Bürgergeld, Energie, Trink- und Abwasser, medizinische Versorgung und vieles mehr: Verwaltungen sowie kommunale Unternehmen sind besonders wichtig für das Gemeinwesen und sollten so viel wie möglich für die Cybersicherheit tun – das ist der Appell des Digitalverbandes Bitkom.
Deutschland wird jeden Tag angegriffen – nicht vereinzelt, sondern tausendfach. Acht von zehn Unternehmen haben im vergangenen Jahr eine Zunahme von Cyberangriffen registriert. Dabei geht es um weit mehr als die Funktionsfähigkeit der IT-Systeme: Zwei Drittel der deutschen Unternehmen sehen ihre Existenz durch eine erfolgreiche Cyberattacke bedroht. Dabei gilt heute längst, dass es nur noch zwei Arten von Unternehmen gibt: diejenigen, die von Cyberangriffen betroffen sind; und diejenigen, die es noch nicht gemerkt haben.
Unternehmen aus allen Branchen und aller Größe sind im Visier der zunehmend arbeitsteilig und professionell agierenden Täter. Diese sind überwiegend der organisierten Kriminalität zuzuordnen. Aber auch staatlich gelenkte Akteure sind zunehmend aktiv.
Was für die Privatwirtschaft gilt, deren Erfahrungen Bitkom jedes Jahr mit der Wirtschaftsschutz-Studie erfasst, gilt ebenso für kommunale Unternehmen und Verwaltungen. Mit zwei wichtigen Besonderheiten: Ihre Funktionsfähigkeit ist in der Regel noch bedeutender für unser Gemeinwesen. Zudem leiden sie häufig noch stärker unter Ressourcenmangel – oft fehlen die notwendige Ausstattung und die richtigen Fachkräfte.
Schaut man genauer hin, sieht man durchaus Unterschiede zwischen den Bundesländern. So hat etwa Baden-Württemberg mit seiner Cybersicherheitsagentur eine Initiative auf den Weg gebracht, die Vorbildcharakter haben kann. Die Agentur dient für die Landesverwaltung sowie für Städte und Gemeinden als Ansprechpartner vor Ort und kann gleichzeitig den Austausch mit der Bundesebene koordinieren. Im Falle eines akuten Cybersicherheitsvorfalls steht sie außerdem für eine aktive Unterstützung bereit.
Zentralstelle für Cybersicherheit
Allerdings gibt es solche Anlaufstellen längst nicht überall und für jeden. Hilfreich wäre es daher, wenn die Politik das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Zentralstelle für Cybersicherheit ausbauen würde. Somit wäre das BSI ein einheitlicher Ansprechpartner nicht nur für die Wirtschaft, sondern auch für Bund, Länder und Kommunen – mit allen nötigen Kompetenzen und Befugnissen.
KRITIS-Dachgesetz
Der Digitalverband Bitkom kommentiert den Kabinettsbeschluss zum besseren Schutz kritischer Infrastrukturen mit diesen Zahlen und Anmerkungen:
- 86 Prozent der KRITIS-Unternehmen waren in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen wie Sabotage, Industriespionage oder Datendiebstahl betroffen.
- 80 Prozent bezeichnen die Bedrohungslage für das eigene Unternehmen durch diese Attacken als sehr groß oder eher groß.
- Neben den Unternehmen geraten zunehmend auch Verwaltungen und öffentliche Einrichtungen ins Visier von Cyberkriminellen. Hier müsse das KRITIS-Dachgesetz nachgebessert werden: „Wir dürfen nicht nur die Unternehmen in den Blick nehmen, auch alle Einrichtungen der Bundesverwaltung müssen als Kritische Infrastruktur gelten.“
Quelle: www.bitkom.org (6. November 2024)
Kommunen und kommunale Unternehmen brauchen Unterstützung bei der Cybersicherheit. Wenig hilfreich ist dagegen, einfach den Kopf in den Sand zu stecken. So hat der IT-Planungsrat empfohlen, die Kommunen aus der NIS2-Umsetzung herauszunehmen. Man kann nur davor warnen, das Sicherheitsniveau bewusst nicht anzuheben, nur weil man die notwendigen Anstrengungen und Kosten scheut. Cyberangreifer werden sich immer das schwächste Ziel aussuchen. Wenn um die Kommunen herum das Schutzniveau nicht sukzessive ausgebaut wird, werden sie so noch stärker ins Fadenkreuz geraten.
