Cyberangriffe auf die öffentliche Verwaltung –welche Gefahr besteht für bayerische Kommunen?

Im Juni vergangenen Jahres wurde das Verwaltungsnetz des Landkreises Anhalt-Bitterfeld Opfer eines solchen Cyberangriffs. Das IT-System des Landkreises wurde mit Schadsoftware (Ransomware) infiziert und schließlich wurden Daten verschlüsselt und abgezogen. Teile der Daten, zum Teil  hochsensiblen Inhalts (Adressen, nicht-öffentliche Sitzungsprotokolle, Bankverbindungen), wurden später im Darknet veröffentlicht. Über Wochen war die Verwaltung des Landkreises nicht

arbeitsfähig. Transferleistungen, z. B. Sozialhilfe konnten nicht ausgezahlt werden. Dieser IT-Sicherheitsvorfall führte zur Ausrufung des ersten Cyber-Katastrophenfalls in der Geschichte der Bundesrepublik. Die Wiederaufbauarbeiten der IT-Infrastruktur dauern vermutlich bis Mai 2022 an und werden ca. 2 Millionen Euro kosten.

 

Dieses Beispiel zeigt, wie verwundbar die kommunale IT-Infrastruktur ist. Nur wenige Kommunen können die Ressourcen aufbringen, um sich wirksam vor Cyberattacken zu schützen. Das ist erschreckend, wenn man bedenkt, dass das Geschäft der Cyberkriminalität floriert. Allein von Juni 2020 bis Mai 2021 hat die Anzahl neuer Schadprogramm-Varianten nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) um circa 144 Millionen zugenommen.

 

Das Onlinezugangsgesetz verpflichtet Bund, Land und Kommunen, ihre Verwaltungsdienstleistungen
bis Ende 2022 digital zur Verfügung zu stellen. Das erhöht die Abhängigkeit der  Verwaltungsdienstleistungen von der IT und es macht die kommunale Verwaltung zu einem beliebten Angriffsobjekt für Cyberattacken. Vor diesem Hintergrund stellt sich die Frage, inwieweit bayerische Kommunen gerüstet sind, mit solchen Cyberattacken umzugehen.


Laut Auskunft der Staatsregierung auf eine Anfrage der FDP (Drs. 18/12316) liegt die IT-Sicherheit in
Eigenverantwortung der Kommunen. Die Bedrohungslage wird als hoch eingestuft, denn selbst
kleine Kommunen sind ohne funktionierende IT nicht arbeitsfähig.


Das Landesamt für Sicherheit und Informationstechnik (LSI) stellt hierfür seine Dienste als beratende
Behörde z. B. in Bezug auf den Schutz der IT-Infrastruktur, das Notfallmanagement sowie weiteren
Themen der kommunalen Informationssicherheit zur Verfügung. Darüber hinaus vergibt es das Siegel
„Kommunale IT-Sicherheit“ auf Basis einer Selbstauskunft der Kommunen für eine Mindestabsicherung
in der Informationssicherheit. Derzeit haben laut einer Anfrage der FDP an die Staatsregierung
gerade mal 9,2 % der bayerischen Kommunen das Siegel Kommunale IT-Sicherheit erhalten (Stand:
Feb. 2021, Drs. 18/19301). Zudem gibt es keine Meldepflicht der kommunalen Ebene, wie IT-Sicherheit
in der Kommune umgesetzt wird. Die Staatsregierung hat also keinen Überblick darüber, wie es um
die kommunale IT-Sicherheit im Freistaat tatsächlich bestellt ist. Stattdessen setzt man auf freiwilliges
Engagement der Kommunen zum Besuch von Schulungen, Informationsveranstaltungen und bei
Selbstauskünften. Etwaige Sanktionen bei einer Nichtumsetzung des gesetzlich geforderten Informationssicherheitskonzepts sind nicht vorgesehen.


Die Staatsregierung selbst warnt vor einer Zunahme von Cyberattacken durch zunehmende Kommerzialisierung im Bereich der Malware. Dennoch behandelt der Freistaat Bayern das Thema IT-Sicherheit weiterhin stiefmütterlich und lässt die Kommunen damit allein. Dabei zeigt doch das Beispiel aus Sachsen-Anhalt, welche Gefahr für das öffentliche Leben von einer Cyberattacke ausgeht. Vor allem
kleine Gemeinden sind in Gefahr. So kennen sich hier nur wenige mit den Gefahren des Internets aus.
Eine Benennung eines IT-Sicherheitsbeauftragten auf dem Papier schützt noch keine Kommune, wenn
dieser nicht über entsprechenden fachlichen Hintergrund verfügt. Und wenn mir ein Bürgermeister als
Beitrag zur Sicherheit in seiner Kommune seine Anweisung nennt, dass jede/r MitarbeiterIn nur seine
eigene User-Kennzeichnung verwenden darf, ist das ein sprechendes Beispiel dafür.


Viele Kommunen unterschätzen systematisch die Gefahr eines Cyberangriffs und verlassen sich zu
sehr auf bestehende Systeme. Sie sind nicht sensibilisiert für das Thema. Es braucht daher  weitergehende Maßnahmen.


Die IT-Sicherheit ist die Achillesferse des Informationszeitalters. Ihre Gewährleistung ist eine Kernherausforderung der Digitalisierung, der die Staatsregierung nicht ausreichend Beachtung schenkt. Das LSI ist hervorragend aufgestellt, aber es braucht eine tatsächlich umsetzbare und agile Cybersicherheitsstrategie. Bestandteile davon müssen ein wirksames Schwachstellenmanagement und ein Recht auf Verschlüsselung sein. Die vorhandenen Kompetenzen auf Ebene des Freistaates müssen
gestärkt und ausgebaut werden. Know-how in Sachen IT-Sicherheit muss für alle Gemeinden, egal
welcher Größe, verfügbar sein. Dabei muss geprüft werden, welche Aspekte der IT-Sicherheit in welcher
Form sinnvollerweise zentral angesiedelt werden können – mit eindeutiger Kompetenzabgrenzung,
ohne Doppelstrukturen. Es braucht dringend klare Zuständigkeiten und ein starkes Engagement des
Freistaates. Kommunen sollen in die Lage versetzt werden, die Gefahren für ihre Verwaltung selbst zu
identifizieren und entsprechend zu beheben. Dafür braucht es eine Sensibilisierungskampagne zum
Thema Cybersicherheit, sonst kann sich der Fall Anhalt-Bitterfeld auch in Bayern wiederholen.

Ansprechpartner

Dr. Helmut Kaltenhauser MdL
Abgeordnetenbüro
Roßmarkt 22
63739 Aschaffenburg
06021 583 22 99
helmut.kaltenhauser@fdpltby.de
www.helmut-kaltenhauser.de