Nach schwerwiegenden Cyberangriffen auf Behörden wird deutlich: Die IT-Sicherheit muss gestärkt werden. Sensibilisierung, Resilienz und Präventionsmaßnahmen sind entscheidend. Was das konkret bedeutet, darüber sprachen wir mit Sabine Griebsch, die im Krisenstab von Anhalt-Bitterfeld maßgeblich dafür sorgte, das die IT nach dem Cyberangriff wieder funktionsfähig gemacht wurde. Außerdem liefern Olaf Janßen von Sopra Steria und André Glenzer von PwC wichtige Lösungsideen und Hinweise.
Am 5. Juli 2021 wurde der Landkreis Anhalt-Bitterfeld Opfer eines Angriffs mit Ransomware. Daten wurden verschlüsselt, Ämter konnten nicht mehr arbeiten. Der Landkreis musste den Katastrophenfall ausrufen. Rund elf Monate hat es gedauert, bis alle Fachbereiche wieder so funktionsfähig waren, wie vor dem Angriff. Sabine Griebsch war Technische Einsatzleiterin im Katastrophenstab. „Uns ist damals bewusst geworden, wie digitalisiert wir schon sind“, erzählt die freiberufliche IT-Projektleiterin. Denn nicht nur die Fachanwendungen konnten nicht mehr genutzt werden, auch Drucker und Scanner funktionierten nicht mehr. „Das Telefon war noch analog, sonst wäre Telefonieren auch nicht mehr möglich gewesen.“
Auf einen Angriff dieses Ausmaßes war niemand vorbereitet gewesen. Der Angriff machte klar, wie vernetzt die IT der verschiedenen betroffenen Fachbereiche und Standorte war. Es dauerte lange, die Daten wiederherzustellen. Aber auch die Wiederanbindung an die Netze des Bundes und des Landes für den Datenaustausch, der umgehend gekappt worden war, brauchte seine Zeit.
Vorbereitungen für den Notfall treffen
Griebsch hat in dieser Zeit gelernt, was in so einem Notfall zählt. Listen mit zuständigen Ansprechpartner*innen seien wichtig, die im Krisenfall hinzugezogen werden können, sagt die IT-Expertin. Auch eine Kommunikationskette werde benötigt, so dass alle Mitarbeitenden im Krisenfall darüber informiert werden, was passiert ist und wie sie sich verhalten sollen. Zudem sollte schon vor einem Vorfall geklärt sein, welche Fachverfahren zuerst und welche danach wieder hochgefahren werden sollen. Verfahren, von denen Leib und Leben abhängig sind, müssen priorisiert werden. Danach aber gibt es wirtschaftliche Belange. „Wenn die KfZ-Stelle längere Zeit keine Zulassungen mehr erteilt, kann das bedeuten, dass die Autohäuser keine Autos mehr verkaufen“, erklärt Griebsch. Auch Ansiedlungen könnten platzen, wenn sich Verfahren zu lange hinziehen.
Widersprüchliche Zahlen? Antworten der öffentlichen Verwaltung
Olaf Janßen ist Head of Cyber Security bei Sopra Steria. Das Unternehmen hat im letzten Jahr gemeinsam mit dem F.A.Z.-Institut eine Umfrage für den Branchenkompass Public Sector 2022 durchgeführt. Führungskräfte aus 105 Bundes-, Landes- und Kommunalverwaltungen gaben Antworten zu Effizienz in der Verwaltung, darunter zur Resilienz und digitaler Souveränität. Nur 6 Prozent der Umfrageteilnehmer schätzen die Resilienz ihrer Verwaltung als sehr groß ein. Gleichzeitig sagen 97 Prozent der Umfrageteilnehmer, dass der Schutz gegen Cyberkriminalität die digitale Souveränität ihrer Verwaltung fördert.
