„Wir sind bürger:innenfreundlich“ – ein Leitsatz, der in vielen öffentlichen Verwaltungen Einzug gehalten hat, auch wenn der eine oder andere hier und da etwas anderes erlebt haben mag. Grundsätzlich stehen die öffentlichen Verwaltungen jedem zur Verfügung, sei es digital, telefonisch oder klassisch vor Ort. Zu den Öffnungszeiten gelangt man in Rathäuser, Kreishäuser und ähnliche Einrichtungen ohne Einlasskontrollen und kann Ansprechpartner:innen persönlich aufsuchen.
Diese gewollte Offenheit birgt jedoch Gefahren, wenn es um die Informationssicherheit in solchen Gebäuden geht. Einmal im Haus können sich Besucher:innen frei bewegen und stoßen nur in seltenen Fällen – meist nur in größeren Verwaltungen – auf abgeschlossene Flure. Ideale Bedingungen für Cyberangriffe, denn der erste Schritt bei einem Cyberangriff ist es, sich Zugang zu einem Netz – in diesem Fall dem Behördennetz – zu verschaffen.
Um erfolgreich in ein Netz zu gelangen, gilt es, die administrative Hoheit über ein Gerät zu erlangen. Im klassischen Fall von Angriffen erfolgt dies über Phishing-Mails oder über die Ausnutzung von Schwachstellen in IT-Systemen. Kann ein Angreifender allerdings sein eigenes Gerät direkt in das Netz einer Behörde implementieren, ist die Gefahr „aufzufliegen“ geringer. Gleichzeitig sind seine technischen Möglichkeiten größer, etwa wenn der Angreifende den Computer eines Mitarbeitenden übernimmt, der gerade drei Wochen im Urlaub ist. Die Rückverfolgung solcher Angriffe wird dadurch deutlich schwerer.
Als Angriffswerkzeuge, die man in ein fremdes Netz implementieren kann, eignen sich im Grunde alle Kleinstrechner, wie sie als Einplatinenrechner im Handel erhältlich sind. Mit geringem Materialaufwand lässt sich damit ein Hacker-Rechner erstellen, den der Angreifende nur noch an eine freie Netzwerkdose schließen muss – Kleinigkeiten wie Strom lassen wir einmal unbeachtet, denn wo eine Netzwerkdose ist, findet man in der Regel auch eine Steckdose.
Gefahrenquelle Etagen-Drucker
In vielen Verwaltungen sind alle Netzwerkdosen der Einfachheit halber belegt (gepatcht). Ist dies nicht der Fall, ist der Mehraufwand für den Angreifenden dennoch überschaubar. Der Trend zu Etagen-Druckern hat auch vor der öffentlichen Verwaltung keinen Halt gemacht. Der Angreifende kann problemlos ein spezielles Gerät zwischen Drucker und Netzwerk stecken und damit seine Hardware ins städtische Netz integrieren. Ein zusätzliches kleines Kästchen mehr neben dem Drucker wird niemandem auffallen. Dieses kleine Kästchen erreicht der Angreifende per Mobilfunk oder WLAN – und der Einbruch ins Netz ist geglückt.
Solche Angriffsszenarien sind weder hochkomplex noch besonders fortschrittlich. Entsprechend gibt es auch einfache Ansätze, ihnen zu begegnen und die Gefahren zu mitigieren. Leider jedoch – so die Erfahrung des kommunalen Computer Emergency Response Team (Kom-Cert) der Regio IT – ist dies im kommunalen Sektor viel zu selten der Fall. Trotz steigender Angriffsfälle fehlt das Bewusstsein innerhalb der Verwaltung. Hier sind die Verwaltungsspitzen gefragt, die das Thema proaktiv bei Ihren IT-Verantwortlichen platzieren sollten, anstatt darauf zu vertrauen, dass „die IT sich schon kümmert“. IT-Abteilungen haben heutzutage vielfältige Anforderungen abzudecken, so dass dies häufig eben nicht der Fall ist.
