Herr Schönbohm, Frankfurt am Main, Bad Homburg, Potsdam, Berlin: Zahlreiche Städte wurden Anfang des Jahres Opfer von Cyberattacken, mussten in den meisten Fällen sogar komplett offline gehen. Sind das Einzelfälle, oder müssen wir uns daran gewöhnen?
Es sind leider keine Einzelfälle. Wir haben in der Tat eine sehr angespannte Gefährdungslage. Insgesamt gibt es unseren Schätzungen zufolge 900 Millionen Schadprogramme, vor einem Jahr waren es 700 Millionen. Jeden Tag kommen zwischen 300.000 und 400.000 neue Schadprogramme hinzu. Die zunehmende Digitalisierung erhöht zudem die potenzielle Angriffsfläche, dagegen muss und kann man sich wappnen.
Im Lagebericht 2019 des BSI warnen Sie auch davor, dass Hacker immer professioneller werden.
Ja, das stimmt. Früher brauchte man IT-Spezialkenntnisse, um Institutionen, Verwaltungen oder auch Unternehmen anzugreifen. Heute braucht man – etwas überspitzt – nur den Willen und die kriminelle Energie. Man kann die Dienstleistung „Crime-as-a-Service“ etwa im sogenannten Darknet einkaufen und Kriminelle beauftragen. Einen Teil der „erwirtschafteten“ Marge streichen die Kriminellen dann ein, da hat sich ein ganzer Wirtschaftszweig gebildet. Die Digitalisierung eröffnet uns allen Chancen, bietet aber auch Kriminellen neue Möglichkeiten und Angriffsflächen.
Hacker: Bitkom rechnet mit 100 Milliarden Schaden
Wie hoch ist der Schaden, der durch Cyberattacken entsteht? Können Sie das quantifizieren?
Es gibt dazu verschiedene Erhebungen. Der Branchenverband Bitkom etwa rechnet mit rund 100 Milliarden Euro pro Jahr an Schaden für die deutsche Wirtschaft. Es ist schwer zu bewerten, welche Kosten nach einem Cyberangriff anfallen. Berechnet man den Ausfall der Leistung? Wie beziffert man den Schaden, den der Bürger hat, weil er seinen Personalausweis nicht abholen oder sein Auto nicht anmelden kann? Wenn die Verwaltung lahmgelegt ist, können auch Trauungen nicht stattfinden. Das alles spiegelt sich in den Zahlen kaum wider, ist aber für Kommunen und deren Bürgerinnen und Bürger von hoher Relevanz.
Als besonders risikoträchtig haben sich für Verwaltungen sogenannte „Ransomware-Angriffe“ entpuppt.
Genau. Bei dieser Angriffsform verschlüsseln Angreifer die Systeme und fordern dann Lösegeld, um diese wieder freizuschalten, es ist also eine Art Erpressung. Als besonders gefährlich hat sich die Schadsoftware „Emotet“ erwiesen, die als „Türöffner“ für das Nachladen von Ransomware fungiert. Auch Einrichtungen des Gemeinwesens wie die Uniklinik in Gießen, das Berliner Kammergericht, die Verwaltungen in Neustadt am Rübenberge oder Frankfurt am Mainwaren in den vergangenen Monaten Ziel von Cyber-Angriffen mit „Emotet“.
Was macht „Emotet“ zu einer so starken Bedrohung?
Das Besondere an „Emotet“ ist, dass es Schadsoftware und Verbreitungstrojaner kombiniert. Wenn sich eine Verwaltung den Virus eingefangen hat, lädt dieser im Hintergrund weitere Schadsoftware herunter und verschickt E-Mails im Namen des Opfers. Die sind täuschend echt und fordern den Empfänger beispielsweise auf, das schöne Urlaubsfoto anzuschauen oder den beigefügten Link anzuklicken. Das alles geschieht vollautomatisiert, wodurch die Infektionsrate sehr hoch ist.
„Emotet kombiniert Schadsoftware und Verbreitungstrojaner.“
Kommunen ein beliebtes Ziel
Wieso sind gerade öffentliche Verwaltungen ein beliebtes Ziel der Hacker?
Da gibt es verschiedene Gründe. Kommunen verfügen über eine Vielzahl interessanter persönlicher Informationen, die sich für viel Geld weiterverkaufen lassen. Gleichzeitig ist der Umgang mit der Informationssicherheit vielerorts noch verbesserungswürdig.
Warum ist das so?
Der Informationssicherheit wird nicht überall die nötige Priorität eingeräumt. Bei der Digitalisierung hängt viel von den jeweiligen Entscheidern ab, davon, wie bewusst ihnen der Zusammenhang von Digitalisierung und Informationsicherheit ist.
Das Stichwort Digitalisierung greife ich gerne auf: Das Onlinezugangsgesetz (OZG) verpflichtet Kommunen dazu, die wichtigsten Services bis 2022 digital zur Verfügung zu stellen. Dadurch vergrößert sich letztlich auch das Einfallstor für Hacker, richtig?