„Die Zahlen widersprechen sich nicht“, sagt Olaf Janßen. „Die Sensibilisierung ist inzwischen hoch. Allerdings haben die Verantwortlichen auch ein realistisches Bild von der Lage.“ Spätestens seit dem Cyberangriff auf den Bundestag 2015 sei vielen klar, dass Cybersicherheit ein wichtiges Thema sei. Aber es sei noch ein langer Weg zu gehen und einige Hindernisse zu überwinden. „Wenn ich höre, dass für die Beschaffung von Sicherheitssystemen und Lizenzen aufgrund der Regularien für Ausschreibungen teilweise mit bis zu 18 Monaten geplant wird, dann ist das schlicht zu langsam.“
Eine Lösung mit Potential: föderale Grenzen überwinden
Die Fähigkeit zur Abwehr von Cyberangriffen sei von der Bundesebene bis hinunter zu den Landkreisen und Kommunen hin abfallend. „Es wäre sinnvoll, hier über zentrale technische Lösungen über föderale Grenzen hinweg nachzudenken“, sagt Janßen. Wenn jedes Bundesland sein eigenes Zentrum für Cybersicherheit aufbaue, könne das dazu führen, dass sich die Einrichtungen auf dem Arbeitsmarkt gegenseitig kannibalisierten. Auch sei es nicht nötig, bestimmte Technologien zur Angriffserkennung zig Mal vorzuhalten. „Hier wären Synergien möglich.“
Dass die Angriffe auf öffentliche Einrichtungen zugenommen haben, ist nicht nur ein Bauchgefühl. „Das Risiko von Cyberangriffen hat nicht nur subjektiv sondern auch objektiv zugenommen“, sagt André Glenzer, Partner und Leiter KRITIS Center of Excellence bei PwC Deutschland. „Zahlen von Microsoft weisen darauf hin, dass mit dem Beginn des Ukraine-Krieges mehr Cyberangriffe gezählt werden.“ Die Angriffe zielten dabei auf öffentliche Institutionen ab. Vermutet werde, dass dahinter russische Hacker stecken, die gezielt Nato-Staaten angreifen.
Phishing – nach wie vor Einfallstor für Cyberattacken
„Davon unabhängig haben vor wenigen Jahren Kriminelle die öffentliche Verwaltung als Angriffsziel entdeckt“, sagt Glenzer. „In der Praxis sprechen wir von Low Hanging Fruits – die Verwaltung ist oftmals in vielen Aspekten eben noch nicht so weit bei der Cyber-Abwehr wie Unternehmen der freien Wirtschaft.“ Beliebt sei das Phishing, also die gezielte Auswahl von Opfern, das Auskundschaften von Interessen über Social-Media-Profile und dann das gezielte Versenden von Mails, die auf das Opfer angepasst sind.
„Das Problem ist, dass sie in einer Organisation mit manchmal tausenden Mitarbeitenden gar nicht verhindern können, dass jemand den falschen Anhang öffnet oder auf den falschen Link drückt und dann die Angreifer Zugang zum System haben“, sagt Glenzer. Sensibilisierung der Mitarbeitenden sei zwar wichtig, die Verantwortung könne aber nicht abgewälzt werden. „Wichtiger ist es, schon voraus zu denken, dass der schlimmste Fall eintreten wird, und entsprechende Vorkehrungen zu treffen, wie man die Risiken im Griff behält.“
Resiliente Organisationen – das geht nur gemeinsam
Auch für Sabine Griebsch liegt die wichtigste Aufgabe für Kommunen bei der IT-Sicherheit darin, Resilienz herzustellen. „Das ist nicht nur ein Thema von Cyberangriffen, sondern gilt grundsätzlich, zum Beispiel auch bei Naturkatastrophen.“ Ziel müsse es sein, Daten besser zu sichern, schneller den Zugriff auf überprüfte Daten wieder herzustellen, aber auch Redundanzen in der Infrastruktur seien wichtig. „Ein weiteres Ziel sollte die Entörtlichung von Diensten sein, so dass Aufgaben auch unabhängig von einem Standort erfüllt werden können.“ Zudem gelte es, das Prinzip des Zero-Trust zu verfolgen. Nach diesem Konzept werden technische Rahmenbedingungen so geschaffen, dass grundsätzlich keinem Gerät, Account oder Dienst vertraut wird. Außerdem sollten potentielle Angriffsvektoren entweder ausgeschaltet oder minimiert werden, etwa indem zusätzliche Authentifizierungen gefordert oder Schnittstellen wie USB grundsätzlich verboten werden.
„Wichtig ist es, die Mitarbeitenden und die Personalvertretungen mit ins Boot zu holen“, sagt Griebsch. Denn mehr IT-Sicherheit kann auch als mehr Überwachung der Beschäftigten missverstanden werden. „Dabei geht es gar nicht darum, eine Arbeitsleistung zu überprüfen, sondern darum, Auffälligkeiten im System aufzudecken.“ Hier sei sehr viel Aufklärung gegenüber den Mitarbeitenden erforderlich.
Henning Zander
