Verwaltung im Fadenkreuz von IT-Angriffen

Nicht nur die Wirtschaft hat sich in Pandemiezeiten überstürzt an die neuen Arbeitsbedingungen anpassen müssen, auch die Verwaltung ist von den Kontaktbeschränkungen in Büros betroffen, was die Gefahr von IT-Angriffen erhöht hat. Dementsprechend sind auch dort vielerorts zahlreiche Mitarbeiter ins Home-Office geschickt worden, ohne dass die IT-Sicherheitsstruktur den organisatorischen Maßnahmen immer hätte Schritt folgen können. So stellt das BKA in seinem Cybercrime Lagebild 2020 eine stetige Zunahme an Cybercrime-Fällen fest.

Beispielsweise haben die DDoS-Attacken, bei denen IT-Systeme mit Anfragen überlastet werden sollen, 2020 deutlich zugenommen, vor allem was hochvolumige – mit hohen Bandbreiten zwischen 30 und 50 Gigabyte/s – durchgeführte Angriffe betrifft. Durch die Verlagerung vieler Tätigkeiten ins Home-Office haben solche Attacken ein höheres Bedrohungs- und Schädigungspotenzial entfalten können.

Im vergangenen Jahr sind Unternehmen, Einrichtungen und Verwaltungen immer wieder Ziel von Cyberattacken gewesen, mit teils weitreichenden Folgen. Neben den DDoS-Angriffen, darunter auch eine auf eine Landesrundfunkanstalt, sind vor es vor allem die Ransomware-Angriffe, die besonderen Schaden verursachen. Hierbei werden Daten auf den Servern verschlüsselt, die dann erste gegen eine Zahlung eines Lösegelds in Kryptowährung wieder freigegeben werden – theoretisch. Solche Angriffe richteten sich in der Vergangenheit immer wieder gegen Einrichtungen des Gesundheitswesens, wie etwa gegen die Uniklinik Düsseldorf im September 2020 oder das Klinikum in Wolfenbüttel im Juli dieses Jahres.

Ebenfalls im Juli wurde zum ersten Mal in Deutschland wegen eines erfolgreichen Angriffs sogar der Cyber-Katastrophenfall ausgerufen. Der Landkreis Bitterfeld war Opfer einer Ransomware-Attacke geworden, bei der kritische System infiziert und Daten verschlüsselt worden waren. Dadurch musste der Verwaltungsbetrieb faktisch eingestellt werden, der Landkreis konnte damit auch etwa keine Sozial- und Unterhaltsleistungen mehr auszahlen. Um wieder in den Normalzustand zurückzukehren, muss jeder einzelne der mehr als 1.000 PCs und Laptops der Mitarbeiter komplett neu aufgesetzt werden. Andere Angriffe fanden zudem auf das Berliner Kammergericht, die Verwaltungen in Neustadt am Rübenberge oder Frankfurt am Main statt. Medienrecherchen zufolge hat es in den vergangenen sechs Jahren über 100 erfolgreiche Angriffe mit Ransom-Software auf Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen gegeben.

Der Druck auf die Kommunen und Einrichtungen der Öffentlichen Hand in Sachen IT-Sicherheit wird weiter zunehmen. Denn 2022 greift das bereits 2017 beschlossene Onlinezugangsgesetz (OZG), das Bund, Länder und Kommunen bis spätestens 2022 verpflichtet, ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten. Das betrifft unter anderem rund 11.000 Kommunen in Deutschland, deren IT-Infrastruktur auch bestimmten Sicherheitsstandards genügen muss. Die Herausforderung ist immens, denn es müssen ebenen-übergreifende Verknüpfungen für Daten etabliert werden, die teilweise beim Bund, den Ländern und den Kommunen liegen. Hier zeigt sich das Problem, dass zwar der Staat nicht zuletzt durch die Vorgaben des BSI seine Bundesbehörden in Sachen IT-Sicherheit umfassend in den Fokus gerückt hat, die entsprechenden Anforderungen für die Länder und Kommunen aber die Länder selbst treffen.

