Resilienz und Krisenmanagement
Umgang mit Cyberattacken in Kommunen.
Cyberattacken stellen für Kommunen eine wachsende Bedrohung dar. Die Auswirkungen solcher Angriffe können verheerend sein und die Funktionsfähigkeit der Verwaltung erheblich beeinträchtigen. Dieser Beitrag beleuchtet die verschiedenen Aspekte des IT-Krisenmanagements in Kommunen, von den technischen Auswirkungen über die Krisenprävention bis hin zur Krisenreaktion und -vorbereitung. Ziel ist es, ein Verständnis für die Notwendigkeit von Resilienz in der öffentlichen Verwaltung zu schaffen und praktische Ansätze zur Bewältigung von Cyberkrisen aufzuzeigen.
1. Auswirkungen von Cyberattacken
Cyberangriffe können die technische Infrastruktur einer Kommune massiv stören. Wenn Fachverfahren, Kassensysteme oder Aktenrecherchen ausfallen, steht die Verwaltung vor erheblichen Herausforderungen. Ohne Zeiterfassungssysteme wird die Arbeitszeit der Mitarbeitenden nicht erfasst, und der Zugang zu bestimmten Räumen kann durch digitale Zutrittssysteme verwehrt sein. Auch die Kommunikation leidet: Telefonanlagen, E-Mail-Dienste, Websites und Social-Media-Kanäle können betroffen sein, was die interne und externe Kommunikation erheblich erschwert. Angreifer sind oft über einen längeren Zeitraum unbemerkt im System aktiv. Sie nutzen mehrstufige Angriffe, um sich tief in die IT-Strukturen einzunisten. Dies erschwert die Identifikation des Zeitpunktes der Kompromittierung und stellt die Verantwortlichen vor die Frage, welches Backup vertrauenswürdig ist. Die Beauftragung von Forensikern kann helfen, doch diese benötigen oft viel Zeit, um den Angriff vollständig zu analysieren.
Im Gegensatz dazu führen DDoS-Angriffe selten zu solchen Krisen, da sie meist temporär sind und weniger tiefgreifende Auswirkungen haben. Dennoch können auch sie die Verfügbarkeit von Diensten einschränken und sollten nicht unterschätzt werden. Die Kompromittierung der Infrastruktur und der Daten bedeutet, dass vertrauliche Informationen in die Hände Unbefugter gelangen können. Indizien für einen Angriff sind unter anderem ungewöhnliche Kontakte zu externen Servern oder unerklärliche Rechteerweiterungen von Benutzerkonten.
Bei Verdacht ist es essenziell, die Verbindung zu übergeordneten Netzen wie dem Landesverwaltungsnetz oder den Netzen des Bundes zu trennen. Oft werden in solchen Fällen auch Zertifikate gelöscht, da die Kommune nicht mehr als vertrauenswürdiger Teilnehmer im Netzwerk gilt. Die Rückkehr in diese Netze ist an bestimmte Bedingungen geknüpft.
2. Die Notwendigkeit von Resilienz in der Verwaltung
Verwaltungen müssen resilient sein, um den Herausforderungen von Cyberattacken gewachsen zu sein. Besonders in stabilen Systemen ist dies relevant. Das Verletzlichkeitsparadoxon besagt: „In dem Maße, in dem ein Land in seinen Versorgungsleistungen weniger störanfällig ist, wirkt sich jede Störung umso stärker aus.“ Je komplexer und ausdifferenzierter die Organisationsstrukturen sind, desto mehr wird eine Versorgungssicherheit angenommen. Fällt ein System dann aus, ist der Schock umso größer. Der Druck, schnell wieder zum Normalbetrieb zurückzukehren, ist hoch. Oft wird versucht, innerhalb kurzer Zeit wieder handlungsfähig zu sein. Doch die Realität zeigt, dass die Bewältigung einer solchen Krise ein Marathon und kein Sprint ist. Es kann bis zu einem Jahr dauern, bis alle Systeme wiederhergestellt sind. Dies belastet die Mitarbeitenden enorm; Burnout-Fälle sind keine Seltenheit, wobei nur etwa die Hälfte der Betroffenen zurückkehrt.
