Cyberangriffe: Schwachstelle Verwaltung

Beinahe täglich ist mittlerweile in der Presse von erfolgreichen oder zumindest teilweise gelungenen Cyberangriffen auf kommunale Einrichtungen und Verwaltung zu lesen. Besondere Aufmerksamkeit erregte 2021 der Cyberangriff auf den Landkreis Anhalt-Bitterfeld. Ein Trojaner hatte die IT-Systeme befallen und zentrale Daten verschlüsselt (Ransomware-Attacke). Für mindestens eine Woche war damit die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich. Auch wurden persönliche Daten von Bürgern ins Netz gestellt, um den Forderungen nach Lösegeld Nachdruck zu verleihen.

Die Besonderheit im Vorfall lag vor allem in der Ausrufung des Katastrophenfalls durch den Landkreis. Hierdurch erhielt er schneller Mittel zur Bewältigung der Krise und konnte auch auf Ressourcen (IT-Spezialisten) der Bundeswehr zurückgreifen. Die Rekonstruktion der Daten und die Wiederinbetriebnahme des IT-Netzes gemäß Vorgaben des BSI war mit rund zwei Millionen Euro veranschlagt worden und dauerte über ein Jahr.

Die Cyberbedrohungslage hat sich dabei seit Beginn des Ukraine-Kriegs noch einmal verschärft. Einrichtungen, darunter auch solche von Kritis-Betreibern sind ins Fadenkreuz von Hackern geraten, wie das BSI in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2022 feststellt. Den Krieg machen sich Cyberkriminelle auch zu Nutze, um mit gefälschten Spendenaufrufen und dringlichen Anliegen zugunsten der Ukraine Nutzer zur Herausgabe von Daten oder finanziellen Mitteln zu verleiten. Diese Entwicklungen sind quasi „on top“ der ohnehin schon zunehmenden Angriffe zu rechnen und verschärfen den Druck auf Akteure in Wirtschaft, Gesellschaft und Politik, die digitale Infrastruktur auf allen Ebenen bestmöglich zu schützen.

Das Brandenburgische Institut für Gesellschaft und Sicherheit (BIGS) hat für das Jahr 2021 27 Cyberangriffe auf Kommunen und Landkreise gezählt. Die Angreifer hatten es dabei mehrheitlich auf Kommunen mit einer Einwohnerzahlgröße zwischen fünf bis 20.000 abgesehen, vorwiegend als Ransomware-Angriffe. Da größere Städte oder Landkreise in der Regel über mehr personelle und finanzielle Ressourcen zur IT-Sicherheit und Cyberabwehr verfügen, scheint es nur logisch aus Sicht der Kriminellen, sich auf kleinere Kommunen zu konzentrieren. Egal wie groß eine Gemeinde oder Stadt ist, überall wird mit sensiblen, persönlichen Daten der Bürger gearbeitet. Auch die Veröffentlichung nur weniger hundert solcher Informationen kann über das Ereignis hinaus das Vertrauen in die Institutionen empfindlich stören, zumal, wenn finanzielle Dienstleistungen wie das Auszahlen von Sozialleistungen auch nur temporär ausfallen.

Von den 27 Angriffen waren in elf Kommunen die Dienstleistungen für mindestens acht Tage oder bis zu über drei Monate nicht oder nur eingeschränkt verfügbar. Daher besteht bei Kommunen dank der zunehmend digital angebotenen Dienstleistungen in der Verwaltung auch ein hoher Erfüllungsdruck gegenüber dem Bürger, insbesondere was den Datenschutz angeht. Die Zahlung von Lösegeld im Falle eines Ransomware-Angriffs mag da schon beinahe als das kleinere Übel im Vergleich zu verschlüsselten oder veröffentlichten Daten und ein wochenlanges Wiederherstellen der Dienste erscheinen. „Die öffentliche Verwaltung befindet sich im Spannungsfeld zwischen einer gewissen organisatorischen Trägheit, was Veränderungen angeht, und der dynamischen Cyberbedrohungslage andererseits, die eigentlich eine zügige Anpassung von Prozessen und Strukturen erfordert“, erklärt Uwe Schmalfeld, Informationssicherheitsbeauftragter bei der Stadt Nürnberg.

