Ransomware : Wie Kommunen einen Ransomware-Angriff überleben können

Vor etwa einem Jahr startete im Rahmen des Dialogs für Cybersicherheit das Projekt „CyberResilience-Framework: In IT-Krisen schneller agieren“ (Resi). Vertreterinnen und Vertreter der Zivilgesellschaft arbeiteten dabei eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Durch diesen Dialog wurden wichtige Impulse aufgenommen und im Verlauf eines Workstreams unterstützt. Nun stellt sich die Frage: Wurden die selbst gesteckten Ziele erreicht, und wie geht es weiter?

Ziel und Herausforderungen

Resi wurde mit der Intention ins Leben gerufen, Kommunen schneller und vernetzter handlungsfähig zu machen. Unterschiedliche Erwartungen, Fähigkeiten und Routinen sollten bekannt gemac ht und aufeinander abgestimmt werden. Zudem sollten Schnittstellen für eine effektive Zusammenarbeit identifiziert werden. Eine Liste angestrebter Ergebnisse lag vor, im Mittelpunkt stand jedoch die Beschreibung eines Szenarios zur Krisenbewältigung, die Klärung konkreter Zuständigkeiten und vor allem die Erstellung sofort einsetzbarer Vorlagen. Hierfür war es notwendig, zahlreiche Publikationen zu sichten und deren Essenz herauszuarbeiten.

Wenn plötzlich alles schnell gehen muss

Mit dieser Zusammenfassung können wir in Krisensituationen schneller handlungsfähig sein. Entscheidungen müssen zügig getroffen und verantwortet werden, oft trotz unvollständiger Lagebilder. Eine schnelle Erschließung möglicher Vorgehensweisen und eine klare Bewertung der verfügbaren Ressourcen geben Sicherheit bei Entscheidungen.

Es galt daher, ein Framework zu schaffen, das einen strukturellen und konzeptionellen Rahmen für die Krisenbewältigung bietet. Dieses sollte die Aktivitäten in ihrer zeitlichen Abfolge beschreiben und den Ablauf mit Vorlagen und Checklisten ergänzen. Zudem sollten Möglichkeiten der Zusammenarbeit aufgezeigt und Vorgehensweisen harmonisiert werden, um Aktivitäten zu beschleunigen und die Kooperation über Ebenen und Fachbereiche hinweg zu verbessern.

Die gesteckten Ziele wurden weitestgehend erreicht. Der Rahmen und die Aktivitäten sind beschrieben, das Szenario sowie die Handreichung mit Vorlagen und Checklisten liegen vor. Während der Ausarbeitung wurde erneut bestätigt, dass der Fokus auf konkreten Maßnahmen in den betroffenen Kommunen liegen muss.

In dieser ersten Ausgabe hat sich der Schwerpunkt daher vom „Wie ist es möglich, zielführend gemeinsam zu handeln?“ auf ein „Was muss getan werden?“ verlagert. Nach wie vor sind die Kommunen im Falle eines Ransomware-Angriffs weitgehend auf sich allein gestellt.

Von BSI-Präsidentin Claudia Plattner stammt das Zitat: „Wir springen nicht aus Helikoptern und patchen die Systeme der Organisationen und Privatleute.“ Daher ist eine weitere Stärkung der Selbsthilfefähigkeit und eine Korrektur falscher Erwartungen notwendig.

Vielfältige Unterstützung

Die am Resi-Workstream Beteiligten sind oder waren bereits in IT-Krisenfällen aktiv. Sie unterstützen entweder praktisch bei der Bewältigung eines Krisenfalls oder betrachten den Fall aus datenschutzrechtlicher oder wissenschaftlicher Perspektive.

Obwohl sie in der ersten Ausgabe noch wenig beschrieben worden ist, ist die Zusammenarbeit von Behörden möglich. Über die bekannten Amtshilfeersuchen auf entsprechender Ebene lassen sich etwa Verwaltungsleistungen zeitweise auslagern. Zusätzliche strategische Verwaltungskooperationen auf Arbeitsebene können weitere Beschleunigung bringen.

Obgleich die Zivilgesellschaft eine Schlüsselrolle im Dialog für Cybersicherheit einnimmt, waren am Projekt alle benannten Stakeholdergruppen beteiligt. Jede und jeder brachte sich entsprechend der eigenen Kompetenzen ein, wodurch vielfältige Fähigkeiten zusammenkamen. Alle Teilnehmenden agieren zudem in einer Doppelrolle: Als Unternehmensvertreter, Wissenschaftler, Medienschaffende oder Vertreter von Staat und Verwaltung sind sie zugleich Privatpersonen und somit Teil der Zivilgesellschaft. Das BSI fungierte als Dialogpartner, und die Handreichung entstammt der Arbeitsgruppe. Die Mitarbeitenden des BSI nahmen regelmäßig an den Arbeitsgruppensitzungen teil und nahmen ausführlich Stellung zu den Arbeitsergebnissen.

