IT-Sicherheit - Brandenburger Kommunen schlecht vor Hacker-Angriffen geschützt
Ein Hacker-Angriff legte die Verwaltung der Stadt Potsdam kürzlich für Wochen lahm. Eine rbb|24-Recherche zeigt, dass sich ein solcher Vorfall wiederholen könnte: Viele Gemeinden in Brandenburg sind schlecht auf Hacks vorbereitet. Von Haluka Maier-Borst
Alle wichtigen Stellen auf Bundesebene sind sich seit Monaten einig: Die Anzahl der Hacker-Angriffe bewegt sich durch den Ukraine-Krieg in rekordverdächtigen Höhen. "Die Lage ist immer noch im roten Bereich", sagte der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Gerhard Schabhüser. Auch BND und Verfassungsschutz warnen vor dem mehr an Hacker-Attacken.
Doch dafür, dass auf nationaler Ebene so viel Alarm gemacht wird, ist man im Lokalen mäßig gewappnet. Das legt eine Abfrage von rbb|24 bei zahlreichen Brandenburger Gemeinden nahe.
rbb|24 hat dafür die vier kreisfreien Städte und die 16 kreisangehörigen Städte in Brandenburg angefragt. Außerdem wurden noch 39 weitere kleine Gemeinden ausgelost und angefragt. Das waren Gemeinden mit einer Bevölkerungsdichte von weniger als 100 Einwohner:innen pro Quadratkilometer beziehungsweise deren Ämter.
Die Idee dahinter: repräsentativ für Brandenburg abzufragen, wie es um die Informationstechnik (IT) in Brandenburgs Verwaltung steht - und der Tatsache Rechnung zu tragen, dass die Mehrheit der Brandenburgerinnen und Brandenburger in Kleinstgemeinden leben. Immerhin 20 Gemeinden haben auf die rbb|24-Anfrage zumindest teilweise geantwortet, elf von den kleineren Gemeinden, neun von den Städten.
Die Antworten offenbaren extreme Unterschiede: Während Potsdam 54 Menschen in der IT beschäftigt, sind es bei den kleinen Gemeinden oder den Ämtern, die sich um diese Gemeinden kümmern, oft gerade einmal zwei, eine oder gar keine Person, die für das Thema zuständig sind.
An und für sich sind die großen Unterschiede in der Personaldecke nicht verwunderlich, denn natürlich muss eine größere Stadt mehr abarbeiten und braucht mehr Personal als eine kleine Gemeinde oder das zugehörige Amt. Doch die einfache Rechnung "Weniger Einwohner also weniger IT-Personal" geht nicht immer auf.
Zum einen gibt es eine gewisse Menge an Grundaufgaben, die jede Gemeinde, jedes Amt - egal wie groß - digital erledigen muss - zum Beispiel Weg- und Zuzug registrieren, Steuerbescheide. Sprich auch eine Gemeinde mit nur wenigen Hundert Einwohnern und einem dazugehörigen Amt, das sich um nur ein paar tausend Menschen kümmert, braucht eine Person für ihre IT-Infrastruktur.
Zum anderen stellt sich die Frage, welche Aufgaben diese IT-Spezialisten sonst noch haben. "Wenn sich jemand nur zehn Prozent der Zeit mit IT-Sicherheit beschäftigt, ist das natürlich nicht ideal", sagt Konrad Rieck, Professor für IT-Sicherheit an der Technischen Universität Berlin. Wirklich gut könne man sich um das Thema kümmern, wenn man sich dauerhaft damit beschäftige. Genau das ist vielerorts aber nicht die Realität.
Von den 20 Gemeinden, die auf die rbb|24-Anfrage geantwortet haben, beschäftigten nur sechs eine Person Vollzeit mit dem Thema IT-Sicherheit. Weitere zwei machten dazu keine Angaben.
Die übrigen zwölf gleichen die Lücke auch nicht immer mit mehr finanziellen Investitionen aus. Sechs von ihnen investieren im Bereich IT nicht einmal 2.000 Euro pro Verwaltungsangestellten pro Jahr. Sprich weder haben sie dezidiert jemanden für IT-Sicherheit, noch geben sie viel Geld dafür aus.
Rieck findet dieses Ergebnis problematisch. Er hat auch schon eine Vermutung, warum vergleichsweise wenig in das Thema IT-Sicherheit investiert wird: "Es wird zu wenig durchgespielt, was die Folgen sein könnten, wenn eine Gemeinde gehackt wird - was da an Vertrauen verloren geht und ob vielleicht die Gemeinde haften muss, wenn Anträge nicht rechtzeitig bearbeitet werden", sagt er. Wäre das der Fall, würden seiner Ansicht nach mehr Gemeinden, Ämter und Städte in ihre IT-Sicherheit investieren. "Vielen ist der Nutzen nicht klar, und entsprechend fällt das Thema Datenschutz, IT-Sicherheit immer als erstes hinten runter", sagt Rieck.
So kommt es zu dem, was Experten als paradoxe Situation beschreiben. Einerseits spüren Bürgerinnen und Bürger am meisten, wenn Standesamt, Finanzamt oder andere lokale Institutionen durch einen Hackerangriff lahm gelegt werden. Sie sind also besonders schützenswert. Andererseits sind die Kommunen oft schlecht geschützt.
