Cyberangriffe nehmen immer mehr zu: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatierte im neuen Bericht für 2023: „Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Dabei haben die Cyberkriminellen laut Bericht zunehmend auch staatliche Akteure und Verwaltung im Visier, neben Unternehmen und Individuen.
Dabei geht das BSI in seinem Bericht von Angriffen mit Ransomware als derzeit größter Bedrohung aus. Diesen Begriff definiert das BSI auf seiner Webseite: „Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt.“ Allgemein steigt die Anzahl der Sicherheitslücken demnach: Zuletzt hat das BSI durchschnittlich 70 neue Schwachstellen pro Tag festgestellt.
Plattner: „Cybersicherheit substanziell erhöhen“
Um die Cybersicherheitslage rund um die Uhr im Blick zu behalten hat das BSI kürzlich das neue mit hochmoderner Technik ausgestattete Nationale IT-Lagezentrum eröffnet. Bundesinnenministerin Nancy Faeser (SPD) sagte: „Wir wappnen uns gegen diese Bedrohungen. Das neue Lagezentrum unserer Cybersicherheitsbehörde BSI zeigt das. Hier laufen die Fäden zusammen, um unsere Systeme zu schützen.“
BSI-Präsidentin Claudia Plattner betonte: „Mit dem neuen Nationalen IT-Lagezentrum haben wir die Infrastruktur geschaffen, die wir benötigen, um die Cybersicherheit in Deutschland substanziell zu erhöhen. Der nächste Schritt, der dafür nötig ist, ist die Verbesserung der Cybersicherheitsarchitektur in Deutschland – mit dem BSI als Zentralstelle im Bund-Länder-Verhältnis.“
Keine Meldepflicht für Kommunen
Was bedeutet das für den kommunalen Bereich, der immer häufiger Angriffen ausgesetzt ist? Laut BSI-Bericht wurden durchschnittlich zwei Ransomsoftware-Angriffe auf Kommunalverwaltungen oder kommunale Betriebe pro Monat bekannt. Die wahre Zahl dürfte indes höher liegen.
Denn grundsätzlich gilt aufgrund der föderalen Struktur der Bundesrepublik, dass die IT-Sicherheit von Kommunen in der Zuständigkeit der Länder liegt. Demzufolge „besteht bei IT-Sicherheitsvorfällen für Kommunen (oder deren IT-Dienstleister) weder eine Meldepflicht an das BSI noch existiert ein gesamtstaatliches Lagebild, sodass dem BSI keine erschöpfenden bzw. empirisch belastbaren Zahlen zu IT-Sicherheitsvorfällen bei Kommunen oder kommunalen Betrieben vorliegen“, wie das BSI auf Anfrage der DEMO-Redaktion mitteilt.
Das BSI sichtet nach eigenen Angaben im Nationalen IT-Lagezentrum allerdings täglich über 1.000 Artikel aus rund 400 Quellen. Daneben gehen über 22 Meldestellen jährlich rund 2.800 Meldungen zu IT-Sicherheitsvorfällen und Schwachstellen ein. „In diesem Rahmen erfährt das BSI auch von IT-Sicherheitsvorfällen im kommunalen Bereich“, heißt es.
Engagement für kommunale Sicherheit
Das BSI engagiert sich indes auf verschiedenen Wegen für die Cybersicherheit von Kommunen, etwa über das Projekt „Weg in die Basis-Absicherung“ (WiBA). „Damit soll vor allem für Kommunen der Einstieg in die Informationssicherheit vereinfacht werden“, teilt die Pressestelle mit. Durch themenspezifische Checklisten sei „in enger Abstimmung mit kommunalen Akteuren“ eine Möglichkeit geschaffen worden, „auch ohne tiefere Kenntnis einer formalen Methodik zunächst Sachstände zur Informationssicherheit zu erheben und essentielle Maßnahmen zur Verbesserung zu identifizieren“. Für den Einstieg in den IT-Grundschutz stellt das BSI im Netz Informationen bereit https://www.bsi.bund.de/dok/WIBA
BSI steht beratend zu Seite
Kommt es zu IT-Sicherheitsvorfällen in Kommunen steht das BSI natürlich als Ansprechpartner beratend zur Seite, sofern die Kommunen dies wünschen, bestätigt die Behörde der DEMO. „In herausgehobenen Fällen kann das BSI auch mit einem so genannten Mobile Incident Response Team (MIRT) vor Ort tätig werden“, so die Behörde. Das war etwa im Landkreis Anhalt-Bitterfeld der Fall gewesen. 2021 war die IT des Landkreises aufgrund eines Hackerangriffs lahmgelegt und es wurde zeitweilig Katastrophenalarm ausgelöst.
„Eine dauerhafte oder verstetigte Zusammenarbeit mit Kommunen darf das BSI aus verfassungsrechtlichen Gründen bislang aber nicht pflegen“, betont die Behörde.
Plattner: „Gefahren besser antizipieren“
Sollte die von Plattner anvisierte Zentralstelle kommen, könnten davon die Bundesländer profitieren: „Mit einer Zentralstelle hätten wir endlich ein einheitliches und präzises nationales Lagebild für eine echte Ad-hoc-Einschätzung der Bedrohungslage“, so Plattner. Zudem könnten die Länder das Schadprogramm-Erkennungssystem (des BSI) mitnutzen und Gefahren besser antizipieren. Mittelbar dürften davon auch Kommunen profitieren.
