Die Sicherheit der IT-Infrastrukturen und der Schutz personenbezogener Daten müssen im Rathaus oberste Priorität haben. Doch wie sieht es in der Realität mit dem IT-Schutz aus und welche Risiken drohen im Cyberraum? Die Redaktion hat bei namhaften kommunalen IT-Dienstleistern nachgefragt.
Durch die zunehmende IT-Abhängigkeit im behördlichen Bereich nimmt auch das Schadenspotenzial dort zu. Denn Hackerangriffe und ausgefeilte Trickbetrügereien sind im digitalen Zeitalter an der Tagesordnung. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) zählen zu den ernstzunehmenden Gefährdungen im Cyberraum ungezielte Schadsoftware-Infektionen, Identitätsdiebstahl oder rufschädigende Manipulationen, Massenangriffe durch Botnetze und Angriffe auf Webseiten.
Der Blick auf den Betrieb bei regionalen kommunalen IT-Dienstleistern macht die Dimension der Bedrohung deutlich: Ekom 21 etwa, das kommunale IT-Dienstleistungsunternehmen in Hessen mit Sitz in Gießen, registriert monatlich an die 20 000 unberechtigte Zugriffsversuche. Rund drei Millionen Spam-, Viren- und trickbetrügerische Phishing-Mails müssen aus den Postfächern der Kunden herausgefiltert werden.
Fachbegriffe
Bot-Netze: In illegalen Bot-Netzen (bot von engl. robot) werden von Cyberkriminellen gekaperte Computer ohne Wissen ihrer Besitzer zu einem Rechnernetzwerk zusammengeführt und für illegale Zwecke eingesetzt.
Brute-Force-Attacke: Von engl. brute force, rohe Gewalt, bezeichnet den Versuch, durch automatisiertes, rechnergestütztes „Ausprobieren“ einer großen Zahl von Zeichenkombinationen zum Beispiel Passwörter zu knacken.
Und die Intensität der Attacken steigt. Nicht nur bei Ekom 21 geht man davon aus, dass sich die Zahl und die „Qualität“ von Hackerangriffen in den nächsten Jahren drastisch erhöhen werden. Besonders kritisch sind die sogenannten Trojaner. Sie werden über Mails eingeschleust, die einen verseuchten Anhang beinhalten, der dann Viren auf den Computer überträgt und somit ein Sicherheitsrisiko für alle anderen angeschlossenen PC bedeutet. „Die Schlagkraft Cyberkrimineller, die über Spam-Mails Schadsoftware versenden, nimmt seit Jahren deutlich zu“, sagt Dr. Johann Bizer, Vorstandsvorsitzender von Dataport (Altenholz bei Kiel), dem Dienstleister für Informations- und Kommunikationstechnik der öffentlichen Verwaltung in Schleswig-Holstein, Hamburg und Bremen sowie für die Steuerverwaltung in Mecklenburg-Vorpommern.
Um sich schützen zu können, müssen Kommunen hochprofessionelle Sicherheitsinfrastrukturen vorhalten. Wenn die IT-Verantwortlichen im Rathaus versäumen, geeignete Schutzmaßnahmen umzusetzen, erhöht sich das Risiko für die Kommune, Opfer von Attacken zu werden. Typische Mängel, sagt Dr. Rolf Beyer, Geschäftsführer des Zweckverbandes Kommunale Datenverarbeitung Oldenburg (KDO), sind ungenügendes Patch-Management, ein nicht ausreichend abgesichertes Netzwerk oder Lücken im Virenschutz.
Daten müssen verschlüsselt werden
Gerade mit Blick auf Trendthemen wie Cloud Computing, Mobile Internet oder Micro Payment muss im Rathaus dem Schutz personenbezogener Daten höchste Priorität eingeräumt werden. Unerlässlich ist die Verschlüsselung von Daten mit den jeweils neuesten Technologien. Die vielerorts begrenzten kommunalen Finanzmittel machen die Arbeit der IT-Abteilungen nicht einfacher.
Als wachsendes Problem erweist sich der Mangel an IT-Sicherheitsspezialisten im Bereich der Kommunalverwaltungen. Auch das ist häufig eine Frage des Geldes. Junge Systemtechniker und -ingenieure nehmen im Zweifel eher das Jobangebot im privatgewerblichen Sektor an, wo Bezahlung und Aufstiegschancen „stimmen“.
Fachbegriffe
Denial-of-Service-Attacken: Abgekürzt auch DoS (engl., „Dienstblockade“), Versuch, mit einer großen Masse von Anfragen an Computersysteme Überlastungen herbeizuführen, sodass das angegriffene System für reguläre Anfragen nicht zu Verfügung steht.
Patch-Management: Bereitstellen und Verwalten von Software-Aktualisierungen, darunter auch die für Virenscanner.
