Cybersicherheit als Herausforderung
Bedrohungslage auch für die öffentliche Verwaltung gestiegen
Cybersicherheit als Herausforderung
Bedrohungslage auch für die öffentliche Verwaltung gestiegen
Durch Cyberattacken ist der deutschen Wirtschaft im Jahr 2023 gemäß einer Bitkom-Studie ein Schaden von 148,2 Milliarden Euro entstanden. Aber auch Angriffe auf die öffentliche Verwaltung haben in letzter Zeit stark zugenommen.
Gestiegene Risiken durch Vernetzung
„Die Bedrohungslage im Cyberraum ist so hoch wie nie zuvor“ – zu diesem Schluss kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht „Die Lage der IT-Sicherheit in Deutschland 2023“. Die zunehmende Digitalisierung und Vernetzung von Gesellschaft, Staat, Verwaltung und Wirtschaft bringt enorme Potenziale, aber damit einhergehend auch ein höheres Risiko für Angriffe durch Kriminelle mit sich, die sich diese Entwicklung zu Nutze machen wollen. Kaum ein Tag, an welchem in den Medien nicht eine Überschrift der Art „Cyberangriff auf Krankenhaus“, „Hacker erbeuten Daten von Kunden“, „Unternehmen mehrere Tage durch Cyberattacke lahmgelegt“, oder Ähnliches, zu finden ist.
Aufklärungsquote von lediglich 29,2 Prozent
Und in der Tat sind auch die reinen Zahlen Besorgnis erregend: Gemäß der im „Bundeslagebild Cybercrime 2022“ des Bundeskriminalamtes (BKA) referenzierten Polizeilichen Kriminalitätsstatistik (PKS) war allein im Jahr 2022 mit 136.865 eine hohe Anzahl an erfassten Cybercrime-Fällen zu vermelden. Lediglich 39.937 davon konnten aufgeklärt werden, was einer Quote von etwa 29,2 % entspricht. Bedenkt man, dass in dieser Inlands-PKS keine Fälle enthalten sind, bei denen Schäden zwar in Deutschland entstanden, der Aufenthaltsort des Täters aber im Ausland liegt oder unbekannt ist, sieht die Lage noch düsterer aus. Zumal man von einer insgesamt noch deutlich höheren Dunkelziffer ausgeht.
DDoS-Angriffe, Phishing, Ransomware
Und auch weitere Zahlen geben kaum Anlass zu Entwarnung: Gemäß BSI-Lagebericht 2023 werden durchschnittlich pro Tag 250.000 neue Schadprogramm-Varianten bekannt. Das BKA stellt in seinem Bundeslagebild Cybercrime 2022 fest, dass allein im Netz der Deutschen Telekom AG im Jahr 2022 pro Monat jeweils über 2.000 Distributed Denial-of-Service (DDoS)-Angriffe registriert wurden. Solche Angriffe haben zum Ziel, ein System z. B. durch eine Vielzahl an Anfragen an den Server „in die Knie zu zwingen“. Phishing – ein Phänomen, das seit bereits weit über einem Jahrzehnt zu beobachten ist und bei dem das Ziel meist das Erlangen von Passwörtern ist – hat nach wie vor „Hochkonjunktur“ und rangiert gemäß einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche, Bitkom, nach wie vor an Spitze der häufigsten Bedrohungen. Die gemäß BSI größte Bedrohung für Staat und Verwaltung sowie Wirtschaft stellt derzeit jedoch Ransomware dar.
Öffentliche Verwaltungen besonders gefährdet
Bei dieser Form von Cyberangriffen erfolgt die Verschlüsselung der Daten eines IT-Systems durch die Angreifer, die dann im Anschluss daran für die Entschlüsselung die Zahlung eines Lösegeldes (englisch „Ransom“) fordern. Nicht selten wird gleichzeitig zusätzlicher Druck aufgebaut, in dem auch mit der Veröffentlichung der Daten gedroht wird. Die Täter arbeiten dabei oft arbeitseilig – es gibt Spezialisten und Teams für das Coding, das Hacking, die Verschlüsselung, die Verhandlungen, und vieles mehr. Auch die öffentliche Verwaltung ist in den letzten Jahren von diesem Phänomen zunehmend betroffen: In 2023 wurden gemäß BSI 27 Kommunalverwaltungen und kommunale Betriebe Opfer von Ransomware-Angriffen. Ein Grund dafür ist wohl, dass Cyberkriminelle oft den Weg des geringsten Widerstands gehen und verstärkt solche Opfer auswählen, die ihnen vergleichsweise leicht angreifbar erscheinen.
Schäden auch durch Vertrauensverlust
Gerade im Bereich der öffentlichen Verwaltung kann ein solcher Angriff besonders schwere Folgen haben. Neben dem Verlust von Bürgerdaten und damit einhergehend Verletzungen der Vertraulichkeit sowie den direkten möglichen praktischen Folgen, dass bestimmte Leistungen von Verwaltungen oft für längere Zeit nicht mehr erbracht werden können, ist ein weiterer Faktor nicht zu unterschätzen: der damit verbundene Vertrauensverlust bei den Bürgerinnen und Bürgern. Wenn es „dem Staat“ schon nicht gelingt, sie vor solchen Angriffen und den damit verbundenen negativen Folgen zu schützen, wem dann? Die Tatsache, dass gerade die öffentliche Verwaltung gegen solche Angriffe noch deutlich machtloser und vulnerabler als andere Institutionen erscheint, ist ebenfalls nicht geeignet, das Vertrauen in staatliche Institutionen, das gegenwärtig ohnehin aus einer Vielzahl von Gründen angekratzt ist, zu stärken. Für die öffentliche Verwaltung ist daher der Handlungsdruck besonders groß.