Viele Verantwortliche in Kommunen und kommunalen Unternehmen wollen handeln – und die gute Nachricht ist: Sie können auch handeln. Drei Maßnahmen sind sofort umsetzbar und zahlen direkt auf das Sicherheitsniveau ein.
Was sofort umsetzbar ist
Zum einen benötigt jede Kommune und jedes kommunale Unternehmen einen Krisen- oder Notfallplan. Es muss geregelt sein, wer im Fall einer erfolgreichen Cyberattacke was zu tun hat. Die Arbeitsgruppe Cyber-Resilience-Framework („Resi“) aus dem „Dialog für Cybersicherheit“ will zum Beispiel konkrete Hilfestellungen für Kommunen wie Checklisten oder Formulare sammeln und einheitlich zur Verfügung stellen damit nicht hundertfach in Deutschland immer wieder dieselbe Arbeit gemacht werden muss.
Die zweite Maßnahme, die sofort umgesetzt werden kann: aktuelle Back-ups aller notwendigen Daten. Das klingt selbstverständlich, aber häufig stellt sich etwa bei einer erfolgreichen Ransomwareattacke (Daten werden verschlüsselt und damit unbrauchbar gemacht) heraus, dass die gesicherten Daten wochen- oder monatealt sind.
Selbst wenn regelmäßig und häufig Back-ups gemacht werden, ist das noch keine Garantie für mehr IT-Sicherheit. Denn leider zeigt die Praxis, dass es durchaus vorkommt, dass zwar Back-ups angefertigt werden, aber nie jemand geprüft hat, ob und wie sich die Daten wieder in die bestehenden IT-Systeme einspielen lassen. Auch das gehört zur Vorbereitung auf einen Krisenfall.
Mitarbeitende für Cybersicherheit sensibilisieren
Zudem sollten Kommunen und kommunale Unternehmen alles daran setzen, den Erfolg von Angriffen zu verhindern und Attacken frühzeitig zu erkennen. Dazu brauchen sie vor allem auch die Mitarbeiterinnen und Mitarbeiter.
Menschen sind immer noch das häufigste Einfallstor für Cyberangriffe – der klassische falsche Klick auf einen Mailanhang gehört ebenso dazu wie zu große Auskunftsfreude, wenn der Cyberkriminelle als vermeintlicher IT-Mitarbeiter anruft und nach Zugangsdaten fragt. Mitarbeiterinnen und Mitarbeiter können aber auch die erste Abwehrreihe bei Angriffen sein: wenn sie gut über die Tricks der Täter informiert sind und wissen, wie sie im Notfall zu reagieren und wen sie zu informieren haben.
Wir müssen uns bewusst machen, dass Cyberangriffe weit über den digitalen Raum hinaus wirken und mittelbar zum Beispiel auch unsere medizinische Versorgung, unsere Energienetze oder Logistik und Mobilität betreffen. Deshalb müssen wir digitale und analoge, aber auch innere und äußere Sicherheit viel stärker zusammendenken als bisher. Dann wird Deutschland vielleicht weiterhin jeden Tag angegriffen, aber die Täter werden immer seltener Erfolg haben.
Der Autor
Felix Kuhlenkamp ist Referent Sicherheitspolitik beim Digitalverband Bitkom.
Felix Kuhlenkamp
Schlüsselfaktoren für Cybersicherheit in Verwaltungen
IT-Sicherheit in Kommunen durch Erkennung akuter Cyberangriffe verbessern