Kommunen stehen nicht allein in Deutschland im Fadenkreuz der Cyberkriminellen. Laut einer Studie der US-amerikanischen IT-Sicherheitsfirma Barracuda Networks hat sich die Zahl der Ransomware-Angriffe gegen öffentliche Einrichtungen weltweit gegenüber 2021 vervierfacht. Von 175 im Jahr 2023 öffentlich gemeldeten Ransomware-Angriffen entfielen 38 auf Kommunen und die öffentliche Verwaltung, während es 2022 nur 13 waren. Neben dem Ausnutzen von Schwachstellen in Softwaren unterschiedlichster Art (beispielsweise E-Mail-Server, Betriebssysteme, Router und Firewalls) sind es vor allem Angriffe, die auf den Nutzer abzielen. Schadprogramme, die per E-Mail eingeschleust werden, zählen zu den häufigsten Angriffsvektoren. Und gerade hier sind mit der Optimierung KI-basierter Systeme neue Bedrohungsszenarien entstanden.

Chat GPT hat gezeigt, wie groß die Fortschritte in Sachen KI und Sprache geworden sind. Diese machen sich nun auch Cyberkriminelle auf mehrere Arten zunutze. KIs sind in der Lage, die Phishing-E-Mails sprachlich auf eine Vielzahl von Anwendern in verschiedenen Ländern nahezu perfekt zu generieren. Da es Verwaltungen häufig auch mit Nicht-Muttersprachlern zu tun haben, ist es ohnehin schwer für die Sachbearbeiter zu erkennen, ob ein sprachlich nicht korrekter Text auf eine Fake-E-Mail hindeutet oder einfach holprige Sprachkenntnisse des Absenders der Grund sind. KI-Systeme können nicht nur innerhalb weniger Sekunden sprachlich einwandfreie E-Mails generieren, sie lassen sich auch zur Analyse der Wirksamkeit solcher E-Mails nutzen, um sich selbstständig zu optimieren. Kombinieren können Kriminelle dies auch mit der Auswertung von Daten von sozialen Netzwerken, indem eine KI Informationen zu bestimmten Personen sucht und darauf basierend die Texte erzeugt (Social Engineering). Dies sind im Prinzip keine neuen Vorgehensweisen, doch der Einsatz von KI spart nicht nur personelle Ressourcen (bei den Kriminellen), sondern erhöht Wirkung und Reichweite deutlich. Wenn ein E-Mail-Konto etwa kompromittiert wurde, besteht die Möglichkeit, in einem E-Mail-Verlauf auf vorherige Nachrichten zurückzugreifen und diese in nachfolgenden E-Mails zu integrieren um somit den Anschein der Legalität weiter zu erhöhen – voll automatisiert. Und Sprachmodelle sind längst nicht mehr das einzige Problem, wenn sie zu kriminellen Zwecken eingesetzt werden.

KI-gestützte Deepfake-Technologien befähigen Hacker und Betrüger auch dazu, auf kreative Art und Weise mit Audio und Video umzugehen. Sie können täuschend echte Nachahmungen erstellen, was beispielsweise beim Voice-Phishing (Vishing) dazu genutzt wird, ihre Opfer zur Herausgabe von Daten oder zu falschen Handlungen zu bewegen. Mithilfe der neuesten KI-Tools benötigen Hacker lediglich wenige Minuten, um Fälschungen aus Audio- oder Videomaterial zu erzeugen – es reichen mittlerweile nur Sekunden eines Originals zur Erstellung des Fakes aus. KI-Systeme wie „Deepfakesweb.com“ ermöglichen einen „Face Swap“, bei dem das Gesicht in einem Video A durch ein anderes Gesicht aus einem Video B ersetzt wird. Bei Bedarf kann das neu eingefügte Gesicht perfekt synchronisiert mit den Lippenbewegungen alles Gewünschte sagen. Diese Technik erfordert beträchtliche Rechenressourcen, Zeitaufwand und finanzielle Investitionen, ist jedoch inzwischen realisierbar.