Das Ergebnis lässt sich sehen

Das Projekt wurde planmäßig abgeschlossen und bereits im Vorfeld präsentiert und diskutiert. Zunächst wurde das Ergebnis dem Vizepräsidenten des BSI, Gerhard Schabhüser, vorgestellt. In rascher Folge erfolgten weitere Präsentationen auf der Smart Country Convention in der Masterclass „Digitalisierung braucht Sicherheit“ des Arbeitskreises Informationssicherheit des Bitkom sowie auf der Jahrestagung der IT-Sicherheitsbeauftragten der Länder und Kommunen am Vortag der It-sa.

Schließlich wurde es auf der jährlichen Denkwerkstatt des Dialogs für Cybersicherheit, die sowohl den Auftakt als auch den Abschluss der Workstreams bildet, den Teilnehmenden vorgestellt. Auch in den sozialen Medien wurde das Ergebnis präsentiert und erhielt hervorragendes Feedback. Die Qualität zeigte sich im anhaltenden Interesse, den detaillierten Fragen und spontanen Anregungen - wie etwa der Bitte, die Prozessmodellierungsdatei des Szenarios zu veröffentlichen, um sie in Prozessmanagement-Tools importieren und auf die eigene Organisation anpassen zu können. Jede Präsentation führte zu neuen Ideen für eine Erweiterung des Projekts und zu weiteren Mitstreitenden.

Ausgedruckt und griffbereit

Zentraler Bestandteil des Projekts bleibt die Prozessmodellierung des Krisenmanagements nach einem Ransomware-Angriff. Das Szenario ist detailliert beschrieben, beginnt mit der Detektion und umfasst drei „Swimlanes“: die behördeninterne Organisation, die Kommunikation sowie Technik/Systeme und IT-Sicherheit. Es wird der Prozess betrachtet, der idealerweise koordiniert anläuft, wenn der Krisenfall eintritt. Die Verhinderung einer Krise wurde nicht betrachtet. Obwohl der Leitfaden noch immer knapp 90 Seiten umfasst, erfüllt er den Anspruch der Kürze, da er vor allem Checklisten und Vorlagen zur sofortigen Verwendung enthält, insbesondere für die Krisenkommunikation.

Der Leitfaden und das Szenario sind unter der Lizenz CC-BY-SA 4.0 veröffentlicht und können von der Projektseite des Dialogs Cybersicherheit heruntergeladen werden. Es bietet sich an, das Szenario im A3-Format auszudrucken und in Serverräumen sowie im Krisenstabsraum auszuhängen.

Ein weiteres Ergebnis ist die vertrauensvolle Zusammenarbeit zwischen den Teilnehmenden und den Mitarbeitenden des BSI. Diese Kooperation hat zu einem gemeinsam erarbeiteten Resultat geführt, das so stark nachgefragt wird, dass nun Ressourcen für die Weiterführung zur Verfügung stehen und das BSI als Multiplikator fungiert, um das Ergebnis flächendeckend an die Kommunen zu verbreiten.

Weitere Szenarien folgen

Das Projekt wird abseits der aktuellen Workstreams fortgeführt. Es ist frustrierend, wenn im Krisenfall Angaben veraltet sind. Daher muss die Handreichung gepflegt werden. Mindestens müssen die Angebote und Kontaktmöglichkeiten zu Ansprechpartnern überprüft und gegebenenfalls aktualisiert werden. Zusätzlich soll in einem nächsten Schritt der Umgang mit weiteren Angriffsszenarien wie DDoS-Angriffen modelliert werden. Hierzu werden derzeit verschiedene Möglichkeiten der Zusammenarbeit untersucht.

Der Arbeitsmodus ist grundsätzlich kollaborativ und online, wobei die Plattformen (Nextcloud, Big Blue Button) weiterhin vom BSI bereitgestellt werden. Zusätzlich gibt es eine E-Mail-Adresse, über die Hinweise und Aktualisierungen gesammelt werden, um sie regelmäßig in die Materialien einzuarbeiten. Wer Interesse an einer Mitarbeit hat, kann darüber auch Kontakt zur Gruppe aufnehmen und ist jederzeit willkommen.

Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriffs auf den Landkreis im Jahr 2021 aufzuarbeiten. Zuletzt ist von ihr in dieser Rubrik erschienen: „Ein Cyber Resilience Framework für die Kooperation in Krisenfällen“.