Seit geraumer Zeit und immer öfter werden erfolgreiche Angriffe auf die IT-Infrastrukturen von Kommunen registriert. Die Angreifer nutzen und entwickeln dafür immer effektiver neue Technologien.
Verunsicherung sowie der Verlust von Vertrauen und Souveränität sind die Folge dieser Angriffe. Zweifel an der permanenten Funktionsfähigkeit von Staat und Verwaltung, an der Sicherheit und Integrität der dort gespeicherten persönlichen Daten werden gesät.
Vulnerabilität von Kommunen
Wenn man Kommunalverwaltungen nicht einzig als eine für sich allein gestellte Organisation betrachtet, sondern als komplexe Systeme, die gesellschaftliche, wirtschaftliche und ökologische Faktoren miteinander verknüpfen, wird schnell deutlich, dass sie ein attraktives Ziel sind, wenn die öffentliche Ordnung gestört werden soll. Lösegeldforderungen wurden zuletzt nicht bedient. Je komplexer das System Kommune ist und je rasanter sich Technologien entwickeln, sich Fähigkeiten vor Ort verknappen und sich Angreifer professionalisieren, umso deutlicher wächst die Erkenntnis, dass Kommunen für Angriffe anfällig sind.
Es ist unschwer nachvollziehbar, dass die betroffenen Akteure Handlungs-, Reaktions- und Transformationsfähigkeit der Kommune erwarten. Zielführend ist daher eine Neubetrachtung und mancherorts durchaus eine Neubewertung des Themas Cybersicherheit in Zusammenhang mit der Frage, wie eine Kommune es anstellt, das Schadensausmaß der Vorfälle zu verringern. Dazu muss eine Kommune vorausschauend dem Ausfall von IT-Systemen vorsorgen, ersatzweise Rückfall-Ebenen einbauen, Kaskaden-Effekten vorbeugen und vor allem in der Lage sein, sich schnell von derlei Störungen zu erholen. Im besten Fall verbessert die Kommune aufgrund dieser Erfahrung ihre Strukturen und Funktionen.
Die angestrebte Cyberresilienz beschreibt die Fähigkeit, unmittelbar auf Herausforderungen reagieren zu können. Als Reaktion auf den jüngsten Vorfall hat die Landeshauptstadt Potsdam ein umfangreiches Echtzeit-Monitoring der IT-Infrastruktur implementiert. Zwar hat diese Maßnahme für einen relevanten Verzehr von Ressourcen gesorgt, jedoch können damit externe und interne Störungen vorhergesehen und diesen vorgebeugt werden.
Potsdam hat zudem erkannt, dass Maßnahmen zum Aufbau von Cyberresilienz längst nicht mehr nur Thema des IT-Bereichs sind. Neben technischen Maßnahmen, werden zusätzlich Personen, Prozesse, Werkzeuge und Wissen einbezogen. Je resilienter die Kommune ist, desto weniger ist sie für Risiken anfällig. Resilienz reduziert die Verwundbarkeit der Kommune.
Wie vorgehen?
Eine Ansiedlung des Themas Cyberresilienz beim Krisenmanagement beziehungsweise beim Katastrophenschutz stellt wichtige initiale Fragen. Ab wann ist ein IT-Sicherheitsvorfall als IT-Krise zu bewerten? Innerhalb welcher Zeit müssen welche Prozesse wieder funktionsfähig sein? Relevant und kritisch sind in erster Linie, die Prozesse, bei deren längerfristigen Ausfall Leib und Leben von Bürgerinnen und Bürgern bedroht sind. Welche Daten sind für die Funktionsfähigkeit notwendig und wie sind die Daten klassifiziert? Bürgerinnen und Bürger müssen verstehen, welchen Wert und welche Sensibilität ihre Daten haben, um kostenintensive Schutzmaßnahmen zu akzeptieren, einzufordern und Steuergelder dafür einzusetzen. Vor diesem Hintergrund müssen Leistungen bewertet und priorisiert werden, um eine Reihenfolge für einen Wiederanlauf festzulegen.
