Kommunale IT-Sicherheit: Wer ganze Städte als Geiseln nimmt

Versorger und IT-Infrastrukturen der öffentlichen Hand geraten zunehmend in die Schusslinie von Cybergangstern, die ganze Stadtverwaltungen lahmlegen und Lösegeld erpressen. Security war darum auch ein Kernthema der Kommunale 2021 in Nürnberg. Unterstützung gibt es aber auch von offizieller Seite.

Dieser Beitrag ist mehr als 2 Jahre alt.
© NuernbergMesse – Frank Boxler
Bild: © NuernbergMesse – Frank Boxler

Awareness ist alles

Von David Schahinian

Am 9. Juli 2021 war es so weit, auch wenn der Landkreis Anhalt-Bitterfeld sicher gerne darauf verzichtet hätte. Der Landrat rief – erstmals in Deutschland – den Katastrophenfall aufgrund eines Cyberangriffs aus. Zwar bestand keine direkte Gefahr für Leib und Leben. Die Ransomware legte aber das gesamte IT-System aller Standorte der Kreisverwaltung lahm. Die Arbeitsfähigkeit war nachhaltig eingeschränkt. Erst knapp zwei Wochen später konnte die Verwaltung die E-Mail-Kommunikation wieder über einen Notbetrieb aufnehmen.

Solche Angriffe sind leider längst keine Einzelfälle mehr. Einer aktuellen Recherche des Bayerischen Rundfunks und Zeit Online zufolge gab es in den vergangenen sechs Jahren mindestens 100 Ransomware-Fälle bei Behörden, Kommunalverwaltungen und anderen öffentlichen Stellen. Vermutlich waren es noch mehr, denn einige Bundesländer wie Hessen oder Nordrhein-Westfalen hatten auf die Anfrage hin keine konkreten Zahlen gemeldet.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet in seinem Lagebericht 2020 von Ransomware-Angriffen auf Einrichtungen der öffentlichen Verwaltung, insbesondere auf kommunaler Ebene. Betroffen waren zudem Universitäten und sogenannte kritische Infrastrukturen wie medizinische Einrichtungen, besonders Krankenhäuser. Der Name ist Programm: Werden sie schachmatt gesetzt, wird es tatsächlich kritisch. Wer Schlechtes im Schilde führt, kann schnell ganze Gesellschaften schädigen, wenn er ihre Verwaltungen, ihre Versorger oder ihre Infrastruktur angreift. Daher gilt für kritische Infrastrukturen ein besonders hohes Schutzniveau.

Vielfältige Motivlage

Längst geht es Cyberkriminellen dabei nicht mehr „nur“ um Geld. Zwar spielt es nach wie vor oft eine Rolle. Es ist davon auszugehen, dass zumindest manche Angriffe auf öffentliche Einrichtungen durch die Zahlung eines Lösegeldes aus Steuermitteln beendet wurden. So berichtete unter anderem die Südwest Presse über einen solchen Vorfall am Stuttgarter Staatstheater im Jahr 2019, bei dem angeblich 15.000 Euro für die Entsperrung der Technik geflossen sein sollen. Die Informationspolitik ist in diesem Bereich grundsätzlich sehr restriktiv, weil man keine Nachahmer animieren will. Grundsätzlich sind sich die Experten einig, dass bei Ransomware-Angriffen auf keinen Fall gezahlt werden und dies sogar öffentlich kommuniziert werden sollte. Andernfalls bestätige man die Erpresser in ihrem Vorgehen, was nur noch mehr solcher Angriffe provoziere.

Zu bedenken ist außerdem, dass die Kollateralschäden meist viel größer sind als der Betrag, der von den Kriminellen gefordert wird. Um sie kommen die Betroffenen so oder so kaum herum. „Die wirklichen Kosten entstehen erst nachgelagert: Wenn etwa die Stadtwerke oder das Bauamt mehrere Wochen im Betrieb eingeschränkt sind, müssen Kommunen mit einer wesentlich höheren finanziellen Belastung rechnen“, berichtet die Fachzeitung Der Neue Kämmerer. Die Bindung wichtiger Mitarbeiterressourcen und das Hinzuziehen von externen Experten sind ebenfalls kostspielig. Es können aber auch gänzlich andere Motive wie beispielsweise Sabotage, Verunsicherung, Geltungsdrang oder Wahlbeeinflussung hinter dem Handeln mancher Gruppierungen oder Organisationen stehen.

