Im Vortrag „Sicherheitsvorfälle die nie passiert sind – Aus dem Alltag eines kommunalen CERTs“ berichtet Thomas Stasch von regio iT auf den Internet Security Days 2020 über IT-Sicherheit in Kommunalverwaltungen und Behörden. Als Leiter eines CERTs (Computer Emergency Response Team) ist ihm dabei schon so einiges begegnet. Im Interview stellen wir ihm drei Fragen zum Thema Cybercrime.
Herr Stasch, welche Arten von IT-Angriffen begegnen Ihnen in Kommunalverwaltungen am häufigsten?
Thomas Stasch: Was wir verstärkt sehen, sind Spamwellen oder die Schadsoftware Emotet, die gerade im englischsprachigen Raum ihre Aktivität wieder neu aufnimmt. Auch für den deutschsprachigen Raum erwarten wir, dass Emotet in ein paar Tagen wieder einschlagen wird. Im Moment sind noch weniger gezielte Angriffe zu beobachten. Dabei können wir nicht ausschließen, dass es auch sehr viele gezielte Angriffe gibt, die nicht oder erst sehr spät erkannt werden. Vereinzelt kommt es zu Vorfällen wie dem Cyberangriff auf die Potsdamer Stadtverwaltung Anfang des Jahres. Meist sind die Sicherheitsvorfälle aber kleinerer Natur. So helfen wir auch bei vielen Vorfällen wie beispielsweise mehreren Angriffen auf Telefonanlagen mit Schäden von mehreren 1.000 Euro in einer Nacht. Insgesamt unterscheiden sich die Attacken allerdings nicht von Attacken in der freien Wirtschaft; die Angriffe sind dieselben.
Wie groß ist die Dunkelziffer an Hacker-Attacken, die nicht erkannt wird?
Thomas Stasch: Ich persönlich befürchte, dass die Dunkelziffer sehr hoch ist, weil Kommunalverwaltungen dazu neigen, Fälle in Eigenregie regeln zu wollen. Sie sind sehr darauf bedacht, dass nichts an die Öffentlichkeit gelangt. Das ist sicherlich der Tatsache geschuldet, dass an der Spitze einer Verwaltung ein kommunaler Wahlbeamter steht, der alle fünf Jahre wiedergewählt werden möchte. Deswegen hat er natürlich kein großes Interesse, mit negativen Schlagzeilen in der Presse aufzutauchen. Das heißt: Jede Verwaltung ist als Einzelkämpfer unterwegs und man tauscht sich untereinander wenig aus.
Große Vorfälle bei Kommunen werden nur dann publik, wenn die Verwaltung es der Presse nicht mehr verheimlichen kann. Zum Beispiel, wenn eine Stadt wie Frankfurt mit ihren Online-Services beispielsweise mal einen Tag lang offline war. Oder weil Dienstleistungen komplett nicht mehr angeboten werden können. Soweit es sich aber irgendwie vermeiden lässt, gibt man das Ganze nicht nach außen. Wenn ich die Anzahl der Vorfälle in unserem Einzugsgebiet mit der Anzahl der Artikel in der Presse vergleiche – dann glaube ich, dass die Dunkelziffer leider sehr hoch sein wird.
Was raten Sie den Kommunalverwaltungen, um dieser Entwicklung gegenzusteuern?
Thomas Stasch: Im Prinzip das, was man in der freien Wirtschaft auch macht: Information Sharing. Sie sollten sich mit anderen Experten zusammentun und sich untereinander austauschen. Grundsätzlich hat jede Verwaltung ähnliche Probleme, die Bedrohungen sind die gleichen, die Angriffsvektoren sind die gleichen und meistens sind sogar die Angreifer-Gruppen die gleichen. Verwaltungen müssen sich vernünftig austauschen und aus den Erfahrungen der Anderen lernen. Das bedeutet natürlich für die Verwaltungen auch, über ihren eigenen Schatten zu springen. Es wird dadurch erschwert, dass wir im öffentlichen Dienst einen extremen Fachkräftemangel im Bereich der IT-Sicherheit haben. Das ist sicherlich auch den Gehaltsstrukturen des öffentlichen Dienstes geschuldet. Sicherheitsangriffe können überall passieren und nehmen zu, deswegen sollten die Verwaltungen eine bessere Fehlerkultur etablieren.
Am 15. September hält Thomas Stasch auf den ISDs digital einen Vortrag unter dem Titel: „Sicherheitsvorfälle die nie passiert sind – Aus dem Alltag eines kommunalen CERTs“. Hier geht’s zur Veranstaltung.