Cyberangriffe richten sich an Unternehmen, Privatpersonen, Institutionen – und immer häufiger gegen Kommunen. Viele Gemeinden, Städte und Landkreise waren bereits betroffen ebenso wie kommunale Einrichtungen. Dabei geht es meist um Angriffe auf die Verfügbarkeit kommunaler IT und um digitale Erpressung. Attacken auf Krankenhäuser zeigen, dass manche Hacker selbst Todesfälle in Kauf nehmen. In diesem Gastbeitrag berichtet Susanne Lenz, Informationssicherheitsbeauftragte im IT-Referat, von Beispielen, Erkenntnissen und Gegenmaßnahmen.
Kriminelle Motive hinter den Cyberangriffen
Bei Cyberangriffen auf Kommunen kommen überwiegend Schadprogramme zum Einsatz, die den Zugriff auf Daten und Systeme einschränken oder verhindern. Meist werden Daten verschlüsselt und für die Freigabe dieser Ressourcen wird Geld verlangt. Angelehnt an das englische Wort „ransom“ für Lösegeld nennt man solche Schadsoftware auch „Ransomware“.
Eine der folgenschwersten kommunalen Cyberattacken mit Ransomware war der Angriff auf den Landkreis Anhalt-Bitterfeld im Juni 2021. Nachdem die gesamte Kreisverwaltung vom Netz gegangen war, riefen die Verantwortlichen den Katastrophenfall aus. Noch Monate danach wurde im Notfall-Modus gearbeitet. Der Katastrophenfall konnte schließlich zum 31. Januar 2022 aufgehoben werden.
Sicherheitslücken: Beliebte Einfallstore für Cyberangriffe
Wie schaffen es Kriminelle eigentlich, IT erfolgreich anzugreifen? Schwachstellen in der Software sind beliebte Einfallstore. Ein Beispiel ist die im Dezember 2021 bekannt gewordenen Log4J Sicherheitslücke. Cyberkriminellen gelang es dadurch umfassend, verwundbare Systeme ausfindig zu machen und diese zu attackieren. Zum Teil in Kombination mit Ransomware.
So war der Bundesfinanzhof nach einem derartigen Cyberangriff auf seinen Webserver eine Zeitlang offline. Weiterer Schaden, etwa durch Zugriff auf sensible Daten aus Steuerverfahren, konnte abgewehrt werden. Das Thüringer Landesrechenzentrum entschloss sich wegen der drohenden Gefahr die digitalen Angebote des Freistaats präventiv zu prüfen. Auch dafür waren immer wieder Webseiten und Services kurzfristig nicht verfügbar. Das belgische Verteidigungsministerium musste nach einem Log4J-Angriff seine Netzwerke teilweise sogar ganz abschalten.
Wir könnten die Liste über Cyberangriffe und Schäden noch lange fortsetzen. Doch im Fokus soll eine andere Frage stehen: Wird bewusst die öffentliche Verwaltung angegriffen oder werden diese Ziele eher zufällig ausgewählt?
Zufall oder gezielte Auswahl?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet in seinem aktuellen „Bericht zur Lage der IT-Sicherheit in Deutschland“ für den Berichtszeitraum 1. Juni 2020 bis 31. Mai 2021 die Situation als angespannt bis kritisch. Kommentar des BSI-Präsidenten Arne Schönbohm bei der Präsentation:
Im Bereich der Informationssicherheit haben wir zumindest in Teilbereichen Alarmstufe Rot.
Dennoch, nach Dirk Häger, Leiter der Abteilung operative Cybersicherheit im BSI, war selbst der Ransomware-Angriff auf Anhalt-Bitterfeld zwar ein Brandherd, aber immerhin kein Flächenbrand. Letzteren versuche man mit aller Kraft zu verhindern. Seine Einschätzung der Bedrohung in einem ausführlichen Beitrag des Deutschlandfunks über Ransomware-Angriffe auf Städte und Gemeinden:
Cyberattacken auf Kommunen sind besonders öffentlichkeitswirksam und deshalb sind diese ein beliebtes Ziel.
Der BSI-Lagebericht gibt mit den veröffentlichten Zahlen einen guten Einblick in die Gefährdungslage auf Bundesebene. So wurden in den Regierungsnetzen im Berichtszeitraum durch automatisierte Antivirus-Schutzmaßnahmen zum Beispiel monatlich rund 44000 E-Mails mit Schadprogrammen abgefangen.
Wer hilft den Kommunen gegen Cyberangriffe?
Der Bund erhält bei der Abwehr von Cyberangriffen die Unterstützung des Nationalen Cyber-Abwehrzentrums sowie des Computer Emergency Response Teams (CERT-Bund) für Bundesbehörden.
Auf kommunaler Ebene gibt es weder eine vergleichbare gemeinsame Gefährdungsanalyse noch übergreifendes Zahlenmaterial. Auf Landesebene ist jedoch ein Bayern-CERT angesiedelt und als erstes Bundesland hat Bayern ein Landesamt für Sicherheit in der Informationstechnik (LSI) ins Leben gerufen. Zu seinen Aufgaben gehört unter anderem die Beratung der Kommunen.
