15. Oktober 2021: Nach einem Cyberangriff mit Verschlüsselungs- oder Ransomsoftware war Mecklenburg-Vorpommerns Landeshauptstadt Schwerin von der digitalen Außenwelt abgeschnitten. Aus „Sicherheitsgründen und zur Reduzierung weiterer Schäden“ seien „sämtliche Systeme und Server der Stadtverwaltung Schwerin durch den IT-Dienstleister heruntergefahren“ worden, hieß es auf der Internetseite. Erst nach und nach funktionierte das kommunale digitale Angebot wieder.
Schwerin ist nicht die erste Stadt in Deutschland, die digital attackiert worden war, im Gegenteil: Bei sogenannten Cyberangriffen beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) „eine Verlagerung der Attacken“, steht im Lagebericht für 2023: „Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen.“ Geschehe dies, seien „die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen“. Bürgernahe Dienstleistungen würden nicht mehr funktionieren. Die Auswirkungen dessen bekam nicht nur Schwerin zu spüren. Schlagzeilen machte der umfangreiche Cyberangriff auf den Landkreis Anhalt-Bitterfeld.
Abgegrenzte Zuständigkeiten
Inzwischen sind die Kommunen besser gegen die Bedrohung aus dem Netz gewappnet – wenn es auch keine totale Sicherheit gibt. Darin sind sich die Vertreter*innen aus Schwerin und dem BSI einig. „Eine 100-prozentige Sicherheit gibt es nicht (und wird es nicht geben)“, schreibt eine Sprecherin in einer E-Mail. Ein Sprecher des BSI schlägt in die gleiche Kerbe. Das Hauptproblem sehen die Expert*innen unter anderem in den unterschiedlichen Zuständigkeiten von Bund, Land und Kommunen. Genau genommen ist das BSI nur für die Bundesbehörden zuständig.
Haben es die Cyber-Spitzbuben erst einmal geschafft, das IT-System einer Kommune zu entern, müssen sich die Betroffenen an eines der sogenannten CERT wenden – die Buchstaben stehen für „Computer Emergency Reponse Team“. Diese sind entweder für ein Bundesland oder gleich für mehrere zuständig. So hat Mecklenburg-Vorpommern laut Webseite bereits seit 2015 sein eigenes CERT. Das Saarland wiederum hat sich mit dem benachbarten Rheinland-Pfalz zusammengetan und das CERT Nord kümmert sich um die Länder, Hamburg, Bremen, Schleswig-Holstein sowie Sachsen-Anhalt. Das Problem laut Auskunft aus Schwerin: „Bei einem Cyberangriff ist forensisches Spezialwissen nötig, was extern eingekauft werden muss und in den Kommunen meist kaum vorhanden ist, da es im laufenden Betrieb nicht benötigt wird.“
Hilfe für die Kommunen
Zwar die Bedrohungslage gerade für kleine Kommunen unverändert hoch. Doch so ganz alleine stehen Städte und Landkreise nicht mehr da. Bereits seit dem Jahr 2019 bietet das BSI seine Kenntnisse im Rahmen einer Informationssicherheitsberatung für Länder und Kommunen an. Darin geht es nach Auskunft der Behörde in erster Linie um die Felder Informationssicherheitsmanagement, Sicherheitskonzeptionen sowie den sogenannten IT-Grundschutz. Zwar gebe es keine individuellen Beratungen für Kommunen, so das BSI. Dafür setzt die Behörde auf die Qualifizierung von Multiplikatoren auf kommunaler Ebene, zielgruppenspezifische Veranstaltungen sowie die Vernetzung der verantwortlichen Behörden von Bund, Ländern und Kommunen.
Aber nicht nur das, im August 2023 stellte die Bundesbehörde das Projekt „Weg in die Basisabsicherung“ (WiBA) vor – mit insgesamt 18 Checklisten zum Einstieg in die Informationssicherheit. „WiBA bietet einen unkomplizierten und ressourcenschonenden Einstieg in den IT-Grundschutz“, teilt das BSI mit. So könne ein erster, aber wesentlicher Schritt in Richtung systematischer Informationssicherheit erfolgen. Und: „Die themenspezifischen WiBA-Checklisten zum Einstieg in die Informationssicherheit wurden im Oktober zur diesjährigen Jahrestagung der Informationssicherheitsbeauftragten in Ländern und Kommunen durch das BSI final veröffentlicht und stehen auf der BSI-Seite zum kostenlosen Download zur Verfügung.“ Darüber hinaus gibt es seit kurzem auch den Cybersicherheitskompass für Mitarbeitende in den Kommunen.
WiBA-Bilanz und die Zukunft
Am Projekt WiBA waren vier Modellregionen beteiligt: die Gemeinde Balgheim, die Städte Rees und Schwerin sowie die Landkreise Leipzig und Regen. Die Bilanz in Schwerin fällt durchaus positiv aus. „Das WiBA-Projekt hat einen strukturierten Blick auf die notwendigen Cyberabwehrmechanismen gegeben“, heißt es vom Schweriner See. Und: „Teilweise wurden Bereiche beleuchtet, bei denen technisch und organisatorisch nachgebessert wurde.“ Ausgeweitet müsse das Projekt nicht. Aber: „Es wäre hilfreich, den WiBA-Fragenkatalog bei Bedarf durch das BSI begleiten zu lassen, da die Fragen teilweise unterschiedlich interpretiert werden können.“
Dies sind zwar Schritte in die richtige Richtung. Gleichwohl aber, so sind sich die Expert*innen einig, ist noch Luft nach oben. Aus Sicht der Stadt Schwerin sind regelmäßige Weiterbildungen der IT-Sicherheitsbeauftragten, die Schnelle detaillierte Informationen über die Cybersicherheitslage und aktuelle Cybersicherheitsvorfälle und die Bereitstellung von Geld notwendig – was nicht unumstritten ist, gerade in Kommunen. Wenn die Kassenlage knapp ist und es gilt, zwischen der Sanierung einer Schule oder der Investition in die IT-Sicherheit zu investieren, gewinnt aller Erfahrung nach meisten die Schulsanierung. „IT-Sicherheit ist leider nicht sichtbar“, meint die Schweriner Sprecherin.
Um die Datensicherheit des ganzen Landes zu erhöhen, seien zudem die Bereitstellung zentraler Dienste in geschlossenen Behördennetzen notwendig, wie der schon länger in der Diskussion befindlichen Bundescloud – „um die Angriffsfläche zu verringern.“ Und: „Bund und Länder sollten Fachleute vorhalten, auf die die Kommunen bei Bedarf zugreifen können.“ Seitens des BSI sei der Ausbau der Behörde „zu einer Zentralstelle in der Cyber- und Informationssicherheit im Bund-Länder-Verhältnis“ eine Möglichkeit, „um die föderale Zusammenarbeit effektiver und effizienter auszugestalten.“ Die Behörde betont, dass nur durch „eine intensive, dauerhafte und fortgesetzte Zusammenarbeit, die auf einem schnellen und möglichst umfassenden gegenseitigen Informationsaustausch basiert, den Gefahren im grenzenlosen Cyberraum etwas entgegenzusetzen sei“.
