+

© Fabian Sommer/dpa

Kommunen werden vermehrt zum Ziel von kriminellen Hackern. Die digitalen Angreifer erbeuten Daten von Bürgern und erpressen die Verwaltungen. Viele Kreise und Kommunen sind nur unzureichend geschützt. Erst recht, seitdem auch staatliche Hacker mitmischen.

Rotenburg – Der Bildschirm wird schwarz. Hacker sperren die IT-Systeme und fordern hohe Lösegelder. Sie drohen mit der Veröffentlichung sensibler Daten und erhöhen so den Druck. Dieses Szenario ist nicht nur für private Unternehmen und ihre Kunden eine ständige Gefahr. Auch für öffentliche Einrichtungen nimmt die Bedrohungslage stetig zu. Insbesondere kommunale Verwaltungen sind den professionellen Angreifern oft nicht gewachsen.

So wurde im Oktober die Verwaltung des Rhein-Pfalz-Kreises Opfer eines spektakulären Cyberangriffs. Eine Hackergruppe verschaffte sich Zugriff auf persönliche Informationen von Verwaltungsmitarbeitern und Bürgern. Darunter auch hochsensible Daten wie Adressen und Aufenthaltsstatus von Geflüchteten aus der Ukraine oder Namen und Anschriften von Bürgern, die die Teilnahme am Zensus verweigert hatten.

Auch hier forderten die Hacker Lösegeld, im November stellten sie erste Daten ins Darknet. Um weiteren Schaden abzuwenden, hat die Verwaltung die komplette IT-Infrastruktur vom Netz genommen. Mit dem Wiederbeginn des Normalbetriebs rechnet eine Sprecherin erst zwischen Mai und Juni dieses Jahres.

Mehr Digitalisierung führt zu mehr Angriffsfläche

Das Beispiel zeigt, welche Gefahren mit der zunehmenden Digitalisierung der Verwaltung einhergehen. 2017 hatte der Bundestag das Onlinezugangsgesetz (OZG) beschlossen und Bund und Länder verpflichtet, bis Ende 2022 insgesamt 575 Dienstleistungen online anzubieten – ein Ziel, das die Behörden weit verfehlt haben.

Dennoch arbeiten nicht nur die einzelnen Kommunen, sondern auch der Landkreis Rotenburg kontinuierlich daran, immer mehr Dienstleistungen elektronisch bereitzustellen. Erst kürzlich hat der Landkreis angekündigt, bis zum Sommer ein neues Serviceportal für die Abwicklung digitaler Dienstleistungen freizuschalten.

Die Themen Datenschutz und IT-Sicherheit werden von allen Beschäftigten ernst genommen.

Um diesen Prozess möglichst risikoarm zu gestalten, hat der niedersächsische Landtag 2019 ein Gesetz zur digitalen Informationssicherheit (NDIG) verabschiedet und alle Behörden zu einem umfassenden Informationssicherheitsmanagement verpflichtet.

Stadt und Landkreis Rotenburg halten sich bedeckt

Auf Nachfrage, wie dieses Management im Kreis Rotenburg aussieht und wie viele Mitarbeiter an der Umsetzung arbeiten, bleibt der Landkreis vage. Aus dem Kreishaus heißt es dazu: „Die Themen Datenschutz und IT-Sicherheit werden von allen Beschäftigten ernst genommen. Zurzeit wird ein Informationssicherheitsmanagement nach anerkannten Standards aufgebaut.“

Inwiefern die Stadt Rotenburg auf Angriffsszenarien vorbereitet ist, bleibt ebenfalls unklar. Der Koordinator für Digitalisierung im Rathaus teilt lediglich mit: „Wir sind auf Kreisebene mit den Kommunen vernetzt, tauschen uns aus und unterstützen uns bei Problemen gegenseitig.“

Blogger entdeckt gravierende Schwachstellen

Der Programmierer und Blogger René Rehme kennt sich bestens aus mit der IT-Infrastruktur öffentlicher Einrichtungen. Über drei Monate hat er Server und Anwendungen von deutschen Kommunen überprüft und mit den einfachsten Methoden gravierende Schwachstellen identifiziert. Bei einem Landkreis, einer Gemeinde und zwei Städten konnte er sich auf gut Glück mit den Zugangsdaten „test / test“ ins Intranet einloggen, obwohl „ein Intranet eigentlich überhaupt nicht von außen zugänglich sein sollte“, wie Rehme gegenüber „Zeit Online“ sagt.

Zudem konnte er auch über einfache Google-Suchen in schlecht gesicherte E-Mail-Systeme eindringen und so Absender-Adressen und Betreffzeilen einsehen. Diese Informationen würden ausreichen, um sogenannte Phishing-Mails zu erstellen. Das sind gefälschte E-Mails, die einen echten Eindruck erwecken und den Empfänger dazu bewegen, auf einen Link zu klicken. Dadurch installieren die Betroffenen eine Schadsoftware auf ihrem System, die dem Angreifer einen umfassenden Datenzugriff ermöglicht.

Die absoluten Basics wurden nicht eingehalten.

Insgesamt konnte sich Rehme laut eigener Aussage Zugang zu über 200 000 personenbezogenen Datensätzen wie Kreditkartennummern, Kontodaten, Adressen oder Ausweisnummern verschaffen, „weil die absoluten Basics nicht eingehalten wurden.“

Als weitere Schwachstelle nennt er blindes Vertrauen gegenüber externen IT-Dienstleistern. Bei dem häufig von Kommunen genutzten Anbieter „Komm One“ habe Rehme bedenkliche Veröffentlichungen von Serverkonfigurationen festgestellt. Mit welchen Dienstleistern der Landkreis und die Stadt Rotenburg zusammenarbeiten und wie diese überprüft werden, wollen beide aus Sicherheitsgründen nicht beantworten.

Niedersachsen bietet Unterstützung an

Seit dem vergangenen Sommer bietet das niedersächsische Innenministerium den Kommunen eine Cybersicherheitsanalyse an. Experten testen dabei die Widerstandsfähigkeit der IT-Systeme und identifizieren die Schwachstellen. Die Nachfrage aus den Kommunen war so groß, dass das Angebot dieses Jahr weiter ausgebaut wird.

Den Stadt- und Kreisverwaltungen scheint also langsam zu dämmern, welche Gefahren von internationalen Hacker-Banden ausgehen. Und diese Gefahren werden künftig immer größer. Denn neben den an Lösegeld interessierten Kriminellen agieren auch staatliche Angreifer auf dem digitalen Schlachtfeld. Vor wenigen Tagen hat Bundesinnenministerin Nancy Faeser (SPD) vor russischen Sabotageaktivitäten gewarnt. Die Cyber-Sicherheitslage habe sich durch den Krieg in der Ukraine weiter verschärft und Angriffe russischer Hacker hätten bereits zugenommen.