Institutionen wie das LSI oder auf nationaler Ebene das BSI publizieren Cyber-Sicherheitswarnungen, die zu einem aktuellen Bild über die Bedrohungslage beitragen. Mit ergänzenden Empfehlungen zur Absicherung betroffener Systeme leisten sie Unterstützung im Kampf gegen Cyberangriffe.
Doch genauso wichtig bleibt die Aufgabe, das Informationssicherheitsmanagement auf kommunaler Ebene stetig zu entwickeln und an die sich ändernden Bedrohungslagen anzupassen. Dabei ist die kommunale IT-Sicherheitsinfrastruktur eher schwach aufgestellt – finanziell wie personell. Zustimmung zu mehr Mitteln für die IT-Sicherheit zu bekommen ist ein eher schwieriges Unterfangen. Denn vor die Wahl gestellt, marode Schulen zu sanieren oder in die Abwehr einer recht diffusen Bedrohung aus dem Cyber-Raum zu investieren, entscheiden sich Gemeinde- und Stadträte eher für das Offensichtliche.
Umdenken im Gange
Erst die jüngsten öffentlichkeitswirksamen Cyberangriffe auf Verwaltungen haben zu einem Umdenken bei Kommunalpolitikerinnen und -politikern geführt. Es fehle an einschlägiger Expertise in der Fläche, räumte etwa der Pressesprecher des Deutschen Städte- und Gemeindebundes, Alexander Handschuh, gegenüber dem Deutschlandfunk ein.
Laut BSI-Präsident Arne Schönbohm kann es ohne Informations- beziehungsweise Cybersicherheit keine erfolgreiche Digitalisierung geben. Weil die steigende Komplexität der IT, die Verlagerung von Geschäftsprozessen ins Internet sowie neue Technologien eben auch neue offene Flanken für Cyberangriffe bieten. Daher gibt es auf verschiedenen Ebenen eine rege Diskussion um eine bessere Absicherung der Kommunen. Zu den Ansätzen gehören nicht zuletzt einfachere Strukturen und schlankere Prozesse und die Rufe nach entsprechenden Maßnahmen werden lauter. In den Dresdner Forderungen wird beispielsweise die Entwicklung standardisierter Plattformen gefordert, um die Komplexität der Verwaltungs-IT-Strukturen zu minimieren.
Auch die Stadt München ist ein Ziel für Cyberkriminelle. In einigen Fällen waren wir ein zufälliges Opfer. Doch häufig genug richten sich die Angriffe gezielt gegen unsere städtische IT. In diesem dynamischen Umfeld tun wir im Informationssicherheitsmanagement viel, um das IT-Sicherheitsniveau durch den Aufbau von Kompetenzen und den Einsatz intelligenter Technologien kontinuierlich zu steigern – stets in dem Bewusstsein, dass es keine hundertprozentige Sicherheit gibt. Dazu haben wir auch die Unterstützung durch den Münchner Stadtrat, der mit Beschlussfassung gegen Ende 2021 dafür gesorgt hat, dass die notwendigen Entwicklungen fortgeführt werden können.
Abschließender Hinweis: Wir haben bewusst darauf verzichtet, in dieser Übersicht auf die aktuelle kriegsbedingte Bedrohungslage einzugehen.
1 Kommentar
Kommentar absenden
Weitere Beiträge
Anatomie eines Cyberangriffs am Beispiel Cyberspionage – in fünf Schritten zum Desaster
Welt-Passwort-Tag: Hinweise zu einem alten und doch top-aktuellen Thema
Vorsicht Smishing! SMS als Einfallstor für Cyberangriffe
Messenger im Fokus: Tipps aus Perspektive der Informationssicherheit
Zwei-Faktor-Authentifizierung erklärt: ein zentrales Element der Informationssicherheit
Vorsicht Betrug! Wie Sie Fake-Shops im Internet erkennen
Clubhouse – nur ein Trend oder ein neuer Kanal für die Behördenkommunikation?
IT-Sicherheit im Homeoffice: Lauschverbot für Alexa & Co
Smart Home: zwischen Komfort und Bedrohung
Datenweitergabe: Engmaschiger gesetzlicher Schutz
Erpressermails: Anzeigen, um andere zu schützen
Wer ist zuständig beim Thema “Datenschutz”? Wir haben nachgefragt!
Sicheres Surfen im öffentlichen WLAN
Hallo Frau Lenz,
vielen Dank für Ihren Bericht und Ihre Einschätzungen zur Cybersicherheit. Was Sie über die Kommunen schreiben, gilt ähnlich auch für kleinere bis mittlere Unternehmen.
Aus Sicht der Themenplattform Cybersecurity teilen wir Ihre Einschätzung.
Robert Couronné, Bayern-Innovativ