3. Ausgabe 2022 | Nr. 86
IT-Sicherheit – Warum man sich nicht freikaufen kann
Die (indirekte) Antwort auf diesen zugegebenermaßen rhetorischen Titel sei diesem Beitrag schon mal vorangestellt: „…160 Software-Programme betroffen, ein Schaden von rund zwei Millionen Euro. Zum ersten Mal in Deutschland wurde der Cyber-Katastrophenfall ausgerufen. …“ (Behörden Spiegel news-
letter vom 18.08.2022) Nein, dies entstammt keinem fiktiven Krisensimulationsszenario, dies war auch keine Übung, sondern ist das reale, knallharte Fazit eines bekannt gewordenen IT-Sicherheitsvorfalls in der Verwaltung eines Landkreises – hier bei uns in Sachsen-Anhalt im Sommer 2021. Die Aufzählung von ähnlich gelagerten Ereignissen der letzten Jahre ließe sich beliebig fortschreiben, nur ragt dieser Fall wegen der katastrophalen wie spektakulären Schadenswirkung sowie der Aktualität und regionalen Nähe doch noch einmal ganz besonders heraus.
Die absolut verfehlte Schlussfolgerung wäre das Wiegen in einer vermeintlichen, weil fiktiven, Sicherheit bzgl. der eigenen IT-Strukturen. Ganz im Gegenteil muss dies nicht nur ein zarter Weckruf, sondern vielmehr ein ohrenbetäubender Paukenschlag für alle Verantwortlichen in den Kommunalverwaltungen und allen politischen Verwaltungsebenen sein – egal ob Verbandsgemeinde, Kommune, kreisfreie Stadt, Landkreis, Landes- oder Bundesverwaltung.
Die Bedrohungslage ist unabhängig von der Größe der IT-Landschaft grundsätzlich für alle permanent und zudem hochdynamisch wie -komplex, unabhängig (aber nicht unbeeinflusst) von geopolitischen oder sonstigen Großwetterlagen. Informationssicherheit ist eine umfassende und immerwährende Anforderung zum Schutz jedweder Daten, auch in nicht digitaler Form (z. B. Papierakten), die einen Wert für die Organisation darstellen.
„Cyberkriminelle sind fokussiert und verbessern ihre Fähigkeiten und Techniken ständig. Wenn Sie nicht dasselbe tun, kann es nur einen Gewinner geben.“
Michael Heuer, Vice President, DACH bei Proofpoint
An dieser Stelle gilt es mit einer ebenso hartnäckigen wie weitverbreiteten Mär aufzuräumen: der Illusion, dass eine Kommunalverwaltung und deren Daten kein ‚lohnendes Ziel‘ für Angriffe auf deren IT seien. Diese realitätsverweigernde Annahme blendet aus, dass Angriffe auf IT-Strukturen überwiegend gar nicht zielgerichtet erfolgen, wie dies medial immer wieder irreführend dargestellt wird. Vielmehr wird alles angegriffen, was angreifbar ist – und angreifbar ist alles, was über identifizierte (technische, softwareseitige, organisatorische, prozessuale, menschliche) Schwachstellen verfügt.
Die fälschliche Annahme, ‚die IT‘ werde dies alles schon irgendwie richten – schließlich verfüge man über aktuelle Virenschutzprogramme sowie eine oder gar mehrere Firewalls – wird der Komplexität der realen Bedrohungssituation als auch den damit einhergehenden Risiken nicht ansatzweise gerecht.
März 2016: Die bayerische Stadt Dettelbach zahlt nach einem Ransomware-Angriff 1,3 Bitcoins Lösegeld für die Entschlüsselungssoftware, damals umgerechnet 490 Euro. Die Bürgermeisterin Konrad verteidigt die Entscheidung: Die Zahlung an die Erpresser habe der Stadt „Ausgaben von mindestens 10.000 Euro erspart“, sagt sie.
Januar 2018: Ein Kryptomining-Angriff auf Server des Landesamtes für Besoldung und Versorgung in Fellbach (Baden-Württemberg) wird öffentlich. Ziel der Attacke war es offenbar, Rechenleistung zu kapern.