Die Ressourcen hierfür muss sich indes nicht jeder Cyberkriminelle selbst zusammenstellen – er bestellt sie einfach im Darknet als Dienstleistung (Cybercrime-as-a-Service - CCaaS). Diese Dienste ermöglichen es auch IT-Ungeübten, erfolgreich Angriffe durchzuführen, womit die Klientel wachsen dürfte. Die Professionalisierung und das Anbieten maßgeschneiderter Lösungen von gut organisierten Gruppen für quasi jedermann ist für alle Beteiligten sehr lukrativ. In seinem aktuellen Bericht zum Lagebild Cybercrime 2022 listet das BKA verschiedene Dienstleistungen und ihre Preise. Ein Infection-on-Demand (etwa Phishing-Services) kostet demnach zwischen 100 und 600 US-$ im Monat, Ein Bank-Trojaner je nach Ausführung einmalig zwischen 1.000 und 10.0000 US-$. Der Gesamtumsatz auf allen unternehmensseitig ausgewerteten Darknet-Marktplätzen im Jahr 2022 betrug etwa 1,5 Mrd. US-$. „Gerade diese Arbeitsteiligkeit macht die Angriffe so gefährlich, da viel mehr Kriminelle ohne technisches Hintergrundwissen nun solche Attacken durchführen können“, warnt Schmalfeld.

Da die Angreifer sehr häufig den Mitarbeiter zum Ziel haben, um ihn per Phishing Daten zu entlocken oder ihn dazu zu bringen, unbewusst Schadcode herunterzuladen, sollten diese im Fokus von Cyberabwehrmaßnahmen stehen. Nach wie vor gilt es, die notwendige Aufmerksamkeit auf das Thema zu lenken und die Kollegen zu sensibilisieren. Es heißt zwar, dass der Mensch mit das größte Risiko sei, doch er kann auch Teil der Problemlösung sein. Bei der Stadt Nürnberg etwa melden Mitarbeiter verdächtige Nachrichten, die nicht im Spam hängengeblieben sind. Durch dieses Monitoring und Auswertung der Nachrichten können die IT-Verantwortlichen frühzeitig auf neue Trends reagieren.

Die Frage ist generell, wie eine Kommune oder Stadt sich effektiv gegen die vielfältigen Bedrohungen wehren kann. „Kommunen kommen um die Realisierung eines Informations-Sicherheitsmanagementsystems mit Business Continuity Management (ISMS mit BCM) nicht herum“, so Schmalfeld. Es ist erstmal entscheidend, alle kritischen Prozesse innerhalb der Verwaltung zu kennen, etwa solche, die finanzielle oder wichtige soziale Leistungen für den Bürger enthalten. Dann müssen alle Beteiligten sich der Aufgabe stellen, das BCM in ihren jeweiligen Fachbereichen durchzuführen. Das Vorhalten aktueller Backups hat sich bei betroffenen Kommunen und Einrichtungen als Grundvoraussetzung für das vergleichsweise rasche Wiederaufnehmen der Dienste erwiesen. Ebenso ist die digitale Architektur, die Hard- und Software dahingehend zu prüfen, ob sich diese mit aktuellen Mitteln wiederherstellen ließe oder ob das gesamte System im Ernstfall neu aufgesetzt werden müsste.

Um die Dienstleistungen der Verwaltungen so schnell wie möglich wieder in Betrieb zu nehmen, sind dazu auch Wiederherstellungskonzepte unerlässlich. Dies wird besonders deutlich, wenn mehr als 100 verschiedene Fachanwendungen vorhanden sind, deren Systeme über die Zeit hinweg organisch entwickelt wurden – hier reicht eine einfache Datensicherung allein nicht aus. Zuständigkeiten und Ansprechpartner müssen geklärt werden, nicht immer leicht in der mitunter komplexen Verwaltungsarchitektur. Dies geht einher mit der Etablierung geeigneter Kommunikationsformen für den Krisenfall – wenn das Netz weg ist, funktionieren auch keine modernen Voip-Telefone mehr. Und natürlich müssen alle Beteiligten die Abläufe proben, denn nur so lässt sich das Vertrauen in die Maßnahmen und die eigene Organisation erhöhen. Die psychologische Komponente eines Cyberangriffs darf nicht unterschätzt werden.

