Katastrophenfall
Kommunen als leichte Beute für Cyberkriminelle
Erneut ist eine Kommune Opfer eines Hackerangriffs geworden: Kriminelle infizierten die Server der Landkreisverwaltung Anhalt-Bitterfeld und legten damit sämtliche Amtsrechner lahm. Was den Fall bislang einmalig macht: Mit dem Ziehen sämtlicher Netzstecker in den Behörden rief der Landkreis den Katastrophenfall aus.
Kommunen im Visier von Cyberkriminellen
Dass Kommunen – wie öffentliche Einrichtung überhaupt – oftmals leichte Beute für Cyberkriminelle sind, zeichnet sich seit vielen Jahren ab. Offizielle Statistiken, wie groß das Problem tatsächlich ist, gibt es zwar nicht. Nach Recherchen von Zeit Online und dem Bayerischen Rundfunk sollen in den vergangenen sechs Jahren über 100 Behörden, Kommunalverwaltungen und weitere staatliche Stellen betroffen gewesen sein. Die traurige Beliebtheit der öffentlichen Hand bei Hackern erklären IT-Experten bisweilen damit, dass die Hard- und Softwareausstattung hier häufig veraltet sei. Aber auch der Faktor Mensch spielt eine Rolle.
Hackerangriff: Daseinsvorsorge in Gefahr
Dabei sind gerade die für die Daseinsvorsorge zuständigen Kommunen im Alltag der Bürger besonders präsent und genießen besonderes Vertrauen. Systemausfälle haben oft unmittelbare Folgen für den Einzelnen. Sobald die IT der Gemeindeverwaltung still liegt, können im schlimmsten Fall keine Sozial- und Unterhaltsleistungen mehr ausgezahlt werden. Das wirkt sich potenziell auf das Vertrauen der Bürger in die staatlichen Institutionen aus und kann dazu führen, dass die dringend notwendige Digitalisierung der Verwaltung an sich in Frage gestellt wird.
Wann wird der Katastrophenfall ausgerufen?
Dass der Fall Anhalt-Bitterfeld besonders viel Medienöffentlichkeit bekommt, hat sicherlich damit zu tun, dass der Landrat den Katastrophenfall ausgerufen hat.
Wann ein Katastrophenfall vorliegt, regeln die jeweiligen Landesgesetze. Voraussetzung für das Ausrufen eines Katastrophenfalls ist, dass ein Ereignis zahlreiche Personen, die Umwelt, erhebliche Sachwerte oder die lebensnotwendige Versorgung der Bevölkerung gefährdet. Die Entscheidung, ob und für welches Gebiet ein Katastrophenfall ausgerufen wird, trifft die Katastrophenschutzbehörde. Auf Gemeindeebene nehmen diese Funktion die Landratsämter sowie die Oberbürgermeister der Stadtkreise wahr. Die Abwehr und Bekämpfung der Gefahren erfolgt unter der einheitlichen Leitung der Katastrophenschutzbehörde.
Sobald der Katastrophenfall erklärt wurde, kann einfacher auf zusätzliche Ressourcen zugegriffen werden, um die Lage schnellstmöglich wieder in den Griff zu bekommen. Ein Landkreis oder eine Stadt kann bei anderen Behörden Hilfeleistung anfordern. Ein Stab unter Leitung des Landrats koordiniert die Zusammenarbeit und wird dazu mit den nötigen Mitteln ausgestattet.
Der Katastrophenfall wird meist bei Naturkatastrophen wie Hochwasser oder Sturm ausgerufen. Doch auch eine Cyberattacke kann eine Verwaltung so komplett lahmlegen, dass die Erklärung des Katastrophenfalls im Einzelfall ein probates Mittel darstellen kann, um eine Cyberattacke zu bewältigen – vorausgesetzt, dass der Cyberangriff tatsächlich zu einer gravierenden Notlage führt. Der Ausruf des Katastrophenfalls dürfte daher auch in Zukunft nur bei besonders gravierenden IT-Sicherheitsvorfällen rechtlich zulässig sein.
Maßnahmen zum Schutz vor Cyberangriffen
Kommunen sind grundsätzlich verpflichtet, die gesetzlichen Anforderungen an die Sicherheit von informationstechnischen Systemen einzuhalten. Sofern Landkreise oder einzelne kreisangehörige Gemeinden kritische Infrastrukturen – wie zum Beispiel Energieversorgung oder Krankenhäuser – betreiben, gelten für diese Bereiche nach dem IT-Sicherheitsgesetz 2.0 besondere organisatorische und technische Anforderungen an die Sicherheit ihrer IT-Systeme. Zudem besteht bei Cybervorfällen eine Meldepflicht gegenüber dem Bundesamt für Informationssicherheit (BSI). Eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde besteht auch nach der Datenschutzgrundverordnung (DGVO), wenn bei einem Cyberangriff personenbezogene Daten erbeutet worden sein könnten.
- Die Absicherung der digitalen Infrastruktur sollte daher regelmäßig geprüft und bei Bedarf aufgerüstet werden. Es empfiehlt sich, die behördeneigene IT durch externe IT-Dienstleister zu unterstützen oder die Kompetenzen einzelner Kommunen zu bündeln.
- Einen Notallplan, sogenannter Incident Response Plan (IRP), wie ihn viele private Unternehmen nutzen, sollten auch Städte und Gemeinden parat haben. Der IRP benennt ein Krisenteam – vergleichbar mit dem Katastrophenstab –, das bei einer Cyberattacke alle Maßnahmen koordiniert und die Kommunikation sowohl zwischen den einzelnen Dezernaten wie auch mit den Bürgern steuert. Ein möglichst detaillierter Ablaufplan hält fest, wer was wann nach einem Cyberangriff zu tun hat.
- Den Notfallplan zu üben, hilft im Ernstfall schneller und angemessener zu reagieren. Auch die regelmäßige Schulung und Sensibilisierung der Angestellten ist ein bewährtes Mittel um vorzubeugen.
Präzedenzfall Anhalt-Bitterfeld
Der Präzedenzfall Anhalt-Bitterfeld hat die gravierenden Folgen von Cyberangriffen bundesweit noch einmal eindrücklich ins Bewusstsein gerufen. Generell dürfte den Kommunen weniger Aufmerksamkeit jedoch weitaus lieber sein, weshalb der Katastrophenfall auch zukünftig die ultima ratio bleiben wird. Möglichst gezielte Präventionsmaßnahmen helfen bestenfalls dabei, ihn zu vermeiden.
VARINIA IBER ist Rechtsanwältin bei der Kanzlei Menold Bezler in Stuttgart.