Ein Knackpunkt könnte sein, dass der Sektor „Staat und Verwaltung“ ebenso wie der Sektor „Medien und Kultur“ zwar unter die kritischen Infrastrukturen fallen, nicht aber unter die Kritis-Verordnung, in der die besonderen Vorgaben für die dort aufgeführten Sektoren geregelt sind. Es besteht daher die Gefahr, dass auf Landes und Kommunalebene Software zur Umsetzung der digitalen Verwaltungsleistungen entwickelt wird, ohne ausreichend den IT-Schutz zu beachten oder diesen erst in einem zweiten Schritt umzusetzen. Laut der Arbeitsgruppe AG Kritis sind zumindest bis Stand September 2020 solche IT-Sicherheits-Standards nicht vorgegeben worden. In Sachen IT-Sicherheit gehen manche Kommunen ohnehin verschiedene Wege, etwa durch die Auslagerung der Sicherheit an externe Dienstleister. So bietet etwa das BSI-zertifizierte kommunale IT-Dienstleistungsunternehmen Ekom21 verschiedene Services an, um hessische Kommunen beim IT-Schutz zu beraten und zu unterstützen.

„Die IT-Sicherheit ist gerade für Kommunen unserer Größenordnung nur sehr schwer mit eigenen Kräften sicherzustellen. Wir haben uns daher schon vor mehr als einem Jahrzehnt dazu entschieden, die komplette Datenverarbeitung durch den Hochtaunuskreis hosten zu lassen, der in diesem Zusammenhang auch den Bereich der IT-Sicherheit verantwortet. Nach Kündigung dieses Vertrages durch den Hochtaunuskreis wechseln wir nun zur Ekom21. Der erneute Aufbaue einer eigenen Datenverarbeitung stand dabei zu keinem Zeitpunkt zur Diskussion“, so Michael Guth, Leiter des Haupt- und Personalamtes der Stadt Usingen. Um Kommunen bei der IT-Sicherheit stärker zu interstützen, hat das BSI schon vor Jahren den IT-Grundschutz erstellt, der das Standardwerk, wenn es um systematische Informationssicherheit für Unternehmen, Behörden und Organisationen geht, darstellt. Gerade kleinere Kommunen können damit die eigene Informationssicherheit deutlich erhöhen.

Mit dem zweiten IT-Sicherheitsgesetz hat das BSI nun noch weitergehende Rechte und Befugnisse erhalten. Insgesamt ist das BSI nun „die zentrale Meldestelle für die Zusammenarbeit der Bundesbehörden in Angelegenheiten der Sicherheit in der Informationstechnik“ (§ 4 Abs. 1 BSIG). Der IT-Schutz der Bundesverwaltung soll etwa durch weitere Prüf- und Kontrollbefugnisse des BSI und der Festlegung von Mindeststandards verbessert werden. Die Meldepflicht von sicherheitsrelevanten Ereignissen wird nun auch auf Unternehmen des öffentlichen Interesses, Rüstungsindustrie, Verschlusssachen-IT, Unternehmen mit hoher Wertschöpfung und besonderer volkswirtschaftlicher Bedeutung ausgeweitet.

Auch der Verbraucherschutz zählt nun zu den Aufgaben des BSI. Das BSI darf ferner von Telekommunikationsdienst-Anbietern die Herausgabe von Bestandsdaten verlangen und Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen anordnen. Kritis-Betreiber müssen nun zusätzlich nach der Änderung des BSI-Gesetzes „ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung“ (§ 8 Abs. 1a) umsetzen. Umgekehrt ist das BSI nun in § 7b ermächtigt, selbst aktiv nach Sicherheitslücken bei Bundesbehörden, Kritis-Betreibern und anderen, wichtigen Unternehmen, suchen. Hierzu darf das BSI „portscans“ durchführen, was letztlich so Kritiker darauf hinauslaufen würde, dass das BSI zumindest ansatzweise wie „Hacker“ arbeiten würde. Um Angriffsmethoden von Cyberkriminellen besser zu verstehen, sind auch Systeme und Verfahren erlaubt, „welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben“ (§ 7b Abs. 4).