Januar 2020: Sowohl die Stadt Brandenburg an der Havel als auch die Gemeinde Stansdorf im Landkreis Potsdam-Mittelmark schalten nach einem mutmaßlichen Cyberangriff ihre IT-Systeme ab und arbeiten im Notbetrieb. Die mutmaßlichen Einfallstore sind Citrix ADC/Netscaler-Gateways gewesen.
Januar 2021: Ein Cyberangriff legt die Stadtverwaltung Bendorf (Kreis Mayen-Koblenz in Rheinlad-Pfalz) kurzfristig lahm.
März 2021: Ein Großangriff auf das Mailsystem von Microsoft blockiert die Server zweier Gemeinden im Landkreis Schwandorf in Bayern.
März 2021: Hackerangriff auf die IT-Anlage der Stadt Angermünde: Vier Monate lang ist das Rathaus vom Netz getrennt.
Juli 2021: Eine Hackerattacke legt die Verwaltung im Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt still. Drei Tage später ruft Landrat Uwe Schulze Deutschlands ersten Cyber-Katastrophenfall aus.
Oktober 2021: Die Verwaltung der Ruhrgebietsstadt Witten ist nach einem Cyberangriff nicht mehr erreichbar. Erbeutete Daten werden später im Darknet veröffentlicht.
Oktober 2021: Die Server des Kommunalservice Mecklenburg (KSM) und der Schweriner IT- und Servicegesellschaft (SIS) werden Ziel eines Angriffs mit einer Schadsoftware. Der KSM und die SIS sind für die kommunalen Unternehmen in Mecklenburg zuständig, weshalb die IT-Infrastruktur aus Sicherheitsgründen stillgelegt wird. Neben Schwerin und Ludwigslust-Parchim melden auch andere Kommunen wie Greifswald und Stralsund Probleme.
Richtig ist:
Komplexe sowie vielschichtige technische IT-Sicherheitsarchitekturen auf dem jeweiligen Stand der Technik sind absolut unabdingbar. Diese bilden das Fundament jeder Absicherung gegen externe aber auch interne Bedrohungen. Allein die Reduktion darauf als einzige Maßnahme ist hochgradig riskant und erhöht das Risiko und die damit einhergehende Eintrittswahrscheinlichkeit eines ‚Größten Anzunehmenden IT-Unfalls‘ enorm (IT-Super-GAU). Vom Risiko eines IT-Super-GAU kann man sich nicht allein durch den Invest in IT-Sicherheitsarchitekturen freikaufen – egal und innovativ und effektiv diese sind. Einen diesbezüglich spannenden wie überzeugenden technischen Lösungsansatz für unsere Kunden beschreibt Florian Prichta vom KID-Team Infrastruktur auf Seite 7 dieser Server-Ausgabe.
Der zweite große Trugschluss zum Thema Informationssicherheit liegt in der Annahme und teils etablierten Praxis der (ausschließlichen) Benennung eines externen oder internen Informationssicherheitsbeauftragten. Auch mit dieser oftmals eher plakativen Handlung kann man sich weder des Problems entledigen noch von der Verantwortung ‚freikaufen‘. Die Verantwortung liegt auch in diesem Szenario, externer oder interner Sicherheitsbeauftragter hin oder her, unverrückbar bei der Verwaltungsspitze (Bürgermeister,
oder Landrat).
Was also tun?
Miteinander abgestimmt empfehlen KITU und SGSA als kommunaler Spitzenverband in Sachsen-Anhalt als initialen Schritt die Nutzung eines standardisierten Fragenkataloges der kommunalen Innovationsstiftung ‚Bayerische Kommune‘ zur Erhebung der Ist-Situation vor Ort.
Die darauf aufsetzende Erstellung eines Informationssicherheitskonzeptes bildet die Vorstufe einer späteren Umsetzung eines Informationssicherheits-Managementsystems (ISMS) orientiert am IT-Grundschutz-Profil Kommunalverwaltung.
Informationssicherheitskonzept
• Bestandsaufnahme und Identifikation von Risiken.
• Planung von Maßnahmen zur Beseitigung oder Vorgehensweisen zur kontinuierlichen Beschäftigung mit dem Thema in der Organisation (‚Sicherheitskultur‘).
• Verantwortliche Personen mit ausreichend Zeit und Mitteln zum Betrieb des Sicherheitskonzepts.
• Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts.
• Maßnahmen zur kontinuierlichen Schulung und Sensibilisierung für Informationssicherheit.