ITK-Regional 2021-02.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT-Unternehmen aus der Region stellen sich vor“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen bereits verfügbaren Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Die Digitalisierung hat solche Angriffe in den meisten Fällen überhaupt erst möglich gemacht, aber sie ist unvermeidlich. Was im privaten oder beruflichen Umfeld für viele schon Normalität ist, wird zunehmend auch von den Verwaltungen verlangt: Online-Zugänge etwa, Kontaktmöglichkeiten rund um die Uhr oder Dienstleistungen per Smartphone zu buchen. Damit werden aber auch immer mehr potenzielle Einfallstore für Angreifer geöffnet, die mangels Know-how und/oder Budget nicht überall wasserdicht gesichert sind. Das alles sind triftige Gründe für eine gute Prävention. Sie kann Angriffe zwar nie vollständig verhindern, aber die Chance ihres zweifelhaften Erfolgs stark reduzieren.

Der beste Schutz ist der Mensch

Kein Wunder also, dass das Thema IT-Sicherheit auch auf der Kommunale 2021 eine wichtige Rolle spielte. Der Kongress des Bayerischen Gemeindetages widmete sich unter dem Titel „Von Hackern, Trojanern und Erpressern“ der Informationssicherheit in Kommunen. Diese haben eine Menge Möglichkeiten, Gefahren abzuwehren. Abseits von technischen Maßnahmen ist es beispielsweise in einem ersten Schritt schon hilfreich, Mitarbeiter für die zwei wichtigsten Ransomware-Infektionswege zu sensibilisieren: das Einschleusen durch E-Mail-Anhänge und den Besuch von kompromittierten Websites.

MW-Kurs+thumbnail.jpg
Die Increase Your Skills GmbH bietet (Online-)Awareness-Trainings zu Informationssicherheit und Datenschutz. Auf der Kommunale 2021 in Nürnberg stellte das junge Leipziger Unternehmen u.a. seinen neuen Phishing-Attack-Simulator vor. (Bild: Increase Your Skills GmbH)

„Dort, wo Angreifer aufgrund technischer Abwehr durch Firewalls oder Virenscanner nicht erfolgreich sind, gehen sie andere Wege“, heißt es dazu beim BSI. Die Nutzer seien aufgrund einer gewissen Sorglosigkeit im Umgang mit der IT gefährdet und daher oft auch leichte Beute. Es gibt bereits Bestrebungen, hier gegenzusteuern. So wurde 2021 die Digitalakademie als Teil der Bundesakademie für öffentliche Verwaltung (BAköV) gegründet. Auf dem virtuellen Campus soll „alles Wichtige über Zukunftsthemen wie Cybersecurity, KI oder Machine Learning“ vermittelt werden. Im Angebot sind sowohl Online- und Präsenzveranstaltungen als auch digitale Lernformate.

Entscheider in den Behörden müssen dem Thema eine höhere Priorität einräumen. „Viele Kommunen geben nur wenig Geld für ihre IT aus“, zitiert Der Neue Kämmerer Knud Brandis, Partner im Bereich Cybersecurity bei der Beratung EY. Es ist jedoch zumindest bei kleinen Gemeinden utopisch, von ihnen ein Team von IT-Sicherheitsspezialisten zu verlangen. Immerhin besteht aber die Möglichkeit, im Rahmen interkommunaler Zusammenarbeit Kompetenzen zu bündeln. Andererseits hilft viel Geld auch nicht immer viel. Maßnahmen wie die oben erwähnten Schulungen oder die Umsetzung der IT-Grundschutz-Kataloge des BSI sind auch mit überschaubarem Budget zu realisieren.

MW-Lagebericht2020.jpg
Das BSI-Gesetz (BSIG) legt in § 8a die IT-Sicherheitsmaßnahmen für Betreiber kritischer Infrastrukturen fest. (Bild: BSI)

Erweiterter KRITIS-Katalog

Zu den Ausstellern der Kommunale 2021 zählte auch das 2017 gestartete Landesamt für Sicherheit in der Informationstechnik (LSI), die IT-Sicherheitsbehörde des Freistaats Bayern. Seine aktuellen Schwerpunkte liegen zum einen auf dem Schutz staatlicher IT-Systeme, zum anderen in der Beratung von Kommunen und öffentlichen Unternehmen im Bereich kritischer Infrastrukturen. Es schlägt somit eine Brücke zwischen zwei besonders gefährdeten Bereichen, die sich teilweise überschneiden. Denn zahlreiche öffentliche Infrastrukturen zählen gleichzeitig auch zu den kritischen. Laut Definition der Bundesregierung sind das grundsätzlich „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Dazu zählen unter anderem Stadtwerke, etwa im Bereich Transport und Verkehr, Energieversorger oder Krankenhäuser.

