Den Hackern quasi ausgeliefert: Die IT-Sicherheitslage in der öffentlichen Verwaltung bleibt mehr als kritisch
von Svenja Koch
Immer häufiger finden Ransomware-Angriffe auf Behörden statt. Die IT-Sicherheitslage der Kommunen ist bedenklich, sind sich Experten einig.
Die Schlagzeilen zu erfolgreichen Cyberangriffen reißen nicht ab – im Gegenteil. Das Thema IT Security hat für Unternehmen mittlerweile einen zentralen Stellenwert eingenommen, die meisten Verantwortlichen haben die Gefahren, die von Hackerangriffen ausgehen, realisiert. Wie aber sieht es mit der IT-Sicherheitslage in Kommunen aus? Sowohl finanziell als auch vom Wissensstand her hinkt die Cyber Security der Städte in Deutschland häufig den Mindeststandards hinterher - mit der Folge, dass es Cyberkriminellen häufig zu leicht gemacht wird, erfolgreiche Ransomware-Angriffe auf Behörden durchzuführen.
Ransomware-Angriffe auf Behörden – Beispiele aus der jüngeren Vergangenheit
In den letzten Jahren haben die Cyberangriffe auf staatliche Behörden drastisch zugenommen. Besondere Aufmerksamkeit hat der Vorfall im Landkreis Anhalt-Bitterfeld erregt. Anfang Juli 2021 rief die Kreisverwaltung den ersten Cyber-Katastrophenfall Deutschlands aus. Weite Teile der IT-Infrastruktur waren einem Ransomware-Angriff auf die Behörde zum Opfer gefallen. Ganze Server verschlüsselten die Cyberkriminellen. Die führte dazu, dass Behörden wie die Kfz-Zulassungsstelle den Dienst einstellen mussten und auch Zahlungen im Bereich der Sozial- und Jugendhilfe ausfielen. Selbst Wochen nach dem Vorfall kämpfte die Verwaltung noch mit der Wiederherstellung der Systeme.
Jedoch ist dies beileibe kein Einzelfall. Zwischen 2014 und 2021 gab es über 100 Cyberangriffe auf Verwaltungen, Behörden und andere staatliche Einrichtungen in Deutschland. Dies geht aus Informationen der Innenministerien der Länder sowie der Bundesregierung hervor. Die Dunkelziffer liegt sogar noch höher, denn aus einigen Bundesländern wie Nordrhein-Westfalen, Hessen oder Berlin liegen gar keine Daten vor.
Es sind außerdem Fälle von Ransomware-Angriffen auf Behörden in Deutschland bekannt, bei denen die öffentlichen Einrichtungen den Erpressungen der Hacker nachgaben. So zahlte im Jahr 2019 das Staatstheater Stuttgart 15.000 Euro, um den Zugang zu den eigenen Daten zurückzuerhalten. So fließen auch Steuergelder in die Hände von Cyberkriminellen.
Die aktuelle IT-Sicherheitslage von Kommunen
Die Anzahl der Cybersicherheitsvorfälle sowie die damit verbundenen Auswirkungen und Reaktionen der Kommunen erlauben es, realistische Rückschlüsse auf deren aktuelle IT-Sicherheitslage zu ziehen. Auch wenn grundsätzlich keine vollständige Sicherheit vor Cyberangriffen besteht, zeigen sich aufgrund der gemeldeten Fälle durchaus gravierende - und damit hochriskante - Mängel in der Cyber Security von Städten, Behörden und anderen öffentlichen Einrichtungen.
