2. Politik
  3. Digitalisierung
  4. So übersteht die Verwaltung einen Hackerangriff
Datendieb mit Taschenlampe
Datendiebe haben in Verwaltungen oft ein leichtes Spiel - das muss nicht sein.
© 123rf.com

Digitalisierung

So übersteht die Verwaltung einen Hackerangriff

In die Sicherheit von Daten investieren? Das sparen sich viele Kommunen so lange, bis es einen gravierenden Schadensfall gegeben hat. Dabei raten IT-Fachleute zu gezielter Vorbereitung: Überlegte Datensicherung, ein standardisiertes Sicherheitsmanagement und ein eingeübter Notfallplan bilden die Grundlage, um als Verwaltung einen Hackerangriff gut bewältigen zu können. KOMMUNAL befragte einen Experten.

Ein Schreck kann fruchtbar sein. Die Ransomware-Attacke, bei der im Juni 2021 eine Hackergruppe die Daten des Landkreises Anhalt-Bitterfeld verschlüsselte und mit einem Erpressungsversuch die Verwaltung über Monate nahezu lahmlegte, war so ein Schreck. Er bewies vielen Zweiflern in Landkreisen und Kommunen: Ja, auch für uns besteht die reelle Gefahr eines Angriffs von Cyberkriminellen - und die Notwendigkeit für mehr Datensicherheit.

„Anhalt-Bitterfeld war das, was alle wachgerüttelt hat“, bestätigt IT-Spezialist Ulf Riechen, der sächsische Landesämter und Landkreise in Informationssicherheitsfragen berät. „Normalerweise wird sich um die Informationssicherheit immer erst dann ausreichend gekümmert, wenn es weh tut.“ Riechen vergleicht es mit dem Brandschutz in einem Haus. Den nimmt man wirklich ernst, wenn man einmal einen Brand erlebt hat – oder, wenn man durch Anordnungen dazu verpflichtet ist.

Strenge Vorschriften erhöhen Datensicherheit

So haben denn auch nach Riechens Beobachtung nur die wenigen Felder, wo genaue Vorschriften den Nachweis von IT-Sicherheit von Kommunen und Landratsämter verlangen, bereits einen guten Standard erreicht: die EU-Zahlstellen und die Fahrzeugzulassung. In den EU-Zahlstellen für Fördermittel besteht die Europäische Union auf verlässliche Datensicherheit, und das Kraftfahrtbundesamt fordert einen regelmäßigen Audit-Bericht für eine sichere internetbasierten Fahrzeugzulassung – ansonsten droht der Kommune die Abschaltung.

Ein solcher heilsamer Zwang zu mehr Vorsicht könnte auch auf anderen Gebieten gutes bewirken, prognostiziert Riechen. Erst kürzlich sind im Rahmen des Onlinezugangsgesetzes eine Verpflichtung für ein Sicherheitskonzept und für zusätzliche „Penetrationstests“ auf den Weg gebracht worden. Mit diesen Tests müssen Verwaltungen die Bestandteile des IT-Systems und alle Anwendungen darauf hin prüfen, ob sie sicher vor Angriffen von Hackern sind – und das mit Methoden, die auch die Kriminellen anwenden würden.

Vorsorge für Ransomwareangriff treffen

Aber auch da, wo es noch keine Vorschriften explizit verlangen, wird es für Verwaltungen höchste Zeit, Vorsorge für Angriffe aus der Cyberwelt zu treffen, sagen Experten. Wobei es vor allem darauf ankommt, gut für den Fall der Fälle einer Datenverschlüsselung oder eines Datenverlustes gerüstet zu sein. Denn: Öffentliche Verwaltungen können kaum strikt verhindern, dass sie Opfer von internationalen Cyberkriminellen werden. Aber wenn es passiert, sollten sie im Dienste der Bürger zumindest den Betrieb schnell wieder aufnehmen können.

Daten regelmäßig sichern

Damit das gelingt, rät Ulf Riechen zu einem regelmäßigen Sichern der Daten. Was sich banal anhört, wird häufig in der Praxis nicht so gemacht, dass es tatsächlich bei einem Angriff etwas nutzen würde. Riechen empfiehlt, die Daten mindestens einmal wöchentlich auf Streamer-Bändern zu sichern und offline zu lagern, am besten in einem Tresor. „Ich muss eine Offlineversion haben, an die der Angreifer nicht drankommt“, verdeutlicht er. „Das ist unbequem und deshalb wird es nicht gemacht. Die Admins nehmen lieber die einfachere Lösung.“

