1. April 2022: AG-Blog | Cyberbedrohungen für den Staat

Cybersicherheit spielt auf kommunaler, nationaler und internationaler Ebene eine große Rolle. Doch noch fehlt an vielen Stellen das nötige Bewusstsein dafür, weswegen es große Sicherheitslücken gibt.

Berlin/virtuell. In einer sich entwickelnden Landschaft von Cyberbedrohungen stellt uns deren Bewältigung als Gesellschaft vor Herausforderungen. Je mehr Dienste ins Digitale verlagert werden, desto wichtiger wird der Schutz vor Cyberangriffen und damit der Aufbau von Fähigkeiten, um Cyber-Sicherheitsvorfälle abzuwehren. Staatliche Dienste fallen hier aufgrund der Sensibilität der Daten und Prozesse besonders ins Gewicht. Bei ihrer letzten Sitzung informierten sich die Mitglieder unserer AG Innovativer Staat über kommunale, nationale und internationale Herangehensweisen an das Thema, auch anhand der Entwicklung von vermehrten Cyberbedrohungen in den letzten Monaten.

Cybervorfälle auf kommunaler Ebene: Landkreis Anhalt-Bitterfeld

Sabine Griebsch (@eGouvernante), Chief Digital Officer des Landkreises Anhalt-Bitterfeld, berichtete von einer Cyber-Attacke auf die dortige Kreisverwaltung sowie dem Umgang damit. Die Attacke selbst sei über eine Phishing-Mail erfolgt; bereits im Vorhinein hätten die Täter*innen aber schon Daten ausgekundschaftet. Auf den anschließenden Erpressungsversuch sei man in Anhalt-Bitterfeld nicht eingegangen. Das ist auch die offizielle Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) für alle Verwaltungen in Deutschland. Griebsch hob besonders das Zuständigkeitschaos, das sich beim Umgang mit der Cyber-Attacke gezeigt habe, als großes Problem für schnelles Handeln hervor. Involviert seien unter anderem das BSI, das Landeskriminalamt und das Finanzamt gewesen. Insgesamt seien die Server der Verwaltung 206 Tage lang lahmgelegt und somit der Landkreis kaum arbeitsfähig gewesen. Der damit angerichtete Schaden umfasse ungefähr 2 Millionen Euro. Entscheidend sei es gewesen, besonders relevante Fachbereiche der Kreisverwaltung bei der Wiederherstellung der Arbeitsfähigkeit zu priorisieren.

Portrait von Sabine Griebsch während ihres Impuls — Sabine Griebsch über die Cyber-Attacke auf den Landkreis Anhalt-Bitterfeld

Anhand des Vorfalls und im Umgang damit seien einige Mängel im System deutlich geworden, die günstige Rahmenbedingungen für die Attacke geschaffen hätten und aus denen auch andere Landkreise Lehren ziehen könnten, so Griebsch. Aufgrund des Fachkräftemangels habe Anhalt-Bitterfeld nicht ausreichend zuständige Mitarbeiter*innen für die IT-Infrastruktur und auch bis heute keine*n IT-Sicherheitsbeauftragte*n. Diese personellen Ressourcen würden nicht nur hinsichtlich notwendiger Updates und dem Erkennen von Sicherheitslücken fehlen, sondern auch, um das benötigte Verständnis und die Relevanz von Cyber-Sicherheit bei den übrigen Verwaltungsmitarbeitenden zu vermitteln. Hätte man die Attacke verhindern können?

Zumindest wären bundesweit festgelegte Standards zur Cyber-Sicherheit in Verwaltungen ein wichtiger Schritt dorthin gewesen – schon allein, um die Kosten der Cyber-Sicherheit in Haushaltsdiskussionen verteidigen zu können.

Sabine Griebsch, Landkreis Anhalt-Bitterfeld

Ein Notfallplan hätte den Landkreis in jedem Fall nach dem Bekanntwerden der Attacke handlungsschneller machen können.

Cybervorfälle auf kommunaler Ebene: Landkreis Ludwigslust-Parchim

Andreas Schreiber bei seinem Impuls über eine Cyber-Attacke auf den Landkreis Ludwigslust-Parchim — Andreas Schreiber über eine Cyber-Attacke auf den Landkreis Ludwigslust-Parchim