Beispiele dafür sind die Vorfälle im Staatstheater Stuttgart sowie im Landkreis Anhalt-Bitterfeld. In Stuttgart waren die Verantwortlichen genötigt, auf die Erpressungsforderung einzugehen. Die Alternative schien also ein kompletter Verlust der Daten zu sein. Dies offenbart, dass keine Backup- und Wiederherstellungsstrategie vorhanden war. Ähnlich sieht die Lage bei der Verwaltung vom Landkreis Anhalt-Bitterfeld aus. Da es Wochen dauerte, bis die wichtigsten Behörden wieder einigermaßen einsatzfähig waren, scheint keine oder nur eine unzureichende Incident Response Readiness im Falle von Ransomware-Angriffen auf Behörden vorhanden zu sein.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Die Analyse des Vorfalls in Anhalt-Bitterfeld ergab außerdem, dass die Sicherheitslücke, die die Cyberkriminellen nutzten, bereits seit einiger Zeit bekannt war. Obwohl die Kommune beteuerte, dass zeitnah das entsprechende Sicherheitsupdate aufgespielt wurde, das die Lücke schließen sollte, lassen sich hieraus Mängel in der Incident Response Readiness der Kommunen ableiten. Zum einen erscheint es möglich, dass das notwendige Sicherheitsupdate für das Betriebssystem Windows nicht schnell genug oder nicht auf allen Rechnern im Netzwerk installiert wurde. Das legt den Schluss nahe, dass die Update-Routinen in der Verwaltung verbesserungswürdig sind. Zum anderen scheint es so, dass die Cyberkriminellen eine längere Zeit unbemerkt im Netzwerk der Verwaltung aktiv waren. Diese Zeit nutzten die Angreifer, um die Strukturen des Netzwerks auszuspionieren und die Ransomware auf möglichst vielen Servern zu verteilen. Es fehlte an dieser Stelle offenkundig eine Lösung, die in der Lage ist, außergewöhnliche Aktivitäten von unbefugten Nutzern im Netzwerk zeitnah zu erkennen.
Zwar gibt es Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Cyber Security für Städte und andere öffentliche Einrichtungen, jedoch fehlen nach wie vor Kontrollorgane. Hinzu kommt, dass jede Kommune für die Verwaltung der IT (-Security) selbst verantwortlich ist. Dies sorgt dafür, dass auch die IT-Sicherheitslage der Kommunen durchaus unterschiedlich zu bewerten ist. Einige Verwaltungen verfügen über mehr finanzielle Mittel als andere, so dass sie bereits frühzeitig in der Lage waren, ihr IT Security Team größer aufzustellen und entsprechende Tools und umfassende Schutzmaßnahmen für ihre IT-Sicherheit zu implementieren.
Auch der Städte- und Gemeindebund Sachsen-Anhalt hat kürzlich auf diesen Mangel hingewiesen. Während einige Kommunen über ein hohes IT-Sicherheitsniveau verfügen, stellte der Landesgeschäftsführer des Städte- und Gemeindebundes fest, dass es in anderen Verwaltungen noch deutlichen Nachholbedarf gibt. Eine Überprüfung der IT-Sicherheitslage in der Kommune Wittenberg beispielsweise ergab, dass Nachbesserungen in einigen Bereichen der IT Security notwendig waren. Der Landkreis Harz begann aufgrund der Geschehnisse in Anhalt-Bitterfeld mit dem Aufbau eines neuen Rechenzentrums. Dabei legen die Verantwortlichen Wert darauf, dass der aktuelle Stand der Technik in der IT Security, wie es das BSI fordert, umgesetzt ist.
An der aktuellen IT-Sicherheitslage der Kommunen zeigt sich, dass die Regierung den überproportional schnellen Anstieg der Cyberbedrohungen so nicht vorhergesehen hat. Experten gehen davon aus, dass es noch Jahre dauern wird, bis ein gleichmäßig hohes Niveau bei der Cyber Security der Städte und Kommunen erreicht wird. Einige IT-Sicherheitsexperten monieren darüber hinaus, dass nicht einmal der Grundstein für dieses Ziel gelegt ist. Die Vorgaben für die IT-Sicherheit inklusive eines Kontrollorgans müssen die Bundesregierung und die Landesregierungen einrichten.