Ich glaube, das OZG ist ein sehr wichtiger und sehr großer Schritt. Der Bürger kann künftig viele Dinge, für die er momentan noch zum Amt muss, bequem und sicher von zuhause erledigen. Es gibt ja schon viele Möglichkeiten der sicheren Identifizierung, da denke ich vor allem an den digitalen Personalausweis. Bei allem, was die digitale Verwaltung betrifft, steht das Thema Informationssicherheit auf der Prioritätenliste des Bundes an vorderster Stelle.
Dabei ist es gar nicht leicht, zwischen Nutzen und Risiko abzuwägen. Auf der einen Seite steht die Frage: Welche Services müssen digitalisiert werden? Auf der anderen Seite stellt sich die Frage: Welche Daten sind wie sensibel, und wie stark müssen diese geschützt werden?
„Man kann über eine Art Quarantäne nachdenken.“
Letztlich wäre es ja fatal, wenn Bürger das Vertrauen in die digitale Verwaltung verlören.
Absolut. Wenn sie eine Infektion mit „Emotet“ hat, muss die Behörde wissen, was zu tun ist, damit sich das nicht flächendeckend ausbreitet und zu Ausfällen der Bürgerdienstleistungen führt.
Was sind konkrete mögliche Maßnahmen, an denen das BSI arbeitet?
Ich bitte um Verständnis, dass ich darauf nicht im Detail eingehen kann. Nur so viel: Man kann über eine Verkapselung oder Segmentierung der Systeme nachdenken, damit die infizierten Einheiten vom Rest abgeschottet sind. Das ist dann eine Art Quarantäne.
IT-Grundschutz gibt Empfehlungen
Nur wenige Kommunen haben eigene Sicherheitsteams für die IT, sind auf externes Wissen angewiesen. Was bietet das BSI als Hilfe für Kommunen an?
Anleitung und Handreichung zum Aufbau eines angemessenen Schutzniveaus ist der IT-Grundschutz des BSI. Mit diesem stellen wir das Standardwerk der IT-Sicherheit zur Verfügung, aus dem sich auch Kommunen die für sie passenden Maßnahmen heraussuchen können. Der IT-Grundschutz ist Methodik und Maßnahmenempfehlung zugleich. Außerdem sind wir offen für wechselseitige Hospitationen in ausgewählten Kommunen, um die Probleme vor Ort zu verstehen und Hilfe anzubieten. Zudem organisieren wir in Städten und Landkreisen entsprechende Informations- und Sensibilisierungsveranstaltungen. Mir ist es wichtig zu betonen, dass das BSI nicht im Elfenbeinturm sitzt, sondern an einem Austausch interessiert ist.
Was können speziell Kommunen im IT-Grundschutz finden, was für sie nützlich ist?
Wir haben beim IT-Grundschutz beispielsweise ein Modul für Kommunen entwickelt, das dezidiert Maßnahmen für Städte und Gemeinden auflistet. Dazu gehört der Aufbau eines Managementsystems für Informationssicherheit, kurz ISMS. Wir geben darüber hinaus Hilfestellungen, was bei einem Notfall zu tun ist. Zu finden ist auch eine Liste mit qualifizierten Dienstleistern, die vom BSI für vertrauenswürdig befunden wurden und im Falle eines Cyberangriffs unterstützend tätig sein können.
„Das BSI sitzt nicht im Elfenbeinturm.“
Ein reger Austausch gilt als wichtige Schutzmaßnahme. Generell heißt es ja, privatwirtschaftliche Unternehmen würden nur ungern und zögerlich Informationen austauschen. Haben Städte und Gemeinden in dieser Hinsicht mehr Möglichkeiten, sich zu vernetzen und Know-how auszutauschen?
Zunächst einmal teile ich Ihre Einschätzung nicht, dass Unternehmen zögerlich sind. Gerade mit der „Allianz für Cyber-Sicherheit“ haben wir eine Plattform für über 4.000 Unternehmen und Institutionen geschaffen, die sich zu Attacken, Best Practices und Handlungsempfehlungen austauschen. Es geht darum, sich gegenseitig zu unterstützen, Informationen auszutauschen, von den Erfahrungen anderer zu profitieren, um die Informationssicherheit in Deutschland insgesamt zu erhöhen. Das gilt auch für die Städte und Kommunen. Dafür haben wir verschiedene Formate geschaffen – auch im Bereich der kritischen Infrastrukturen – über die wir einen engen und intensiven Austausch pflegen. Das ist auch notwendig, um erfolgreich zu sein.
Info
Anmerkung der Redaktion: Das Gespräch wurde vor dem Ausbruch der Coronakrise aufgezeichnet. Die Aussagen von Arne Schönbohm beziehen diese entsprechend noch nicht ein.