Ähnliches schilderte auch Andreas Schreiber (@andreasSchreib), DMS- und E-Government-Koordinator im Landkreis Ludwigslust-Parchim. Auch dort war es in den letzten Monaten zu einer Cyber-Attacke gekommen. Der Schaden hätte aber ein geringeres Ausmaß angenommen als im Landkreis Anhalt-Bitterfeld, da in Ludwigslust ein lokales Rechenzentrum genutzt wurde, welches besser auf eine Cyber-Attacke vorbereitet gewesen sei. So sei es zu keinem Datenabfluss gekommen, aber die Server der Verwaltung seien auch hier immerhin acht Wochen lang ausgefallen und die über 2.000 Mitarbeitenden konnten ihrer Tätigkeit nicht nachgehen. Als besonders aufwändig schildert Schreiber den Prozess, alle Arbeitsplätze einzeln zu überprüfen und wieder hochzufahren. Besonders der Ausfall der KFZ-Zulassung habe den Landkreis enorm belastet, da beispielsweise Flotten für Unternehmen nicht zugelassen werden konnten. Leider sei aufgrund der aktuellen Rechtslage Amtshilfe von anderen Landkreisen nur eingeschränkt möglich gewesen. In diesem Bereich brauche es ein politisches Umdenken, so Schreiber:

Amtshilfe klingt erstmal gut, funktioniert aber für viele Prozesse aktuell nicht. Wir müssen wegkommen vom Prinzip der örtlich zuständigen Behörde. Nur dann können Nachbarbehörden im Ernstfall auch Tätigkeiten übernehmen.

Andreas Schreiber, Landkreis Ludwigslust-Parchim

Mit Blick darauf, dass Attacken auf Kommunen aktuell zunehmen, wodurch Misstrauen in den Staat erweckt werden könne, müssten jetzt behördenübergreifend Vorkehrungen im Bereich der Cyber-Sicherheit getroffen werden. Das Problem dürfe nicht das Problem der einzelnen Kommunen bleiben.

Cyberbedrohungen für den Staat

Dr. Silke Bargstädt-Franke, Abteilungsleiterin für Cyber-Sicherheit und elektronische Identität beim BSI, nahm diesen Faden auf und gab der AG einen Überblick bezüglich der aktuellen IT-Sicherheitslage Deutschlands. Sie betitelte die IT-Sicherheitslage als „angespannt bis kritisch“. Grund hierfür seien zum Teil die zunehmend vernetzten und globalen Lieferketten, die mehr Angriffsflächen böten als früher. Außerdem bestätigte sie, dass es momentan vermehrt zu Cyber-Angriffen komme. Die Erpressungsmethoden der Cyber-Kriminellen hätten mittlerweile eine neue Qualität, wobei die größte Bedrohung von Ransomware und Malware ausgehe. Aber auch Social-Engineering, Desinformation, CEO Fraud und Stimmenmanipulation würden mittlerweile häufiger und besser eingesetzt.

Das BSI müsse als ressortübergreifender Kompetenzträger gerade sehr stark skalieren, so Bargstädt-Franke. Dessen Arbeit liege zwar vor allem in der Unterstützung der Bundesbehörden, es gebe aber auch Beratungsmöglichkeiten für die Länder. Kapazitäten für die Unterstützung der Kommunen seien aktuell nicht vorhanden. Was kann also getan werden?

Cyber-Sicherheit muss Chef*innensache sein.

Dr. Silke Bargstädt-Franke, BSI

Das bedeutet für Bargstädt-Franke, dass sie ein essenzieller Bestandteil des Risikomanagements werden und Sicherheitsbudgets erhöht werden müssen. Klar sei aber auch, dass Cyber-Sicherheit ohne die Sensibilisierung der Bürger*innen und Verwaltungsmitarbeitenden nicht möglich ist, weswegen das BSI am Aufbau des Fachbereichs digitaler Verbraucherschutz und digitale Kompetenzen arbeite.

Portrait von Dr. Silke Bargstädt-Franke neben einer Folie ihres Impuls — Dr. Silke Bargstädt-Franke über Cyberbedrohungen

Cyber-Dimension der russischen Invasion der Ukraine

Ganz aktuell ist das Thema Cyber-Sicherheit auch in Bezug auf den russischen Angriffskrieg in der Ukraine. Dr. Matthias Schulze (@perceptic0n), stellvertretender Leiter der Forschungsgruppe International Security bei der Stiftung Wissenschaft und Politik, gab der AG einen Überblick zu russischen Cyber-Attacken der letzten Monate und möglichen Konsequenzen für Deutschland. Die russische Invasion der Ukraine sei von Spionage-Aktivitäten begleitet; dabei habe es bisher drei zentrale Cyber-Attacken gegeben. Direkte Auswirkungen in Deutschland habe vor allem der Angriff auf das Satellitenterminal gehabt, der die ukrainische Militärkommunikation stören sollte. Durch den Hack des dortigen Modems sei in Deutschland die Fernsteuerung tausender Windkrafträder gestört worden. Außerdem seien sowohl das ukrainische Verteidigungsministerium als auch das ungarische Außenministerium gehackt worden, was bedeutet, dass es zum Teil russischen Zugriff auf EU- und NATO-Kommunikation gegeben haben könne. Ca. 300 weitere kleinere Angriffe seien bis Mitte März aufgedeckt und gezählt worden, zum Beispiel zur Verbreitung von Propaganda und Desinformation.

