Cyberangriffe auf Kommunen – Was man aus den bisherigen Angriffen lernen kann

Als am Morgen des 06.07.2021 ein Mitarbeiter des Landkreises Anhalt-Bitterfeld mit der Arbeit beginnen und den Rechner hochfahren wollte, wurde er mit der folgenden Nachricht empfangen: „Landkreis Anhalt-Bitterfeld, you are fucked. Do not touch anything”. Ein Ransom-Ware Angriff der Hacker-Gruppe „Pay or Grief“ hatte die Verwaltung des Landkreises getroffen. Begonnen hatte der Angriff schon mehrere Wochen vorher: Forensiker gingen in der Nachbereitung davon aus, dass sich die Hacker schon ein halbes Jahr, mindestens aber einige Wochen vor Bekanntwerden in den IT-Systemen eingenistet hatten.

Die Folgen waren fatal: Es konnten keine Sozialleistungen ausgezahlt und keine Dienstleistungen abgerufen werden. Die Systeme wurden verschlüsselt, später wurde bekannt, dass auch große Datenmengen abgeflossen waren und durch die Angreifer ins Darknet gestellt wurden, als der Landkreis kein Lösegeld entrichtete. Trotz der Sabotage der Hacker (etwa durch Dateiverschlüsselung oder Löschen von Logs) konnte die komplett neu aufgebaute IT durch Backups mit gespeicherten Daten versorgt werden.

Nicht nur aufgrund der Schwere des Angriffs und der medialen Rezeption war der Angriff auf Anhalt-Bitterfeld bemerkenswert: Zum ersten Mal wurde durch eine Behörde ein Katastrophenfall ausgerufen, der durch einen Cyberangriff verursacht wurde. Begründet wurde dies unter anderem damit, dass nur so umfassende Unterstützung durch den Bund erfolgen kann – ohne eine solche außergewöhnliche Situation dürfen Bundesbehörden nicht helfen.  Hilfestellung leistete damals unter anderem auch die Cyber-Einheit der Bundeswehr – auch ein Novum.

Das Angriffsziel Kommune

Es gibt knapp 11.000 Kommunen in Deutschland. Städte, Gemeinden, Dörfer und Landkreise bilden eine große Angriffsfläche für Angreifer. Für die Bürger sind Städte und Gemeinden die ersten Anlaufstellen, wenn es um Verwaltungsdienstleistungen geht. Hinzu kommt, dass in den IT-Systemen der Kommunen große Mengen sensibler Bürgerdaten gespeichert sind - ein attraktives Ziel für Hacker. Im Gegensatz zur Landes- und Bundesverwaltung sind kommunale IT-Systeme nicht einer gemeinsamen Administration unterworfen: Landesrechenzentren und die IT des Bundes sind zentralisiert, trotz mancher Sonderlösungen für Justiz und andere Bereiche. Jede Kommune dagegen ist theoretisch alleinverantwortlich für die IT, die sie betreibt. Manch kleinere Kommunen lagern diese Aufgaben an andere Kommunen oder Dienstleister aus, größere Städte stemmen die IT eher aus eigenen Kräften.

Was Aufgabenstellung und übergreifende Faktoren angeht, stehen Kommunen vor der Mammutaufgabe namens „Verwaltungsdigitalisierung“. Außerhalb von punktuellen Förderungen durch Länder oder den Bund bewältigt jede Kommune diese Aufgabe für sich, eine institutionalisierte Vernetzung von Kommunen untereinander gibt es nur äußerst begrenzt. Zu „Pflichtaufgaben“ wie eAkte oder Umsetzung des Online-Zugangsgesetzes kommen SMART-City Projekte, denn Bürger erwarten neben einem digitalen Alltag eben auch eine digitale Verwaltung und Stadtgesellschaft. In fast allen Fällen erbringt die Stadt zudem kritische Dienstleistungen, etwa die Versorgung der Bürger mit Wasser, Strom und Gas sowie die Abfallentsorgung. Der Fachkräftemangel tut sein Übriges zur Erschwerung dieser Aufgaben, Kommunen konkurrieren wie andere Behörden mit dem freien Markt um Informatiker und werden vielfach von Privatunternehmen ausgestochen.

Das Angriffsziel Kommune ist attraktiv für Angreifer: Große Datenmengen können erbeutet werden, die Sicherheitsmaßnahmen der Städte und Gemeinden sind oft unzulänglich und machen es Hackern zu einfach. In ihrer Aufgabe stehen Kommunen ohne ausreichende Unterstützung von Bund und Ländern da. Die Versorgungsaufgaben und kritischen Dienstleistungen von Stadtwerken spitzen die Gefährdungslage zusätzlich zu: Zwar sind bei den bisherigen Angriffen auf Kommunen die kritischen Anlagen noch nicht ausgeschaltet worden, ein solcher Angriff ist aber nicht unrealistisch.

