Kommunen im Visier – Verfassungsschutz warnt vor russischen Hackerangriffen

Ein Klick, ein Foto, ein freundlicher Tonfall – mehr braucht es manchmal nicht, um eine Verwaltung ins Wanken zu bringen. Der nordrhein-westfälische Verfassungsschutz warnt derzeit eindringlich: Russische Geheimdienste sollen gezielt kommunale Mitarbeiterinnen und Mitarbeiter ins Visier nehmen. Ihr Ziel sind keine großen Geheimnisse, sondern die digitalen Schlüssel des Alltags – Passwörter, Zugänge, Kontakte.

Russische Geheimdienste auf kommunalen Internetseiten

„Wir sehen, dass russische Geheimdienstmitarbeiter systematisch die Internetseiten von Kommunen durchsuchen“, sagt Jürgen Kayser, Präsident des Verfassungsschutzes Nordrhein-Westfalen, im Interview mit dem WDR. „Werden dort Namen und Fotos von Beschäftigten gefunden, folgen oft gezielte Angriffe über soziale Medien.“ So kann aus einem harmlosen Urlaubsbild schnell ein Türöffner für Cyberangriffe werden: Ein vermeintlicher Kollege bittet um ein Passwort, die E-Mail wirkt echt – und der Schaden ist angerichtet.

Kritische Infrastruktur in Kommunen im Visier

Kommunen sind aus Sicht der Sicherheitsbehörden besonders attraktiv. Sie verwalten kritische Infrastruktur, von Wasser- und Energieversorgung bis hin zu Sozialdiensten. Gerade in Zeiten zunehmender Spannungen mit Russland könnten Hackerangriffe gezielt eingesetzt werden, um öffentliche Strukturen zu stören. „Bevor es zu einem konventionellen Angriff kommt, wird die Infrastruktur lahmgelegt“, so Kayser. „Darauf müssen wir uns vorbereiten.“

Der Verfassungsschutz bietet inzwischen Schulungen für Städte und Gemeinden an. Eine zentrale Empfehlung lautet, die Klarnamen der Mitarbeiterinnen und Mitarbeiter von kommunalen Webseiten zu entfernen. Doch eine WDR-Umfrage unter allen 396 Kommunen in NRW zeigt: Nur wenige Städte wollen das tatsächlich umsetzen.

Kommunen zurückhaltend bei Umfrage

Die Anfrage des WDR sorgte für Aufsehen. Der Städte- und Gemeindebund riet den Kommunen laut WDR in einem Rundschreiben sogar davon ab, auf die Fragen zu antworten – man wolle keinen Eindruck erwecken, dass durch die öffentliche Diskussion ein Sicherheitsrisiko erst geschaffen werde. Entsprechend spärlich fielen die Rückmeldungen aus: Nur 23 Kommunen antworteten auf die Umfrage, 15 davon wollen ihre Praxis beibehalten, vier kürzen künftig auf Nachnamen, und ebenfalls vier verzichten ganz auf Namensnennungen.

In Hattingen hat man sich nach langen internen Diskussionen entschieden, der Empfehlung des Verfassungsschutzes zu folgen. „Wir werden umschwenken auf Funktionstelefonnummern und Postfächer", kündigte Kämmerer Frank Mielke an.

Tipps der Experten für Kommunen, wie sie sich besser vor gezielten Cyberangriffen schützen:

1. Sichtbarkeit von Mitarbeitern und Mitarbeiterinnen begrenzen. Klarnamen sollten auf kommunalen Webseiten nur dort erscheinen, wo es rechtlich oder organisatorisch zwingend nötig ist. Stattdessen können Funktionspostfächer und zentrale Servicenummern verwendet werden. Teamseiten sollten Zuständigkeiten, nicht Personen nennen.

2. Mitarbeitende sensibilisieren. Schulungen zu Phishing, Social Engineering und gefälschten Identitäten sind entscheidend. Simulierte Phishing-Mails oder kurze interne Lernmodule können helfen, das Bewusstsein zu schärfen. Wichtig ist, klare Kommunikationsregeln festzulegen, wie externe Anfragen geprüft werden.

3. IT- und Sicherheitsstrukturen stärken. Multi-Faktor-Authentifizierung sollte für alle administrativen Zugänge Pflicht sein. Regelmäßige Überprüfung von Nutzerrechten, konsequentes Patchmanagement und eine Zero-Trust-Strategie erhöhen die Sicherheit erheblich.

4. Webauftritte technisch absichern. Webseiten sollten über sichere Protokolle (HTTPS) laufen, aktuelle Sicherheitsheader enthalten und regelmäßig auf Schwachstellen geprüft werden. CMS-Systeme müssen aktuell gehalten und nur mit geprüften Erweiterungen betrieben werden. Zugriffe sollten überwacht und auffällige IPs protokolliert werden.

5. Organisatorische Maßnahmen treffen. Jede Kommune sollte einen IT-Sicherheitsbeauftragten benennen und einen Notfallplan für Cyberangriffe haben, der Meldewege und Zuständigkeiten klar regelt.

6. Kommunikationsstrategie anpassen. Bürgerinnen und Bürger sollten informiert werden, warum Namen und persönliche Kontaktdaten nicht mehr öffentlich stehen. Eine sachliche, transparente Erklärung stärkt das Vertrauen. Für den Krisenfall sollte ein Kommunikationsplan existieren, um schnell und koordiniert reagieren zu können.

7. Zusammenarbeit und Vernetzung fördern.

Wer schützt unsere Informationen?

Cyberangriffe bedrohen die Handlungsfähigkeit der Kommunen. Aber auch die Informationssicherheit der Bürger. Das tut Sachsen für ihre Sicherheit.

MEHR

Was tun nach einem Hackerangriff?

Immer mehr Städte und Landkreise werden Opfer skrupelloser Internetkrimineller. Vor allem mit erpresserischen Ransomware-Attacken muss inzwischen jede Verwaltung rechnen. Was Experten empfehlen und wo Kommunen Unterstützung finden.

MEHR

Die Lehren aus den Hacker-Angriffen

Der Krieg in Europa verstärkt die Bedrohung durch Hacker-Angriffe. Cyber-Erpresser legen immer wieder Kommunen und Einrichtungen lahm. Ein KOMMUNAL-Report.

MEHR