Erfolgschancen für Angriffe senken
Was also gegen diese wachsende Bedrohung tun? Die schlechte Nachricht ist: einen absolut sicheren Schutz gegen Cyberangriffe gibt es leider nicht. Mit Fortlauf der technischen Entwicklung gibt es und wird es auch in Zukunft immer wieder neue Angriffsmöglichkeiten für Cyberkriminelle geben. Öffentliche Verwaltungen können aber dennoch einiges tun, um die Erfolgschancen solcher Angriffe stark zu senken – oder um zumindest den Aufwand für solche Angriffe so zu erhöhen, dass potenzielle Angreifer diesen nicht auf sich nehmen möchten. Zu diesen Maßnahmen gehören zunächst einige eher grundlegende Dinge, welche aber erfahrungsgemäß dennoch nicht in allen öffentlichen Verwaltungen als gegeben vorausgesetzt werden können: abgesicherte Back-up-Systeme, die Ablösung veralteter IT-Systeme, die Sicherstellung regelmäßiger Software-Updates, eine Erhöhung der Sensibilität der Mitarbeiter, intensive IT-Sicherheits-Schulungen und bezogen auf die IT eine angemessene finanzielle und personelle Ausstattung. Angesichts der enormen, auch finanziellen, Schäden, die durch Angriffe entstehen können, erscheinen die hierzu notwendigen Investitionen als gut vertretbar.
Umgang mit möglichen Angriffen antizipieren
Diese grundlegenden Maßnahmen sind notwendig, aber nicht hinreichend. Es gilt auch, sich ganz konkret für den Ernstfall vorzubereiten und zu wappnen. In der „Kunst des Krieges“ des chinesischen Generals und Philosophen Sun Tzu (etwa 544 bis 496 v. Chr.), das als eines der ältesten und legendärsten Bücher über Strategie überhaupt gilt, heißt es:
„Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten. Wenn du dich selbst kennst, doch nicht den Feind, wirst du für jeden Sieg, den du erringst, eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“
Entsprechend gilt es für öffentliche Verwaltungen, sich mit möglichen Angriffsszenarien von Cyberkriminellen und eigenen damit verbundenen Schwächen vertraut zu machen. Dafür kann die Beauftragung von „White-Hat-Hackern“, also ethischen Hackern, welche die IT-Systeme einer Verwaltung in deren eigenem Auftrag einem Penetrationstest unterziehen, hilfreich sein. Ziel ist es, Sicherheitsprobleme und Schwachstellen der eigenen IT-Systeme einer Verwaltung zu identifizieren, bevor es unter Umständen böswillige Hacker („Black Hats“) tun. Und dabei auch mögliche Denk- und Vorgehensweisen der potenziellen Angriffsgegner kennenzulernen.
Krisenreaktionsteam und Stakeholder-Management
Nach der danach idealerweise umgehenden Behebung der gefundenen Schwachstellen sollte dann die Vorgehensweise der jeweiligen Verwaltung bei einem konkreten Angriff sehr genau geplant und auch geprobt werden. Dieses beinhaltet sowohl die Festlegung, wer bei einem solchen Angriff mit welcher Funktion und Kompetenz Mitglied des Krisenreaktionsteams sein wird, als auch, welche IT-Sicherheitsinstitutionen dann kurzfristig zwecks Behebung mit eingebunden werden müssen. Wichtig ist auch die konkrete Planung des weiteren Stakeholdermanagements: Wer muss wann, wie und wie oft auf dem Laufenden gehalten und für Entscheidungen konsultiert werden? Hier sind bei öffentlichen Verwaltungen viele Stakeholder zu berücksichtigen: von der Verwaltungsspitze (z. B. Oberbürgermeister) und den eigenen Mitarbeitern über die Bürgerinnen und Bürger bis hin zu Polizei und anderen Sicherheitsinstitutionen sowie den Medien. Sehr wichtig ist neben dem Austausch der Mitglieder des Krisenreaktionsteams untereinander und mit den Stakeholdern auch die Festlegung, über welche Kanäle dieser Austausch auch bei Kompromittierung der IT-Systeme sicher erfolgen kann. Zudem sollte für die Zeit eines solchen Cyberangriffes sichergestellt sein, dass die Mitglieder des Krisenreaktionsteams sich voll auf das Handling konzentrieren können und von ihren regulären Aufgaben im Tagesgeschäft entlastet werden. Ziel ist es, sich so vorzubereiten, dass nicht erst nach erfolgtem Angriff über diese Themen nachgedacht werden muss. Wie für andere potenzielle Schadensereignisse in der „physischen“ Welt wie beispielsweise Feuer auch, sollten hier immer wieder konkrete Übungen durchgeführt werden.
Fazit: Cyberangriffe werden auch in Zukunft nicht zu verhindern sein. Es gilt für öffentliche Verwaltungen, sich dafür rechtzeitig zu wappnen, auf die eigene „Mannschaftsaufstellung“ zu achten und wie beim Schach potenzielle Züge der Gegner zu antizipieren. Und diesen Gegnern idealerweise immer einen Zug voraus zu sein.
