Der öffentliche Sektor ist immer wieder Ziel von Datenklau und Cyberangriffen. Sicherheitsexperte Uwe Gries erklärt, wie die Verwaltung dem vorbeugen kann und welche Rolle die Mitarbeiter für den Schutz kritischer Infrastrukturen spielen.
Herr Gries, das Homeoffice ermöglicht Hackern, in die Netzwerke von Unternehmen und Organisationen einzudringen. Wie schätzen Sie den Grad der Bedrohung ein?
Uwe Gries: Die vergangenen Monate haben keine nennenswerten Auswirkungen auf die im öffentlichen Sektor besonders starke Präsenz- und „Papier“-Kultur bewirkt. Die Anpassung der Verwaltungsinfrastruktur an neue Bedürfnisse, wie der abgesicherte Fernzugriff auf digitalisierte Akten, Daten und Arbeitsprozesse oder die virtuelle Interaktion mit Bürgern und Unternehmen, schreitet trotz des Digitalisierungsschubs zu langsam voran. Mitarbeiter klagen nach wie vor über infrastrukturelle Mängel, weshalb entweder Umzugskartons voller Akten mit nach Hause genommen oder Plattformen zum Informationsaustausch genutzt werden, die nicht den Sicherheitsrichtlinien entsprechen. Dadurch ist die Bedrohungslage in der ganzen Sparte besorgniserregend.
Gibt es Unterschiede zwischen der Privatwirtschaft und den Organisationen der öffentlichen Hand, was das Risiko betrifft, Ziel und Opfer von Angriffen zu werden?
Gries: Die öffentliche Hand sitzt auf einem enormen Schatz. Die Daten von Millionen von Privatpersonen und Unternehmen sind eine Goldgrube für Cyberkriminelle. Datenklau-Fälle bei Kommunalverwaltungen sind bereits seit 2014 ein Thema. 2019 machten einige Lösegeldzahlungen bei Kommunalverwaltungen und Ransomware-Attacken auf öffentlichen Einrichtungen Schlagzeilen. Die Vorfälle hielten sich jedoch in Grenzen, weshalb die Wahrnehmung der Sicherheitsrisiken in diesem Sektor noch nicht so ausgeprägt ist wie in der Privatwirtschaft. Bedauerlicherweise stieg der Umfang an Cyberangriffen, die Kommunen und öffentliche Einrichtungen meldeten, Anfang 2020 so sehr, dass im Mai 2020 das Bundeskrimimalamt, das Bundesamt für Sicherheit in der Informationstechnik und kommunale Spitzenverbände einen Appell zur Nicht-Zahlung von Lösegeldforderungen an die Kommunalverwaltungen richteten und Empfehlungen zum Umgang mit solchen Vorfällen erteilten.
Welche Bereiche des öffentlichen Sektors und welche Anwendungen dort sind als besonders kritisch zu sehen?
Gries: Der öffentliche Sektor umfasst unzählige Arten von Organisationen, von Bundesbehörden bis zum kleinsten Gemeindeamt, von Gesundheits- bis hin zu Bildungseinrichtungen sowie systemrelevanten Organisationen wie Strom-, Wasser- und Fernwärmeversorgern. Als besonders kritisch erweisen sich hier teilweise überalterte, mit Sicherheitslücken behaftete Rechner, mit obsoleten Betriebssystemen und Anwendungen, die von den Herstellern gar nicht mehr gewartet werden sowie alle digitalen Schnittstellen, die den „Direct Touch“ zwischen Behörde und Bürgern beziehungsweise Unternehmen ermöglichen.
Was ist mit den Anwendern?
Gries: Der Faktor Mensch stellt eine weitere Gefahr dar, die die öffentliche Verwaltung und die Privatwirtschaft gemein haben: Ohne eine adäquate Sensibilisierung der Mitarbeiter wird es immer wieder zu Datenklau-Fällen kommen.
Ist die öffentliche Hand nicht zu blauäugig beim Schutz kritischer Netzwerke etwa von Stadtverwaltungen und Krankenhäusern?
Gries: Laut der Definition des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe sind kritische Infrastrukturen, kurz Kritis, „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Die Definition basiert auf der Erbringung von lebensnotwendigen Diensten und nicht darauf, wie kritisch die Daten sind, die von den Organisationen bearbeitet werden. Dadurch zählen leider Stadtverwaltungen nicht zu den Kritis, hier sind aber alle Pflichten aus lokalen und europäischen Datenschutzrichtlinien einzuhalten.
Und was besagt die Datenschutzgrundverordnung (DSGVO) in Bezug auf Datensicherheit?