Bereits 2015 wurde in diesem Zusammenhang das IT-Sicherheitsgesetz (IT-SiG) eingeführt. Ziel war, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“. Davon ist man noch weit entfernt, weshalb 2021 das IT-SiG 2.0 folgte. Mit ihm erweiterte sich zum einen der Kreis der kritischen Infrastrukturen, zu der nun auch die Siedlungsabfallentsorgung zählt. Zum anderen werden mit einer begleitenden Verordnung, die am 1. Januar 2022 in Kraft tritt, Schwellenwerte abgesenkt. Insgesamt kommen so rund 270 weitere Betreiber kritischer Infrastrukturen zu den bisher schon 1600 dazu – vor allem in den Bereichen Energie und Transport.

Betroffene Organisationen müssen besonders strenge Sicherheitsvorgaben einhalten. Pflicht sind beispielsweise Systeme zur Angriffserkennung, die konkrete gesetzliche Vorgaben erfüllen müssen. Darüber hinaus müssen sie für das BSI rund um die Uhr über eine vorher festgelegte Kontaktstelle zu erreichen sein. Apropos BSI: Das soll sich zu einem Kompetenzzentrum der Informationssicherheit weiterentwickeln und dafür zusätzliche Befugnisse und mehr Personal erhalten.

Serie: IT-Talk der Kommunen
Der IT-Talk findet jeweils im Herbst im Rahmen der Kommunale in Nürnberg statt. Ausführliche Reports gibt es von den Vorträgen und Diskussionen 2013, 2015 und 2017. Außerdem online sind der Call for Papers zum IT-Talk 2019, die Vorschau auf das Programm und der Rückblick 2019 mit Links zu sämtlichen Vortragsfolien. Es gibt außerdem zwar den Aufruf zum IT-Talk der Kommunen 2021, doch hat sich gezeigt, dass der IT-Talk in diesem Jahr pausieren muss.

An Prävention führt kein Weg vorbei

Für Kommunen hat das LSI eine ganze Reihe guter Ratschläge zur IT-Sicherheit parat, die in einer Schriftenreihe gebündelt sind. Von Angriffserkennungssystemen (Intrusion Detection Systems, IDS) über die Kommunikation von Sicherheitsvorfällen bis hin zum Patch-Management liegen mittlerweile an der Praxis orientierte Beiträge zu vielen Detailthemen vor. Sie betreffen teilweise spezifische bayerische Vorgaben, lassen sich aber fast alle gut auf andere Bundesländer übertragen. So wurde beispielsweise ein „grober Leitfaden“ für die Datensicherung (Backup und Recovery) publiziert, der auch andernorts „ein helfender Rettungsring bei kritischen Vorfällen in der IT sein“ kann.

Zur gewissenhaften Prävention von öffentlichen Einrichtungen zählt auch ein Notfallplan (Incident Response Plan), der in vielen privatwirtschaftlichen Unternehmen längst gang und gäbe ist. Idealerweise benennt er Verantwortlichkeiten und Abläufe für den Fall eines Angriffs. Damit man bei tatsächlicher Gefahr schnell und sicher vorgehen kann, sollten diese Szenarien regelmäßig geprobt werden.

„Einen richtig guten Angriff, den kann es überall geben“, zitiert die Zeit den Hauptgeschäftsführer des Deutschen Städte- und Gemeindebunds (DStGB) Dr. Gerd Landsberg. Seiner Ansicht nach – und nicht nur seiner – sind Cyberangriffe auf Kommunalverwaltungen ein wiederkehrendes Problem. Eine hundertprozentige Sicherheit sei nicht herzustellen. Daher sei es entscheidend, die IT-Systeme und die Sicherheit in den Verwaltungen ständig weiterzuentwickeln.

David Schahinian neu.JPG

David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.

Nützliche Links