Diese Formen von Cyberangriffen bedrohen Städte und Kommunen
Die Cyber Security von Städten und anderen öffentlichen Behörden muss mit einer breiten Front von Cyberbedrohungen umgehen. Die alltäglichen Gefahren durch Malware oder Viren sind dabei nur ein Faktor. Diese Schadprogramme sind jedoch harmlos im Vergleich zu Ransomware-Angriffen auf die Behörden. Hierbei handelt es sich in der Regel um gezielte, geplante und manuell gesteuerte Attacken. Hinter solchen Cyberangriffen stecken meist eine hohe kriminelle Energie sowie finanzielle Interessen. Dabei ist der Fokus auf IT-Infrastrukturen von öffentlichen Einrichtungen kein Zufall. Hacker wissen natürlich ebenso um die Schwachstellen in der IT-Sicherheit von Kommunen und Städten. Zum einen macht es dies für die Angreifer leichter, in die Systeme einzudringen. Zum anderen sind die Chancen auf eine erfolgreiche Erpressung größer, da es wahrscheinlich ist, dass die Behörden auch Schwächen im Bereich des Disaster Recovery Managements aufweisen.
Haben die Angreifer erst eine Lücke in der Cyber Security der Städte gefunden, wird die Ransomware möglichst weit verteilt. Dadurch versuchen die Cyberkriminellen, einen möglichst großen Schaden anzurichten. Schaffen es die Hacker, mit Ransomware-Angriffen Behörden vollständig lahmzulegen, geraten die Verwaltungen unter massiven Druck, schnellstmöglich zu handeln. Gerade die Verwaltungen von Kommunen und Städten sind auf Handlungsfähigkeit angewiesen, ansonsten kommen Teile des öffentlichen Lebens zum Erliegen. Dies erhöht die Chance für Kriminelle, dass die Verantwortlichen auf die Lösegeldforderung eingehen, um so wieder Zugang zu den eigenen Daten zu erhalten.
Diese Methoden und Maßnahmen erhöhen das IT-Sicherheitsniveau in den Kommunen
Bund und Länder gehen die aufgezeigten Punkte zur Absicherung ihrer IT-und Informationssicherheit aufgrund der steigenden Anzahl an Cyberangriffen jetzt verstärkt an. Die Landesregierung von Sachsen-Anhalt beispielsweise startete im Juli 2021 ein Investitionsprogramm, über das Kommunen finanzielle Mittel zur Erhöhung der Datensicherheit erhalten. Auch die Bundesregierung stellt über das Strukturprogramm II Finanzmittel für die IT-Sicherheit bereit und will so Investitionen in die Cyber Security der Städte ankurbeln.
Ein wichtiger Punkt sind jedoch auch die aktuell fehlenden, einheitlichen Regeln bei den IT-Sicherheitsrichtlinien. Obwohl das BSI Vorgaben für die IT-Sicherheit macht, ist die Umsetzung dieser Maßstäbe häufig noch mangelhaft. Dies liegt vor allem daran, dass ausreichend Kontrollmechanismen sowie verpflichtende Zertifizierungen fehlen. Über Vorgaben und Kontrollen durch die Bundes- und Landesregierungen ließe sich ein einheitliches Sicherheitsniveau bei den IT-Verwaltungen in Deutschlands Kommunen etablieren. Gerade die Infrastrukturen mit den größten Schwächen profitieren von solchen Vorgaben, denn hier sind die IT-Sicherheitslücken besonders auffällig und somit auch gefährlich. Solche einheitlichen IT-Sicherheitsstandards sind unabdingbar, damit die zuständigen IT-Abteilungen zukünftig Ransomware-Angriffe auf Behörden verhindern.
Der zweite Punkt betrifft hingegen konkrete Maßnahmen. Deutlich wird, dass Cyberangriffe auf Städte und Kommunen erfolgreich sind, weil in vielen Verwaltungen bestimmte IT-Sicherheitskonzepte nicht vorhanden bzw. nicht nachhaltig implementiert sind. Dazu gehört beispielsweise ein Disaster Recovery Management. Auch bei erfolgreichen Cyberangriffen mit Ransomware ermöglicht ein solcher Plan mithilfe von Backups und einer Strategie für die Wiederherstellung, dass die Cyber Security der Städte und Kommunen die betroffenen Systeme innerhalb kurzer Zeit wieder einsatzbereit bekommt.