Nicht nur das BSI bietet Hilfen zur Prävention und im Ereignisfall, auch die Bundesländer haben begonnen, entsprechende Einrichtungen auf Landesebene zu schaffen, die der Wirtschaft und der Öffentlichen Hand mit Experten und Know-how zur Seite stehen. In Nordrhein-Westfalen gibt es beispielsweise den kommunale Warn- und Informationsdienst – KWID, der die Weiterleitung sämtlicher Warn- und Informationsmeldungen übernimmt. So sollen Kommunen schnellstmöglich über Bedrohungen informiert werden. Der KWID ist an den Warn- und Informationsdienst des Computer Emergency Response Team Nordrhein-Westfalen (CERT NRW) angegliedert. Das CERT NRW ist Teil eines nationalen Verbunds von CERTs für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen. NRW plant auch den Aufbau eines Mobile Incident Response Teams, das Kommunen Hilfestellung vor Ort anbieten kann und betroffene Behörde durch fachlich ausgebildetes Personal in kurzer Zeit verstärkt und unterstützt. Auch andere Bundesländer unterhalten CERTs und bemühen sich um den zügigen Austausch von Daten und Informationen.

Das große Problem der Cyberabwehr im kommunalen Bereich ist der föderale Flickenteppich in Deutschland. Es gibt Programm und Einrichtungen auf Bundes- und Länderebene, an denen sich Kommunen orientieren können. Da mit Ausnahme von Kritis-Betrieben die kommunale Verwaltung selbst aber nicht zur den Kritis-relevanten Sektoren gehören, ist erstmal jeder Kommune selbst überlassen, wie viel sie für ihren Schutz tut und welche Mittel sie beanspruchen kann. Die meisten Angriffe verlaufen nach dem „low hanging fruit“ Prinzip – die Größe der Kommune ist für die Angreifer sekundär, relevant ist, wie niedrig der Schutz ist. Die EU hat mit der NIS-2-Richtlinie 2022 Mindeststandards für Cybersecurity definiert, die die Resilienz gegenüber Angriffen erhöhen soll.

Die Übernahme in die nationale Gesetzgebung steht noch an. Rund 30.000 Unternehmen sind davon mit höheren Cybersecurity-Anforderungen und mehr Befugnissen des BSI betroffen. Die NIS-2 ist auch für die öffentliche Verwaltung bindend und lässt dem nationalen Gesetzgeber Spielraum zur Ausgestaltung der Ebenen.“ NIS-2 gilt demnach für „wenn…die Einrichtung eine Einrichtung der öffentlichen Verwaltung: …) von einem Mitgliedstaat gemäß nationalem Recht definierte Einrichtung der öffentlichen Verwaltung auf regionaler Ebene ist, die nach einer risikobasierten Bewertung Dienste erbringt, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.“

Julia Schuetze, Projektleiterin bei der Stiftung Neue Verantwortung: „Die NIS-2 bietet die Möglichkeit, dass der Gesetzgeber nun auch die unteren Verwaltungsebenen in die Umsetzung der Richtlinie miteinbezieht.“ Das gilt auch etwa für Rechenzentrumsdienste, die Kommunen nutzen und die als „wesentlich“ oder „wichtig“ gemäß NIS-2 eingestuft werden könnten, womit bestimmte Auflagen verbunden wären.

Die eingangs erwähnte dynamische Bedrohungslage erfordert ebenso dynamische Reaktionen. Das bedeutet, es müssen mehr Anstrengungen in einen koordinierten Austausch von Informationen investiert werden. „Erfolgreiche Abwehrstrategien und Best-Practice-Beispiele sind oft nicht über den eigenen Standort hinweg kommuniziert. Dabei muss es sich nicht einmal um zertifizierte Maßnahmen handeln, auch erste Einschätzungen etwa nach einem Ereignis können anderen bereits wertvolle Impulse liefern“, so Schuetze. Ziel sollte sein, übergreifende Strukturen zu schaffen mit klaren Verantwortlichkeiten und Ansprechpartnern, an die sich betroffen Kommunen im Falle eines Cyberangriffs wenden können, wo sie rasche Hilfe erhalten und wo die gewonnen Informationen zügig weiterfließen. Hierzu bedarf es aber den (politischen) Willen, die notwendigen Ressourcen für die Digitalisierung vorzuhalten, insbesondere die Fachkräfte. Um diese zu entlasten, ist natürlich auch der Einsatz von KI-Systemen denkbar, weswegen künftig Cyberangriffe von Mensch und KI durchgeführt und abgewehrt werden.

Hendrick Lehmann, Freier Mitarbeiter PROTECTOR