Serie Cyber-SicherheitLohnenswerte Investition
Mit der voranschreitenden Digitalisierung wächst die Erwartungshaltung der Bürgerinnen und Bürger: Dienstleistungen der Verwaltung sollen nutzerfreundlich, digital und möglichst ohne Wartezeiten erbracht werden. Nahezu jeder bürgernahe digitale Service erfordert ein komplexes Zusammenspiel zwischen unterschiedlichen Software-Schnittstellen, Datenbanken und Dienstleistern. Ein Cyber-Angriff auf eine solche gewachsene, komplexe Struktur hat oftmals ungeahnte Folgen. Die Realität zeigt auch, dass eine Rückkehr zum Zustand vor dem Cyber-Angriff fast unmöglich ist: Essenzielle Datenbanken müssen rekonstruiert werden, im Darknet veröffentlichte Daten sind nicht mehr zurückzuholen und Fristen etwa von Bußgeldverfahren können nicht eingehalten werden.
Doch Bürgerinnen und Bürger sowie lokale Unternehmen sind darauf angewiesen, dass die Kommune nach einem Cyber-Angriff schnell wieder arbeitsfähig ist. Die Frage ist daher nicht, ob bei einem Cyber-Angriff Schäden entstehen, sondern wie schnell sich eine Kommune erholt und die Wiederaufbauphase beginnen kann. Diese Fähigkeit, die organisatorische Resilienz, lässt sich mit einer der wichtigsten Maßnahmen des Cyber-Sicherheitsmanagements erhöhen. Diese erfordert die Mitarbeit und das Mitdenken unterschiedlicher Fachgruppen und Beschäftigter und liegt in der Verantwortung der Leitung: das Business Continuity Management (BCM).
Den Ernstfall immer wieder üben
Business Continuity Management bezeichnet die Entwicklung und das Einüben von Plänen und Abläufen, welche bei einer Störung des Normalbetriebs greifen. Ziel ist es, den normalen Betrieb nicht oder zumindest nicht für lange Zeit zu unterbrechen oder rasch einen Notbetrieb realisieren zu können. Das BCM muss sich mit den Kommunen und deren Infrastruktur, Personalstärke, Arbeitsweise, Fachverfahren und gebotenen bürgernahen Dienstleistungen entwickeln. Es ist daher immer wieder zu prüfen, zu üben und anzupassen.
Das Business Continuity Management ist in der Norm ISO 22301:2019 definiert. Zur Unterstützung bei der Erarbeitung eines BCM stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Standard 200-4 und Hilfsmittel wie beispielsweise Formatvorlagen zur Verfügung. Anders als sein Vorgänger ist der neue BSI-Standard 200-4 in Stufen aufgebaut. Selbstverständlich sollen BCM und Notfallplan nicht zum Selbstzweck werden, sondern im Notfall hilfreich sein. Eine umfassende Leitlinie, die nicht geübt und auf Tauglichkeit geprüft wurde, ist im schlimmsten Fall nur ein Haufen nutzloses Papier.
Gemeinsam mit IT-Dienstleister ekom21 bietet das Land Hessen seinen Kommunen im Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K) kostenlose Schulungen zum Thema BCM an. Fast alle hessischen Kommunen nehmen dieses Angebot des Innenministeriums wahr.
Kommune im Gesamtkontext bedenken
Ein grundlegender erster Schritt ist die Betrachtung der Kommune im Gesamtkontext: Von welchen Dienstleistern, Zulieferern, Ressourcen und Stellen ist sie abhängig? Was geschieht, wenn eine dieser Ressourcen ausfällt? Cyber-Kriminelle greifen immer häufiger die Lieferkette an. Diese so genannten Supply-Chain-Angriffe können auch IT-Dienstleister treffen und sich von dort auf die Kommune und kommunalen Eigenbetriebe ausbreiten. Hat der IT-Dienstleister in einem solchen Fall ausreichend Ressourcen, um die Kommune und ihre Eigenbetriebe im Notfallbetrieb und bei der Wiederherstellung zu unterstützen oder ist die Kommune in diesem Fall auf sich alleine gestellt? Die Betrachtung im Gesamtkontext ermöglicht es, solche Fragen vor dem Eintritt eines Notfalls zu erörtern.
Zum Gesamtkontext gehört auch, zu bestimmen, wer von der Kommune abhängig ist. In den meisten Fällen sind hier kommunale Eigenbetriebe, lokale Unternehmen sowie Bürgerinnen und Bürger zu nennen. Eine feinere Betrachtung dieser Gruppen ermöglicht Rückschlüsse auf wichtige Fachverfahren, die in einer Krise zeitnah wiederhergestellt werden müssen, da sie für das Leben und Wohlergehen der Bevölkerung elementar sind. Verbunden mit einer Erfassung der Fachverfahren, der dazugehörigen Daten und ihrer Abhängigkeit von anderen Fachverfahren kann so eine Priorisierung vorgenommen werden. Diese dient als Grundlage für die Planung der technischen, finanziellen und personellen Ressourcen eines Notfallbetriebs.
