Cyberangriffe

Aus KommunalWiki

Erstmals hat am 10.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) wurde durch eine Cyber-Attacke so weit lahmgelegt, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Dabei wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat ("Ransomware", siehe unten), um Lösegeld zu erpressen. Der Landkreis weigerte sich zu zahlen und erhielt Hilfe von vielen Seiten (u.a. weitere Kommunen und kommunale Betriebe, Land Sachsen-Anhalt, eine Hochschule, Bundesamt für Sicherheit in der Informationstechnik, Bundeswehr u.a.). Der Wiederaufbau des Verwaltungsnetzes nach verschärften Sicherheitsvorgaben und die Rekonstruktion der Daten wird nach aktuellem Stand (Anfang 2022) länger als ein halbes Jahr dauern.

Kein Einzelfall[Bearbeiten]

Der Fall Anhalt-Bitterfeld ist vorerst vielleicht der spektakulärste, aber kein Einzelfall; schon öfter wurden Kommunen, nicht nur in Deutschland, Opfer von Cyber-Angriffen. Nach einer Recherche des Bayerischen Rundfunks gemeinsam mit "Zeit online" von Mitte 2021 betraf dies in den vergangenen sechs Jahren mehr als 100 Behörden, Kommunalverwaltungen und andere öffentliche Stellen.[1] Einer Analyse des Sicherheitsunternehmens Barracuda Networks zufolge betrafen im Zeitraum zwischen Mitte 2019 und Mitte 2020 ca. 45% der erfassten Angriffe mit Ransomware in Deutschland Kommunalverwaltungen von kleinen und mittleren Gemeinden (unter 50.000 Einw.). Die Lösegeldforderung belief sich im Durchschnitt auf ca. 1,4 Mio. €. Rund 15% der betroffenen Gemeinden sei bereit gewesen zu zahlen.[2] Auch das Stuttgarter Staatstheater soll im April 2019 auf diese Weise erfolgreich attackiert worden sein, kam aber mit einer Zahlung von 15.000 € glimpflich davon.[3] Die Angriffe werden tendenziell professioneller und gefährlicher.[4] Natürlich werden Kommunen auch außerhalb Deutschlands immer häufiger Opfern von Cyber-Angriffen.[5] Für die Wirtschaft in Deutschland wird der Gesamtschaden durch Cyberangriffe allein im Jahr 2020 auf über 220 Mrd. € geschätzt.[6]

Vorfälle bis 2020[Bearbeiten]

2016 fand ein Angriff auf die IT der bayerischen Kleinstadt Dettelbach statt. Die Kommune hat Berichten zufolge damals 1,3 Bitcoin - seinerzeit etwa 500 Euro - Lösegeld gezahlt.[7] 2017 versuchte eine vermutlich in Russland beheimatete Hackergruppe, Zugriff auf die Netze der Verwaltung von Energieversorgern wie EnBW und Eon zu bekommen. Nach rund vier Jahren Ermittlungen wurde einer der mutmaßlichen Hacker identifiziert, gegen ihn wurde im September 2021 ein (bis heute nicht öffentlicher) Haftbefehl erlassen.[8]

Bundesweite Aufmerksamkeit erhielt ein Angriff, der am 6. September 2019 in der Verwaltung von Neustadt am Rübenberge (Region Hannover, Niedersachsen) entdeckt wurde - tatsächlich hatte er, wie später festgestellt wurde, bereits ein halbes Jahr früher begonnen. Er führte zu einem mehrtägigen Ausfall großer Teile der Verwaltung; lebensnotwendige Systeme wie Abwasser, Klärwerke, Verkehrs- und Schließsysteme zum Beispiel für Schulen waren jedoch nicht betroffen.[9] Im Dezember 2019 kam es zu einer Reihe von Attacken, die auch Kommunen und kommunale Einrichtungen trafen. So musste Frankfurt am Main am 18.12.2019 sein IT-Netz vom Internet abkoppeln, auch der Internet-Auftritt ging offline. Auslöser war eine "sehr gut getarnte" E-Mail mit der Schadsoftware "Emotet" an einen Mitarbeiter. Die Störung wurde am folgenden Tag behoben. Auch Bad Homburg (Hochtaunuskreis) nahm seine Rechner vom Netz, hier dauerten die Aufräumarbeiten drei Tage.[10] Zeitgleich befiel derselbe Trojaner auch Rechner der Stadt Nürnberg (Bayern), insbesondere das IT-System städtischer Schulen war betroffen.[11] Zu Beginn des Jahres 2020 traf es die Stadt Alsfeld (Vogelsbergkreis, Hessen).[12] Kurz darauf musste die Stadtverwaltung von Potsdam (Brandenburg) ihre Server abschalten, nachdem Anzeichen einer Cyberattacke festgestellt wurden. Es hatte unbefugte externe Zugriffe auf das Netzwerk gegeben. Erst nach einer Woche konnte die Stadt wieder schrittweise ans Netz gehen, Online-Terminvergaben funktionierten auch nach drei Wochen noch nicht. Daten waren, so die hinzugezogenen Expert*innen, nicht abgeflossen, Schadsoftware nicht auf die Rechner gebracht worden.[13] Anfang März traf ein weltweiter Angriff, der eine Sicherheitslücke im Email-Dienst Microsoft Exchange ausnutzte, auch eine Reihe von Kommunen in Mecklenburg-Vorpommern, unter ihnen die Stadtverwaltung Grevesmühlen. Die Sicherheitslücke war schon länger bekannt, doch hatten viele IT-Abteilungen die verfügbaren Sicherheitsupdates noch nicht eingespielt.[14]

Anfang Mai 2020 teilte der kommunale Versorger Technische Werke Ludwigshafen (TWL) mit, Opfer einer Cyber-Attacke geworden zu sein. Die Ermittlungsbehörden und ein IT-Sicherheitsunternehmen wurden sofort eingeschaltet, die betroffenen Rechner vom Netz genommen. Als der Angriff bemerkt wurde, waren jedoch bereits sensible Daten im Umfang von 500 Gigabyte abgeflossen. Die Ermittlungen ergaben, dass der Angriff bereits im Februar begann, aber erst im April bemerkt wurde, als sich die Angreifer mit einer Lösegeldforderung im zweistelligen Millionenbereich meldeten. Nachdem die TWL sich weigerten zu zahlen veröffentlichten die Angreifer Kundendaten der TWL im Darknet. Betroffen waren personenbezogene Informationen wie Name, Vorname und Anschrift, in vielen Fällen auch die E-Mail-Adresse oder Telefonnummer, Angaben zum gewählten Tarif und teilweise auch die Bankverbindung der Kund*innen.[15]

Ein Hackerangriff mit dem Ziel der Erpressung auf die Düsseldorfer Uniklinik führte im September 2020 zum Tod einer Patientin. Da die IT-Systeme der Uniklinik ausgefallen waren, wurde sie in ein anderes Krankenhaus verlegt, wo sie wegen der verspäteten Behandlung starb. Das eigentliche Ziel der Erpresser war die Universität selbst gewesen; nachdem die Polizei ihnen mitteilte, dass ein Krankenhaus betroffen und Patienten gefährdet waren, zogen sie ihre Forderung zurück und händigten den Schlüssel aus, mit dem die Daten wiederhergestellt werden konnten.[16]

2021: Deutliche Zunahme[Bearbeiten]

Ende Mai 2021 entdeckte die Stadtverwaltung von Rolle (Kanton Waadt, Schweiz, zwischen Genf und Lausanne gelegen), dass sie Opfer eines Cyberangriffs geworden war; die Öffentlichkeit erfuhr davon erst am 20.08.2021. Die Angreifer forderten ein Lösegeld und stellten, als dieses nicht gezahlt wurde, sensitive Daten von Bewohner*innen der Gemeinde ins Internet.[17]

Am 14.07.2021 meldete das Städtische Klinikum Wolfenbüttel einen Angriff mit Ransomware; den Hackern, so ein Sprecher des Klinikums, gehe es um Geld, Daten seien nicht abgeflossen. Die medizinische Versorgung sei nicht gefährdet, die notwendige Dokumentation sei vorerst auf Papier und Stift umgestellt worden. Ein Sprecher der Staatsanwaltschaft lobte die Vorbereitung der Klinik auf ein solches Szenario. Der Angriff sei schnell entdeckt worden, eine aktuelle Sicherung wichtiger Daten sei vorhanden. Am selben Tag meldete die Stadtverwaltung des hessischen Geisenheim (Rheingau-Taunus-Kreis) einen Angriff auf das städtische Netz. Stadtverwaltung und Stadtwerke seien voraussichtlich mindestens drei Wochen lang offline.[18] Ebenfalls im Juli 2021 gab es einen Ransomware-Angriff auf die IT der bayerischen Gemeinde Hohenpeißenberg (Landkreis Weilheim-Schongau). Die Lösegeldförderung belief sich auf 40.000 €. Es kostete die Gemeinde allerdings nur wenige Tage, alle Systeme wieder ans Netz zu bringen.[19]

Am 09.08.2021 stellte der Sparkassenverband Baden-Württemberg einen Hackerangriff fest. Den Angreifern sei es offenbar gelungen, zumindest teilweise die interne Kommunikation mitzulesen. Ob Daten abgeflossen seien, wisse man noch nicht. Auch hier wurde ein Lösegeld gefordert und mit der Veröffentlichung interner Daten gedroht. Einzelne Sparkassen seien, so der Verband, nicht betroffen.[20]

