IT-Sicherheit - Brandenburger Kommunen schlecht vor Hacker-Angriffen geschützt

Mo 31.07.23 | 06:25 Uhr | Von Haluka Maier-Borst
  15
Symbolbild: Fiktive html-Seiten und Hacker-Programme sind auf Bildschirmen zu sehen, während ein Mann seinen Hände auf der Tastatur hat. (Quelle: dpa/A. Riedl)
Audio: rbb24 Inforadio | 31.07.2023 | Alexander Schmidt-Hirschfelder | Bild: dpa/A. Riedl

Ein Hacker-Angriff legte die Verwaltung der Stadt Potsdam kürzlich für Wochen lahm. Eine rbb|24-Recherche zeigt, dass sich ein solcher Vorfall wiederholen könnte: Viele Gemeinden in Brandenburg sind schlecht auf Hacks vorbereitet. Von Haluka Maier-Borst

Alle wichtigen Stellen auf Bundesebene sind sich seit Monaten einig: Die Anzahl der Hacker-Angriffe bewegt sich durch den Ukraine-Krieg in rekordverdächtigen Höhen. "Die Lage ist immer noch im roten Bereich", sagte der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Gerhard Schabhüser. Auch BND und Verfassungsschutz warnen vor dem mehr an Hacker-Attacken.

Doch dafür, dass auf nationaler Ebene so viel Alarm gemacht wird, ist man im Lokalen mäßig gewappnet. Das legt eine Abfrage von rbb|24 bei zahlreichen Brandenburger Gemeinden nahe.

Wie wir hier über IT-Sicherheit berichten

Wir berichten ohne Städte- und Gemeindenamen, denn wir wollen nicht die Städte und Gemeinde in den Fokus stellen, die die Anfrage beantwortet haben. Dadurch würden die anderen - die die Presseanfrage nicht beantwortet haben - aus dem Blick geraten.

Zum anderen haben wir die kleineren Gemeinden per Zufallsprinzip ausgewählt und keine Vollerhebung gemacht, weil das schlicht nicht zu leisten war. Entsprechend wäre es auch unfair, diese per Zufall ausgewählten Gemeinden herauszuheben.

Es ging uns ein Gesamtbild der Situation in Brandenburger Kommunen zu bekommen, nicht um Einzelfälle. Und das kann diese Abfrage zumindest in Teilen leisten.

rbb|24 hat dafür die vier kreisfreien Städte und die 16 kreisangehörigen Städte in Brandenburg angefragt. Außerdem wurden noch 39 weitere kleine Gemeinden ausgelost und angefragt. Das waren Gemeinden mit einer Bevölkerungsdichte von weniger als 100 Einwohner:innen pro Quadratkilometer beziehungsweise deren Ämter.

Die Idee dahinter: repräsentativ für Brandenburg abzufragen, wie es um die Informationstechnik (IT) in Brandenburgs Verwaltung steht - und der Tatsache Rechnung zu tragen, dass die Mehrheit der Brandenburgerinnen und Brandenburger in Kleinstgemeinden leben. Immerhin 20 Gemeinden haben auf die rbb|24-Anfrage zumindest teilweise geantwortet, elf von den kleineren Gemeinden, neun von den Städten.

Die Antworten offenbaren extreme Unterschiede: Während Potsdam 54 Menschen in der IT beschäftigt, sind es bei den kleinen Gemeinden oder den Ämtern, die sich um diese Gemeinden kümmern, oft gerade einmal zwei, eine oder gar keine Person, die für das Thema zuständig sind.

An und für sich sind die großen Unterschiede in der Personaldecke nicht verwunderlich, denn natürlich muss eine größere Stadt mehr abarbeiten und braucht mehr Personal als eine kleine Gemeinde oder das zugehörige Amt. Doch die einfache Rechnung "Weniger Einwohner also weniger IT-Personal" geht nicht immer auf.

Zum einen gibt es eine gewisse Menge an Grundaufgaben, die jede Gemeinde, jedes Amt - egal wie groß - digital erledigen muss - zum Beispiel Weg- und Zuzug registrieren, Steuerbescheide. Sprich auch eine Gemeinde mit nur wenigen Hundert Einwohnern und einem dazugehörigen Amt, das sich um nur ein paar tausend Menschen kümmert, braucht eine Person für ihre IT-Infrastruktur.

Zum anderen stellt sich die Frage, welche Aufgaben diese IT-Spezialisten sonst noch haben. "Wenn sich jemand nur zehn Prozent der Zeit mit IT-Sicherheit beschäftigt, ist das natürlich nicht ideal", sagt Konrad Rieck, Professor für IT-Sicherheit an der Technischen Universität Berlin. Wirklich gut könne man sich um das Thema kümmern, wenn man sich dauerhaft damit beschäftige. Genau das ist vielerorts aber nicht die Realität.