Die IT-Expertin Bianca Kastl, die Kommunen in solchen Sicherheitsfragen berät, sagt, dass aber nicht nur der Personalmangel und die mangelnden Investitionen ein Problem sind. "Die Netzwerke von vielen Verwaltungen sind immer noch wie eine Burg geschützt. Sprich wir versuchen mehr oder minder gut zu verhindern, dass jemand überhaupt eindringt. Innerhalb des Netzwerks, also der Burg, darf aber jeder alles machen", sagt sie.
Genau das sei aber ein Problem. Sind die Angreifenden einmal erfolgreich, könnten sie sich überall umschauen und alles herunterladen, verändern, lahm legen. Darum rät Kastl dazu ein Sicherheitskonzept zu fahren, das bei jeder Aktion neu checkt, ob der User oder die Userin das darf. "Aber natürlich ist dieses Umstellen aufwändig und würde zumindest am Anfang auch etwas kosten.", sagt sie.
Bald könnten Verwaltungen noch mehr gefährdet sein
Das aber ist für viele kleinere Kommunen ein allein nicht zu leistender Kraftakt. Helfen könnte da beispielweise, wenn sich Kommunen zusammentun, um gemeinsam das Problem zu lösen. Eine Möglichkeit wären auch Firmen in öffentlicher Hand, die mehrere Kommunen gleichzeitig bedienen. Diese gibt es bereits in anderen Bundesländern, wie zum Beispiel Hessen: Dort gibt es ein Unternehmen, das sich um die IT eines großen Teils der Gemeinden im Bundesland kümmert.
"In der Theorie hat so eine gemeinsame Lösung natürlich Potenzial, weil dann eben nicht jede Kommune einzeln was versucht und man sich gegenseitig die Fachleute wegnimmt", sagt Linus Neumann, Sprecher des Chaos-Computer-Clubs (CCC).
Das Problem sei aber, dass auch diese Firmen oft unzureichende Sicherheit umsetzten. "Da kommt man mitunter mit Nutzer und Passwort 'test' in das interne Netz", sagt Neumann. Das war zum Beispiel das initiale Einfallstor des CCC für den Hack der Bundestagswahl 2017 und der Wahlsoftware "PC-Wahl". "Sicherheit muss immer auch unabhängig geprüft werden", sagt er.
Die Lage in den Verwaltungen könnte sich in den kommenden Monaten zudem verschärfen. Denn das Unternehmen Microsoft stellt für das Betriebssystem Windows 10 nach und nach seine Sicherheitsupdates ein. Die meisten der antwortenden Verwaltungen setzen aber nach wie vor auf diese ältere Windows-Version. "Das kann somit zu einem Einfallstor für Hacks werden und dazu braucht es nicht mal besonders raffinierte Programmierkünste", sagt Rieck.
Bianca Kastl ergänzt: "Natürlich ist damit nicht von einem auf den anderen Tag ein Rechner, ein Netzwerk in der Verwaltung unsicher. Aber je länger man mit einer Version ohne Sicherheitsupdates arbeitet, desto riskanter ist es."
Mitten in der angespannten, digitalen Sicherheitslage könnte also eine Business-Entscheidung von Microsoft noch mehr Verwaltungen gefährden. Und wie reagieren die darauf? Während einige auf Nachfrage dem rbb versichern, dass man dabei sei, zu sichereren Alternativen zu wechseln, setzen andere auf eine andere Schutzstrategie: Sie wollen lieber nicht sagen, welche Betriebssysteme im Einsatz sind.
So schrieb eine Gemeinde zunächst: "Die Fragen bezüglich der Betriebssysteme betreffen sicherheitsrelevante Bereiche. Die Kenntnis darüber, welche Betriebssysteme verwendet werden, erleichtert die Entscheidung darüber, ob und gegebenenfalls wie ein möglicher Cyberangriff erfolgen kann." Erst auf nochmaligen Hinweis auf das Presserecht und die Auskunftspflicht, teilte die Stadt doch noch ihre Ausstattung mit.
"Die Tatsache, dass man nicht mitteilen will, welche Windows-Version man auf dem Amt nutzt, zeigt schon das Problem", sagt CCC-Sprecher Neumann: "Eigentlich weiß man, dass man gar nicht sicher aufgestellt ist. Aber man möchte es halt nicht wahrhaben."
IT-Experte Rieck ist ebenfalls skeptisch, ob das Geheimhalten der eigenen Ausstattung eine gute Abwehrstrategie ist. "Allein wenn die Verwaltung Mails beantwortet, werden dabei im Hintergrund Informationen übermittelt, von was für einem Rechner mit welchem Betriebssystem die Mail gesendet wurde. Eigentlich muss man immer davon ausgehen, dass Angreifer alles über einen wissen", sagt er. Entsprechend müsse sich eine wirkliche IT-Sicherheitsstrategie damit auseinandersetzen, wie man die eigene Verwaltung trotzdem sicher hält. Geheimniskrämerei sei wenig hilfreich.