Im September 2021 wurde der Sozialdienst Olching (Landkreis Fürstenfeldbruck, Bayern) Ziel eines Angriffs mit Ransomware. Der Verein betreut rund 150 Pflegebedürftige zu Hause und betreibt mehrere Kindereinrichtungen. Viele Daten, die für die tägliche Arbeit notwendig sind (z.B. Termine, Tourenpläne, Medikamente, Kontaktdaten Angehöriger) waren nicht mehr verfügbar, auch die Telefonanlage war außer Betrieb, der Verein also nicht mehr erreichbar. Die geforderten 10.000 € Lösegeld will der Verein nicht bezahlen; eine Firma wurde mit dem Versuch beauftragt, die Daten wiederherzustellen.[21]

Ebenfalls im September 2021 wurden die Rechner des privaten SRH-Klinikverbunds angegriffen. Betroffen waren wohl hauptsächlich Server in Bildungseinrichtungen des Verbunds, aus Sicherheitsgründen wurden jedoch die Systeme von vielen Kliniken ebenfalls vom Netz genommen.[22]

Ende September 2021 traf es die Stadtwerke Wismar. Wohl am Morgen des 28.9. hatte eine Schadsoftware begonnen, Firmendaten zu verschlüsseln, was erst "im Laufe der Woche" bemerkt wurde. Nach dem Herunterfahren der befallenen Systeme konnten Mails nicht mehr gelesen und z.B. Abrechnungen nicht mehr bearbeitet werden. Daher war auch zunächst nicht zu klären, ob überhaupt eine Lösegeldforderung eingegangen war. Die Strom-, Gas-, Wasser- und Wärmeversorgung wird von eigenen Systemen gesteuert, die vom Firmennetz abgekoppelt sind und nicht betroffen waren.[23]

Nach einem Ransomware-Angriff auf die Systeme des Kommunalservice Mecklenburg (KSM)[24] am 15.10.2021 gingen die Online-Services der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim komplett vom Netz. Das betraf auch die Gemeinden Boitzenburg, Zarrentin, Stralendorf, Ludwigslust, Grabow, Neustadt-Glewe und Parchim sowie die Verwaltungsdienste einiger kommunaler Unternehmen. Auch nach drei Tagen waren die Dienste noch nicht wieder erreichbar, die Kreisverwaltung und die Bürgerbüros blieben geschlossen. Mails an die offiziellen Verwaltungsadressen konnten über längere Zeit nicht abgerufen werden, in der Landeshauptstadt war auch die Telefonanlage abgeschaltet. Für Notfälle wurde eine Mail-Adresse bei einem Webmailer und eine Telefonnummer eingerichtet. Eine für den 18.10. geplante Kreistagssitzung konnte nicht stattfinden, weil die Einladung vollständig auf digitale Dienste angewiesen ist.

Die Polizei und Sicherheitsbehörden des Landes wurden eingeschaltet. Nach Feststellungen von Sicherheitsexpert*innen und der Staatsanwaltschaft war für den Angriff die Software "DeepBlueMagic" eingesetzt worden.[25] Während die Behörden davon ausgingen, dass keine Daten abgeflossen seien, wies der Sicherheitsexperte Manuel Atug im NDR-Interview darauf hin, dass bei Cyberangriffen häufig Tage vor dem Start der Verschlüsselung bereits Daten abgezogen werden. Die Versorgung mit Strom, Gas und Warmwasser wird laut den Stadtwerken Schwerin durch eigene, nicht mit der Verwaltung verbundene Systeme gesteuert und sei deshalb nicht gefährdet.[26] Anfang November war klar, dass die Ausfälle bis Anfang 2022 andauern werden.[27] Auch die Meldungen der Corona-Daten an das Robert-Koch-Institut ist auf Wochen unterbrochen, auf den RKI-Karten ist daher ein grauer Fleck zu sehen.[28] Weitere Folge des Angriffs war, dass rund 3.000 Verkehrsverstöße nicht verfolgt werden konnten, weil der Landkreis von Mitte Oktober bis Jahresende 2021 keine Halterabfragen stellen und keinen Kontakt zum Kraftfahrtbundesamt herstellen konnte. Erst im April 2022 waren sämtliche Probleme behoben.[29]

Ein weiterer Cyberangriff traf am 21.10.2021 das Landesamt für innere Verwaltung (LAiV) in Mecklenburg-Vorpommern und hatte auch Auswirkungen auf die IT-Systeme der Landesstatistik und der Erstaufnahmeeinrichtungen in Horst und Stern Buchholz.[30]

In der Nacht zum 16.10.2021 wurde ein Angriff auf die IT-Infrastruktur der Stadt Witten (Ennepe-Ruhr-Kreis, Regierungsbezirk Arnsberg, Nordrhein-Westfalen) gemeldet, der zunächst in der Einsatzzentrale der Feuerwehr bemerkt wurde. Über 1.000 PC-Arbeitsplätze wurden abgeschaltet und damit beispielsweise das gesamte Einwohnermeldeamt außer Betrieb gesetzt. Betroffen waren auch der Ticketverkauf im Kulturforum, das Stadtmarketing, die Volkshochschule Witten – Wetter – Herdecke und der Stadt-Sport-Verband. Kritische Infrastrukturen wie die Versorgung mit Gas, Wasser und Strom sowie Feuerwehr und Rettungsdienst blieben intakt, das Gleiche gilt für Kitas, Ordnungsdienste und Müllabfuhr. Nach zwei Tagen konnte zumindest die telefonische Erreichbarkeit des Jugend- und des Sozialamtes über Umleitungen sichergestellt werden, für Hochzeiten und die Ausstellung von Sterbeurkunden wurde technische Hilfe aus Dortmund eingeholt. Eine Lösegeldforderung lag am 19.10. noch nicht vor. Das LKA und die Schwerpunktstaatsanwaltschaft "Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen" (ZAC NRW) wurden eingeschaltet. Die Stadt schätzt, dass die Beseitigung aller Probleme Wochen oder gar Monate dauern kann. Mitte November 2021 wurde zusätzlich bekannt, dass bei dem Angriff erbeutete Daten im Darknet verfügbar gemacht wurden - vermutlich um den Druck zu erhöhen, was darauf hindeutet, dass es doch eine Lösegeldforderung geben könnte. Die Stadt bemüht sich, dort wo besonders sensible Daten betroffen sein könnten, die Menschen direkt zu kontaktieren; das ist jedoch wegen der großen Datenmenge nicht einfach.[31]

Am 29.11.2021 wurde auf dem Mailserver der Bayerischen Krankenhausgesellschaft (BKG) Schadsoftware aktiv, die Mails mit Signaturen von Angestellten der Krankenhausgesellschaft verschickte; dies wurde zwei Tage später bekanntgegeben. Die Mail-Kommunikation der BKG war einige Tage lang nicht möglich. Weitere Systeme waren laut BKG nicht betroffen, insbesondere keine Krankenhäuser.[32] Am 01.12.2021 wurde dann in den IT-Systemen des Klinikums Braunschweig ein Schadprogramm entdeckt. Das Problem konnte jedoch innerhalb weniger Stunden behoben werden; in dieser Zeit war keine Mail-Kommunikation möglich. Für die Versorgung von Patient*innen relevante Systeme waren nicht betroffen.[33]

Anfang Dezember 2021 traf es mehrere Kommunen und kommunale Einrichtungen in (Sachsen) und Sachsen-Anhalt. Zunächst verzeichneten die Stadtwerke Pirna einen Angriff auf ihre IT-Systeme. Die Technik zur Überwachung und Steuerung der Versorgungsnetze war nicht betroffen. Mail-Kommunikation und die Erstellung von Abrechnungen war jedoch nicht mehr möglich, die entsprechenden Systeme wurden zur Schadensbeseitigung abgeschaltet. Am 07.12. meldete die Stadtreinigung Leipzig einen Angriff und forderte die Bürger*innen auf, bis auf Weiteres keine E-Mails und auch keine Online-Formulare zu schicken. E-Mails von der Stadtreinigung sollten auf keinen Fall gelesen, Links und Anhänge nicht geöffnet werden. Am gleichen Tag wurde bekannt, dass auch das Rathaus von Seehausen (Sachsen-Anhalt) in der Vorwoche betroffen war. Zwei Tage lang blieb der Server abgeschaltet. Der Angriff, so die Stadtverwaltung, habe nicht der Stadt, sondern dem IT-Dienstleister gegolten. Da gute Sicherungsmaßnahmen getroffen worden waren, konnte der Betrieb schnell wieder aufgenommen werden.[34]

Am 15.12.2021 schaltete der Kreis Soest (NRW) die Server seines Geoportals ab, so dass alle Kartendienste seines Internet-Auftritts nicht mehr zur Verfügung standen. Die Abschaltung erfolgte vorsorglich, da auf dem Server eine Software installiert war, für die das BSI eine Sicherheitswarnung der höchsten Stufe "rot" ausgegeben hatte. Die Einschränkungen sollen einige Tage dauern.[35]

2022: Andauernde Angriffe[Bearbeiten]

Am 10.03.2022 wurden die Stadtverwaltung in Suhl (Thüringen) Opfer eines Cyberangriffs. Bis auf weiteres ist kein Zugriff auf die Daten möglich, die gesamte IT der Verwaltung ist abgeschaltet. Das Landeskriminalamt ermittelt. Die Stadt versucht vorrangig, das Sozialamt, Gesundheitsamt, Bürgeramt und das Corona-Testzentrum wieder arbeitsfähig zu machen.[36] Als Konsequenz forderte die Fraktion der Linken im Thüringer Landtag die Einrichtung eines "Cyberhilfswerks" des Landes, das im Fall von "Cyber-Großschadenslagen" vor Ort schnelle Hilfe leisten, einen Plan zum Einsatz eines Katastrophenstabs erstellen und Notfallübungen durchführen könne.[37]