Von den 20 Gemeinden, die auf die rbb|24-Anfrage geantwortet haben, beschäftigten nur sechs eine Person Vollzeit mit dem Thema IT-Sicherheit. Weitere zwei machten dazu keine Angaben.

Die übrigen zwölf gleichen die Lücke auch nicht immer mit mehr finanziellen Investitionen aus. Sechs von ihnen investieren im Bereich IT nicht einmal 2.000 Euro pro Verwaltungsangestellten pro Jahr. Sprich weder haben sie dezidiert jemanden für IT-Sicherheit, noch geben sie viel Geld dafür aus.

Rieck findet dieses Ergebnis problematisch. Er hat auch schon eine Vermutung, warum vergleichsweise wenig in das Thema IT-Sicherheit investiert wird: "Es wird zu wenig durchgespielt, was die Folgen sein könnten, wenn eine Gemeinde gehackt wird - was da an Vertrauen verloren geht und ob vielleicht die Gemeinde haften muss, wenn Anträge nicht rechtzeitig bearbeitet werden", sagt er. Wäre das der Fall, würden seiner Ansicht nach mehr Gemeinden, Ämter und Städte in ihre IT-Sicherheit investieren. "Vielen ist der Nutzen nicht klar, und entsprechend fällt das Thema Datenschutz, IT-Sicherheit immer als erstes hinten runter", sagt Rieck.

So kommt es zu dem, was Experten als paradoxe Situation beschreiben. Einerseits spüren Bürgerinnen und Bürger am meisten, wenn Standesamt, Finanzamt oder andere lokale Institutionen durch einen Hackerangriff lahm gelegt werden. Sie sind also besonders schützenswert. Andererseits sind die Kommunen oft schlecht geschützt.

Die IT-Expertin Bianca Kastl, die Kommunen in solchen Sicherheitsfragen berät, sagt, dass aber nicht nur der Personalmangel und die mangelnden Investitionen ein Problem sind. "Die Netzwerke von vielen Verwaltungen sind immer noch wie eine Burg geschützt. Sprich wir versuchen mehr oder minder gut zu verhindern, dass jemand überhaupt eindringt. Innerhalb des Netzwerks, also der Burg, darf aber jeder alles machen", sagt sie.

Genau das sei aber ein Problem. Sind die Angreifenden einmal erfolgreich, könnten sie sich überall umschauen und alles herunterladen, verändern, lahm legen. Darum rät Kastl dazu ein Sicherheitskonzept zu fahren, das bei jeder Aktion neu checkt, ob der User oder die Userin das darf. "Aber natürlich ist dieses Umstellen aufwändig und würde zumindest am Anfang auch etwas kosten.", sagt sie.

Bald könnten Verwaltungen noch mehr gefährdet sein

Das aber ist für viele kleinere Kommunen ein allein nicht zu leistender Kraftakt. Helfen könnte da beispielweise, wenn sich Kommunen zusammentun, um gemeinsam das Problem zu lösen. Eine Möglichkeit wären auch Firmen in öffentlicher Hand, die mehrere Kommunen gleichzeitig bedienen. Diese gibt es bereits in anderen Bundesländern, wie zum Beispiel Hessen: Dort gibt es ein Unternehmen, das sich um die IT eines großen Teils der Gemeinden im Bundesland kümmert.

"In der Theorie hat so eine gemeinsame Lösung natürlich Potenzial, weil dann eben nicht jede Kommune einzeln was versucht und man sich gegenseitig die Fachleute wegnimmt", sagt Linus Neumann, Sprecher des Chaos-Computer-Clubs (CCC).

Das Problem sei aber, dass auch diese Firmen oft unzureichende Sicherheit umsetzten. "Da kommt man mitunter mit Nutzer und Passwort 'test' in das interne Netz", sagt Neumann. Das war zum Beispiel das initiale Einfallstor des CCC für den Hack der Bundestagswahl 2017 und der Wahlsoftware "PC-Wahl". "Sicherheit muss immer auch unabhängig geprüft werden", sagt er.

Die Lage in den Verwaltungen könnte sich in den kommenden Monaten zudem verschärfen. Denn das Unternehmen Microsoft stellt für das Betriebssystem Windows 10 nach und nach seine Sicherheitsupdates ein. Die meisten der antwortenden Verwaltungen setzen aber nach wie vor auf diese ältere Windows-Version. "Das kann somit zu einem Einfallstor für Hacks werden und dazu braucht es nicht mal besonders raffinierte Programmierkünste", sagt Rieck.

Bianca Kastl ergänzt: "Natürlich ist damit nicht von einem auf den anderen Tag ein Rechner, ein Netzwerk in der Verwaltung unsicher. Aber je länger man mit einer Version ohne Sicherheitsupdates arbeitet, desto riskanter ist es."

