Das Risiko, Opfer eines Cyberangriffs zu werden, steigt. In einigen Bereichen herrscht bereits Alarmstufe Rot bei der Informationssicherheit, warnte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), bei der Vorstellung des Berichts zur Lage der IT-Sicherheit in Deutschland Ende Oktober in Berlin. Dabei sind nicht nur Wirtschaftsunternehmen im Fokus der Cyberkriminellen. Zunehmend sind auch kommunale Unternehmen und Verwaltungen betroffen. Und das hat erhebliche Folgen für die betroffenen Kommunen und die Versorgung der Bürgerinnen und Bürger.
Cyberangriffe auf öffentliche Einrichtungen
Wie schwerwiegend die Folgen sein können, zeigen aktuelle Beispiele. Ein krimineller Cyberangriff Mitte Oktober auf den kommunalen IT-Dienstleister im mecklenburg-vorpommerischen Landkreis Ludwigslust-Parchim führte dazu, dass auch einen Monat später noch keine aktuellen Corona-Daten automatisiert an das Robert-Koch-Institut gemeldet werden können.
Ein Cyberangriff auf die IT-Infrastruktur der Stadt Witten aus dem Oktober bereitet weiterhin Sorgen. So wurde jüngst festgestellt, dass Teile der von den Cyberkriminellen erbeuteten Daten im Darknet veröffentlicht wurden. Der Bürgermeister hat deshalb die Bevölkerung zu besonderer Wachsamkeit aufgerufen. Wenn Bürgerinnen und Bürger Anrufe oder E-Mails von Unbekannten erhalten, sollten sie sich im Zweifel an die Behörden oder die Polizei wenden.
In anderen Fällen sind die unmittelbaren Konsequenzen sogar lebensbedrohlich. Dies wird insbesondere dann augenscheinlich, wenn Krankenhäuser und Kliniken von Cyberangriffen betroffen sind. So konnte das Universitätsklinikum Düsseldorf nach einem Cyberangriff tagelang keine Notfallpatienten mehr aufnehmen. Patienten mussten in andere Kliniken verlegt werden. Patientendaten, Befunde und Laborergebnisse waren über Tage nicht mehr verfügbar.
Kommunen müssen handlungsfähig bleiben
Weitere Hilfe für den Notfall bieten sogenannte Business Continuity Management Systeme (BCMS). Dabei stehen die Abläufe in Behörden und kommunalen Unternehmen im Mittelpunkt. Eine genaue Analyse dieser Prozesse hilft, Schwachstellen zu erkennen und zu beheben, so dass eine Notlage, bei der wichtige Abläufe unterbrochen sind, nach Möglichkeit gar nicht erst eintritt. Andererseits bereitet sie eine Institution darauf vor, auf ein solches Schadensereignis bestmöglich reagieren zu können, in einer Krise handlungsfähig zu bleiben und ihre Abläufe schnell wiederherstellen zu können.
Eine große Herausforderung gerade für Kommunen besteht in der Fragestellung, wie viele Ressourcen für ein solches BCMS aufgewendet werden können. Deshalb hat das BSI einen neuen Standard (zum BSI-Standard 200-4) entwickelt, der sich explizit auch an weniger erfahrene Anwenderinnen und Anwender richtet. Er ermöglicht einen Einstieg in das Thema und dient als Orientierungshilfe, die zudem konkrete Hilfsmittel zur Verfügung stellt. Dazu zählen u.a. Dokumentenvorlagen, die leicht an die Gegebenheiten der eigenen Institution angepasst werden können. Die Hilfsmittel zum BSI-Standard werden als sogenannte „Community Drafts“ veröffentlicht und fortlaufend ergänzt und aktualisiert.
Wenn schnelles Handeln gefragt ist: Unterstützung holen!
Damit aus dem Ernstfall kein Krisenfall wird ist es unverzichtbar, die Notfallkonzepte regelmäßig zu testen und die richtige Reaktion einzuüben. Die besten Backups helfen nicht, wenn sie nur auf einer gesicherten Festplatte liegen und der IT-Verantwortliche mit dem Sicherheitsschlüssel gerade in Urlaub ist. IT-Sicherheitskonzepte sollten deswegen nicht nur Backups beinhalten, sondern auch Trainings, in denen das schnelle Einspielen geprobt wird – ebenso wie die Umsetzung von BCMS-Maßnahmen.
Da die erfolgreiche Reaktion auf Cyberangriffe erhebliche Ressourcen benötigt, sollte zu den Trainings auch gehören, wie schnell Unterstützung mobilisiert werden kann. Die Länder haben Computer Emergency Response Teams (CERTs) eingerichtet, die zum Teil auch erste Ansprechpartner für die Kommunen sind. Die Kommunikationskanäle müssen idealerweise auf Notfallkarten vorliegen, sodass sie auch genutzt werden können, wenn Computersysteme, Mailprogramme oder Telefonanlagen durch einen Angriff lahmgelegt sind. In Fällen, bei denen Kritische Infrastrukturen wie beispielsweise Strom- oder Wassernetze betroffen sind, kann das BSI auf Ersuchen der Betroffenen und nach erfolgter zügiger Einzelfallprüfung zusätzlich mit seinem Krisenteam, dem Mobile Incident Response Team (MIRT), vor Ort unterstützen.
Wiederholte Cyber-Angriffe verhindern
Das MIRT ist das mobile Einsatzteam des CERT-Bund und verfügt über eine umfangreiche Ausstattung, um Betroffene vor Ort kompetent unterstützen zu können. Oberstes Ziel ist dabei zunächst, dass die betroffene Institution kritische Prozesse aufrechterhalten bzw. zeitnah wiederherstellen kann. Nach einer Erstbewertung und einer Konsequenzen-Abschätzung führt das MIRT technische Analysen durch und berät die betroffene Organisation bei der Vorfallbewältigung. Dazu gehören beispielsweise die Sichtung von Logdaten, die technische Beweissicherung und die gemeinsame Erarbeitung einer Strategie zur Eindämmung und Behebung des Vorfalls. Damit die betroffene Organisation nicht erneut Opfer eines Angriffs wird, übergibt das BSI-Team nach Abschluss der Analysen Maßnahmenempfehlungen, um einen wiederholten Angriff zu verhindern.