Die Stadt Schriesheim (Rhein-Neckar-Kreis, Baden-Württemberg) erlebte am 18.04.2022 einen Cyberangriff, bei dem Server der Stadt mit Ransomware verschlüsselt wurden. Die Angreifer drohten mit der Veröffentlichung erbeuteter Daten, ohne jedoch eine konkrete Lösegeldforderung zu stellen. Die Server wurden zeitweilig abgestellt und mit höheren Sicherheitsstandards neu aufgesetzt. In der Nacht zum 07.05.2022 wurden tatsächlich Daten im Darknet veröffentlicht, die aus verwaltungsinternen Vorgängen bestanden, teilweise jedoch Namen enthielten. Mitte Mai 2022 begann die Stadt, betroffene Bürger*innen über die sie betreffenden, im Darknet verfügbaren Daten zu informieren.[38]

Im Mai 2022 wurde bekannt, dass ein erfolgreicher Ransomware-Angriff auf die Kärntner Landesverwaltung (Österreich) ausgeführt wurde. Nachdem die Landesregierung sich weigerte, ein Lösegeld zu zahlen, gab die Hackergruppe Black Cat bekannt, sie habe einen Teil der erbeuteten Daten im Internet verkauft; darunter hätten sich, so die Hacker, Rechnungen, Covid-19-Testergebnisse und E-Mails des Landeshauptmanns befunden. Insgesamt dürften die Hacker ca. 250 GB an Daten abgezogen haben. Darunter befanden sich u.a. Stammdatenblätter von Niederlassungs- und Aufenthaltsbewilligungen, Kontaktdaten des Veranstaltungsmanagements und Daten aus internem Schriftverkehr von Regierungsmitgliedern sowie Mitarbeitern. Bei einem weiteren erfolgreichen Angriff auf die Medizinische Universität Innsbruck wurden u.a. Vertrags- und Finanzdaten, Reisepässe und Krankmeldungen kopiert. Ein Teil der gestohlenen Daten tauchte später im Darknet auf. Die hierfür verantwortliche Hackergruppe Vice Society hatte zuvor die Verwaltung der italienischen Stadt Palermo erfolgreich angegriffen.[39]

Am 10.06.2022 wurde der Darmstädter Energieversorger Entega Opfer einer Cyberattacke. Bemerkt wurde sie, als Mitarbeiter*innen nicht mehr auf das Online-Portal zugreifen konnten. Betroffen waren nach Darstellung des Unternehmens nur interne Mailkonten und die Webseite, die Versorgungsinfrastruktur war nicht gefährdet. Kundendaten seien auch nicht abgeflossen, hieß es zunächst - was sich jedoch später als falsch herausstellte. Ein Team aus Expert*innen des hessischen Innenministeriums sowie des Landes- und Bundeskriminalamtes wurde eingeschaltet.[40] Mehr als zwei Wochen nach dem Angriff war die reguläre Unternehmenswebseite weiterhin abgeschaltet, zu sehen waren lediglich Telefonnummern. Die Vermutung, dass der Angriff womöglich dem IT-Dienstleister galt, der für Entega arbeitet, bewahrheitete sich bald: Wenige Tage später wurde bekannt, dass der Hackerangriff den hessischen IT-Dienstleister Count+Care GmbH getroffen hatte und dass auch weitere kommunale Unternehmen wie das Darmstädter Verkehrsunternehmen Heag, die Frankfurter Entsorgungs- und Service-Gruppe (FES) und die Mainzer Stadtwerke sowie der Mainzer Nahverkehr betroffen waren. Auch hier waren Mail-Konten und Webseiten, aber auch einzelne Dienstleistungen lahmgelegt worden (z. B. funktionierten einige Fahrscheinautomaten in Mainz nicht mehr, in Frankfurt konnte Sperrmüll nicht mehr online angemeldet werden). Ermittlungen durch die Zentralstelle zur Bekämpfung der Internetkriminalität, eine Außenstelle der Generalstaatsanwaltschaft Frankfurt, wurden eingeleitet.[41] Offenbar waren die Angreifer durch eine gefakte Mail, die von einem Mitarbeiter geöffnet wurde, in das System gelangt. Nach Presseberichten forderten die Erpresser einen Betrag von 15 Mio. €, den die Entega aber nicht zahlte. Angeblich war die in Russland beheimatete Gruppe "Black Cat" für die Attacke verantwortlich. Die Mainzer Stadtwerke setzten kurzerhand eine völlig neue Internetpräsenz unter der Adresse www.mainzer-stadtwerke.info auf, was nur wenige Tage dauerte - wesentlich schneller als die Rekonstruktion der alten Web-Präsenz. Am Abend des 06.07.2022 konnten die Systeme wieder eingeschaltet werden.[42] Doch das bedeutete keine Entwarnung, denn die Angreifer reagierten auf die Weigerung, ein Lösegeld zu zahlen, mit der Veröffentlichung erbeuteter Kundendaten im Darknet. Betroffen sind Kunden der Mainzer Stadtwerke und der Entega; in vielen Fällen waren auch Kundennummern und Bankverbindungen unter den Daten. Sie könnten für mehrere Zwecke genutzt werden: Unbefugte Bankeinzüge (die, wenn sie bemerkt werden, von den Betroffenen zurückgebucht werden können), Kauf von Waren mit den entsprechenden Bankdaten oder auch Phishing-Mails, die aussehen, als kämen sie vom Versorger. Die Unternehmen schreiben Betroffene direkt an und haben teilweise die Passwörter der betroffenen Kundenkonten zurückgesetzt.[43]

Am Wochenende 25./26.6.2022 wurden die Server des Essenslieferanten "Apetito" in Rheine (Nordrhein-Westfalen) Ziel eines Angriffs. Das Unternehmen beliefert Kindertagesstätten, Schulen, Unternehmen, Kliniken, Senioreneinrichtungen und Essen auf Rädern, der Angriff trifft damit auch viele kommunale Einrichtungen weit über NRW hinaus.[44] Die IT-Systeme wurden abgeschaltet, so dass keine Bestellungen mehr möglich waren. Apetito schaltete die Zentral- und Anlaufstelle Cybercrime Nordrhein-Westfalens in Köln (ZAC NRW) ein und erstattete Anzeige bei der Polizei Münster. Möglicherweise geriet Apetito in das Visier der kriminellen Banden, nachdem bekannt geworden war, dass das Unternehmen von der Pandemie profitiert und im Jahr 2021 über 1 Mrd. € Umsatz gemacht hatte.[45] Laut "focus" wurde das Unternehmen aufgefordert, im Darknet über ein Lösegeld zu verhandeln, andernfalls wurde mit der Veröffentlichung erbeuteter Daten gedroht.[46]

Alle Industrie- und Handelskammern in Deutschland waren am 3. August 2022 von einer Cyberattacke betroffen, die sich nicht gegen einzelne IHKs, sondern gegen das gemeinsame IHK-Netzwerk richtete. So kappte z.B. die IHK Mittleres Ruhrgebiet alle Internet-Verbindungen und war auch per Telefon oder Mail nicht mehr erreichbar. Vermutet wurde eine sog. DDos-Attacke.[47] Der Industrie- und Handelskammertag stellte bis zum 10.08.2022 einige Dienste provisorisch wieder her.[48]

Ein DDos-Angriff traf Mitte August 2022 eine Gesellschaft des Oldenburger Energieversorgers EWE. Von nennenswerten Schäden wurde jedoch nicht berichtet.[49]

Am Wochenende 03./04.09.2022 traf ein Hackerangriff die Bezirkshauptstadt Feldbach (Steiermark, Österreich). Laut Presseberichten wurden 10 Terabyte an Daten verschlüsselt und eine Lösegeldforderung übermittelt. Die Stadt will nicht bezahlen und schaltete das Landeskriminalamt ein. Ob Daten abgeflossen sind, blieb zunächst unklar. Kritische Infrastruktur war nicht beeinträchtigt.[50]

Am 12.09.2022 wurde ein Cyberangriff auf die Caritas in der Erzdiözese München und Freising bekannt. Der Wohlfahrtsverband sprach von einer "Großstörung zentraler IT-Systeme" seit dem Wochenende 10./11.09; es gebe "konkrete Hinweise darauf, dass es den Cyber-Kriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen". Ein Krisenstab wurde eingerichtet, die Münchner Kriminalpolizei ermittelt. Die 350 Dienste und Einrichtungen liefen weiter, die Prozesse seien gesichert, würden aber auf analogen Betrieb umgestellt. Bei der Erreichbarkeit per Telefon oder per E-Mail könne es zu Einschränkungen kommen. Der analoge Betrieb würde, so die Caritas am 15.09., mindestens vier Wochen andauern. Ein besonderer Aufwand entstand dadurch, dass sämtliche Daten über die Medikation von Heimbewohner*innen durch Abfragen bei den Ärzten überprüft werden mussten - sie lagen zwar auch auf Papier vor, doch war nicht klar, ob diese Unterlagen alle aktuell waren. Auf den Rechnern der Caritas wurde eine Lösegeldforderung gefunden. Trotz der Drohung, erbeutete sensible Daten zu veröffentlichen, lehnte der Vorstand des Caritasverbandes eine Zahlung ab und beschloss stattdessen den Aufbau einer alternativen IT-Infrastruktur.[51]

Wege und Arten von Cyber-Angriffen[Bearbeiten]