Gries: Organisationen sollen allgemein ein Mindestmaß an Schutz vorweisen. Dieses Mindestmaß misst sich allerdings an der Finanzstärke der Organisation. Dieser Ansatz begünstigt einerseits Neuinvestitionen in den KMUs der Privatwirtschaft, erweist sich aber als gefährlich in der öffentlichen Verwaltung, die eine ganz andere Verantwortung trägt. Wir würden ein bundesweites Programm begrüßen, wodurch auch kleine Ämter in die Lage versetzt werden, sich mit professionellen Lösungen zu schützen und cyberresilient zu werden.
Verschiedene Normen und Vorschriften, so etwa Richtlinie über die Netz- und Informationssicherheit (NIS) in Europa, aber auch lokale Bestimmungen machen klare Vorgaben zum Schutz sensibler Informationssysteme. Fließen die Normen umfassend in die Praxis ein?
Gries: Dadurch, dass viele Organisationen der öffentlichen Hand nicht als Kritis eingestuft sind, findet auch die NIS-Richtlinie keine Anwendung. Im Bereich Kommunalverwaltungen hat das Bundesamt für Sicherheit in der Informationstechnik die Bedrohungslage erkannt und bereits 2019 ein IT-Grundschutzprofil zur Basisabsicherung der Kommunalverwaltungen erstellt. Dieses ist eher als eine Best-Practice-Empfehlung zu verstehen, nicht als technisches Regelwerk, woran sich Stadtverwaltungen halten sollen. Dementsprechend heterogen ist die Landschaft eingesetzter Lösungen bezüglich Herkunft, Leistung, Schutzniveau und Eignung. Was wiederum ein Hindernis zur Etablierung von Sicherheitsstandards in diesem Segment darstellt.
Was müssen Kommunen aus der aktuellen Entwicklung lernen?
Gries: Auch ohne Pandemie sollten Kommunen dafür sorgen, dass die Digitalisierung vollständig Einzug in Arbeitspraktiken und Dokumentenverarbeitungsprozesse erhält. Die Mitarbeiter, die zunehmend auf Telearbeit zurückgreifen müssen, sollten dies in aller (IT)-Sicherheit und mit geeigneten Werkzeugen tun können. Pläne für den IT-Notfall müsste man anschließend anpacken, denn diese sind unentbehrlicher Bestandteil des Informationssicherheitsmanagements einer digitalisierten Stadtverwaltung.
Wo sollte aus Ihrer Sicht beim Schutz von IT-Systemen der öffentlichen Verwaltung und der kritischen Infrastrukturen angesetzt werden?
Gries: Als Spezialist für Cybersecurity, kritische Infrastrukturen und sensible Daten sind wir der Meinung, dass der Schutz unserer kritischen Infrastrukturen eng mit dem Prinzip einer digitalen Souveränität Europas verflochten ist. Die Entwicklung von europaweit greifenden Zertifizierungs- und Regelwerken ist zwar bereits gestartet, aber sie wird noch einige Jahre in Anspruch nehmen. Deshalb wäre vorerst eine lokale Anpassung der Richtlinien und Grundschutzprofile bereits ein großer Schritt nach vorn: Die öffentliche Hand sollte durchwegs als Kritis eingestuft werden. Von Bund und Ländern sollten genügend Mittel in die Kommunen fließen, damit sie sich mit Lösungen schützen, die dem jeweils aktuellen Stand der Technik gerecht werden. Sensibilisierungskampagnen unter den Mitarbeitern sollten ebenfalls stattfinden. Die digitale Hygiene ist genauso relevant für eine effiziente Cybersicherheit wie die schnelle Anpassung der Maßnahmen an eine sich ständig verändernde Bedrohungslage.
Und wie sieht es mit den Kosten für die Cybersicherheit aus?
Gries: Dieses Thema zieht sich wie ein roter Faden durch alle Ebenen der öffentlichen Verwaltung. Doch solange man allgemein auf Sparkurs bleiben soll, wird man die verfügbaren Lösungen so lange ausreizen, wie deren Lebenszyklus ist. Das können unter Umständen auch über zehn Jahre sein. Umso wichtiger ist es deshalb, auf ein gutes Preis-Leistungs-Verhältnis bei qualitativ hochwertigen Lösungen zu achten. Leider fehlen aber oft hausintern die personellen Ressourcen oder Kompetenzen. Man darf nämlich nicht vergessen, dass Cybersicherheitssysteme keine Plugin-and-Forget-Gegenstände sind, sondern gepflegt werden müssen. Eine Maßnahme ähnlich wie das Krankenhaus-Zukunftsgesetz für die Verwaltungsämter könnte Abhilfe schaffen.
Interview: Red.
Zur Person
Uwe Gries ist Country Manager für Deutschland, Österreich und die Schweiz (DACH) bei der Cybersecurity-Firma Stormshield in München