Weniger als zehn Prozent der Vorfälle schaffen es in die Presse
Der Blickwinkel der klassischen IT unterscheidet sich vom Blickwinkel einer IT-Security, da Funktion und nicht Schutz im Vordergrund stehen. Aus den Erfahrungen des Cert der Regio IT zeigt sich, dass es vielfach erst zu Sicherheitsvorfällen kommen muss, damit ein Einlenken erfolgt. Und es kommt zu Vorfällen – und zwar zu deutlich mehr Vorfällen als in die Presse gelangen. Auch wenn die Zahlen nicht repräsentativ sind, da zu lokal: Von den durch das Kom-Cert der Regio IT begleiteten und unterstützten Cybervorfällen haben es keine zehn Prozent in die Öffentlichkeit geschafft.
Wendet man diesen Faktor auf die in der Übersichtskarte der Website „kommunaler-notbetrieb.de“ gelisteten – also bekannten – rund 100 Vorfälle an, muss man davon ausgehen, dass es tatsächlich in etwa 1.000 Kommunen in Deutschland, also bei knapp zehn Prozent aller Kommunen, schon zu Cybervorfällen gekommen ist. Diese hohe Eintrittswahrscheinlichkeit sollte zum Nachdenken anregen.
Wie können sich Verwaltungen schützen?
Ein erster Schritt besteht darin, Netze zu separieren, wie es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert. Befinden sich Drucker-Systeme, Clients und Server in unterschiedlichen Netzen, haben potenzielle Angreifende eine weitere Hürde namens Firewall zu überwinden, um erfolgreich zu sein. Eine weitere und sehr wirkungsvolle Ausbaustufe ist die Implementation von sogenannten NAC-Lösungen (Network Access Control), die dafür sorgen, dass nur bekannte und zugelassene System eine Netzwerkverbindung erhalten. Bringt man ein Fremdgerät ein, wird im Idealfall die komplette Netzwerkschnittstelle am Switch deaktiviert. Diese Systeme lassen sich um weitere Funktionalitäten erweitern, sodass ausschließlich Systeme Zugriff bekommen, die „compliant“ sind.
Ein Beispiel: Möchte ein Mitarbeitender nach sechs Monaten Sabbatical mit seinem Gerät wieder ins Netz, wird sein System zunächst nur mit einem Quarantäne-Netz verbunden. Anschließend werden Updates und Virenscans durchgeführt und erst nach erfolgreichem Abschluss kann er wieder auf die kommunalen Systeme zugreifen. Alternativ könnte man theoretisch auch einen Empfang in jedem öffentlichen Gebäude einrichten, der Besuchende zwingt, sich zu registrieren – die Gefahr, dass Angreifende das oben erwähnte Kästchen ins Netz einbringt, bannt man damit allerdings nicht.
Wir können festhalten: Im Umfeld der physischen Sicherheit gibt es im kommunalen Sektor noch großen Nachholbedarf, jedoch – in Relation zu den Schäden, die Cyberangriffe verursachen können – ein zu geringes Interesse sich abzusichern.
Zusammenfassend lässt sich sagen, dass es nur zwei Möglichkeiten gibt, damit IT-Sicherheit in den Fokus der Verwaltungen rückt. Entweder es gibt eine klare gesetzliche Pflicht zur Umsetzung von Sicherheitsmaßnahmen, zum Beispiel durch eine Verpflichtung auf das kommunale Grundschutzprofil oder den BSI-Grundschutz. Oder es kommt zu einem massiven Sicherheitsvorfall und die schmerzhaften Erfahrungen führen zu einem Umdenken. Durch die erste Variante könnte man sich ersparen, dass es zur zweiten kommt.
Thomas Stasch ist Chief Information Security Officer (Ciso) und Leiter des Competence Center Security von Regio IT, dem größten kommunalen IT-Dienstleister in Nordrhein-Westfalen. Er hält den Vorsitz der Facharbeitsgruppe IT-Sicherheit in der Vitako und ist aktives Mitglied der AG Cybersicherheit der Govdigital. Nebenberuflich ist er Fachdozent für Informationssicherheit an der Wilhelm-Büchner-Hochschule in Darmstadt. Sein kommunales „Computer Emergency Response Team“ (Kom-Cert) warnt vor Sicherheitslücken und unterstützt bei der Lösung von Sicherheitsvorfällen. Beim Kommunalen IT-Sicherheitskongress des Deutschen Landkreistags spricht er heute zum Thema Informationssicherheit in öffentlichen Gebäuden.