Cyber-Attacken finden ihren Weg ins kommunale Netz manchmal über ungeschützte Zugänge von außen, meist über das Internet. Bekannte Schwachstellen der Software z.B. von Servern werden genutzt, um Verbindung aufzunehmen und Programme zu starten, die ihrerseits weitere Software nachladen, die die eigentlichen Schadfunktionen enthält. Ein komfortablerer Weg für die Angreifer führt aber oft über arglose Anwender*innen: Eine Mail, scheinbar aus der Einrichtung selbst oder von einer bekannten Stelle, fordert dazu auf, einen Anhang zu öffnen oder einen Link anzuklicken. Derartige Mails, die im Internet kursieren, sind oft schlecht gemacht und bauen darauf, dass unter Millionen von Empfänger*innen doch einige wenige unvorsichtig reagieren. Wird jedoch eine Einrichtung gezielt angegriffen, lohnt der Aufwand, sorgfältig einen glaubwürdigen Mail-Text zu verfassen und die Absenderadresse so zu manipulieren, dass die Empfänger*in glaubt, es handle sich um die Fortsetzung einer laufenden Korrespondenz.[52]

Kommunen und kommunale Einrichtungen verfügen oft im IT-Bereich über wenig in Sicherheitsfragen qualifiziertes Personal und aktualisieren die eingesetzte Software nicht häufig genug. Das resultiert in einer größeren Verwundbarkeit. So fand die Fachzeitschrift c't im November 2021 bei einem Test 20 angreifbare Exchange-Server, darunter ein Theater, eine Volkshochschule sowie mehrere Stadtverwaltungen und Landkreise, bei denen eine bekannte Sicherheitslücke nicht geschlossen worden war, obwohl Updates seit April 2021 bereit standen.[53]

Ransomware[Bearbeiten]

Eine besonders gefährliche Form der Cyber-Attacke, die deutlich zunimmt, ist die sog. Ransomware, oft auch als "Erpressungstrojaner" bezeichnet. Dabei handelt es sich um Schadprogramme, die Daten auf dem Computer verschlüsseln oder den Zugriff auf sie verhindern. Für die Freigabe oder Entschlüsselung wird ein Lösegeld verlangt; im Gegenzug soll der Schlüssel übermittelt werden. Ob dies geschieht, ist jedoch nicht sicher; da die Verursacher anonym agieren, können sie auch mit dem Lösegeld verschwinden, ohne die Schlüssel herauszugeben. Die Zahlung wird meist in Bitcoins verlangt, da hier der Empfänger anonym bleiben kann. Ransomware stellt heutzutage ein Geschäftsmodell dar: Diejenigen, die sie nutzen, haben sie meist nicht selbst programmiert, sondern die Software gekauft oder gemietet oder einen Cyberangriff als Dienstleistung beauftragt.[54] Eine Analyse der Blockchain-Datenplattform Chainalysis für das Jahr 2021 zeigte, dass rund drei Viertel der mit Ransomware erbeuteten Gelder (ca. 350 Mio. € jährlich) bei Hackern aus Russland oder einem der daran angrenzenden Länder der Gemeinschaft Unabhängiger Staaten (GUS) landen. Die russischen Behörden unternehmen wenig gegen die kriminellen Banden und leugnen, dass ein Großteil der weltweiten Ransomware-Angriffe von russischem Boden ausgeht.[55]

Auf die Rechner gelangt die Schadsoftware meist über Mails, die für die Empfänger*in harmlos aussehen und scheinbar von einer regelmäßigen Kontaktperson, einer Kolleg*in oder Vorgesetzten stammen. Damit der Angriff startet, muss in einer solchen Mail meist ein Anhang geöffnet oder ein Link angeklickt werden. Doch gelegentlich gelingt es auch, einen Fernwartungszugriff eines Servers zu "kapern" und auf diesem Wege Daten zu erbeuten oder eigene Software zu installieren.

Wird die Aktivität von Ransomware entdeckt, ist die beste Reaktion, die betroffenen Rechner unverzüglich abzuschalten (nicht erst herunterzufahren), um die laufende Datenverschlüsselung abzubrechen, und nach Beseitigung des Schädlings die Datenbestände zu rekonstruieren, möglichst aus einer frischen Sicherheitskopie; das bedeutet zunächst einen Totalausfall der betroffenen IT-Infrastruktur.[56] Im März 2020 haben die Bundesvereinigung der kommunalen Spitzenverbände, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik gemeinsame Empfehlungen für Kommunen zum Umgang mit Ransomware herausgegeben (siehe dazu unten unter Weblinks). Sie empfehlen u.a., grundsätzlich kein Lösegeld zu zahlen - zumal niemand garantieren kann, dass im Gegenzug tatsächlich der Schlüssel übermittelt wird - und immer Anzeige zu erstatten. Unter den Innenminister*innen der Länder wird inzwischen diskutiert, Lösegeldzahlungen an Cybererpresser nicht mehr von Versicherungen erstatten zu lassen; nur wenn weniger Lösegeldforderungen erfolgreich sind, so Baden-Württembergs Innenminister Strobl, werde das Geschäftsmodell Ransomware an Attraktivität verlieren.[57]

Auch wenn immer wieder Kommunen mit Ransomware zu kämpfen haben, so ist doch hauptsächlich die Privatwirtschaft betroffen. Nach einer weltweiten Erhebung des IT-Sicherheitsunternehmens Sophos "The State of Ransomware 2022" unter mittelständischen Unternehmen verzeichneten rund zwei Drittel im Jahr 2021 einen Ransomware-Angriff (2020: 46%); in 61% dieser Fälle wurden Daten verschlüsselt. Obwohl 71% der Firmen die Daten aus Sicherheitskopien wiederherstellen konnten, zahlten 42% die verlangte Lösegeldsumme - wohl um zu verhindern, dass erbeutete Daten weiterverkauft werden. Im Schnitt wurden 255.000 € gezahlt, eine Verdoppelung gegenüber dem Vorjahr; die Wiederherstellung der Daten kostete im Schnitt 1,6 Mio. € und dauerte rund einen Monat.[58] Nach dem Ransomware Trends Report 2022 des Datensicherungsunternehmens Veeam zahlten gar 76% der Unternehmen; zwei Drittel konnten danach mit Hilfe der übersandten Schlüssel ihre Daten wiedererlangen, ein Drittel nicht.[59]

Im Juni 2022 forderten mehr als 30 Sicherheitsexpert*innen und Informatiker*innen in einem offenen Brief gesetzliche Maßnahmen gegen Lösegeldzahlungen, in denen sie "ein geostrategisches Risiko" sehen. Die Zahlungen hätten zu einer Professionalisierung der kriminellen Szene geführt. Diese sei "technisch und methodisch oft um Größenordnungen besser aufgestellt [...] als die angegriffenen Unternehmen".[60] Gewinne kämmen insbesondere Staaten zugute, die Deutschland eigentlich sanktioniert. So landeten 74 Prozent aller Ransomware-Lösegelder im Jahr 2021 bei Cybergangs in Russland. Lösegeldzahlungen könnten kurzfristig das Problem lösen, schafften aber langfristig höhere Gefahren. Statt das Geld den Verbrecherbanden zu geben solle es besser in wirksame Sicherheitsmaßnahmen investiert werden. In einem Maßnahmekatalog fordern die Autor*innen u. a. die Abschaffung der steuerlichen Absetzbarkeit von Ransomware-Lösegeldzahlungen (§ 33 EStG), eine Meldepflicht für Ransomwareangriffe und Lösegeldzahlungen, ein Verbot von Versicherungen, die Lösegeld erstatten, sowie einen Hilfsfonds für betroffene Unternehmen. Nach Veröffentlichung wurde der Brief von weiteren über 60 Personen unterzeichnet.[61]

DDoS-Attacke[Bearbeiten]

Der "Distributed-Denial-of-Service" (DDoS)-Angriff stellt den Versuch dar, durch eine enorme Anzahl von Anfragen in kurzer Zeit einen Server an die Grenze seiner Leistungsfähigkeit zu bringen und damit außer Funktion zu setzen. Dafür greifen die Kriminellen üblicherweise auf ein sog. Botnetz zurück; das meint eine Vielzahl - viele tausend, manchmal noch mehr - Rechner, die teilweise vor langer Zeit unauffällig mit einer Schadsoftware infiziert wurden und seitdem auf die entsprechenden Kommandos warten. Botnetze werden von kriminellen Gruppen aufgebaut und meist vermietet. Die Besitzer*innen der beteiligten Rechner ahnen nicht, dass ihre Rechner befallen sind, und meist fallen entsprechende Aktivitäten auch nicht auf, da der einzelne Rechner meist inaktiv ist und nur im Falle eines Angriffs für einige Minuten oder Stunden Daten ins Internet sendet.

Datenklau[Bearbeiten]

Attacken, die längere Zeit unbemerkt bleiben können, weil sie das IT-System nicht lahmlegen, zielen z.B. darauf ab, Daten zu erbeuten (Adressen, Passwörter, Bankverbindungen, Kreditkarten etc.). Die entsprechenden Schadprogramme - falls überhaupt Software installiert wird - agieren im Hintergrund und versuchen sich unsichtbar zu machen. Oft sind die Verursacher selbst nicht an den Daten interessiert, sondern verkaufen sie anonym im Internet. Auch Spionage (manchmal politisch motiviert, häufiger Industriespionage) kann ein Motiv für das Absaugen von Daten sein. Hier ist das wahre Ausmaß auch deswegen unbekannt, weil angegriffene Firmen aus Furcht vor dem Ansehensverlust das Problem häufig im Stillen lösen und den Angriff nicht öffentlich machen.