Wie steht es tatsächlich um die IT-Sicherheit und den Datenschutz in den Rathäusern? Beides dürfte „ausbaufähig“ sein, vermutet man beim KDO. Man könne davon ausgehen, dass einfache Basisschutzmaßnahmen umgesetzt werden, wobei Verwaltungen, die qualifiziertes IT-Administrationspersonal vorhalten, hier besser gerüstet sein dürften. Allerdings fehle die Kontrolle, inwieweit die Maßnahmen tatsächlich ausreichend sind. Nach Einschätzung von Siegfried Grabenkamp, Betriebsleiter beim Essener Systemhaus (ESH), dem zentralen IT-Dienstleister der Stadtverwaltung Essen, dürfte es insbesondere kleinen und mittleren Kommunen schwer fallen, die erforderlichen Standards zu halten. Denn das Thema ist sehr komplex, die Kosten sind hoch und die Fortbildungsbedarfe enorm.
Mehrstufige Sicherheit
Die Einwohner von Klein- und Mittelstädten müssen aber nicht grundsätzlich befürchten, dass ihre Verwaltung hinsichtlich des Schutzes personenbezogener Daten hinterherhinkt. Das für IT-Sicherheit und Datenschutz erforderliche professionelle Sicherheitsmanagement lasse sich, so Dataport-Vorsitzender Bizer, in Kooperation mit leistungsfähigen IT-Dienstleistern entwickeln.
Die Dienstleister arbeiten in ihren eigenen Betrieben nach mehrstufigen Sicherheitskonzepten. Manche weisen mit Zertifizierungen die Wirksamkeit ihrer Schutzmechanismen nach. Die Ekom 21 beispielsweise erhielt 2009 vom BSI das Zertifikat nach ISO 27001 und absolvierte auch in den Folgejahren die Prüfungen mit Erfolg. Dataport, um ein anderes Beispiel zu nennen, steht in Sachen IT-Sicherheit in einem direkten Kontakt mit dem BSI und dem CERT-Bund und ist gegen Angriffe auch massiver Art, wie etwa Denial-of-Service-Attacken, gut gewappnet. Johann Bizer: „Wir haben die Erfahrung gemacht, dass unsere Sicherheitsstrukturen schnell und effektiv greifen.“
Doch auch IT-Netzen, die nach dem neuesten Stand der Technik abgesichert sind und von hoch motivierten, kompetenten Spezialisten betreut werden, droht Gefahr. Das Risiko sitzt dabei im Rathaus selbst, vor den Monitoren der PC-Arbeitsplätze: es sind die Beschäftigen. Mit zu den größten Bedrohungen der IT-Infrastrukturen und für die Datensicherheit gehört derzeit die „Gefährdung von innen heraus“, also durch die eigenen Mitarbeiter, ist Siegfried Grabenkamp vom Essener Systemhaus überzeugt. Die Sensibilisierung der Belegschaft für das Thema Informationssicherheit sei unabdingbar, in vielen Bereichen aber nur schwach entwickelt.
Umgang mit mobilen Geräten
Fehlt die „Awareness“, das Bewusstsein für die nötige Vorsicht im Umgang mit Bedrohungen, werden Angreifern Tür und Tor geöffnet. Zu den typischen, mit hohen Risiken behafteten Handlungen „gehören der nachlässige Umgang mit Passwörtern als auch der unbedachte Klick auf den Link in einer Spam-Mail, auf den die ungewollte Installation von Schadsoftware folgt“, erklärt Johann Bizer von Dataport.
Als Risiko für die IT-Sicherheit und den Schutz der Bürgerdaten erweist sich auch die Einbindung mobiler Endgeräte in die Verwaltungspraxis. Vorsicht ist vor allem bei handelsüblichen Geräten geboten, weil es sich hier in erster Linie um Consumer-Technik handelt. Johann Bizer: „Sie ist billig, aber ihr Sicherheitsstandard niedrig. Durch Synchronisation mit einem Hosting im Ausland kann es zudem zu einer unerlaubten Datenverarbeitung im außereuropäischen Ausland kommen.“
Angesichts der wachsenden Herausforderungen wird die Rathaus-Spitze die IT-Sicherheit zur Chefsache erklären müssen. Sich Sachbearbeiter quasi im Nebenjob für die wichtigen Sicherheitsaufgaben als IT-Administratoren zu „halten“, ist die denkbar schlechteste Lösung. Und Nachlässigkeiten werden unvermeidlich sein, solange es zwar ein Bundesdatenschutzgesetz, die Datenschutzgesetze der Länder und bereichsspezifische Regelungen gibt, wirkungsvolle Kontroll- und Sanktionsmechanismen aber fehlen.
Wünschenswert wäre zum Beispiel, so sagt Rolf Beyer von KDO, gesetzlich – ähnlich wie im Datenschutzbereich – die Bestellung eines IT-Sicherheitsbeauftragten festzulegen.
Wolfram Markus