Nachstehend schlaglichtartig eine nicht repräsentative Auswahl aus dem genannten Fragenkatalog:
• Wer von den Mitarbeitern hat Berechtigungen/Zugriff auf Daten und Fachverfahren?
• Wo ist dies dokumentiert? Wann wird dies durch wen regelmäßig überprüft?
• Wie ist der Zutritt zum zentralen IT-Technikraum geregelt?
• Lagern die gesicherten Daten auf einem offline-Speichermedium in einem gesonderten Brandabschnitt außerhalb des zentralen IT-Technikraumes?
• Stehen Drucker im öffentlich zugänglichen Publikumsbereich?
• Ist das Gebäude in verschiedene Sicherheitszonen unterteilt (z. B. Bürgerbüro, Verwaltung, IT-Bereich, Archiv)?
• Sind Ausgabe, Rücknahme, Tausch und Ersatz von Schlüsseln, Code-Karten, PINs nachvollziehbar dokumentiert und existieren hierfür feste Verfahrensweisen?
• Ist sichergestellt, dass der zentrale IT-Technikraum nicht als Lager für Papier, Toner, Kartonagen oder andere Brandbeschleuniger oder Putzmittel und -geräte dient?
• Wie ist der Zutritt und Zugang von Lieferanten und externer Dienstleister geregelt?
• Werden Mitarbeiter zum Thema Informationssicherheit regelmäßig geschult (Schulungsplan und -dokumentation)?
Neben der Beantwortung dieser und einer Vielzahl anderer Fragen liegt die prozessuale und organisatorische Umsetzung von entsprechenden Maßnahmen in der Verantwortung der Verwaltung selbst. Bei der Bewertung, Identifikation von Maßnahmen und deren Priorisierung unterstützt die KID mit einem fast 20-jährigen Erfahrungshintergrund bei der Etablierung und Umsetzung von ISMS. Dies setzt die Etablierung einer Querschnitts-Aufbauorganisation in der Verwaltung nach einem mehrstufigen Rollenkonzept voraus. So lässt sich der Bedarf an zusätzlichen personellen Ressourcen auf ein vernünftiges und damit auch jeweils machbares Maß beschränken.
Letztlich alles entscheidender Erfolgsfaktor für die Gewährleistung der Informationssicherheit ist und bleibt unverändert der Mensch – über alle Hierarchieebenen und Fachbereiche bis zu jedem einzelnen Mitarbeiter der Verwaltung. Schlussendlich entscheidet dieser durch sein jeweils konkretes persönliches Handeln, ob die technischen, organisatorischen und prozessualen Maßnahmen ihre Wirkung im Verbund entfalten. Damit dies gewährleistet werden kann, bedarf es intelligenter, wie niederschwelliger Sensibilisierungs- und Schulungsmaßnahmen – aber nicht als zeitfressende und langweilige ‚Eintagsfliegen‘.
Abschließend und zukünftig steht jetzt schon fest: Cyberbedrohungen sind und bleiben ein immerwährendes Katz- und Mausspiel.
Dabei gilt: 100 % Sicherheit? Gibt es (leider) nicht.
Aber deutlich mehr Sicherheit ist schrittweise realistisch machbar. Entscheidend dabei sind Ihre Einsicht in die Notwendigkeit und Ihr erster Schritt und Ihr Mitwirken hin zu einem ISMS.
„… Für Angreifer ist es einfacher, die Schwachstelle Mensch als oftmals schwächstes Glied der IT-Sicherheitskette zu überwinden, anstatt komplexe technische Sicherheitsmaßnahmen mit viel Aufwand zu umgehen. … Wichtige Maßnahme … ist die Sensibilisierung und Aufklärung der Anwender. Entsprechende Schulungsmaßnahmen sollten dabei nicht nur einmalig, sondern als Teil eines Gesamtkonzepts zur IT-Sicherheit regelmäßig durchgeführt werden. …“
Quelle: BSI-Lagebericht zur IT-Sicherheit 2016, S. 22
P.S. Übriges bildet Informationssicherheit die Grundlage für die Einhaltung der gesetzlich geregelten und damit auch für den kommunalen Bereich verbindlichen Datenschutzvorschriften – die EU-DSGVO lässt grüßen …
Peter Nehl, Bereichsleiter Technik, KID