Bei einem Ransomware-Vorfall brauche man zusätzlich „eine Forensik, die nachvollzieht, seit wann das Virus im System ist. Ich muss die Datensicherung so lange aufheben, dass ich noch eine Version von einem Zeitpunkt habe, der vor dem Befall war“. Bei dem Cyberangriff auf das Softwareverteilsystems des Bundestag 2015 war das übrigens nicht der Fall gewesen: Die Sicherungen der Datenprotokolle reichten nur sieben Tage zurück, der Rest war turnusmäßig gelöscht worden – aus Datenschutzgründen. So musste alles mühsam neu aufgebaut werden. „Fazit für den Bundestag: Die haben in einer parlamentarischen Sommerpause die gesamte IT neu gekauft und neu hingestellt. Das war ein Totalschaden.“

Notfallpläne in Ämtern ausarbeiten

Sehr sinnvoll ist es, einmal für jedes Amt durchspielen, wie es zeitweise ohne IT auskommen könnte. Wie ist zum Beispiel das Sozialamt in der Lage, die Sozialhilfe zu zahlen? Wie können Ämter erstmal eine Notüberweisung machen? Wie kann im Fall eines Umweltschadens das Umweltamt weiterarbeiten, wenn es nicht mehr auf Online-Karten zurückgreifen kann?

„Jedes Amt muss für sich einen Notfallplan machen, wie es ohne IT arbeitsfähig ist“, empfiehlt Ulf Riechen. „So ist das Amt im Notfall zumindest kein aufgescheuchter Hühnerhaufen, sondern kann den Plan hervorholen und sagen, wir machen das jetzt erstmal so. Wenn die IT wieder geht, schalten wir zum gewohnten System zurück.“

Riechen empfiehlt, mit der Hilfe eines Beraters ein Sicherheitsmanagementsystem nach dem Standard des BSI-Grundschutzes aufzubauen. Mit der Basisabsicherung wesentlicher Koponenten sollte man starten und dann schnell zu einem Umsetzungsplan für Sicherheitsmaßnahmen kommen. „Wenn man Grundschutz schon im Ansatz falsch macht – also beispielsweise jedes einzelne System erfasst, steckt man sehr viel Zeit und Arbeit umsonst rein“, warnt Riechen. „Man sollte nur die wesentlichen, zwingend erforderlichen Bausteine umsetzen und bei Systemen Gruppen bilden.“ Deshalb sei es wichtig, einen erfahrenen Spezialisten für die Implementierung mit ins Boot zu nehmen.

Personal immer mitnehmen

Ein besonders wichtiger Baustein des Konzeptes ist die Sensibilisierung und Schulung von Personal. „Ich muss ein Sensibilisierungskonzept für die Mitarbeiter machen“, betont Riechen. „Dazu gehören Onlinekurse, analoge Schulungen oder auch E-Mails, in denen die EDV darauf hinweist, wenn ein neuer Virus aktuell die Runden dreht.“

Einmal im Jahr versendet der Berater in einem Landratsamt, das er betreut, von einer gefakten Absenderadresse aus eine Sensibilisierungstestmail an alle Beschäftigten. Er gibt darin glaubhaft vor, ein Verwaltungskollege zu sein, der mit einer bestimmten Akte nicht weiterkommt und bittet, auf einen mitgeschickten Link zu klicken. „Wenn der Mitarbeiter draufklickt, erscheint eine Box, wo Nutzername und Passwort abgefragt werden. Und wenn er das dann auch noch ausgefüllt hat, schicke ich ihm den Hinweis: Sie haben grade falsch geklickt, bitte machen Sie das nie wieder! Dann kriegt er einen Riesenschreck, und wird zu einer Onlineschulung eingeladen.“

Heilsamer Schreck einmal im Jahr

Dass der Kollege sich falsch verhalten hat, werde weder ausgewertet noch angeprangert, betont Riechen. „Wir können keine Verhaltens- und Leistungsbewertung von Mitarbeitern machen, das wäre nicht zulässig. Aber wir können für eine Sensibilisierung sorgen.“ Zuerst sei der Test nicht gut angekommen, räumt er ein: „Beim ersten Mal gab es große Proteste und der Landrat verlangte, dass ich das stoppe. Das nächste Mal habe ich den Versand vorher mit der Leitungsebene abgesprochen, da war es schon etwas besser und inzwischen bin ich akzeptiert.“ Er sei nun auch mit einem eigenen Stand beim Mitarbeiterfest und erkläre da, was Hacker machen. „Das funktioniert“, freut er sich. „Die sind jetzt nicht mehr sauer auf mich.“

Christian Aßmann ist Bürgermeister von Geisenheim. Die Kommune leidet unter einem IT-Angriff.

Cyberangriff auf die Stadtkasse – Wie erlebt das ein Bürgermeister?

MEHR

Auch von Carmen Molitor

Lesen Sie auch...

Neuester Inhalt

Schlagwörter

ZURÜCK ZUR STARTSEITE