Bedrohung der öffentlichen Verwaltung durch Cyberangriffe

4. März 2022
Ein Beitrag von Susanne Lenz

Cyberangriffe richten sich an Unternehmen, Privatpersonen, Institutionen – und immer häufiger gegen Kommunen. Viele Gemeinden, Städte und Landkreise waren bereits betroffen ebenso wie kommunale Einrichtungen. Dabei geht es meist um Angriffe auf die Verfügbarkeit kommunaler IT und um digitale Erpressung. Attacken auf Krankenhäuser zeigen, dass manche Hacker selbst Todesfälle in Kauf nehmen. In diesem Gastbeitrag berichtet Susanne Lenz, Informations­sicherheits­beauftragte im IT-Referat, von Beispielen, Erkenntnissen und Gegenmaßnahmen.

Kriminelle Motive hinter den Cyberangriffen

Bei Cyberangriffen auf Kommunen kommen überwiegend Schadprogramme zum Einsatz, die den Zugriff auf Daten und Systeme einschränken oder verhindern. Meist werden Daten verschlüsselt und für die Freigabe dieser Ressourcen wird Geld verlangt. Angelehnt an das englische Wort „ransom“ für Lösegeld nennt man solche Schadsoftware auch „Ransomware“.

Eine der folgenschwersten kommunalen Cyberattacken mit Ransomware war der Angriff auf den Landkreis Anhalt-Bitterfeld im Juni 2021. Nachdem die gesamte Kreisverwaltung vom Netz gegangen war, riefen die Verantwortlichen den Katastrophenfall aus. Noch Monate danach wurde im Notfall-Modus gearbeitet. Der Katastrophenfall konnte schließlich zum 31. Januar 2022 aufgehoben werden.

Sicherheitslücken: Beliebte Einfallstore für Cyberangriffe

Wie schaffen es Kriminelle eigentlich, IT erfolgreich anzugreifen? Schwachstellen in der Software sind beliebte Einfallstore. Ein Beispiel ist die im Dezember 2021 bekannt gewordenen Log4J Sicherheitslücke. Cyberkriminellen gelang es dadurch umfassend, verwundbare Systeme ausfindig zu machen und diese zu attackieren. Zum Teil in Kombination mit Ransomware.

So war der Bundesfinanzhof nach einem derartigen Cyberangriff auf seinen Webserver eine Zeitlang offline. Weiterer Schaden, etwa durch Zugriff auf sensible Daten aus Steuerverfahren, konnte abgewehrt werden. Das Thüringer Landes­rechenzentrum entschloss sich wegen der drohenden Gefahr die digitalen Angebote des Freistaats präventiv zu prüfen. Auch dafür waren immer wieder Webseiten und Services kurzfristig nicht verfügbar. Das belgische Verteidigungs­ministerium musste nach einem Log4J-Angriff seine Netzwerke teilweise sogar ganz abschalten.

Wir könnten die Liste über Cyberangriffe und Schäden noch lange fortsetzen. Doch im Fokus soll eine andere Frage stehen: Wird bewusst die öffentliche Verwaltung angegriffen oder werden diese Ziele eher zufällig ausgewählt?

Zufall oder gezielte Auswahl?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet in seinem aktuellen „Bericht zur Lage der IT-Sicherheit in Deutschland“ für den Berichtszeitraum 1. Juni 2020 bis 31. Mai 2021 die Situation als angespannt bis kritisch. Kommentar des BSI-Präsidenten Arne Schönbohm bei der Präsentation:

Im Bereich der Informationssicherheit haben wir zumindest in Teilbereichen Alarmstufe Rot.

Dennoch, nach Dirk Häger, Leiter der Abteilung operative Cybersicherheit im BSI, war selbst der Ransomware-Angriff auf Anhalt-Bitterfeld zwar ein Brandherd, aber immerhin kein Flächenbrand. Letzteren versuche man mit aller Kraft zu verhindern. Seine Einschätzung der Bedrohung in einem ausführlichen Beitrag des Deutschlandfunks über Ransomware-Angriffe auf Städte und Gemeinden:

Cyberattacken auf Kommunen sind besonders öffentlichkeitswirksam und deshalb sind diese ein beliebtes Ziel.

Der BSI-Lagebericht gibt mit den veröffentlichten Zahlen einen guten Einblick in die Gefährdungslage auf Bundesebene. So wurden in den Regierungsnetzen im Berichtszeitraum durch automatisierte Antivirus-Schutzmaßnahmen zum Beispiel monatlich rund 44000 E-Mails mit Schadprogrammen abgefangen.

Wer hilft den Kommunen gegen Cyberangriffe?

