Die Bedrohung durch Hackerangriffe und Ransomware wird weiter zunehmen – und die Frage, wie Kommunen ihre Infrastrukturen schützen können, wird immer drängender. Eine Antwort könnten Cyberhilfswerke mit ehrenamtlicher Unterstützung sein.
Ransomware-Angriffe auf Kommunen, also Lösegelderpressungen nach erfolgter Verschlüsselung der Daten, werden mit großer Wahrscheinlichkeit in Zukunft weiter zunehmen. Inzwischen werden nicht nur die Daten verschlüsselt, sondern auch die Backups vorher vernichtet oder mitverschlüsselt.
Als wäre das nicht genug, werden die Daten vorher abgegriffen – und wenn eine Kommune nicht zahlen möchte, wird gedroht, die abgegriffenen Daten der betroffenen Bürgerinnen und Bürger zu veröffentlichen. Immer wieder tauchen dann mehrere hundert Megabyte an vertraulichen Daten im Internet auf.
Kommunen können sich – ebenso wie Wirtschaftsunternehmen – nicht vollständig vor Cyberangriffen schützen. Allerdings geht es bei ihnen um personenbezogene und teilweise hoheitliche Daten der Bürgerschaft, deren Schutzanspruch sehr hoch ist. Aus diesem Grund sollten sich Städte und Gemeinden mit den Ländern und dem Bund zusammentun.
Personal und Führungskräfte digital schulen
Es braucht Ausbildungs- und Schulungskonzepte für alle kommunalen Mitarbeitenden und auch die Führungsebenen, mit deren Hilfe eine nachhaltige Digitalisierung gelingen kann. Dazu muss Medienkompetenz vermittelt werden, aber auch IT-Sicherheit, Programmier-kenntnisse, Algorithmen und Datenstrukturen gehören dazu.
Ohne diese Basiskompetenz können Kommunen nicht IT-Sicherheit leben. Denn sie ist kein Produkt – man muss sie vielmehr in Form von strukturierten Prozessen leben, insbesondere die nachhaltige Form, die den kommenden Generationen keine Technologieschulden vererbt. Das geht nur durch (Aus-) Bildung.
Hier sollten alle Beteiligten an einem Strang ziehen. Zwar werden Miesepeter einwenden: „Wenn sie gut ausgebildet sind, wechseln die Arbeitskräfte doch alle in die Wirtschaft und sind weg.“ Es mag sein, dass einige gehen werden – doch dann bildet man eben die Nachfolgenden konsequent neu aus. Zudem bleiben diejenigen, die in die Wirtschaft wechseln, meist bei einem Arbeitgeber in der Kommune – was das Stadtsäckchen auch auffüllt, so dass wieder Geld für Bildung da ist.
Ehrenamtlich eingesetztes Cyberwissen kann unterstützen
Langfristig muss die Bildungspolitik der Bundesrepublik insgesamt so konzipiert sein, dass wir im aktuellen Informationszeitalter zu digitaler Kompetenz befähigen. Hilfe für Kommunen gibt es bei den Ländern sowie beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Meist allerdings werden Kommunen alleingelassen. Das ist ein unschönes strukturelles Defizit, das behoben werden sollte. Datenpakete aus einem globalen Internet machen schließlich keinen Halt an kommunalen Grenzen. Das Cyberhilfswerk (CHW) der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG Kritis) ist eine Methode, um die Kompetenzen der Bevölkerung ehrenamtlich einzusetzen – ähnlich wie es beim Technischen Hilfswerk (THW) der Fall ist.
Das Ziel: Bei zukünftigen Cyber-physischen Vorfällen und Gefahren gegenüber kritischen Infrastrukturen sollen Ehrenamtliche – als digitale Ersthelferinnen und Ersthelfer – im Amtshilfeverfahren den Kommunen Hilfestellung und Bevölkerungsschutz geben. Denn das Wissen in jeder Kommune separat vorzuhalten, ist weder sinnvoll noch realisierbar.
Mit vereinten Kräften hochsensible Daten schützen
Das Land Sachsen-Anhalt möchte dieses Jahr ein CHW als Pilotprojekt starten – die Planung läuft bereits, und auch das Technische Hilfswerk ist mit einer Methodik-entwicklung beschäftigt. Das Cyberhilfswerk der AG Kritis hat inzwischen im Koalitionsvertrag Berücksichtigung gefunden, da mehr und mehr der Sinn verstanden und die Notwendigkeit eingesehen wird.
Wesentlich für den Aufbau eines Cyberhilfswerks ist es, die Szenarien und daraus abgeleitet die Aufgabenstellungen für die Ehrenamtlichen zu definieren, damit die Tätigkeiten klar sind. Zudem sollte man das Ganze idealerweise nur unter Amtshilfeverfahren betreiben, damit das CHW nicht der vergünstigte Arm der Einsparmaßnahmen in den IT-Sicherheitsbereichen der betroffenen Kommunen wird.
Eine andere Idee zum Schutz der IT-Sicherheit ist die Einrichtung kommunaler Computer Emergency Response Teams (CERT). Auch hier halten die Kommunen nicht einzeln, sondern beispielsweise landes- oder bundesweit IT-Sicherheitsexpertinnen und -experten für Vorfallbehandlung und Incident Response vor. Sie können zentralistisch agieren und denken. So können sie alle Kommunen vor Cybergefahren schützen oder nach Vorfällen zur Hilfe eilen, getreu dem Motto: „sharing is caring“ – gemeinsam geht es besser. Manuel Atug
Der Autor: Manuel Atug ist Gründer und Sprecher der unabhängigen Arbeitsgruppe
Kritische Infrastrukturen (AG Kritis).