Gemeinsamkeiten der bisherigen Angriffe

Der Angriff auf den Landkreis Anhalt-Bitterfeld ist beispielhaft für Cyberangriffe auf Kommunen, sowohl durch die Gemeinsamkeiten aber auch durch die Unterschiede zu anderen Angriffen. Diese zusammenzutragen ist keine leichte Aufgabe: Es gibt keine zentrale Übersicht über Angriffe auf Kommunen. Eine Meldepflicht von Cyberangriffen ans Bundesamt für Sicherheit in der Informationstechnik (BSI) besteht nur dann, wenn eine kritische Anlage betrieben wird, die in der Versorgungsleistung einen bestimmten Schwellenwert überschreitet. Dies kann ein Wasser- oder Klärwerk, aber auch eine Verkehrsleitstelle einer Großstadt sein. Über diese besonderen Fälle hinaus müssen Kommunen Angriffe nicht ans BSI melden, vor allem aber besteht in keinem Fall Meldepflicht an Landesverwaltungen. Länder und Bund können deswegen über Angriffe auf Kommunen keinen Überblick haben. Lernprozesse und Analysen gibt es nur aufgrund von Presseinformationen oder punktueller Amtshilfe anderer Behörden.

In den letzten Jahren sind zahlreiche Angriffe publik geworden und auch ohne offiziellen Überblick können Gemeinsamkeiten bei Angriffsziel, Angriffsart und Angriffsvektor festgestellt werden. Laut der BIGS-Studie „Cyberangriffe auf deutsche Kommunen im Jahr 2021“ hat die typische angegriffene Kommune 5.000 bis 20.000 Einwohner. Von den 27 in der Studie analysierten Fällen fielen fast die Hälfte in diese Kategorie. Es lässt sich annehmen, dass Kosten-Nutzen-Abwägungen der Angreifer der Grund sind: Größere Kommunen haben bessere Sicherheit, kleinere zu wenig Geld und/oder Daten.

Bei den meisten Cyberangriffen wird Ransomware eingesetzt. Angreifer versprechen sich davon die höchsten Gewinne, gegenüber gezahlten Lösegeldern ist der Verkauf entwendeter Daten aufwändiger. Der technische Aufwand ist gering, Angreifer können Malware und Angriffe mittlerweile problemlos als Dienstleistung einkaufen. Neben der reinen Verschlüsslung sind auch Datenklau oder Sabotage mögliche Ziele der Angreifer. Mit den fast schon industriell betriebenen Ransomware-Angriffen sind solche Angriffe (oder auch gezielte Hacks auf kommunale KRITIS) nicht vergleichbar.

Zwei zentrale Angriffsvektoren gibt es bei Kommunen: Unzureichend abgesicherte IT und Mitarbeiter. Ungesicherte Zugänge zu Servern und Netzwerken oder ungepatchte Schwachstellen könnten missbraucht werden, um Malware nachzuladen oder Backdoors zu installieren. Verwaltungsmitarbeiter sind eine weitere zentrale Schwachstelle: Gefälschte E-Mails mit gefährlichen Links öffnen Hackern genauso Tür und Tor.

Wie kann es besser laufen

Cybersicherheit von Kommunen ist eine zentrale Aufgabe, die einzelne Kommunen nicht allein bewältigen dürfen. Das Ziel – gesicherte IT-Systeme in Kommunen und ausreichend geschultes Personal – ist klar. Der Weg dorthin muss allerdings unterstützt werden. Um dies zu leisten, muss die Kommunikation zwischen Bund, Ländern und Kommunen stetig und reibungslos sein. Cyberangriffe auf Kommunen sollten gemeldet werden, nur so können nachhaltige Lernprozesse entstehen. Kommunen brauchen finanzielle Mittel für IT-Experten und -Systeme. Die IT-Infrastruktur jeder Kommune sollte dem „State of the Art“ der IT-Sicherheit entsprechen, denn die Technik der Angreifer ist es in jedem Fall.

In Kommunalverwaltungen müssen Digitalisierung und Cybersecurity priorisiert werden, denn eine sicherheitsbewusste Belegschaft ist weniger anfällig für Angriffe auf den „Faktor Mensch“. Im Angriffsfall darf keine Kommune allein stehen, Bund und Land müssen Unterstützung bereitstellen, um Daten und Dienstleistungen für Bürger zu sichern.

Marian Blok