Verfasst von Dennis Christ, Content Marketing Manager bei NCP
Staatliche Stellen stehen verstärkt im Zentrum von Angriffen aus dem Netz. Das liegt nicht zuletzt an einer fehlenden Cyber-Gesamtstrategie und stockendem Handeln. Was helfen könnte.
Mehrere Wochen herrschte jüngst in der IT-Sicherheit der Christdemokraten in Nordrhein-Westfalen der Ausnahmezustand. Grund ist ein Vorfall, den CDU-Chef Friedrich Merz nach Medienberichten als schwersten Cyberangriff auf eine deutsche Partei jemals bezeichnete. Anfang Juni, eine Woche vor der Europawahl, verschafften sich Unbekannte Zugang zu den Systemen der CDU in NRW und griffen unter anderem auf E-Mail-Konten von Parteimitgliedern und Kalenderdaten von Merz zu. Daraufhin wurden die IT-Systeme der Partei teilweise heruntergefahren, um weitere Datenabflüsse zu vermeiden – doch der Schaden war zu diesem Zeitpunkt bereits enorm. Allem Anschein nach konnten die Angreifenden eine Schwachstelle in einem der verwendeten Produkte ausnutzen. Diese soll zwar in der Zwischenzeit vom Hersteller behoben worden sein. Das zuständige Landeskriminalamt geht jedoch davon aus, dass in NRW „weiterhin vulnerable Systeme aus dem Internet erreichbar und angreifbar sind“.
Parteien und öffentliche Verwaltungen in Deutschland haben sich über die Jahre zu beliebten Zielen für Kriminelle im Netz entwickelt. Wie das Bundeskriminalamt in Wiesbaden im Zuge seines „Bundeslagebild Cybercrime 2023“ aufarbeitete, stiegen die registrierten Angriffe aus dem Ausland um fast 30 Prozent. „Dabei ist noch zu berücksichtigen, dass diese Zahlen aufgrund des enormen Dunkelfeldes lediglich die Spitze des Eisberges zeigen“, fügte Bundesinnenministerin Nancy Faeser hinzu. Es sei davon auszugehen, dass neun von zehn Cyber-Straftaten gar nicht zur Anzeige gebracht werden.
Übergreifende Cyber-Strategie fehlt
Die Zahlen zeigen, wie schlecht der Public Sector in Deutschland beim Thema IT-Sicherheit noch immer aufgestellt ist. Es fehlt eine Cyber-Zusammenarbeit über Bundesländer hinweg. Dies kritisierte auch Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), zuletzt in einem Interview mit dem „Tagesspiegel“. Stattdessen warte man immer erst darauf, dass etwas Großes passiert.
Dadurch fallen die Schäden jedoch massiv aus, wie die Heinrich-Böll-Stiftung in ihrem KommunalWiki feststellt. Sie untersuchte die Nachwirkungen des großangelegten Ransomware-Angriffs in NRW, der im Herbst 2023 mehr als 72 Kommunen außer Gefecht setzte – einer der bislang schwersten kommunalen Cybersicherheitsvorfälle in Deutschland. So waren nach der Attacke 22.000 Arbeitsplätze teils oder vollständig arbeitsunfähig. Sozialämter und Meldebehörden konnten keine Anträge bearbeiten, in manchen Krankenhäusern fielen Computersysteme aus und zeitweise war sogar die Nora-App, über die Notrufe getätigt werden können, nicht nutzbar. Die Folgen für den Alltag der Bürgerinnen und Bürger waren damit enorm. Die Wiederherstellung aller Dienste dauert bis heute an und ist mit hohen Kosten verbunden.
Sicherheitslevel niedriger als in der Privatwirtschaft
Oft lassen sich Cybersicherheitsvorfälle aber nicht so genau analysieren wie in NRW. Die Berliner Public-Affairs-Beratung elfnullelf fand in ihrer Studie „Einsatz von Zero Trust in deutschen Kommunen“ heraus, dass fast zwei Drittel der Befragten keine Angaben zu Ausfällen durch Cyberangriffe in den vergangenen zwölf Monaten machen wollten. Auch fällt das generelle IT-Sicherheitslevel im kommunalen Bereich niedriger aus als in der Privatwirtschaft. Lediglich elf Prozent der befragten Verwaltungen setzen laut elfnullelf bereits auf moderne Konzepte wie Zero Trust. Hingegen haben gemäß der jährlichen Entrust-Studie des Ponemon Institutes bereits 53 Prozent der deutschen Unternehmen mit der Einführung einer Zero-Trust-Strategie begonnen.
Zugegeben: Bevor im öffentlichen Sektor neue IT-Security-Konzepte umgesetzt werden können, müssen diese vorab eingängig geprüft werden. Die Prozesse sind äußerst langwierig, was aktuell auch bei der stockenden Umsetzung der EU-weiten NIS-2-Richtlinie zu beobachten ist. Zudem arbeiten viele Verwaltungen mit sensiblen Bürgerinformationen, die vom BSI mit dem Geheimhaltungsgrad VS-NfD, kurz für „Verschlusssachen – nur für den Dienstgebrauch“, eingestuft werden und somit nur mit speziellen IT-Security-Lösungen angefasst werden dürfen. Diese Produkte müssen vom BSI nach dem entsprechenden Standard zugelassen sein. Nur wenige Anbieter haben derartige Lösungen im Angebot. Einer davon ist NCP aus Nürnberg. Die VS GovNet Lösungen des IT-Security-Herstellers sind speziell für sicheren Remote-Zugriff im Public-Umfeld entwickelt und vom BSI für die Datenübertragung nach VS-NfD zugelassen.
Vorteile für alle
Welche Auswirkungen zeitgemäße IT-Security-Konzepte letztlich für den Public-Bereich im Gesamten haben, hält die Studie von elfnullelf abschließend fest: Die Umsetzung von Zero Trust wirkte sich bei den befragten Kommunen durchweg positiv auf die Datennutzung von Bürgerservices, auf IT- und Verwaltungsabläufe sowie mobiles Arbeiten und Smart-City-Projekte aus. Am Ende nützt moderne IT-Sicherheit also nicht nur den Behörden selbst, sondern auch den Bürgerinnen und Bürgern.