Wenn wieder irgendwo ein Cyberangriff erfolgreich war, stellen sich Organisationen, die noch nie betroffen waren, oft dieselbe Frage: „Sind wir denn eigentlich sicher?“ Oft lautet die Antwort: „Hundertprozentige Sicherheit gibt es nicht.“ Doch das ist aus meiner Sicht nicht zufriedenstellend. Die Antwort sollte eine Gegenfrage sein: „Sind Sie denn vorbereitet?“
Der Notfall kann geübt werden
Ende Juni fand der sächsische IT-Sicherheitstag statt. Gleich drei Vorträge wurden unter dem Titel „Den Notfall üben statt im Notfall üben“ angeboten. Das ist gut, denn es muss verstanden sein, dass die Antwort auf die Frage, ob es einen selbst treffen kann, klar mit „Ja“ beantwortet werden kann. Wichtig ist es, handlungsfähig zu sein, alle Daten sicher und parat zu haben, die Technik schnell wieder anlaufen lassen zu können, auf zuständige Stellen und gebundene Dienstleister zurückgreifen zu können und dabei das Vertrauen der Anspruchsgruppen nicht durch oberflächliche Krisenkommunikation zu riskieren. All das kann man in verschiedenen Ausprägungen üben.
Art und Umfang von Übungen können unterschiedlich sein. Sollen zum Beispiel vorhandene Prozesse, Dokumente und Vorgehensweisen überprüft werden? Oder geht es darum, dass diese durch eine Übung erst entstehen? Es gibt zudem sowohl standardisierte als auch individuelle Übungen. Darüber hinaus können sie sich auf die IT-Abteilung beschränken oder um weitere Abteilungen oder Organisationen und Partner erweitert werden.
Cyberangriffe auf die IT-Infrastruktur können auch in Echtzeit simuliert werden – zugegeben, das passiert ausgesprochen selten. Ein Grund dafür ist die unzureichende Dokumentation der eigenen IT-Infrastruktur. Die Nachbildung in einer sicheren Simulation ist faktisch nicht zu stemmen und in der Konsequenz unwirtschaftlich. Die bekannt heterogene IT-Landschaft der Kommunen bewirkt, dass Nachbildungen im Grunde nicht nachnutzbar sind. Zumindest nicht, wenn der Anspruch besteht, möglichst realitätsnah zu üben.
Der Wiederanlauf ist wichtig
Kontinuierliche sogenannte „Desaster Recovery Tests“ sorgen für Ausfallsicherheit und beweisen, dass die Organisation ein verlässlicher und valider Partner in den Netzen ist. Nicht vergessen werden sollte die Wiederanlaufübung. Insbesondere Behörden, die im Gegensatz zu Unternehmen, nach einem Vorfall nicht von einer Insolvenz betroffen wären, sollten die Frage beantworten können, wie lange der Wiederanlauf dauern würde. Wobei hier mit Blick auf die jüngsten Vorfälle die zu implementierenden Sicherheitsvorkehrungen in die Berechnung einfließen müssten. Ohne Nachweis keine Rückkehr in das Netz des Landes oder die Netze des Bundes.
Zu sehen, an welchen Stellen es hakte und nicht funktioniert hätte – gerade auch im Zusammenspiel mit anderen Akteuren – ist absolut effektiv. Umso besser, wenn dies an mehreren Stellen hakt. Genau diese Punkte werden künftig bestens funktionieren. Eine gelungene Improvisation wird auf operativer Ebene vielfach weitererzählt und schafft konkrete greifbare Lösungen.
Ohne Schmerzen kein Lerneffekt
Übungen dürfen nicht nur, sie sollen „weh tun“ – auch außerhalb der eigenen Organisation. Eine Trennung vom Landesverwaltungsnetz bedeutet auch eine Trennung von den Basiskomponenten und Online-Diensten. Hier müssten die Länder für Lösungen in Form von „Bypässen“ (Ausweichmöglichkeiten) sorgen. Ein längerer Ausfall des besonderen elektronisches Behördenpostfachs einer Kommune führt beispielsweise zu möglichen Verfristungen in Gerichtsverfahren, die sich massiv finanziell auswirken können.
Im Rahmen der Übungen kann und muss daher bewertet werden, wie lang sich ein Wiederanlauf hinzieht und welche Folgen und Auswirkungen dies mit sich bringt. Wer ist zu involvieren und wie können drohende Schäden möglichst geringgehalten werden? Diese beiden Fragen werden sich zunehmend auch in Hinblick auf „Einer für Alle“-Dienste (EfA) im Rahmen des Onlinezugangsgesetzes (OZG) stellen.
Unterliegen Kommunen den Vorgaben für Kritis müssen sie sich kontinuierlich stetig verbessern. Dabei müssen sie auf Partner mit sektorspezifischen Kenntnissen setzen, die zielführend auf die zugegebenermaßen schwerfällige Verwaltungskultur eingehen können. Ist diese einmal in Bewegung versetzt, wirkt sich das veränderte Verwaltungshandeln – insbesondere das der Kommunen – unmittelbar bei den Bürgerinnen und Bürgern aus.
Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriff auf den Landkreis im Jahr 2021 aufzuarbeiten. Von ihr bisher in dieser Rubrik erschienen: „Sicherheit für Sicherheitsforschende“ und „Cyberkrisen den Schrecken nehmen“.