Arbeitssicherheit : Kommunale IT gegen Cyber-Angriffe stärken
Am 6. Juli 2021 wurde im Landkreis Anhalt-Bitterfeld festgestellt, dass etwas mit dem IT-System der Kreisverwaltung nicht stimmte. Schnell war man sich sicher: Eine Cyber-Attacke steckte dahinter. Dass diese bereits seit dem Vormonat lief, wusste zu diesem Zeitpunkt niemand. Auch nicht, welche Tragweite der Angriff noch bekommen sollte.
Einer Hackergruppe war es gelungen, im IT-System der Verwaltung eine Schadsoftware zu installieren. Diese griff nicht nur Unmengen personenbezogener Daten ab, sondern verschlüsselte das gesamte IT-System – und machte die Behörde dadurch arbeitsunfähig. Zum Beispiel konnte kein Fahrzeug zugelassen, kein Führerschein verlängert werden. 500.000 Euro sollte Anhalt-Bitterfeld als Lösegeld zahlen.
E-Mails und Werbebanner sind Einfallstore
Ransomware heißt die Art von Schadprogrammen, mit der Anhalt-Bitterfeld erfolgreich attackiert wurde. Es handelt sich um eine Software, die den Zugriff auf Daten und Systeme einschränkt oder gänzlich unterbindet. Gegen ein Lösegeld stellen die Kriminellen die Freigabe der Daten oder Systeme in Aussicht. Neben Ransomware gibt es weitere Schadprogramme, mit denen Verwaltungen und Unternehmen immer wieder angegriffen werden.
Die Täterinnen und Täter gehen meist ähnlich vor: Sie schleusen Schadprogramme über E-Mails, infizierte Software oder von Webseiten in IT-Systeme ein. Das Perfide: Nutzerinnen und Nutzer installieren sie selbst, jedoch unbemerkt – etwa, indem sie ein Programm aus dem Internet herunterladen, eine vertrauenswürdig wirkende Datei einer E-Mail öffnen oder auf ein manipuliertes Werbebanner klicken.
Gut zu wissen
Häufige Arten von Cyber-Angriffen:
- Bei einem Denial-of-Service-Angriff (DoS-Angriff) bombardieren angreifende Personen ein IT-System mit so vielen Anfragen, dass das System sie nicht mehr bewältigen kann. Dadurch wird es außer Betrieb gesetzt.
- Phishing-Angriffe geschehen via E-Mails, die persönliche Informationen abgreifen oder zu einer bestimmten Handlung verleiten wollen. Häufig enthalten Phishing-Mails Anhänge, über die Schadsoftware auf den Rechner gelangen kann, oder einen Link zu einer Webseite, auf der persönliche Informationen eingegeben werden sollen.
- Schadsoftware (Malware) wird ohne Zustimmung auf ein IT-System installiert. Sie kann in Programmen lauern oder sich über das Internet verbreiten. Malware kann Viren, Trojaner, Ransomware oder Würmer enthalten.
Mehr Sicherheit gegen Hacker
Welche Schwachstelle bei der Kreisverwaltung Anhalt-Bitterfeld ausgenutzt wurde, ist noch immer ungeklärt. Doch traf der geglückte Angriff sie so hart, dass der Landkreis den Katastrophenfall ausrufen musste. Seitdem ist viel passiert, wie Udo Pawelczyk, Pressesprecher der Kreisverwaltung Anhalt-Bitterfeld, berichtet: „Wir tun alles, um die Vorgaben des Bundesamtes für, kurz BSI, zu erfüllen. Dazu gehört die Einführung einer Zwei-Phasen-Authentifizierung. Zudem lassen wir keine externen Geräte mehr zu. Der Stick von zu Hause ist verboten. Es gibt Beschränkungen bei der WLAN-Nutzung und wir arbeiten mit Exchange-E-Mail-Servern.“ Hier sind Mails verschlüsselt und vor dem Zugriff Dritter geschützt.
Sowohl bei der Schadensregulierung als auch beim Neuaufbau ihrer IT griff die Kreisverwaltung auf externe Sachverständige zurück. „Zudem ist der Fachbereich Informationstechnik und Digitalisierung jetzt direkt dem Landrat unterstellt. Auch wurde die Stelle des Informationssicherheitsbeauftragten geschaffen“, erzählt Pawelczyk.
Sieben Tipps
Vor schädlicher Software schützen:
- Regelmäßig und zeitnah zur Verfügung stehende Updates auf allen Geräten durchführen.
- E-Mails mit höchster Vorsicht behandeln, insbesondere, wenn sie Anhänge und Links enthalten.
- Virenschutzprogramm und Firewall installieren, um Schadprogramme beim ungewollten Download zu erkennen.
- Ausschließlich von vertrauenswürdigen Quellen Daten und Programme herunterladen.
- Sicherungskopien anlegen, um Daten zu schützen und sie im Notfall wiederherzustellen.
- Benutzerkonten mit eingeschränkten Rechten nutzen, damit Schadprogramme nicht mit Administratorrechten auf das gesamte System zugreifen können.
- Schulungen durch Fachleute der IT-Sicherheit für die Belegschaft organisieren. Auch Führungskräfte sollten diese regelmäßig besuchen und Sicherheitsmaßnahmen stringent umsetzen.
IT-Kompetenz bei allen Beschäftigten aufbauen
Der Kreisverwaltung war klar: Ein weiterer wichtiger Hebel für eine höhere IT-Sicherheit sind die Beschäftigten selbst. Sie müssen genau wissen, wie sie sich sicher im Internet und in IT-Systemen verhalten. Anhalt-Bitterfeld setzt dabei auf Dienstanweisungen und Schulungen. „Für alle Beschäftigten gilt eine neu erstellte Dienstanweisung zur Gewährleistung der Informationssicherheit. Sie regelt unter anderem, was erlaubt ist und was nicht, und steht der gesamten Belegschaft zur Verfügung. Die Inhalte der Dienstanweisung sowie Änderungen werden in regelmäßig stattfindenden Dienstbesprechungen vermittelt und erläutert“, erklärt Pawelczyk.
Trotz aller Bemühungen steht fest: Eine hundertprozentige Sicherheit kann es nie geben – dennoch gilt es einen Totalausfall in Zukunft unbedingt zu verhindern. Pawelczyk findet klare Worte: „Wir können nur jeder Verwaltung raten, das Problem sehr ernst zu nehmen. Dazu sollten sie die notwendigen personellen und auch finanziellen Ressourcen vorhalten. Und natürlich sollte man sich an Standard-Vorgaben des BSI halten.“
Datenlecks sind in der Regel meldepflichtig
Führungskräfte sollten selbst IT-Schulungen besuchen, die vorgeschriebenen Sicherheitsregeln umsetzen und wissen, was bei einer Datenpanne zu tun ist. Laut Datenschutz-Grundverordnung (DSGVO) muss nämlich eine „Schutzverletzung personenbezogener Daten“, etwa ein unbefugter Zugang oder eine unbefugte Offenlegung, bei der zuständigen Aufsichtsbehörde (je Bundesland) gemeldet werden.
Unter Umständen sind zudem die Betroffenen zu informieren. Wie nach einem Sicherheitsvorfall zu handeln ist, erfahren Führungskräfte etwa beim BSI.
Gut zu wissen
IT-Sicherheitslücken können auch die Arbeitssicherheit gefährden. Nämlich dann, wenn Beschäftigte mit vernetzten Maschinen oder technischen Anlagen arbeiten. Das Institut für Arbeitsschutz der DGUV (IFA) unterstützt Unternehmen, ihre Anlagen vor Angriffen zu schützen.