Sabotage[Bearbeiten]

Zunehmend Verfolgen Cyberattacken jedoch auch das Ziel, unmittelbar Schaden anzurichten. Sie können z.B. ein Mittel zur Austragung internationaler Konflikte zwischen Staaten sein. Da die Verursacher auch hierbei oft lange anonym bleiben, bleibt lange im Dunklen, wer wen aus welchem Motiv angegriffen hat. Immer wieder wird berichtet, dass Hackergruppen beispielsweise in Russland, in China oder im Iran agieren, teils mit staatlicher Rückendeckung, teils aber auch auf eigenständig aufgrund politischer Überzeugung, um westliche Staaten anzugreifen und zu schwächen. Gelegentlich zielen solche Angriffe auch auf politische Prozesse (beispielsweise die Manipulation von Wahlergebnissen durch gezieltes Lancieren von Falschmeldungen in sozialen Netzwerken). Das Ausmaß dieser Art von Bedrohung bleibt unbekannt, da auch die ermittelnden Behörden wie z.B. Geheimdienste nur selten etwas über ihre Erkenntnisse verlauten lassen.

Letzteres Szenario kann jedoch auch Kommunen betreffen, weil diese kritische Infrastrukturen betreiben. Angreifer könnten z.B. darauf zielen, die Wasser- oder Stromversorgung lahmzulegen. Solche Strukturen müssen besonders geschützt werden; oft wird gefordert, sie überhaupt nicht mit dem Internet zu verbinden.[62] Mit dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0, abgekürzt als SiG 2.0) und der BSI-KRITIS-Verordnung (BSI-KritisV) wurde Anfang 2022 der Kreis der Unternehmen, die zur kritischen Infrastruktur zählen, ausgeweitet und zugleich ihre Pflichten strenger formuliert.[63]

Vereinzelt ist Sabotage auch ein Racheakt ehemaliger, z.B. entlassener Mitarbeiter*innen, die dazu ihre Insiderkenntnisse nutzen. Für gezielte Angriffe braucht es heutzutage nicht zwingend besondere IT-Kenntnisse; sie können auch als "Dienstleistung" z.B. im Darknet "gekauft" werden, stellen also für entsprechend spezialisierte Gruppen ein Geschäftsmodell dar.

"Freundliche" Hacker[Bearbeiten]

Gelegentlich verschaffen sich jedoch auch "freundliche" Hacker*innen Zugriff auf ein System, um Sicherheitslücken zu identifizieren und die Verantwortlichen darauf aufmerksam zu machen. Auch diese Hacker bleiben meist anonym, da sie sich - ungeachtet der positiven Beweggründe - schon durch den Zugriff auf geschützte Daten strafbar machen können.[64]

Nicht nur Hackerangriffe sind eine Gefahr[Bearbeiten]

Der Brand in zwei von vier Rechenzentren des französischen Cloud-Anbieters OHV in Straßburg in der Nacht zum 10.03.2021 zeigt, dass bei nicht ausreichender IT-Sicherheit auch ohne einen Hackerangriff ein erhebliches Risiko für kommunale Datenbestände entstehen kann. Durch das Feuer wurden große Datenmengen teils unwiederbringlich vernichtet, 3,6 Millionen Webseiten gingen zeitweilig vom Netz. OHV ist für günstige Cloud-Angebote bekannt. Die Kehrseite davon waren Einsparungen bei der Sicherheit. So kamen die günstigsten Tarife ganz ohne Sicherungskopie der Daten aus, bei anderen lagerten die Kopien in einem benachbarten, ebenfalls vom Brand betroffenen Rechenzentrum. Auch Sprinkleranlagen fehlten laut Presseberichten, so dass sich der Brand enorm ausbreiten konnte. Im Ergebnis waren auch die Webseiten vieler französischer Kommunen mindestens einige Tage lang nicht erreichbar, der französische Regierungsauftritt data.gouv.fr u.a. mit wichtigen Informationen zu Corona-Maßnahmen ging ebenfalls für ein paar Tage offline. Ein Anbieter von Internet-Spielen verlor ebenso unwiederbringlich wichtige Daten wie eine große Anwaltskanzlei.[65]

BSI-Lagebericht 2021: "Angespannt bis kritisch"[Bearbeiten]

Im Oktober 2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen jährlichen Lagebericht, in dem es die Situation als "angespannt bis kritisch" bezeichnet. In Teilbereichen herrsche bereits "Alarmstufe Rot". Im Vorjahr hatte die Gesamteinschätzung noch "angespannt" gelautet. Cyberkriminelle, so das BSI, agierten immer professioneller, Informationssicherheit müsse zur Grundlage aller Digitalisierungsprojekte werden. Beispielsweise würden gelegentlich noch während der Verhandlung über ein Lösegeld auch Reservesysteme angegriffen, die das Opfer verwendet, um seine Tätigkeit aufrechtzuerhalten, oder es würden parallel auch Partner*innen oder Kund*innen mit den erbeuteten Daten erpresst.[66] Nur wenige Sicherheitslücken werden dem BSI gemeldet; ein Grund dafür könnte der "Hacker*innen-Paragraph" (§ 202c StGB) sein, durch den Personen, die eine Sicherheitslücke entdecken und melden, selbst ins Visier der Ermittlungen geraten können. IT-Sicherheitsexpert*innen fordern die Abschaffung dieses Paragraphen und die Herauslösung des BSI aus dem Bundesinnenministeriums, um seine Unabhängigkeit zu stärken.[67] BSI-Präsident Arne Schönbohm hingegen beklagt, dass es noch nicht einmal eine Meldepflicht der Kommunen an das BSI bei IT-Sicherheitsvorfällen gibt, außerdem sind die Meldewege in den Bundesländern unterschiedlich: "Dem BSI liegen daher keine Informationen zur Gesamtheit der IT-Sicherheitsvorfälle in Kommunen vor."[68] Im Übrigen bietet das BSI für Kommunen - im Unterschied zu Bundes- und Länderbehörden - keine individuelle Beratung an.[69]

BKA: Bedrohungslage durch Cybercrime weiterhin sehr hoch[Bearbeiten]

In seinem im Mai 2022 veröffentlichten "Bundeslagebild Cybercrime 2021"[70] bezeichnet das BKA die Bedrohungslage durch Cybercrime als weiterhin sehr hoch. Die Anzahl der erfassten Straftaten hatte 2021 mit 146.363 Delikten einen neuen Höchststand erreicht, bei einem überdurchschnittlich großen Dunkelfeld, da Straftaten sehr häufig nicht angezeigt werden. Von den behördlich bekannten Fällen konnten nur 29,3% aufgeklärt werden. Die wirtschaftlichen Schäden belaufen sich laut Bitkom e.V. auf 223,5 Mrd. Euro jährlich, eine Verdoppelung gegenüber 2019. Davon gehen 24,3 Mrd. € auf das Konto von Ransomware, fast eine Verfünffachung gegenüber 2019.

Vorbeugung[Bearbeiten]

In den Netzen öffentlicher Stellen sind viele Vorbeugemaßnahmen gegen Cyber-Angriffe bereits verwirklicht; wenn nicht, sollten sie schnellstmöglich umgesetzt werden. Zu den Standards, die auch für private Nutzer*innen gelten, gehören

  • Nur aktuelle Software verwenden, Updates regelmäßig einspielen
  • einen aktuellen Virenscanner verwenden
  • Regelmäßige Backups, die es im Fall eines Angriffs erlauben, den Rechner neu aufzusetzen und die Daten möglichst aktuell zurückzuspielen; Backup-Medien sollten möglichst getrennt von den IT-Anlagen aufgehoben werden, damit sie bei Brand oder Wasserschaden nicht mitbetroffen werden
  • Bei Mobilgeräten nur die Installation von Software aus den offiziellen Quellen (z.B. Google Play Store, Apple Store) gestatten
  • Bei Programmen wie Word oder Excel die Ausführung von Makros unterbinden
  • Bei Mails unbekannter Herkunft vorsichtig sein, Anhänge nicht unbedacht öffnen, ggf. bei der (vermeintlichen) Absender*in nachfragen.

Zusätzliche Einfallstore für Schadsoftware können durch die vermehrte Nutzung von HomeOffice entstehen, da hier auch die heimischen Rechner der Beschäftigten gefährdet sind; dies erfordert zusätzliche Hinweise und Schulungen.[71]

Sicherheitsmaßnahmen für Profis (IT-Administrator*innen) sind in der Fachwelt bekannt und werden hier nicht vertieft.

Was Kommunen tun können[Bearbeiten]

Kommunen wie auch kommunale Unternehmen müssen ebenso professionell agieren wie die potenziellen Angreifer. Unabdingbar ist, dass IT-Sicherheitsexpert*innen in den entsprechenden Abteilungen arbeiten und auch die notwendigen Ressourcen (Zeit, Geld ...) haben, um alle notwendigen Maßnahmen umzusetzen. Kleine Kommunen, die diese Infrastruktur selbst nicht darstellen können, schließen sich gelegentlich mit anderen zusammen, um eine gemeinsame Sicherheits-Infrastruktur aufzubauen, oder beauftragen ein kommunales Rechenzentrum. Zu den notwendigen Maßnahmen gehört auch die regelmäßige Sensibilisierung und Schulung der kommunalen Beschäftigten. Kommunen sollten in jedem Fall eine "Informationssicherheitsleitlinie" o.ä. haben.[72] In einigen Bundesländern sind sie dazu auch gesetzlich verpflichtet; beispielsweise verlangt das Bayerische E-Government-Gesetz in § 11 ein Informationssicherheitskonzept auch von Kommunen. Ob eine Versicherung abgeschlossen wird, die zumindest Vermögensschäden abdeckt, muss diskutiert und entschieden werden.[73]

Um für den Fall eines Angriffs vorbereitet zu sein, sollte jede Kommunen (ggf. als Teil des Informationssicherheitskonzepts) über einen Notfallplan verfügen. Dazu gehören z.B. vorab definierte Meldeketten sowie im Fall des Falles ein Krisenstab, der die Maßnahmen koordiniert. Der Notfallplan sollte auch darstellen, wie wichtige Verwaltungsfunktionen auch ohne IT-Systeme gewährleistet werden können.[74] Auch das Durchspielen eines Angriffs in Form einer Übung kann helfen, die notwendigen Strukturen zu schaffen oder zu verbessern.[75] Bei größeren Problemen kann es notwendig sein, Hilfe von spezialisierten Unternehmen oder Stellen des Landes oder des Bundes anzunehmen. Anzuraten ist immer auch eine Anzeige bei der Kriminalpolizei. Für Unternehmen oder Einrichtungen der "Kritischen Infrastruktur" existiert darüber hinaus eine Meldepflicht bei Sicherheitsvorfällen.

