Hacker nehmen häufig auch Kommunen ins Visier. Doch wie können Verwaltungen ihre wertvollen Daten schützen?

leolintang/iStock/Getty Images

22.01.20
Prozessmanagement & IT

Wie Kommunen sich gegen Cyberattacken schützen können

Zahlreiche Kommunen wurden in den vergangenen Wochen von Cyberattacken getroffen. Sicherheitsexperte Knud Brandis gibt im DNK-Gespräch Tipps, wie Kommunen sich mit wenig Geld gegen Hacker wehren können.

Frankfurt am Main, Bad Homburg, Alsfeld: Binnen weniger Tage wurden um die Jahreswende herum die Verwaltungen mehrerer Kommunen von Hackern angegriffen. Um den potentiellen Schaden zu minimieren, mussten die Städte ihre IT-Systeme herunterfahren. Vor wenigen Tagen traf es dann noch das Rathaus in Potsdam.

Im Fall Alsfeld ist bislang noch unklar, wie die Kriminellen vorgegangen sind. In Frankfurt am Main und Bad Homburg sind die Angreifer mittels eines Trojaners in die IT-Infrastruktur gelangt. Als Bedingung dafür, dass die Systeme wieder freigeschaltet werden, forderten die Hacker Lösegeld. Diese Erpressungsmasche ist als „Ransomware“ bekannt, die schon viele Kommunen auch außerhalb Hessens getroffen hat.

Der direkte finanzielle Schaden ist bei einem solchen Angriff meist überschaubar. Dieser beläuft sich laut DNK-Informationen nur in Extremfällen im mittleren sechsstelligen Bereich, liegt jedoch meist deutlich darunter. Die wirklichen Kosten entstehen erst nachgelagert: Wenn etwa die Stadtwerke oder das Bauamt mehrere Wochen im Betrieb eingeschränkt sind, müssen Kommunen mit einer wesentlich höheren finanziellen Belastung rechnen. Auch die Bindung wichtiger Mitarbeiterressourcen und das Hinzuziehen von externen Experten können kostspielig sein.

Kommunen investieren zu wenig in Sicherheit

Die vielen erfolgreichen Hackerattacken sowie die zunehmende Professionalität der Angreifer bieten Anlass zur Sorge: Gerade die Sicherheit der kommunalen IT-Systeme gilt als besonders wichtig, da in den Verwaltungen sensible personenbezogene Daten verarbeitet werden, die für Verbrecher enorm wertvoll sein können. Leider sind die Budgets vieler Gemeinden zu klein, als dass sie ein Team an IT-Sicherheitsspezialisten beschäftigen könnten. „Viele Kommunen geben nur wenig Geld für ihre IT aus“, konstatiert Knud Brandis, Partner im Bereich Cybersecurity bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.

Allerdings gilt in der IT-Sicherheit nicht, dass viel Geld automatisch viel hilft. Kämmerer, die ihre Kommune vor Hackerattacken schützen wollen, müssen hierfür bei weitem keinen riesigen Teil ihres Budgets beiseitelegen. Zahlreiche kleine und oft auch kostengünstige Maßnahmen können dazu führen, dass die IT-Systeme deutlich besser gegen Angriffe gewappnet sind.

Diese Chancen werden vielerorts jedoch nicht in vollem Umfang genutzt. So bietet das Bundesamt für Sicherheit in Informationstechnik (BSI) die IT-Grundschutz-Kataloge an, die detailliert aufzeigten, wie Kommunen Sicherheitsmaßnahmen identifizieren und umsetzen können, sagt Brandis, der an dem Werk mitgeschrieben hat.

Kommunen können sich für wenig Geld gut schützen.

Die besten technischen Lösungen bringen aber wenig, wenn die Mitarbeiter und das technische Personal zu sorglos vorgehen. Daher muss die Belegschaft regelmäßig für das Thema IT-Sicherheit sensibilisiert werden. Sicherheitsexperte Brandis empfiehlt, das Wissen einfacher Mitarbeiter alle ein bis zwei Jahre aufzufrischen. „Personal, das mit besonders sensiblen Daten zu tun hat, sollten regelmäßig einmal im Quartal sensibilisiert werden“, so Brandis.

Was tun nach einem Cyberangriff?

Wichtig sei in jedem Fall, dass Kommunen einen Notfallplan zur Hand haben. Zentrale Fragen müssen vor einer Attacke geklärt sein – beispielsweise wie die Meldeketten im Falle eines Cyberangriffs sind. „Wenn ein Mitarbeiter einen erfolgreichen Angriff vermutet, muss er wissen, wo er sich melden kann“, sagt der PwC-Partner. „Wenn es eine Arbeitsanweisung gibt, dass er den Bürgermeister auch mitten in der Nacht anrufen darf, kann das Hemmschwellen abbauen.“ Um die Belegschaft zu sensibilisieren, können Kommunen auch einen erfolgreichen Cyberangriff simulieren, um sich für den Ernstfall zu wappnen. „Damit kann man gute Ergebnisse erzielen“, sagt PwC-Experte Brandis.

„Primärer Ansprechpartner ist immer das jeweilige Innenministerium beziehungsweise das Landeskriminalamt.“

Knud Brandis, PwC

Das sind alles präventive Maßnahmen. Was müssen Kommunen aber nach einem Hackerangriff beachten? „Primärer Ansprechpartner bei einer Hackerattacke ist immer das jeweilige Innenministerium beziehungsweise das Landeskriminalamt“, sagt Brandis. Zur Verstärkung sollten Kommunen auch externe Spezialisten hinzuziehen, zu denen neben PwC auch lokale Systemhäuser und andere IT-Unternehmen zählen können. In manchen Bundesländern gibt es zudem zentrale IT-Dienstleister, in Hessen etwa die Hessische Zentrale für Datenverarbeitung (HZD), die Gemeinden im Ernstfall unterstützen.

j.eich(*)derneuekaemmerer(.)de

Der Wechsel zur Digitalisierung ist vielerorts mit Wachstumsschmerzen verbunden. Hilfreiche Tipps erhalten Sie auf der DNK-Themenseite Digitale Verwaltung.

Anmerkung der Redaktion: Der Text wurde nach Erscheinen noch um die jüngste Cyberattacke auf Potsdam ergänzt.