IT-SicherheitKehrseite der Digitalisierung
Die Schlagzeilen lauten „Cyber-Angriff legt Stadtverwaltung lahm“, „Datendiebe steigen ein“, „Kein Normalbetrieb mehr in diesem Jahr“ oder „So kamen die Hacker ins Netzwerk“. Quasi im Wochentakt ist von Cyber-Angriffen, IT-Sicherheitsvorfällen, Schad-Software-Befall und Cyber-Erpressung zu erfahren. Privatleute, Unternehmen und immer häufiger auch Kommunen, Verwaltungen, selbst Schulen und Krankenhäuser sind davon betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht in seinem jüngsten Bericht zur Lage der IT-Sicherheit in Deutschland von einer angespannten bis kritischen Sicherheitslage aus. BSI-Präsident Arne Schönbohm erklärte: „Es ist nicht nur die Anzahl von Sicherheitsvorfällen, die besorgniserregend ist, es ist auch die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen.“
Die Zahlen sind abenteuerlich: Fast 15 Millionen kritische Meldungen übermittelte das BSI an deutsche Netzbetreiber, 144 Millionen Schadprogramm-Varianten wurden 2021 gezählt – ein Anstieg um 22 Prozent gegenüber dem Vorjahr. 44.000 Mails mit Schadprogrammen wurden allein in deutschen Regierungsnetzen abgefangen. Bei 98 Prozent wurden Schwachstellen in der Serversoftware MS Exchange festgestellt.
Verwaltungsdienste fielen wochenlang aus
So auch in Mecklenburg-Vorpommern. Zuerst betraf es Anfang Oktober 2021 die Stadtwerke Wismar, dann am 15. Oktober die kommunalen IT-Dienstleister KSM und SIS in Schwerin und schließlich das Datenverarbeitungszentrum Mecklenburg-Vorpommern. Weite Teile der Server-Systeme wurden von einer Schad-Software verschlüsselt und waren damit nicht erreichbar. Betroffen sind kommunale Unternehmen und Kommunalverwaltungen, etwa Bürgerbüros in Schwerin und im Landkreis Ludwigslust-Parchim, wo praktisch alle IT-gestützten Verwaltungsdienste – Kfz-Wesen, Passwesen, Grundsicherung – wochenlang ausfielen und teils ein analoger Notdienst eingeführt werden musste.
Die Verantwortlichen reagierten schnell. Man fuhr alle Systeme herunter und trennte sie vom Netz, schaltete IT-Forensiker des BSI ein, informierte die Staatsanwaltschaft und begann umgehend mit der Schadensanalyse. Nach Angaben von Matthias Effenberger, Geschäftsführer des Schweriner IT-Dienstleisters SIS, sind voraussichtlich keine personengebundenen Daten abgeflossen. Ein abschließender datenforensischer Bericht steht aber noch aus. Auch die Wiederherstellung der Systeme sei wieder angelaufen. „Nach aktuellem Stand gehen wir davon aus, dass sämtliche Datenbestände als Back-up verfügbar sind und zur Wiederherstellung der Systeme genutzt werden können“, erklärte Effenberger. „Hier zahlt sich unser strenges Datensicherungskonzept aus.“ Mit einem Normalbetrieb sei allerdings erst 2022 wieder zu rechnen.
Lohnen Zertifizierung und Zentralisierung?
Wie lange ein IT-Wiederaufbau nach einer derartigen Cyber-Attacke dauern kann, zeigt das Beispiel Anhalt-Bitterfeld. Dort kam es Anfang Juli 2021 zu einem so genannten Ransomware-Angriff, bei dem mehrere Server des Landkreises mit Schad-Software infiziert und sämtliche Daten verschlüsselt wurden. Die Hackergruppe Pay or Grief (Zahle oder trauere) meldete sich mit einer Lösegeldforderung, der sich das Landratsamt jedoch verweigerte, woraufhin 200 Megabyte Daten im Darknet auftauchten. Rund 1.000 PCs und Laptops mussten in den Verwaltungen „plattgemacht“ werden, das heißt die Festplatten wurden von allen Daten bereinigt. Der erste Cyber-Katastrophenfall Deutschlands wurde ausgerufen, die Experten des BSI rückten an, ebenfalls die Bundeswehr, um beim Neuaufsetzen der Systeme zu helfen. Wochenlang waren die Verwaltungsstellen nur noch per Fax oder Telefon, jedoch nicht mehr elektronisch erreichbar. Banken und Sparkassen sprangen ein, um die Zahlung von Sozialhilfe, Unterhalts- und Wohngeld sicherzustellen. Noch heute ist die Wiederherstellung nicht vollständig abgeschlossen, da bei den vorhandenen Back-ups nicht ohne Weiteres davon ausgegangen werden konnte, dass sie nicht auch schon mit Schad-Code befallen waren.