Weitere Schwachstellen zeigen sich im Bereich der proaktiven Maßnahmen gegen unentdeckte Eindringlinge in die Netzwerke. Für KRITIS-Einrichtungen ist die Implementierung von Systemen für die aktive Erkennung von Cyberattacken ab Mitte 2023 verpflichtend. Eine Vorgabe für die Integration in die IT-Infrastrukturen von Kommunen und Städten fehlt hingegen noch. Diese Technik identifiziert proaktiv Netzwerk-Anomalien und spürt damit zeitnah Eindringlinge im Unternehmensnetzwerk auf. Auf diese Weise lässt sich verhindern, dass Hacker lange Zeit unentdeckt in den Netzwerken der Behörden aktiv sind und dort Ransomware platzieren.
Fazit
Bei der Cyber Security der Städte und Gemeinden gibt es aktuell noch viel Luft nach oben. Hacker nehmen immer häufiger gezielt öffentliche Einrichtungen ins Visier und führen Ransomware-Angriffe auf Behörden aus. Eine große Herausforderung sind die unterschiedlichen Standards in der Cyber Security der Städte und Kommunen. Einige Verwaltungen sind gut aufgestellt, was die IT-Sicherheit betrifft, andere haben Lücken in Teilbereichen und in einigen Kommunen ist das IT-Sicherheitsniveau wahrscheinlich als noch mangelhaft einzustufen. Wichtig für die zukünftige IT-Sicherheitslage der Kommunen sind bundesweite, einheitliche Regeln und Vorschriften. Für die Umsetzung in der Praxis bedarf es dazu staatlicher Kontrollmechanismen. Ansonsten wird die IT-Sicherheitslage der Kommunen auch in Zukunft, zumindest in einzelnen Kommunen, kritisch bleiben.
Sind Sie bereits rundum gut geschützt gegen Cyberangriffe? Kontaktieren Sie uns - wir beraten Sie gerne!
Zum Thema passende Artikel
Der zweite Dienstag im Monat ist traditionell der „Patchday“ von Microsoft. Administratoren und Endnutzer erhalten durch diesen Tag eine vorhersehbare Routine, um die eingesetzten Systeme auf dem neuesten Stand zu halten und bekannte Sicherheitslücken zu schließen. Durch die Bündelung der Updates auf einen Tag können die IT-Teams besser planen und so effizient sicherstellen, dass die IT-Infrastruktur zeitnah aktualisiert wird. Am Patchday im Oktober hat Microsoft insgesamt 103 Updates veröffentlicht, von denen 13 als kritisch eingestuft wurden.
Weiterlesen … Patchday Oktober 2023 - Diese Lücken schließt Microsoft
Phishing, Ransomware, Datenspionage – die Liste der Cyberbedrohungen ist lang. Gleichzeitig gehen Cyberkriminelle immer raffinierter und professioneller vor. Folglich nimmt das Risiko, Opfer einer Cyberattacke zu werden, in Deutschland und auf der ganzen Welt weiter zu. Vor allem kleine und mittlere Unternehmen verfügen gewöhnlich nicht über die nötigen Ressourcen, um Cyberangriffe selbst rechtzeitig zu erkennen und so abwehren zu können. Die Nachfrage nach Managed Security Service Providern (MSSP) und deren vielfältigen Leistungsangeboten ist daher ungebrochen hoch. Wir verraten Ihnen, worauf Sie bei der Wahl eines externen Dienstleisters achten sollten.
Weiterlesen … Managed Security Services: So gefragt wie nie zuvor
Während die Fertigungsbetriebe umfassend in die notwendige digitale Infrastruktur für das IIOT (Industrial Internet of Things) investieren, bleibt die IT Security zumeist auf der Strecke. IT-Sicherheitsmaßnahmen gegen Cyberbedrohungen und unterschiedlichste Cyberangriffe beruhen viel zu häufig noch auf veralteten Sicherheitskonzepten. Warum mehrschichtige Cyber-Verteidigungssysteme jetzt unabdingbar werden und wie sich durch Threat Hunting und Active Cyber Defense die IT Security in einem Produktionsbetrieb deutlich erhöhen lässt, erfahren Sie in diesem Beitrag.