Ein weiteres Handlungsfeld ist die Kommunikation. Die Kommune muss im Falle eines Angriffs dazu in der Lage sein, zu informieren und kommunizieren. Sie muss aber auch die Chancen begreifen, die sich aus einer aktiven Zivilgesellschaft, Kooperation und Koproduktion ergeben. Nicht erst die Coronakrise hat gezeigt, dass neue Formen der Zusammenarbeit entstehen, wenn ein hohes Maß an Verbindlichkeit und Verlässlichkeit voneinander erwartet werden kann. Wichtig ist, dass die Synergien zwischen den Zielsetzungen der verschiedenen Handlungsfelder genutzt werden.
Eine Ansiedlung des Themas im Krisenmanagement beziehungsweise beim Katastrophenschutz begünstigt optimierte Entscheidungsstrukturen und eine handlungsfähige Verwaltung, die schnell und flexibel reagieren kann. Auf diesem Wege können Handlungsfelder unkompliziert bereichsübergreifend verknüpft werden und relevante Anpassungsziele und -maßnahmen definiert werden.
Nicht erst der jüngste Vorfall hat gezeigt, dass eine bessere Verknüpfung von Prävention, Vorbereitung, Bewältigung und Wiederaufbau erforderlich sind. Vor allem in der Prävention müssen die Erkenntnisse aus der Krisenbewältigung stärker berücksichtigt werden. Die Prävention muss beim Wiederaufbau nach Angriffen mitgedacht, dokumentiert, ausgewertet und aufbereiten werden.
Bewertung von Maßnahmen zur Umsetzung von Cyberresilienz
Die Landeshauptstadt Potsdam hat IT-Sicherheit als Prozess verstanden und Strukturen verankert, die Sicherheitsmaßnahmen stetig überwachen, kontrollieren und Lücken erkennen, um diese zu schließen. Mit einem Bewertungsverfahren werden für verschiedene Auswirkungen geeignete Anpassungsverfahren und Instrumente identifiziert. Auch soll das Angebot des Landes näher betrachtet werden, um ad hoc ein Netzwerk (Notfallkoffer) in Betrieb nehmen zu können. Wie schnell können in diesem Netz Fachverfahren in Betrieb genommen und mit beispielsweise dem Landesdatennetz verbunden werden? Welche Kapazitäten stehen bei einem großflächigen Ausfall aller Verfahren zur Verfügung? Welche Kompetenzen werden für die Inbetriebnahme benötigt?
Zudem soll ein Playbook erstellt werden, das über ein reines Notfallhandbuch hinausgeht. Cyberresilienz geht über eine bloße Reaktion hinaus, sondern stellt schnell und unkonventionell kritische Leistungen sicher bereit und wird auch innerhalb eines Behördennetzwerkes ebenengerecht über Amtshilfeersuchen umgesetzt. Dafür ist vorbereitend zu klären, welche Leistungen von welcher Behörde sinnvoll zeitweise übernommen werden können.
Strategische Behördenkooperationen auf Arbeitsebene
Abseits der ebenengerechten Zusammenarbeit hat sich gerade beim jüngsten Sicherheitsvorfall in Postdam gezeigt, dass ein starkes Unterstützernetzwerk, funktionierende Meldeketten und ein technischer Austausch auf Augenhöhe für eine schnellere, sichere und vertrauensvolle Wiederinbetriebnahme gesorgt haben.
Ein bewusst zusammengestelltes Resilienznetzwerk in einer Kommune verknüpft Mitglieder mit unterschiedlichen Fähigkeiten, die in Krisenzeiten oder bei Herausforderungen unterstützen. Kommunen können sich (auch) „in Friedenszeiten“ gegenseitig beraten, Wissen effizient austauschen und weiterentwickeln, an zentraler Stelle Kompetenzen und Kapazitäten bündeln und so ausgebildete Sicherheitsexperten bereitstellen, um die notwendigen Maßnahmen zuverlässig zu planen, umzusetzen und zu überwachen – um entsprechend eine IT-Projektsteuerungskompetenz wahrzunehmen. Damit wären Kompetenzen und Kapazitäten gebündelt.
Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriff auf den Landkreis im Jahr 2021 aufzuarbeiten. Von ihr bisher in dieser Rubrik erschienen: „Sicherheit für Sicherheitsforschende“.