Neustart ersetzt wochenlange Wiederherstellung. Die Stadt Witten brauchte Monate, um alle Systeme wiederherzustellen. Mit Deep Freeze wäre der Normalzustand nach dem nächsten Boot wiederhergestellt gewesen.