Portrait von Dr. Matthias Schulze bei seinem Impuls über die russischen Cyber-Attacken der letzten Monate — Dr. Matthias Schulze über die russischen Cyber-Attacken der letzten Monate

Parallel gebe es aber auch Cyber-Attacken von „Hacktivist*innen“ auf Russland. Neben DDOS-Attacken, mit denen Server überlastet werden, würden vor allem Daten gestohlen und anschließend veröffentlicht. Außerdem habe die Hackergruppe Anonymous Informationsoperationen eröffnet, um die russische Medienzensur zu durchdringen: „Die Aktionen sind sehr kreativ: Es werden zum Beispiel Tinder-Profile genutzt, aber auch Netzwerk-Drucker gehackt, welche dann Kampagnen gegen die Propaganda drucken.“ Ein neues Phänomen sei auch Protestware; Hier wird explizit für Russland abgewandelter Schadcode in Open-Source-Software eingebaut, welcher dann durch Ermittlung der Geolocation des Host-Servers ausschließlich in Russland seine Wirkung entfaltet.

Noch seien die Auswirkungen der russischen Cyber-Attacken für Deutschland schwer einzuschätzen, da das Entwickeln von Schadsoftware Zeit brauche:

Wir müssen uns auf einen länger währenden Cyberkonflikt mit Russland einstellen. Man kann davon ausgehen, dass auch bei uns in Deutschland in den nächsten Monaten Effekte sichtbar werden.

Dr. Matthias Schulze, Stiftung Wissenschaft und Politik

Was sind Maßnahmen, die mit dem Wissen von heute getroffen werden sollten? Die meisten Cyber-Attacken würden erst ermöglicht, weil es an einem Mindestmaß an Cyber-Sicherheit fehle, so Schulze. Konkret schlägt er vor, an vier Punkten anzusetzen:

die Incident-Response-Kapazität erhöhen. Die Kapazität zur Reaktion auf Cyber-Attacken soll verbessert werden, da sich dies kurzfristiger umsetzen ließe, als die Verwaltung zu revolutionieren. So müsse es zu keiner Triage kommen, wenn mehrere Kommunen parallel angegriffen werden;
mehr Resilienz aufbauen: Es bräuchte flächendeckend „Digitale Brandschutzpläne“;
mehr Zivil- & Katastrophenschutz-Vorkehrungen treffen, zum Beispiel mit einer unabhängigen Energieversorgung;
mehr IT-Fachkräfte für die Verwaltung durch digitale Bildung in Schulen und alternative Bildungswege ausbilden, um auch mittelbar die Kosten für IT-Sicherheit, vor allem durch verfügbares Personal, im Rahmen zu halten.

Außerdem fügte Schulze hinzu, dass Counter-Cyber-Attacken sehr ineffektiv und weniger sinnvoll wären. Die personellen Ressourcen sollten eher dafür eingesetzt werden, die eigenen Systeme hinsichtlich Sicherheitslücken zu überprüfen.

Die AG Innovativer Staat

Die Arbeitsgruppe Innovativer Staat bietet Akteur*innen aus Politik, Verwaltung, Wirtschaft, Wissenschaft und Zivilgesellschaft eine neutrale Austausch- und Aktionsplattform, um Themen rund um den innovativen Staat in Deutschland voranzubringen. In der Arbeitsgruppe werden Ideen, Positionen, Erfahrungen und Meinungen auf Augenhöhe ausgetauscht, Kontakte geknüpft, Barrieren und Missverständnisse zwischen Akteur*innen abgebaut und Themen zielorientiert nach vorne gedacht. Sie leistet einen aktiven Beitrag im Sinne einer Handlungsaufforderung für den Bereich „Moderner Staat, lebendige Demokratie und Bürger*innenbeteiligung“ und steht als Expert*innengremium mit Rat und Tat zur Seite, damit zukünftig die Potenziale der Digitalisierung zur Stärkung der Demokratie und des Standortes Deutschland noch stärker genutzt werden.

Die Teilnahme an AG-Sitzungen ist für Mitglieds- und Förderorganisationen der Initiative D21 sowie auf Einladung möglich. Sollten Sie Interesse an einer Mitgliedschaft und Interesse an unserer Arbeitsgruppe haben, melden Sie sich bitte unter: innostaat@initiatived21.de

Weitere Informationen

Ansprechpartner in der Geschäftsstelle

Im Fokus

D21-Digital-Index 2023/2024

Unsere Arbeit