Grundsteine für den Notfallplan
Die erarbeitete Übersicht der Fachverfahren dient zudem als Grundlage für das Management von Datensicherungen. Welchen Datenverlust kann die Kommune verschmerzen, welche Daten können wieder rekonstruiert werden und welche Daten müssen auch nach einem Cyber-Angriff rasch zur Verfügung stehen? Ein Beispiel für ein Fachverfahren, welches im Notbetrieb zeitnah wiederhergestellt werden muss, ist die Auszahlung von Sozialleistungen. Diese sind für die Empfängerinnen und Empfänger eine wesentliche Daseinsvorsorge. Die hierfür benötigten Daten haben daher eine besonders geringe Verlusttoleranz und müssen schnell wieder zur Verfügung stehen.
Diese Überlegungen bilden den Grundstein für den Notfallplan, der vor der Krise eingeübt, kritisch geprüft und angepasst werden muss. Viele Entscheidungen müssen die Handelnden nicht ad hoc in der Krise treffen, sondern können diese bereits vorab festlegen. Eine letzte Grundüberlegung ist, wer den Notfall ausrufen und den Notfallplan aktivieren kann. In größeren Kommunen bietet sich hier eine Besondere Aufbauorganisation (BAO) außerhalb der Linienorganisation an. Die BAO übernimmt Krisenkommunikation und Notfall-Management, während parallel die Wiederherstellung des Normalbetriebs anläuft. Ist die Normalität annähernd erreicht, wird die BAO wieder aufgelöst, und die Personen kehren in vollem Umfang in ihre normalen Rollen zurück.
Am reibungslosen Ablauf feilen
Durch Üben und Testen lässt sich ein reibungsloser Ablauf in der Krise fördern. Am Anfang steht eine moderierte Besprechung des Notfallplans – eine Planbesprechung. Eine Steigerung bietet die Stabsübung, bei der der Notfallstab gemeinsam die Bewältigung eines realitätsnahen Notfallszenarios simuliert. Dies kann durch zeitgleiche Simulationen anderer Organisationseinheiten, welche im Notfall zeitkritische Prozesse durchzuführen haben, ergänzt werden (Stabsrahmenübung). Aufwendigere Übungsszenarien sind die Alarmierungsübung und Funktionstests.
Ein BCM macht sich im Notfall bezahlt. Die eigene Kommune im Gesamtkontext zu betrachten, festzustellen, von welchen Dienstleistern und Ressourcen sie abhängig ist, und wer wiederum von ihr abhängig ist, erlaubt es rechtzeitig vor einer Krise, Lösungen zu finden. Wer Krisen dank vorausschauender Planung souverän meistern kann, braucht keinen Reputationsschaden zu fürchten.
Dieser Beitrag ist in der Ausgabe Februar 2023 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.
Teil eins der Serie Cyber-Sicherheit
Teil zwei der Serie Cyber-Sicherheit
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
ITEBO: OpenR@thaus-Vorfall aufgearbeitet
[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...
Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen
[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...
Interview: Angriffe wird es immer geben
[10.07.2024] Öffentliche Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen und staatlich gelenkten Hackern. Kommune21 sprach mit regio-iT-Geschäftsführer Stefan Wolf, wie Städte und Gemeinden den Gefahren begegnen können. mehr...
OpenR@thaus: Serviceportal nicht erreichbar
[02.07.2024] Wegen einer Sicherheitslücke wurde das Serviceportal OpenR@thaus zum zweiten Mal in kurzer Zeit vom Netz genommen. Davon betroffen sind rund 300 Kommunen. Die Wartungsarbeiten dauern derzeit an. Offenbar besteht ein Zusammenhang zu einer Schwachstelle der BundID, die es erlaubt, relativ einfach auf einer eigenen Website ein BundID-Log-in umzusetzen. mehr...
Märkischer Kreis: Bedrohungslagen nehmen zu
[27.05.2024] Eine 100-prozentige Sicherheit gibt es nicht, der Märkische Kreis geht jedoch viele richtige Wege, um einem Hacker-Angriff vorzubeugen. Das zeigt ein Bericht, den der IT-Sicherheitsbeauftragte des Märkischen Kreises jetzt im Digitalausschuss im Kreishaus Lüdenscheid vorgestellt hat. mehr...