Mitten in der angespannten, digitalen Sicherheitslage könnte also eine Business-Entscheidung von Microsoft noch mehr Verwaltungen gefährden. Und wie reagieren die darauf? Während einige auf Nachfrage dem rbb versichern, dass man dabei sei, zu sichereren Alternativen zu wechseln, setzen andere auf eine andere Schutzstrategie: Sie wollen lieber nicht sagen, welche Betriebssysteme im Einsatz sind.

So schrieb eine Gemeinde zunächst: "Die Fragen bezüglich der Betriebssysteme betreffen sicherheitsrelevante Bereiche. Die Kenntnis darüber, welche Betriebssysteme verwendet werden, erleichtert die Entscheidung darüber, ob und gegebenenfalls wie ein möglicher Cyberangriff erfolgen kann." Erst auf nochmaligen Hinweis auf das Presserecht und die Auskunftspflicht, teilte die Stadt doch noch ihre Ausstattung mit.

"Die Tatsache, dass man nicht mitteilen will, welche Windows-Version man auf dem Amt nutzt, zeigt schon das Problem", sagt CCC-Sprecher Neumann: "Eigentlich weiß man, dass man gar nicht sicher aufgestellt ist. Aber man möchte es halt nicht wahrhaben."

IT-Experte Rieck ist ebenfalls skeptisch, ob das Geheimhalten der eigenen Ausstattung eine gute Abwehrstrategie ist. "Allein wenn die Verwaltung Mails beantwortet, werden dabei im Hintergrund Informationen übermittelt, von was für einem Rechner mit welchem Betriebssystem die Mail gesendet wurde. Eigentlich muss man immer davon ausgehen, dass Angreifer alles über einen wissen", sagt er. Entsprechend müsse sich eine wirkliche IT-Sicherheitsstrategie damit auseinandersetzen, wie man die eigene Verwaltung trotzdem sicher hält. Geheimniskrämerei sei wenig hilfreich.

Beitrag von Haluka Maier-Borst

15 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 15.

    Das ist zwar richtig, aber bedenken Sie bitte wie lange ein Umstieg auf Windows 11 dauern kann.
    Es muss zum Beispiel vorab getestet werden, ob alle Fachanwendungen auch mit Windows 11 noch laufen.
    Bei großen IT-Umgebungen sollte daher bereits jetzt mit den Planungen begonnen werden oder diese sollten bereits laufen. Und hier habe ich erhebliche Zweifel, ob dies bereits so ist.

  2. 14.

    Es ist bezeichnend das eine Gemeinde keine Daten über deren Ausstattung übermitteln wollte. Hier wurde politisch entschieden. Alles vertuschen unter dem Deckel halten, Abstreiten und notfalls über die Pressestelle auf jemanden anderen zeigen. Den Sie wissen nicht was sie tun ist auch in Berlin die Regel. Der IKT-Lenkungsrat besteht weitgehend aus Laien(Stadträte, Bezirksbürgermeister. Das Ergebnis ist die E-Akte - wobei das wohl "E" für Endstation steht. Neben dem IKT-Lenkungsrat, wird eine IT-Stelle geleitet und sich in den ITDZ Vorstand gewählt. alles zusammen hat man dann eine IT-Vita und ist plötzlich IT-Expertin der Partei. (ohne die geringste Ahnung)

  3. 13.

    Hallo ich stimme meinem Vorredner zu, Windows 10 in der 22H2 steht bis zum 14.10.2025 unter Support, d.h. solange gibt es noch alle Sicherheitsupdates, die natürlich auch gemacht werden müssen.
    Windows 11 22H2 hat übrigens nur bis zum 8.10.2024 Support, ist also ohne laufende Updates gefährdeter als Windows 10.

  4. 12.

    Warum sollte die Nutzung von Win 10 zu einem Einfallstor werden?

    Laut Microsoft gibts es noch über 2 Jahre monatliche Sicherheitsupdates...

  5. 11.

    Die Öffentlichkeit beschäftigt bekanntlich die schlechtesten IT-Experten (Laien mit Irgendwas-Abschluss auf dem Papier), warum sollten diese mit Hacker-Angriffen klar kommen?!
    Am besten die IT outsourcen und blechen...

  6. 10.

    "Verstehe die Aufregung nicht. Der Digitalisierungsgrad liegt in den Kommunen bei gefühlten 10%. Was kann da gehackt werden?"

    Da liegt, so glaube ich, ein Missverständnis vor. Der Anteil vollständig digitalisierter Geschäftsprozesse in einer Kommunalverwaltung hat keine Aussagekraft über den Anteil der digitalen Daten. Ohne IT ist eine Kommunalverwaltung nicht arbeitsfähig.

  7. 9.