Nach Ansicht von Manuel Atug vom Chaos Computer Club gibt es viele Defizite in kommunalen IT-Systemen, die auch nicht über Nacht entstanden seien. Das sei ein langjähriger, fast schon jahrzehntelanger Prozess. Viele Kommunen würden mit alter Soft- und Hardware arbeiten, die seit Jahren nicht mehr aktualisiert worden seien. Neben einer Verbesserung der IT-Sicherheit sei auch eine offene Fehlerkultur wichtig, damit diese mit allen Mitarbeiterinnen und Mitarbeitern gemeinsam realisiert werden könne.[76] Dennoch bleibt fraglich, ob kleine Kommunen die notwendigen Sicherheitsmaßnahmen aus eigenen Kräften - personell und finanziell - stemmen können; meist dürfte es sinnvoll sein, einen entsprechend ausgestatteten Dienstleister in Anspruch zu nehmen. Wie hoch der Aufwand sein kann, zeigt das Unternehmen Dataport, IT-Dienstleister für Kommunen in Norddeutschland in der Rechtsform einer Anstalt öffentlichen Rechts: Dataport investiert nach eigenen Angaben zehn Prozent seines Umsatzes in die Sicherheit.[77]

Leitlinie Informationssicherheit des IT-Planungsrates[Bearbeiten]

Auf Bundesebene hat der IT-Planungsrat zuletzt 2019 die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung 2018 (pdf-Format, 16 Seiten) sowie den dazugehörigen Umsetzungsplan beschlossen. Dieser gilt für kommunale Behörden, sofern diese ebenenübergreifende IT-Verfahren einsetzen, als Empfehlung. Die dort beschriebenen Maßnahmen und Umsetzungsschritte sollten als Mindeststandard verstanden werden.

Haftung bei fehlendem oder nicht ausreichendem Informationssicherheits-Management-System[Bearbeiten]

Für Einrichtungen vor allem der kritischen Infrastrukturen kann sich nach einem Cyberangriff auch die Frage nach einer Haftung für Schäden bei Dritten stellen; dabei dürfte entscheidend sein, ob die Einrichtung über ein angemessenes Informationssicherheits-Management-System (ISMS) verfügte. Siehe dazu: Rechtsanwalt Marios Klotz, Wer haftet nach einem Cyberangriff?, in: KOMMUNAL, 06.08.2020

Programme der Bundesländer[Bearbeiten]

Baden-Württemberg[Bearbeiten]

Das Land Baden-Württemberg hat angesichts der zunehmenden Angriffe auf öffentliche Stellen eine Cybersicherheitsstrategie entwickelt, die am 21.12.2021 von der Landesregierung verabschiedet wurde. Neben Maßnahmen in den öffentlichen Körperschaften (Land und Kommunen) setzt die Strategie auch auf die Vernetzung der Akteure und eine Stärkung der Gefahrenabwehr- und Strafverfolgungsbehörden. Eine zentrale Rolle soll die Anfang 2021 gegründete Cybersicherheitsagentur Baden-Württemberg (CSBW) spielen. Eigene Kapitel widmen sich der Privatwirtschaft und den kritischen Infrastrukturen sowie der Entwicklung digitaler Kompetenzen durch Verankerung dieser Ziele in der Bildung; hinzu kommen Awareness und Verbraucherschutz sowie eine Fachkräftestrategie.

Weblinks[Bearbeiten]

Bayern[Bearbeiten]

Der Freistaat Bayern hat im März 2022, anknüpfend an die bereits erwähnte Informationssicherheits-Leitlinie, eine Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften (ISMS-Förderrichtlinie – ISMSR, Az. E5-1681-7-10) erlassen. Über die Richtlinie wird der Aufbau eines Informationssicherheits-Managementsystems (ISMS) gefördert; sie richtet sich vor allem an kleine und mittelgroße kommunale Gebietskörperschaften.

Hessen[Bearbeiten]

Hessen berät seit 2016 die Kommunen in Fragen von Cybersicherheit, bis 2022 wurden etwa 1.000 Beratungen durchgeführt. Ein weiteres Unterstützungangebot ist das Kommunale Dienstleistungszentrum Cybersicherheit (KDLZ-CS), das - ebenfalls seit 2016 - auf Anfrage eine Ist-Analyse zur Cybersicherheit in der Kommune erstellt und auf dieser Grundlage einen konkreter Maßnahmenplan entwickelt. 328 der 443 hessischen Kommunen haben dies nach Angaben des Landes bis Mitte 2022 genutzt, 60 Kommunen und 15 Lankdkreise daraufhin "fortgeschrittene Maßnahmen" durchgeführt. Im Mai 2022 kam ein Schulungsprogramm hinzu; bis Ende des Jahres sollen 65 Veranstaltungen stattfinden. Durchgeführt werden sie vom neu gegründeten Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K).[78]

Mecklenburg-Vorpommern[Bearbeiten]

Am 31.03.2022 führte der Innenausschuss des Landtags Mecklenburg-Vorpommern eine Anhörung zum Thema durch; Anlass war ein Antrag der FDP-Fraktion zu Maßnahmen gegen Cyber-Kriminalität.[79] Im Anschluss daran forderte die innenpolitische Sprecherin der Fraktion Bündnis 90/Die Grünen, Constanze Oehlrich, eine IT-Sicherheitsstrategie des Landes. In den Kommunen lägen hochsensible Daten wie Fingerabdrücke und biometrische Fotos für Personalausweise, was sie zu Angriffszielen für Hacker mache.[80]

Niedersachsen[Bearbeiten]

Die niedersächsische Landesregierung stellt 1 Mio. € bereit, die Kommunen nutzen können, um eine Cybersicherheitsanalyse zu erstellen. Dazu arbeitet die Landesregierung mit der Fa. Bechtle GmbH zusammen. Die Sicherheitsanalyse soll nach anerkannten Standards erfolgen und in klare Handlungsempfehlungen münden.[81]

Nordrhein-Westfalen[Bearbeiten]

Um allen Kommunen die IT-Sicherheitshinweise zugänglich zu machen, die das Land erhält, hat das Land Nordrhein-Westfalen einen "Kommunalen Warn- und Informationsdienst (KWID)" eingerichtet. Das Land kooperiert dazu mit den kommunalen Spitzenverbänden und dem Dachverband der kommunalen IT-Dienstleister (KDN).[82]

Fußnoten[Bearbeiten]

