Safe and the City
Nicht nur Unternehmen sind ins Visier von Hackerangriffen geraten. Auch auf die kritische Infrastruktur des Landes haben es Cyberkriminelle immer häufiger abgesehen. Wir werfen einen Blick auf die aktuelle Lage und zeigen, wie gut Gemeinden und Kommunen darauf vorbereitet sind und wie sie gegen Angriffe kämpfen
Hochwasser, heftige Schneefälle, Waldbrände – das sind typische Ereignisse, bei denen Länder oder Gemeinden den Katastrophenfall ausrufen, weil »eine Beeinträchtigung bzw. eine unmittelbare Gefährdung für Leben oder Gesundheit einer Vielzahl von Menschen bzw. ein hoher Sachschaden« zu erwarten ist. So wie im Sommer 2021 im Landkreis Anhalt‑Bitterfeld. Nur kam die Bedrohung dieses Mal aus dem Netz.
Es war das erste Mal in Deutschland, dass eine Kommune den Katastrophenfall aufgrund eines Cyberangriffs ausrief. Hacker:innen hatten sich Zugang zum IT-Netz der Kreisverwaltung verschafft und Schadsoftware eingeschleust, mit der sie Daten verschlüsselten – sogenannte Ransomware: Der Landkreis war wie gelähmt, konnte keine Sozialleistungen auszahlen, Autos anmelden oder Ausweise ausstellen. Das Ziel der Angreifer:innen: Geld zu erpressen, im Austausch gegen ein Programm, das die Daten wieder brauchbar macht.
Ransomware als größte Bedrohung
Aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) gelten solche Ransomware-Angriffe aktuell als größte Bedrohung im Cyberbereich. Auch Angriffe auf Firewalls oder Router haben zugenommen – insbesondere seit dem Krieg in der Ukraine. Neben Unternehmen sind Städte und Kommunen ins Visier geraten.
»Auch auf uns gibt es immer wieder Angriffe«, sagt Laura Dornheim, IT‑Referentin und Chief Digital Officer (CDO) der Stadt München. Sie ist sich der Risiken bewusst, sieht sich aber gut gewappnet: »Bisher hat unsere Verteidigung gehalten. Aber der Fall in Anhalt-Bitterfeld macht deutlich, dass diese Arbeit eben nicht nur eine theoretische Vorsorge ist.« Für Dornheim ist es ein Katz-und-Maus-Spiel: »Durch permanentes Monitoring müssen wir herausfinden, was gerade alles läuft, um schnell reagieren zu können.«
»Durch permanentes Monitoring müssen wir herausfinden, was gerade alles läuft, um schnell reagieren zu können«
Laura Dornheim, IT-Referentin und Chief Digital Officer (CDO) der Stadt München
Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt. Außerdem leitet sie eine Abteilung am Fraunhofer-Institut für Sichere Informationstechnologie und koordiniert den Forschungsbereich »Analytics Based Cybersecurity« im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE. Ihrer Erfahrung nach sind es vor allem drei Angriffsmuster, mit denen Kriminelle in Organisationen eindringen. Erstens: kompromittierte Passwörter. »Die Login-Daten sind der einfachste Weg, Organisationen zu infiltrieren. Fast alle Unternehmen sind früher oder später davon betroffen.« Zweitens: technische Schwachstellen in Systemen: »Angreifer:innen finden mit automatisierten Werkzeugen Lücken, durch die sie Organisationen infiltrieren können.« Drittens: »Malicious Insider«, also Mitarbeitende, die mit Kriminellen kooperieren. »Es gibt Gruppen, die solche Mitarbeiterinnen und Mitarbeiter mit viel Geld rekrutieren oder sogar gezielt über Bewerbungen einschleusen.«
Was passiert, wenn die Angreifer:innen erst mal im System sind, hängt von ihren Zielen ab. Vielen geht es um Erpressung wie in Anhalt-Bitterfeld, anderen um Cyberspionage oder um Sabotage. Corona hat es Hacker:innen einfacher gemacht. Während der Lockdowns wurde auch in Behörden viel digitalisiert. Dadurch sind die Angriffsflächen größer geworden.
Das BSI unterstützt Kommunen
In München ist das IT-Referat für fast 50 000 Endgeräte verantwortlich. »Mit Beginn der Pandemie haben wir viele Mobilgeräte ausgegeben, um Homeoffice zu ermöglichen«, sagt Laura Dornheim. »Die Laptop-Quote liegt inzwischen bei über 90 Prozent. Das ist schon eine große Herausforderung, die alle auf dem aktuellen Stand zu halten.« Hinzu kommen viele Softwaresysteme, »da ist es normal, dass immer mal wieder Schwachstellen bekannt werden«. Manchmal stoßen Dornheim und ihr Team freitagabends darauf, arbeiten am Wochenende daran und sorgen montagmorgens dafür, dass alle 40 000 Angestellten der Stadt informiert sind und das Update aufgespielt wird.
Das IT-Referat in München ist mit mehr als 1400 Mitarbeitenden sehr groß und hat entsprechende Ressourcen. So betreibt die Stadt etwa zwei physisch getrennte Rechenzentren, die sich im Ernstfall gegenseitig ersetzen können. Andere Kommunen können sich diesen Aufwand nicht leisten. Aber sie können sich Hilfe suchen. Das BSI unterstützt dabei, erprobte Maßnahmen umzusetzen, um so das Informationssicherheitsniveau zu steigern. Dafür empfiehlt das Amt kommunalen IT-Sicherheitsbeauftragten beispielsweise die Allianz für Cybersicherheit und das IT-SiBe-Forum zum Erfahrungsaustausch. Zudem gebe es bereits »IT-Grundschutzprofile«, bei denen konkrete Fälle und deren Lösung schablonenhaft abrufbar sind. Nach dem Angriff auf Anhalt-Bitterfeld startete das BSI Informationsveranstaltungen in verschiedenen Bundesländern, um unter anderem auf die Profile aufmerksam zu machen.
»Eine eigene Infrastruktur ist eine große Sicherheitslücke. In Israel ist es üblich, die IT‑Sicherheit an externe Dienstleister zu geben. Das ist nicht nur effizient, sondern auch günstiger«
Haya Shulman, Professorin für Informatik an der Goethe-Universität Frankfurt
In München setzt Laura Dornheim daher künftig noch mehr auf Schulungen der Mitarbeiter:innen. »Der menschliche Faktor war lange nicht so im Fokus bei der IT-Sicherheit, weil man dachte, das kann man technisch abfangen. Aber genauso muss man die einzelnen Nutzer:innen abholen und ihnen klarmachen, dass alle gemeinsam eine Verantwortung mittragen, die Stadt sicher zu halten.«
Gleichzeitig geht die Entwicklung hin zu einer »Zero-Trust-Architektur«, bei der durch eine strengere Authentifizierung nicht das ganze Netz, sondern einzelne Server geschützt werden. In den USA müssen Bundesbehörden Zero-Trust bis 2024 umsetzen. Haya Shulman leitet ein Projekt mit dem Ziel, eine Referenzarchitektur zu entwickeln, die für deutsche Organisationen und Kommunen passt. Durch den Zero-Trust-Ansatz »vertraut« ein Rechner nicht mehr automatisch anderen Rechnern im selben Netz, sondern muss sich durch weitere Kontrollen authentifizieren: Wenn sich Angreifer:innen wie in Anhalt‑Bitterfeld Zugang verschaffen, stehen sie vor der nächsten verschlossenen Tür.
Illustration: Joe Waldron; Fotos: PR