    Habe gerade ein Fake- Mail ( angeblich von Micro- Soft gelöscht, nach Rücksprache mit meinen Computerfachmann.
    Hacker, Fakes sind auch im Privatbereich anwesend. Bei Kommunen gibt es bald ein Chaos, wenn es noch schlimmer werden sollte. Was für eine heile Computerwelt, was die momentane Sicherheit angeht!

  8. 8.

    Das ist möglich.
    Allerdings sollten wir die Entwicklung und den Einsatz von Software, in welcher Form auch immer, mit den Standards aus dem Ingenieurswesen betreiben.
    Das gilt dann auch für die Haftungsmachung derjenigen Unternehmen, deren Produkte nicht oder nur ausreichend funktionieren und oder zu Datenlecks führen, sprich, allzuleicht angreifbar sind.
    Die Penetrationstestung bei staatlich verwendeter Software sollte Standard sein und in regelmäßigen Abständen von wechselndem Personal durchgeführt werden.

    Michael Seiler hatte in einem Podcast gesagt, dass es leichter sei, die Neutronenbilanz eines KKW zu berechnen als Software zu programmieren.
    Das kann so nicht sein.

  9. 7.

    Genau, es ist in einer kleinen Gemeinde nur schwer zu erklären, warum sie nun 100000 Euro jährlich ausgeben soll, denn "bisher ist doch auch nichts passiert."
    "Ein Antivirus-Abo zuhause kostet nur 59 Euro, warum ist denn das alles so teuer?"



  10. 6.

    Ich glaube, die Angelegenheit ist ganz gut mit Demjenigen beschrieben, was bei der Corona-Pandemie offensichtlich wurde: Das Präventionsparadox. Will sagen: Das Verhinderte, der eigentliche Erfolg , ist vglw. weniger zu sehen und genießt weniger Aufmerksamkeit als das Schiefgelaufene, was nicht verhindert worden ist. Dementsprechend ist auch die Wertschätzung.

    Im Letztgenannten regen sich alle auf, das Erstgenannte wird als pure Selbstverständlichkeit genommen.

  11. 5.

    Von Seite eines Amateurs kann ich feststellen, dass den meisten Menschen die Dinge, die man nicht anfassen kann, suspekt und ohne Wert erscheinen.
    Die Bereitschaft, zum Beispiel, für freie Software und oder Applikationen (Signal zum Beispiel), zu spenden, sind äußerst gering obgleich der Nutzwert extrem hoch ist.
    Wenn ich diese, meine, Erfahrungen mit den Menschen hochskaliere, wird auf Entscheidungsebene wohl sehr ähnliche Auffassung von den nichtanfassbaren Dingen herrschen.
    Nach außen hinterlässt der laxe Umgang mit Software in Staatsdiensten den Eindruck, man wolle sich in die Karten schauen lassen.

  12. 4.

    Zentralisierung ist aus Sicht der Cyber Security wünschenswert. Als ISB im öffentlichen Dienst sehe ich das Problem vielschichtiger. Insbesondere fehlt den politisch Verantwortlichen, zumeist als Beamte auf Zeit durch Wahlen legitimiert, jegliches fachliches Grundwissen. Daher fallen Entscheidungen, die letztlich immer Haushaltsfragen betreffen, i.d.R. in ihrem Sinne politisch Sichtbaren aus. Informationssicherheit findet jedoch im Verborgenen statt. Hinzu kommt Anmaßung der Verantwortlichen, sich in jegliche komplexe Themen Eindenken zu können und dann aufgrund eigener Überlegungen zu entscheiden. Hier wirkt sich auch das Vertrauen auf die Pressestellen aus, diese haben immer Nebelkerzen(z.B. Fachkräftemangel) im Rucksack. Erst wenn Vorfälle öffentlich werden oder ein Ausmaß angenommen haben(Berliner Kammergericht)wird reagiert.

  13. 3.

    Tja das Problem ist eben das Monopol.
    Wird ein Standesamt lahm gelegt, dauert halt alles einfach länger.
    Wird eine Firma lahmgelegt, verliert diese jede Minute Geld.
    Werden von einer Firma Daten abgezogen, ist diese verbrannt und die Kunden gehen woanders hin.
    Passiert das in der Verwaltung, ist man per Gesetz weiterhin verpflichtet ihnen Daten zu geben.
    Da sich daran nicht modern wird, wird sich auch bei der IT Sicherheit der Verwaltung nicht viel ändern…. Sie werden immer hinterher hinken.

  14. 2.

    Verstehe die Aufregung nicht. Der Digitalisierungsgrad liegt in den Kommunen bei gefühlten 10%. Was kann da gehackt werden?

  15. 1.

    Tja ich kann dazu nur schreiben willkommen in der Digitalen Welt aber die meisten wollen es ja so ,alles preisgeben von sich.

Nächster Artikel