  1. Bayerischer Rundfunk, Zahlreiche Fälle von digitaler Erpressung in deutschen Behörden, 29.06.2021. Siehe dazu auch das Interview des Deutschlandfunk Kultur mit Vera Linß aus dem BR-Rechercheteam: Wenn Hacker die Hochzeit verhindern, 03.07.2021 (Text und Audio-Beitrag, ca. 10 min.)
  2. it-daily, Ransomware: Kommunen im Visier – mehr Fälle, höhere Forderungen, 09.09.2020
  3. Südwestpresse, Hacker greifen Staatstheater Stuttgart an und erbeuten Lösegeld, 09.04.2019
  4. Der Neue Kämmerer, Kommunen müssen sich auf professionellere Hacker einstellen, 22.10.2019
  5. So erklärte das auf die Abschätzung finanzieller Risiken spezialisierte Unternehmen Cyberwrite Anfang 2020, dass allein in den ersten neun Monaten des Jahres 2019 mehr als 600 erfolgreiche Cyberangriffe auf Gemeinden und städtische Behörden in den Vereinigten Staaten registriert wurden; businesswire, Cyberangriffe auf israelische Kommunen können zu Schaden in Höhe von bis zu 4,5 Mrd. Schekel insgesamt führen, 26.02.2020.
  6. mdr, Wie sich Unternehmen, Kommunen und Privatpersonen gegen Cyberangriffe schützen sollten, 05.08.2021
  7. Welt, Zunehmend Hacker-Angriffe auf Kommunen: Schutz gefordert, 09.02.2022
  8. tagesschau: "Russland ist in unseren Netzen", 28.07.2022; Blackout News, Russische Hackergruppe dringen in Infrastruktur zur Stromversorgung ein, 01.08.2022
  9. Siehe heise, Emotet-Befall: Neustädter Verwaltung weiterhin außer Gefecht, 17.09.2019; zur nachträglichen Auswertung siehe heise, Wie Ransomware eine Stadtverwaltung Tage lang lahmlegte, 29.10.2021; noch ausführlicher in der Zeitschrift c't 6/2020 S. 14 ff.
  10. Frankfurter Rundschau, „Angriffe auf Kommunen nehmen zu“, Interview mit Professor Ahmad-Reza Sadeghi, 19.12.2019; Süddeutsche Zeitung: Stadt Frankfurt wieder online: infizierte Mail, 19.12.2019; Aufräumen nach Trojaner-Attacke: Bad Homburg offline, 20.12.2019; Service in Bad Homburg wegen möglicher Attacke eingeschränkt, 20.12.2019; Stadtverwaltung nach möglicher IT-Attacke wieder geöffnet, 22.12.2019
  11. Süddeutsche Zeitung, Nürnberger Schulen Opfer von Hackerangriff, 10.12.2019
  12. Fuldaer Zeitung, Cyber-Kriminalität in Hessen: Die Gefahr wächst – Kommunen im Visier, 03.01.2020
  13. Süddeutsche Zeitung, Cyberattacke? Potsdam schaltet Server der Verwaltung ab, 22.01.2020; Cyberangriff auf Stadt Potsdam: "Keine Daten abgegriffen", 27.01.2020; Potsdamer Rathaus schaltet Internetverbindung wieder ein, 28.01.2020; Potsdamer Rathaus: Online-Termine noch nicht möglich, 12.02.2020
  14. NDR, Grevesmühlen: Verwaltung wurde Opfer von Hackerangriff, 12.03.2021
  15. Der Neue Kämmerer, Ludwigshafen: Hacker erbeuten Daten von kommunalem Versorger, 08.05.2020; Hacker erpressen TWL, veröffentlichen Kundendaten, 20.05.2020
  16. Heise, Hackerangriff auf Uniklinik Düsseldorf: Ermittlungen nach Tod einer Frau, zuletzt aktualisiert 17.09.2020
  17. Neue Zürcher Zeitung, Tausende persönliche Daten im Darknet: Die Cyberattacke auf Rolle ist gravierender als von den Behörden kommuniziert, 25.08.2021
  18. heise, https://www.heise.de/news/Cybercrime-Ransomware-legt-IT-des-Klinikums-Wolfenbuettel-lahm-6140048.html, 15.07.2021; siehe auch NDR: Wolfenbüttel: Vielversprechende Spuren nach Hackerangriff, 19.07.2021. Der Bürgermeister von Geisenheim Christian Aßmann beschreibt den Angriff, seine Folgen und die Gegenmaßnahmen in der Folge des KOMMUNAL-Podcast vom 03.08.2021 (ca. 30 min.)
  19. Merkur: Cyberattacke auf Gemeinde in Oberbayern: Hacker legen Rathaus lahm - und fordern 40 000 Euro, 04.08.2021
  20. t-online, Sparkassenverband meldet Hacker-Angriff, 12.08.2021
  21. Merkur: Cyber-Attacke auf Sozialdienst: Hacker sperren Daten und fordern Lösegeld - Auswirkungen dramatisch, 18.09.2021
  22. Golem.de: Mehrere Kliniken nach Hackerangriff vom Netz genommen, 22.09.2021
  23. NDR, Stadtwerke Wismar: Ermittlungen nach Cyberattacke laufen, 01.10.2021
  24. Der KSM ist ein gemeinsames Kommunalunternehmen der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim in der Rechtsform einer Anstalt öffentlichen Rechts, dem später die Stadt Ludwigslust, die Stadt Neustadt-Glewe, die Stadt Grabow und das Amt Parchimer Umland sowie mit Wirkung zum 01.01.2020 die Stadt Boizenburg, das Amt Zarrentin und das Amt Stralendorf beigetreten sind.
  25. datensicherheit.de: DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen, 02.12.2021
  26. Landeshauptstadt Schwerin, Schweriner Stadtverwaltung von Schadsoftware betroffen, laufend aktualisiert; heise, Ransomware legt Verwaltung von Schwerin und benachbartem Landkreis lahm, 15.10.2021; ntv, Cyber-Angreifer verschlüsseln Daten in Schwerin, 15.10.2021; NDR, Cyberangriff: Bürgerbüros in Westmecklenburg heute geschlossen, 18.10.2021, mit zwei Interviews (Videos, 4 bzw. 16 min.)
  27. NDR, Cyberangriff in Westmecklenburg: Kein Normalbetrieb mehr in diesem Jahr, 2.11.2021
  28. Spiegel, Wie Erpresser für einen grauen Fleck auf der Corona-Karte sorgen, 17.11.2021; t3n: Cyberangriff: Der graue Fleck auf der Corona-Karte des RKI, 17.11.2021
  29. golem: 3.000 Geblitzte bleiben nach Ransomware-Angriff straffrei, 07.04.2021
  30. NDR, Wieder Cyberangriff in MV: Landesamt und Erstaufnahme betroffen, 21.10.2021
  31. Stadt Witten: Hackerangriff: Stadtverwaltung Witten nicht erreichbar, 18.10.2021; Stadt Witten: Hackerangriff auf Stadt Witten: Was funktioniert?, 18.10.2021; WDR, Nach Hackerangriff: Stadt Witten kämpft um Rückkehr, 19.10.2021; Ruhr Nachrichten, Hacker-Angriff legt Stadt Witten komplett lahm - zahlreiche Dienste nicht erreichbar, 19.10.2021; Süddeutsche Zeitung, "Keine Schülergruppe": Hackerangriff legt Verwaltung lahm, 19.10.2021; heise, Witten: Bei Cyberangriff erbeutete Daten im Darknet veröffentlicht, 17.11.2021
  32. Golem, Hackerangriff auf Krankenhausgesellschaft, 02.12.2021
  33. NDR, Klinikum Braunschweig wehrt Cyber-Attacke ab, 02.12.2021
  34. mdr, Cyberangriff auf Stadtwerke Pirna, 06.12.2021; mdr, Mutmaßlicher Hackerangriff auf Stadtreinigung Leipzig, 07.12.2021; mdr, Altmark: Hacker-Angriff auf Seehäuser Rathaus, 07.12.2021
  35. Soester Anzeiger, Angst vor Cyber-Attacke: Kreis Soest schaltet Teile seiner Internetseite ab, zuletzt aktualisiert 06.12.2021
  36. mdr, [mdr.de/nachrichten/thueringen/sued-thueringen/suhl/cyberangriff-stadtverwaltung-daten-100~amp.html Stadtverwaltung Suhl ohne Zugriff auf Daten], 10.03.2022; Süddeutsche Zeitung, Cyberangriff auf Stadtverwaltung: Kriminalamt ermittelt, 11.03.2022
  37. Süddeutsche Zeitung, Linke: Aufbau von Sicherheitsstruktur gegen Hackerangriffe, 24.08.2022
  38. SWR: Stadt Schriesheim bestätigt Daten-Verlust nach Cyberangriff, 10.05.2022; Golem, Stadt informiert Bürger über Daten im Darknet, 17.05.2022
  39. Der Standard, Hackerangriff auf Kärnten: Erbeutete Daten wurden offenbar verkauft, 03.07.2022; Cyberangriff auf Innsbrucker Med-Uni: Erste Daten im Darknet aufgetaucht, 27.06.2022
  40. heise: Cyberangriff beim Darmstädter Energieversorger Entega, 12.06.2022; PC-Magazin: Energieversorger Entega erlebt Cyberattacke, 13.06.2022; Borns IT- und Windows-Blog: Energieversorger ENTEGA AG von Cyberangriff betroffen, 13.06.2022
  41. Golem, Stadtwerke und ÖPNV mit Ransomware angegriffen, 14.06.2022; Behörden Spiegel: Hessischer IT-Dienstleister angegriffen – Kommunen und KRITIS betroffen, 20.06.2022
  42. Golem: Mainzer Stadtwerke starten neue Homepage nach IT-Angriff, 17.06.2022; hessenschau, 15 Millionen Euro Lösegeld gefordert - Entega zahlte nicht, 08.07.2022
  43. Golem, Erpresser veröffentlichen Kundendaten von Energieversorger, 20.07.2022; SWR, Nach Datenklau: Verbraucherschützer raten zu Achtsamkeit, 22.07.2022; FAZ: Kunden von Entega sollten Abbuchungen überprüfen sowie Sie haben dein Konto, 22.07.2022; SWR, Mainzer Stadtwerke warnen Kunden nach Hackerangriff, 29.07.2022
  44. mdr, Cyberangriff auf Essensanbieter Apetito - Auch in Thüringen keine Bestellungen möglich, 28.06.2022; hessenschau: Frankfurter Kitas von Cyberangriff auf Essenslieferant betroffen, 29.06.2022
  45. heise, Apetito: Cyberattacke auf Essenslieferanten für Schulen und Kliniken, 29.06.2022
  46. focus, Ungestört von deutschen Behörden operiert eine Hackergruppe tief im Netz, 08.08.2022
  47. DDos steht für "Distributed Denial of Service". Dabei wird ein Server von vielen tausend Rechnern so sehr mit Anfragen überlastet, dass er die Dienst einstellt. Meist handelt es sich dabei um Rechner - auch von Privatpersonen -, auf denen unauffällig Schadsoftware installiert wurde, die normalerweise ruht und nur bei Bedarf aktiviert wird, ohne dass die Besitzer*innen diese Aktivität bemerken.