Angesichts der Schwere der Vorfälle in Schwerin, Anhalt-Bitterfeld und im nordrhein-westfälischen Witten, wo die Stadtverwaltung im Oktober 2021 ebenfalls von einem Cyber-Beutezug betroffen war, entsteht der Eindruck zunehmender Verwundbarkeit. Bedrückend daran: Nicht nur solche Gemeinden oder Kreise, die ihre IT „unter dem Schreibtisch“ selbst betreiben, sind betroffen, sondern offenbar auch solche, die sich einem kommunalen IT-Dienstleister angeschlossen haben. Das BSI verweist auf die eigenen IT-Grundschutzprofile für Kommunen, eine Art Basis-Absicherung für Kommunalverwaltungen, in denen Mindestsicherheitsmaßnahmen beschrieben sind. Anscheinend sind jedoch selbst BSI-zertifizierte Rechenzentren wie in Schwerin nicht vor schwerwiegenden Cyber-Attacken gefeit. Lohnt am Ende eine ebenso aufwendige wie kostspielige Zertifizierung gar nicht? Und bedeutet eine Zentralisierung der IT besseren Schutz oder – umgekehrt – eine größere Angriffsfläche?
Schwächstes Glied der Sicherheitskette: der Mensch
„Ein Angriff auf einzelne Kommunalverwaltungen oder kommunale Unternehmen hätte in der heutigen digitalen Zeit wahrscheinlich weitaus größere Schäden und langfristigere Ausfälle nach sich gezogen“, ist Matthias Effenberger überzeugt. „Insofern ist die Bündelung der kommunalen IT-Ressourcen auch weiterhin die richtige Entscheidung.“ Sachsens Datenschutzbeauftragter Andreas Schurig rät Kommunen, sich dringend auf den Ernstfall vorzubereiten. Eine konsequente Datensicherung, ein systematischer Update- und Patch-Service, eine straff konfigurierte Firewall, Notfallpläne und Reservetechnik gehören zu den Präventionsmaßnahmen.
Aber auch Weiterbildungen für IT-Verantwortliche und Schulungen für das Personal. Neben dem Ausnutzen von Sicherheitslücken in Netzwerken und Fehlkonfigurationen der Systeme gelangen Angreifer immer noch sehr häufig über Standard-Anmeldeinformationen, allzu leichte Passwörter und unvorsichtige Mitarbeiter an die begehrten Daten. Insbesondere durch den Wechsel ins Homeoffice im Zuge der Corona-Pandemie hätten sich Kriminelle auf das schwächste Glied der Sicherheitskette, den Menschen, konzentriert, stellt eine Bitkom-Studie fest.
Darüber hinaus gilt es aber auch, die politische Awareness zu erhöhen. Die IT-Sicherheit in Kommunen ist längst nicht so gut aufgestellt, wie die des Bundes oder der Länder. Vor die Wahl gestellt, die Schultoiletten zu sanieren oder in IT-Sicherheit zu investieren, fällt vielen Bürgermeistern und Ratsmitgliedern die Entscheidung nicht schwer. Anders als marode Toiletten fällt eine diffuse Bedrohung aus dem Cyber-Raum weniger stark ins Auge. Diese Sichtweise muss sich ändern und den Kommunen genügend Gelder zur Verfügung gestellt werden, damit sie sich besser schützen können. Denn eins zeigen die Fälle auch: Die Kehrseite der zunehmenden Digitalisierung ist eine größere Verwundbarkeit insbesondere in Kommunen, wo sich die Zahl der Schnittstellen nach außen ständig erhöht.
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
ITEBO: OpenR@thaus-Vorfall aufgearbeitet
[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...
Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen
[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...
Interview: Angriffe wird es immer geben
[10.07.2024] Öffentliche Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen und staatlich gelenkten Hackern. Kommune21 sprach mit regio-iT-Geschäftsführer Stefan Wolf, wie Städte und Gemeinden den Gefahren begegnen können. mehr...
OpenR@thaus: Serviceportal nicht erreichbar
[02.07.2024] Wegen einer Sicherheitslücke wurde das Serviceportal OpenR@thaus zum zweiten Mal in kurzer Zeit vom Netz genommen. Davon betroffen sind rund 300 Kommunen. Die Wartungsarbeiten dauern derzeit an. Offenbar besteht ein Zusammenhang zu einer Schwachstelle der BundID, die es erlaubt, relativ einfach auf einer eigenen Website ein BundID-Log-in umzusetzen. mehr...