Im BSI-Gesetz ist nun in § 9b der Einsatz kritischer Komponenten bei Kritis-Betreibern bestimmter Sektoren geregelt. Solche Komponenten sind nach § 2 Abs. 13 solche, „bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können“.

Die Komponenten unterliegen einer Prüfung und der Abgabe einer Garantieerklärung des Herstellers, aus der hervorgeht, dass der Einsatz einer kritischen Komponente nicht dazu geeignet ist, „insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.“ Bei der Prüfung wird auch berücksichtigt, ob der Hersteller unmittelbar oder mittelbar von einer Regierung, anderen stattlichen Stellen oder dem Militär kontrolliert wird. Verstößt ein Hersteller gegen die Auflagen oder gilt er oder seine Komponenten aufgrund von sicherheitstechnischen Mängeln als nicht vertrauenswürdig, kann das Bundesministerium des Innern den Einsatz untersagen. Dieser Paragraf ist von vielen Experten als eine „Lex Huawei“ interpretiert worden, um dem Unternehmen etwa beim Ausbau des 5G-Netzes in Deutschland aufgrund seiner mutmaßlichen Verbindungen zur chinesischen Regierung und dem Militär, besondere Hürden aufzuerlegen.

Die Verabschiedung des Zweiten IT-Sicherheitsgesetzes war alles andere als konfliktfrei, sowohl innerhalb der politischen Parteien als auch in den Branchen und ihren Sachverständigen. In einer Anhörung des Ausschusses für Inneres und Heimat im März dieses Jahres gab es von verschiedenen Seiten einiges an Kritik. So scheint etwa fraglich, ob das BSI als Behörde geeignet sei, den „Stand der Technik“ zur Überprüfung im Auge zu behalten, gerade bei einem sich so schnell fortentwickelten Sektor wie der IT-Branche. Ebenso sehen viele Experten kritisch, dass das BSI Informationen zurückhalten kann, obwohl es seine vordringlichste Aufgabe ist, die Öffentlichkeit vor Sicherheitsrisiken zu warnen, was sogar in § 7 Abs. 2 steht, in Bezug auf Produkte und Hersteller. Auch die Tatsache, dass das BSI nun gleichsam Hackern mittels den „portscans“ nach Passwortlücken suchen kann, steht in einem Widerspruch zu seinen eigentlichen Aufgaben, mindestens aber zu § 202a StGB, Ausspähen von Daten. Insofern bleibt abzuwarten, inwieweit insbesondere die Macht des BSI ausreicht, als maßgebliche Behörde für Cybersicherheit in Deutschland, die IT-Sicherheit in der Verwaltung und der Wirtschaft nachhaltig zu stärken. Dies gilt vor allem für die erwähnte anstehende Umsetzung des Onlinezugangsgesetzes und den damit verbundenen Anforderungen an die IT-Sicherheit auf kommunaler Ebene. Dass die Bundesbehörden der besonderen Aufmerksamkeit bei der IT-Sicherheit bedürfen, ist sicherlich unumstritten, doch die sich häufenden Cyber-Angriffe auf kommunale Einrichtungen zeigen, wie verwundbar die unteren Ebenen der Verwaltungsarchitektur sind. Insofern wäre, wie von einigen Politkern gefordert, eine Pflichtmeldung an das BSI bei sicherheitskritischen Vorfällen oder Erpressungsversuchen mittels Ransom-Software ein wichtiger Schritt, um einen Überblick zu erhalten. Denn anders als Kritis-Einrichtungen unterliegt die untere Verwaltung nicht der Meldepflicht.