  48. heise, Cyberangriff: IHK-Verbände weitgehend offline, auch telefonisch nicht erreichbar, 04.08.2022; Deutscher Industrie- und Handelskammertag: Mögliche Cyberattacke: Update aus den IHKs, 10,08.2022
  49. NDR, Oldenburg: Cyberattacke auf Gesellschaft von EWE, 17.08.2022
  50. Der Standard: Steirische Bezirkshauptstadt Feldbach von Hackerangriff betroffen, 06.09.2022
  51. Süddeutsche Zeitung: Caritas wird Opfer einer Cyber-Attacke, 12.09.2022; Merkur, Daten-Chaos nach Cyber-Angriff: Caritas muss Medikation neu ermitteln – Lösegeld gefordert, 15.09.2022; Caritas München und Freising: Cyberangriff bremst Caritas nicht aus, 19.09.2022; t-online, Caritas zahlt Hackern kein Erpressungsgeld, 19.09.2022
  52. Siehe dazu auch: Handelsblatt: Wenn Hacker eine ganze Stadt als Geisel nehmen, 30.06.2019
  53. c't, Verwundbare Exchange-Server der öffentlichen Verwaltung, 14.01.2022
  54. ntv, Hacker vermieten Erpressungssoftware, 25.08.2021. Da es sich um ein kriminelles Geschäftsmodell handelt, schrecken die Anbieter von Ransomware auch nicht davor zurück, ihre - ebenfalls kriminellen - Kunden zu prellen. So wurde bekannt, dass die sog. REvil-Gruppe Lösegelder, die von angegriffenen Firmen gezahlt wurden, selbst behielt und ihren Kunden, die die Angriffe ausgeführt hatten, dies verschwieg. Siehe winfuture, Neues von REvil-Ransombande: Cybergangster beklauen ihre "Kunden", 25.09.2021
  55. Webwizard: Russische Hacker kassieren ab, 20.02.2022
  56. Siehe zu Angriffen mit Ransomware auch: KOMMUNAL, Cyberangriffe auf Kommunen mit heftigen Auswirkungen, 21.07.2021; ntv, Cyber-Erpresser kennen keine Grenzen, 07.08.2021
  57. Zeit, Innenminister beraten Maßnahmen gegen Cybererpressungen, 27.11.2021
  58. Die Studie kann hier angefordert werden: Sophos, The State of Ransomware 2022. Siehe auch Sophos, Neue Sophos-Studie „State of Ransomware 2022": 67 Prozent der deutschen Unternehmen von Erpressermalware betroffen, Pressemitteilung, 27.04.2022; Caschys Blog: Studie „State of Ransomware 2022“ zeigt hohe Risiken für Deutschland, 01.05.2022; Spiegel, 42 Prozent der Ransomware-Opfer zahlen, 27.04.2022
  59. heise online, Ransomware: Mehrheit der Unternehmen zahlt Lösegeld, um Daten wiederherzustellen, 19.05.2022
  60. Siehe als Beispiel für diese Professionalisierung: heise, Lockbit-Ransomware-Gruppe stellt sich professioneller auf, 28.06.2022
  61. Siehe den offenen Brief im Wortlaut: Lösegeldzahlungen bei Ransomware-Angriffen: ein geostrategisches Risiko, zuletzt aktualisiert 28.06.2022; heise, Offener Brief: Lösegeldzahlungen bei Ransomware Wurzel allen Übels, 27.06.2022; Spiegel: IT-Forscher verlangen Stopp von Lösegeldzahlungen nach Cyberangriffen, 27.06.2022; hessenschau: Experten schlagen Alarm wegen Ransomware-Attacken, 30.06.2022
  62. Siehe Bayerischer Rundfunk, #Faktenfuchs: Kann ein Hackerangriff für einen Blackout sorgen?, 29.06.2021. Ein - im Ergebnis noch glimpflich abgelaufenes - Beispiel für einen solchen Angriff im US-Bundesstaat Florida: tagesschau, Hackerangriff auf Trinkwasseranlage, 09.02.2021. Siehe auch t-online: "Wir nähern uns in großen Schritten einem Blackout", Interview mit Michael Wiesner, IT-Sicherheitsberater und Mitglied der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG Kritis), 18.07.2021
  63. Siehe das 2. IT-Sicherheitsgesetz (pdf-Format) und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (BSI-Kritisverordnung, BSI-KritisV) im Wortlaut; siehe dazu auch BSI, Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) (Erläuterungen zum Gesetz); Kommune21: Immer Bescheid wissen, 02.05.2022
  64. Siehe als Beispiel: NDR, Hacker dringt in Niedersachsens Corona-Impfportal ein, 20.05.2021. Der "Hackerparagraf" (§ 202c StGB) stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und den Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe. Er ist juristisch umstritten, weil zur Verbesserung der IT-Sicherheit oft dieselben Software-Tools gebraucht werden wie für böswillige Angriffe. Der Chaos Computer Club hält ihn daher für "ungeeignet, die IT-Sicherheitslage zu verbessern. Vielmehr stehe er diesem Ziel des Gesetzgebers sogar entgegen." Siehe golem.de: CCC: Hackerparagraph gefährdet den IT-Standort Deutschland, 21.07.2008; ausführlich dazu wikipedia, Vorbereiten des Ausspähens und Abfangens von Daten
  65. funkschau: Bittere erste Bilanz nach dem OVH-Brand, 16.03.2021; FAZ, Millionen Webseiten vom Brand beim Cloud-Betreiber betroffen, 11.03.2021
  66. Der Lagebericht ist unten unter Siehe auch verlinkt; vgl. tagesschau, Teils "Alarmstufe Rot" bei Cybersicherheit, 21.10.2021; Demo, „Alarmstufe Rot“: BSI sieht Digitalisierung durch Cyberangriffe gefährdet, 28.10.2021
  67. Golem.de: Ransomware entwickelt "sich zur größten Bedrohung", 21.10.2021
  68. Wirtschaftswoche, „Diese Bedrohung muss jede Kommune ernst nehmen“, Interview mit BSI-Präsident Arne Schönbohm, 06.11.2021
  69. BSI: Sicherheitsberatung für die Verwaltung
  70. BKA: BKA ver­zeich­net neu­en Höchst­wert bei Cy­ber-Straf­ta­ten – Bundes­lage­bild Cyber­crime 2021 ver­öf­fent­licht, Pressemitteilung vom 09.05.2022 mit Links auf das Bundeslagebild im Volltext (pdf-Format) und weiteren Unterlagen; siehe auch heise online: BKA-Bericht Cybercrime: Ransomware beeinträchtigt die Funktion des Gemeinwesens, 10.05.2022
  71. Siehe dazu auch: Kommune21, Homeoffice: Leitfaden für Kommunen, 01.03.2021; der im Artikel genannte Leitfaden ist leider online nicht auffindbar.
  72. Hinweise dafür gibt eine Handreichung des Deutschen Städtetags: Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen (2017, pdf-Format, 37 Seiten)
  73. Siehe dazu Werner Renner, Versicherungskammer Bayern: Verwaltungen sind bedroht, Gastbeitrag in: Bayerische Gemeindezeitung, Juni 2021
  74. SWR, Cyberattacken: Karlsruher Experte rät Firmen zu analogen Notfallplänen, 09.03.2022
  75. Eine solche Übung hat z.B. der Landkreis Traunstein (Regierungsbezirk Oberbayern, Bayern) gemeinsam mit den 33 kreisangehörigen Kommunen durchgeführt; PNP, 33 Kommunen und der Landkreis Traunstein wappnen sich gegen Cyber-Angriffe, 08.10.2021
  76. heise: Cyberangriff auf Anhalt-Bitterfeld: Suche nach Lücken, Stellungnahme des CCC, 16.07.2021. Siehe zur Gefährdung von Kommunen auch: FAZ, Kommunen sind Hackern schutzlos ausgeliefert, 25.07.2021. Siehe auch heise, Mehr Cybersicherheit für Behörden und Co. – Landespolitik will mehr tun, 14.08.2021. Siehe auch Wirtschaftswoche: Warum deutsche Kommunen so anfällig für Cyberattacken sind, 21.10.2021
  77. Welt, Zunehmend Hacker-Angriffe auf Kommunen: Schutz gefordert, 09.02.2022
  78. RheinMainVerlag: Cybersicherheit: Innenministerium erweitert Beratungsangebot für Kommunen, 26.06.2022
  79. Stellungnahmen wurden vorgelegt von: Landkreistag Mecklenburg-Vorpommern e. V., Zweckverband Elektronische Verwaltung in Mecklenburg-Vorpommern, Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH, Amt für Digitalisierung und IT Rostock, Schweriner IT- und Servicegesellschaft GmbH, Landesgeschäftsstelle des Bundes Deutscher Kriminalbeamter, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Städte- und Gemeindetag Mecklenburg-Vorpommern, SVA System Vertrieb Alexander GmbH, Landeskriminalamt Mecklenburg-Vorpommern, Fachhochschule für öffentliche Verwaltung, Polizei und Rechtspflege M-V. Der Antrag und die schriftlichen Stellungnahmen sind hier zu finden: Landtag M.-V., Öffentliche Anhörungen des Ausschusses für Inneres, Bau und Digitalisierung.
  80. Zeit, Grünen-Politikerin Oehlrich: Mehr IT-Sicherheit für Kommunen, 31.03.2022
  81. Landesregierung Niedersachsen: Cybersicherheit; Pressemitteilung: Stärkung der Cybersicherheit der Verwaltungen in Niedersachsen: MI unterstützt Kommunen mit einer Million Euro für Cybersicherheitsanalysen, 10.07.2022
  82. Land NRW: Nordrhein-Westfalen stärkt Cybersicherheit in den Kommunen mit neuem Warn- und Informationsdienst, 11.02.2022; Behörden Spiegel, Kommunaler Warn- und Informationsdienst (KWID), 14.02.2022; Kommune21, Warndienst für Cyber-Sicherheit, 15.02.2022; Der Neue Kämmerer, Grundstein für mehr IT-Sicherheit, 30.03.2022

Weblinks[Bearbeiten]

Hinweise zu Prävention und Umgang mit akuten Krisen[Bearbeiten]

Links zum kommunalen Umgang mit Ransomware[Bearbeiten]

Siehe auch[Bearbeiten]