Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet eine zunehmende Gefährdungslage für die IT-Systeme von Kommunen, Krankenhäusern und Unternehmen. In der vergangenen Woche hat das Amt einen IT-Sicherheitsbericht für den Zeitraum Juni 2020 bis Mai 2021 vorgelegt. Das Fazit von BSI-Präsident Arne Schönbohm fällt drastisch aus: „Im Bereich der Informationssicherheit haben wir – zumindest in Teilbereichen – Alarmstufe Rot“.
Die Schadsoftware-Varianten werden laut Bericht immer variantenreicher. Im Berichtszeitraum wurden insgesamt 144 Millionen neue Schadprogramm-Varianten produziert. Das entspricht 394.000 neuen Varianten pro Tag – ein Anstieg um 22 Prozent gegenüber dem Vorjahr.
Erpressung mit Schadsoftware
Oft geht es dabei um Erpressungsversuche. So verlangen Angreifer*innen Lösegelder für Datensätze, die sie zuvor verschlüsselt haben. Zum Beispiel mit der Schadsoftware Emotet – auch Kommunen wurden damit attackiert. Eine weitere Methode ist die Schweigegelderpressung. Hier drohen die Angreifer*innen, Daten zu veröffentlichen, die sie zuvor erbeutet haben. Mit dieser Masche können auch Opfer unter Druck gesetzt werden, die ihre Daten mit einem Backup gesichert haben. Beobachtet wurden zudem Schutzgelderpressungen und Spam-Kampagnen. Bei letzteren geben die Betrüger*innen nur vor, über sensible Daten zu verfügen, die sie veröffentlichen könnten, wenn die Opfer nicht zahlen.
Sorgen bereiten dem BSI auch Schwachstellen in IT-Produkten. So wurde eine Sicherheitslücke in Microsoft Exchange festgestellt, von der zwischenzeitlich 98 Prozent aller geprüften Systeme betroffen waren. Der Trend zum Homeoffice hat die Angriffsflächen nach Einschätzung des BSI noch vergrößert, weil auch VPN-Verbindungen oder Videokonferenz-Systeme von Cyber-Kriminellen attackiert werden können. Zudem seien dienstlich genutzte private Geräte von den IT-Abteilungen schwieriger zu kontrollieren.
Schlimme Folgen für Kommunen
Das BSI warnt im Bericht: „Um die Vorzüge einer digitalisierten Gesellschaft genießen zu können, müssen wir weiter wachsam und wehrhaft sein. Sonst gerät das Ziel einer erfolgreichen Digitalisierung in Gefahr.“
Wie gefährlich Cyber-Angriffe sein können, haben die vergangenen Monate gezeigt. So wurden die Verwaltungen der Stadt Schwerin und des Landkreises Ludwigslust-Parchim nach Hackerangriffen weitgehend lahmgelegt. In Nordrhein-Westfalen war die Stadt Witten betroffen. Und im Landkreis Anhalt-Bitterfeld mussten die örtlichen Behörden nach einem Cyber-Angriff den Katastrophenfall ausrufen.
Was der Staat tun kann
Wie können Kommunen besser geschützt werden? Das war am Dienstag Thema einer Panel-Diskussion auf der „Smart Country Convention“. Man müsse sich der öffentlichen Verwaltung verstärkt widmen, sagte Andreas Könen, Leiter der Abteilung Cyber- und Informationssicherheit des Bundesinnenministeriums. Hier seien im vergangenen Jahr monatlich 45.000 Mails mit Schadsoftware abgefangen worden – im Vorjahr waren es noch 35.000.
Könen warb dafür, die Rolle des BSI zu stärken und das Amt zu einer Zentralstelle für die IT-Sicherheit in Bund und Ländern auszubauen. Derzeit würden die rechtlichen Rahmenbedingungen eine direkte Zusammenarbeit von BSI und Kommunen erschweren. Es brauche auch eine Gesetzgebungs- und Verwaltungskompetenz des Bundes für die Abwehr von Gefahren. „Als Bund sind wir hauptverantwortlich für die Cybersicherheitsarchitektur“, meint Könen.
Was Kommunen beachten sollen
Kristin Scheel vom Fraunhofer-Institut für sichere Informationstechnologie (SIT) nannte eine Reihe von Prinzipien, die beachtet werden sollten – die „fünf V“. Dazu gehört Verankerung – „IT-Sicherheit ist kein IT-Problem“, so Scheel. Das Thema müsse „von oben“ festgestellt und gelebt werden. Wichtig seien zweitens klare Verantwortlichkeiten und ein festes Regelwerk, das klärt: Wer tut im Notfall was? Drittens warb Scheel für Vereinheitlichung, etwa durch interkommunale Zusammenarbeit. In manchen Kommunen bestehe die IT-Abteilung nur aus einer Person, die sich neben Sicherheitsfragen auch noch um vergessene Passwörter oder kaputte Laptops kümmern müsse. „Hier muss nicht jeder das Rad neu erfinden“, erklärte Scheel. Stattdessen solle man schauen, welche Ansätze es woanders schon gebe.
Auch innerhalb der Organisation sei es wichtig, dass die Akteur*innen sich horizontal und vertikal vernetzen, zählte Scheel weiter auf. Das letzte V sei die „Verbesserung“. Denn IT-Sicherheit sei kein Projekt, sondern ein Prozess, der kontinuierlich weiterlaufen müsse.
Einig waren sich die Expert*innen, dass Bund, Länder und Kommunen bei der IT-Sicherheit eine Vorreiterrolle einnehmen müssen. „Wer, wenn nicht die öffentliche Verwaltung, sollte das Vertrauen haben, dass die Daten da sicher sind“, kommentierte Kristin Scheel. Falk Herrmann vom Unternehmen „Rohde & Schwarz Cybersecurity“ geht davon aus, dass noch in dieser Dekade neue Verschlüsselungsverfahren etabliert werden müssen. Denn die Computer besäßen immer mehr Rechenleistung. Verfahren, die auf mathematischen Annahmen beruhen, seien deshalb bald nicht mehr sicher. Das BSI arbeite bereits daran, neue Verschlüsselungsverfahren zu entwickeln. Auch hierbei müsse die öffentliche Verwaltung vorangehen, meint Herrmann. „Das kostet natürlich erstmal Geld.“
Mehr Informationen