Der Bund erhält bei der Abwehr von Cyberangriffen die Unterstützung des Nationalen Cyber-Abwehrzentrums sowie des Computer Emergency Response Teams (CERT-Bund) für Bundesbehörden.

Auf kommunaler Ebene gibt es weder eine vergleichbare gemeinsame Gefährdungsanalyse noch übergreifendes Zahlenmaterial. Auf Landesebene ist jedoch ein Bayern-CERT angesiedelt und als erstes Bundesland hat Bayern ein Landesamt für Sicherheit in der Informationstechnik (LSI) ins Leben gerufen. Zu seinen Aufgaben gehört unter anderem die Beratung der Kommunen.

Institutionen wie das LSI oder auf nationaler Ebene das BSI publizieren Cyber-Sicherheits­warnungen, die zu einem aktuellen Bild über die Bedrohungslage beitragen. Mit ergänzenden Empfehlungen zur Absicherung betroffener Systeme leisten sie Unterstützung im Kampf gegen Cyberangriffe.

Doch genauso wichtig bleibt die Aufgabe, das Informations­sicherheits­management auf kommunaler Ebene stetig zu entwickeln und an die sich ändernden Bedrohungslagen anzupassen. Dabei ist die kommunale IT-Sicherheits­infrastruktur eher schwach aufgestellt – finanziell wie personell. Zustimmung zu mehr Mitteln für die IT-Sicherheit zu bekommen ist ein eher schwieriges Unterfangen. Denn vor die Wahl gestellt, marode Schulen zu sanieren oder in die Abwehr einer recht diffusen Bedrohung aus dem Cyber-Raum zu investieren, entscheiden sich Gemeinde- und Stadträte eher für das Offensichtliche.

Umdenken im Gange

Erst die jüngsten öffentlichkeits­wirksamen Cyberangriffe auf Verwaltungen haben zu einem Umdenken bei Kommunal­politikerinnen und -politikern geführt. Es fehle an einschlägiger Expertise in der Fläche, räumte etwa der Pressesprecher des Deutschen Städte- und Gemeindebundes, Alexander Handschuh, gegenüber dem Deutschlandfunk ein.

Laut BSI-Präsident Arne Schönbohm kann es ohne Informations- beziehungsweise Cybersicherheit keine erfolgreiche Digitalisierung geben. Weil die steigende Komplexität der IT, die Verlagerung von Geschäftsprozessen ins Internet sowie neue Technologien eben auch neue offene Flanken für Cyberangriffe bieten. Daher gibt es auf verschiedenen Ebenen eine rege Diskussion um eine bessere Absicherung der Kommunen. Zu den Ansätzen gehören nicht zuletzt einfachere Strukturen und schlankere Prozesse und die Rufe nach entsprechenden Maßnahmen werden lauter. In den Dresdner Forderungen wird beispielsweise die Entwicklung standardisierter Plattformen gefordert, um die Komplexität der Verwaltungs-IT-Strukturen zu minimieren.

Auch die Stadt München ist ein Ziel für Cyberkriminelle. In einigen Fällen waren wir ein zufälliges Opfer. Doch häufig genug richten sich die Angriffe gezielt gegen unsere städtische IT. In diesem dynamischen Umfeld tun wir im Informations­sicherheits­management viel, um das IT-Sicherheitsniveau durch den Aufbau von Kompetenzen und den Einsatz intelligenter Technologien kontinuierlich zu steigern – stets in dem Bewusstsein, dass es keine hundertprozentige Sicherheit gibt. Dazu haben wir auch die Unterstützung durch den Münchner Stadtrat, der mit Beschlussfassung gegen Ende 2021 dafür gesorgt hat, dass die notwendigen Entwicklungen fortgeführt werden können.

Abschließender Hinweis: Wir haben bewusst darauf verzichtet, in dieser Übersicht auf die aktuelle kriegsbedingte Bedrohungslage einzugehen.

1 Kommentar


  1. Hallo Frau Lenz,
    vielen Dank für Ihren Bericht und Ihre Einschätzungen zur Cybersicherheit. Was Sie über die Kommunen schreiben, gilt ähnlich auch für kleinere bis mittlere Unternehmen.
    Aus Sicht der Themenplattform Cybersecurity teilen wir Ihre Einschätzung.
    Robert Couronné, Bayern-Innovativ

    Antworten

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht.

Weitere Beiträge

Feedback zum Beitrag:

7 Bewertungen mit 5 von 5 Sternen
Susanne Lenz - Informations­sicherheits­­­beauftragte im IT-Referat
Ein Gastbeitrag von:
Susanne Lenz
Informations­sicherheits­­­beauftragte im IT-Referat
Elisabeth Wagner - Content Managerin
Co-Autoren­schaft:
Elisabeth Wagner
Content Managerin