Deutschlandweit kommt es immer häufiger zu Schadsoftware-Attacken auf die IT von Kommunalverwaltungen und kommunalen Einrichtungen. Das teilen die kommunalen Spitzenverbände mit.
Der Deutsche Städtetag, der Deutsche Landkreistag und der Deutsche Städte- und Gemeindebund verbreiteten am Dienstag eine Erklärung mit dem Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Gemeinsam haben sie Empfehlungen für den Umgang mit Lösegeldforderungen veröffentlicht.
Nicht auf Erpressungsversuche eingehen
Die Kriminellen benutzen hierfür Verschlüsselungstrojaner, sogenannte Ransomware: Mit einem eingeschleusten Schadprogramm werden die Datenbestände der Kommunen unlesbar gemacht. Anschließend werden die Verwaltungen aufgefordert ein Lösegeld zu zahlen, etwa in Form einer Überweisung ins Ausland.
BKA-Präsident Holger Münch warnt: „Betroffene Kommunen sollten niemals auf Erpressungsversuche von Cyberkriminellen eingehen.” Denn damit würden sie das Geschäftsmodell der Erpresser nur unterstützen. Oft seien die Lösungsgelder auch umsonst gezahlt worden. „Die Daten bleiben verschlüsselt und die Täter setzen ihre Straftaten ungehindert fort.“ Münch empfiehlt den Verwaltungen stattdessen, die zuständigen Behörden zu informieren, um eine Strafverfolgung zu ermöglichen.
Schutz gegen IT-Angriffe
Enorm wichtig sind rechtzeitige Präventionsmaßnahmen, wie BSI-Präsident Arne Schönbohm betont: Konsequent umgesetzte IT-Sicherheitsmaßnahmen seien der beste Schutz vor Lösegeldforderungen. Dies sei ein kontinuierlicher Prozess. Das BSI unterstütze diesen mit einem IT-Grundschutz-Profil für Kommunen. „Neben den essenziellen Präventionsmaßnahmen bietet das BSI auch Informationen zur Ersten Hilfe bei IT-Sicherheitsvorfällen an“, sagt Schönbohm. Die Auswirkungen eines Cyberangriffes könnten mit einem effektiven Notfallmanagement minimiert werden.
Für die kommunalen Spitzenverbände ist es auch eine Frage der Haltung, dass Städte und Gemeinden auf Lösegeldforderungen gar nicht erst eingehen sollen. „Es muss klar sein, kommunale Verwaltungen sind nicht erpressbar“, heißt es in einem Statement der Verbände. Sonst würden den Kriminellen noch falsche Anreize geboten. „Für derartige Angriffe auf die Funktionsfähigkeit kommunaler Dienstleistungen, die Daten von Bürgerinnen und Bürgern und deren Steuergeld muss eine Null-Toleranz-Politik gelten.“
Welche Folgen IT-Angriffe für eine Verwaltung haben können, hat zum Beispiel Neustadt am Rübenberge schmerzlich erfahren müssen. Im September 2019 wurden mit einem Trojaner-Angriff Rechner, Server und sogar die Backups verschlüsselt. Große Teile der Verwaltung waren daraufhin für mehrere Tage lahmgelegt. Die Kfz-Zulassungsstelle und die Bibliothek blieb geschlossen, Pässe konnten nicht beantragt werden, Kitas waren nicht mehr per E-Mail erreichbar. Im Dezember gingen die Städte Frankfurt am Main und Bad Homburg nach einem Cyberangriff offline. In allen Fällen nutzten die Kriminellen den Schädling Emotet, um sich Zugriff auf die Daten zu verschaffen.
Mehr
Empfehlungen zum Umgang mit Lösegeldforderungen (PDF)
BSI-Dossier zu Ransomware (PDF)