3. Krisenprävention: Vorbereitung auf den Ernstfall
Wie können sich Mitarbeitende in Kommunen gut auf einen möglichen Cyberangriff vorbereiten? Die Krisenprävention spielt hierbei eine entscheidende Rolle.
Technische Präventionsmaßnahmen sind essenziell, sollten jedoch im Rahmen der Möglichkeiten einer Kommune realistisch und umsetzbar sein. Dazu gehören regelmäßige Updates der Systeme, Installation von Sicherheitssoftware und die Durchführung von Sicherheitsüberprüfungen. Allerdings stoßen Kommunen hier oft an personelle und finanzielle Grenzen.
Ein weiterer wichtiger Aspekt ist die Sensibilisierung der Mitarbeitenden für IT-Sicherheit. Eine offene Fehlerkultur fördert das Bewusstsein für potenzielle Risiken und ermutigt dazu, ungewöhnliche Vorkommnisse zu melden. Schulungen und regelmäßige Informationsveranstaltungen können das Bewusstsein erhöhen und das Verständnis für Sicherheitsprozesse stärken.
3.1 Organisatorisches Versagen vermeiden
Organisatorische Schwachstellen können die Auswirkungen eines Cyberangriffs verschärfen. Oft wird die IT isoliert betrachtet, mit niedriger Besoldungs-Eingruppierung und wenig Verständnis innerhalb der Organisation für diese Tätigkeiten. Es mangelt an Personal und ausreichenden Vertretungsregelungen. Fehlende Onboarding- und Offboarding-Prozesse führen dazu, dass Zugänge und Berechtigungen von ausgeschiedenen Mitarbeitenden nicht gelöscht werden. Diese „organisatorischen Schulden“ sind das Ergebnis von Kompromissen, die vor Jahren geschlossen wurden. Wenn sich die Rahmenbedingungen ändern, bleiben diese Kompromisse oft bestehen, was zu einem Verlust an Geschwindigkeit und Flexibilität führt. Unklare Ziele, vermischte Rollen und ungenaue Anforderungen sind Indikatoren für solche Schulden. Der Abbau dieser organisatorischen Schulden erfordert gezielte Maßnahmen. Ein Bounty-Programm kann Mitarbeitende ermutigen, aktiv zur Verbesserung der Organisation beizutragen. Sie können auf Prozesse hinweisen, die die Effizienz des Systems positiv oder negativ beeinflussen, und so zur Optimierung beitragen.
4. Krisenreaktion: Umgang mit der Krise
Wenn die Krise eintritt, ist schnelles und koordiniertes Handeln gefragt. Zu den ersten technischen Maßnahmen gehört die Netztrennung, um eine weitere Ausbreitung des Angriffs zu verhindern. Dies erfordert jedoch klare Prozeduren und Verantwortlichkeiten, um schnell und effektiv reagieren zu können. Die Kommunikation hingegen ist ein zentraler Aspekt der Krisenreaktion. Es müssen Alarmierungswege festgelegt werden, um alle relevanten Personen schnell zu informieren. Fallback-Kommunikationswege wie alternative Telefonnummern oder Messaging-Dienste sollten vorbereitet sein. Dark Sites, also vorgefertigte Websites für Krisenkommunikation, können genutzt werden, um die Öffentlichkeit zu informieren. Intern und extern muss transparent und zeitnah kommuniziert werden, um Vertrauen zu erhalten.
Bestimmte Vorfälle müssen an zuständige Stellen gemeldet werden. Dazu gehören das CERT (Computer Emergency Response Team) und Datenschutzaufsichtsbehörden. Je nach Schwere des Angriffs ist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu informieren. Unter Umständen greifen hier auch Vorgaben der NIS-2-Richtlinie. Die Polizei sollte eingebunden werden, um strafrechtliche Ermittlungen einzuleiten und Beweise zu sichern.
4.1. Notbetrieb und Wiederinbetriebnahme
Während der Krise muss der Notbetrieb aufrechterhalten werden. Die Kommune sollte Ihre Souveränität erhalten und essenzielle Dienstleistungen weiterhin erbringen können. Die Wiederinbetriebnahme der Systeme erfolgt in mehreren Schritten: von der Rückkehr in die Netze über Zwischeninfrastrukturen bis hin zur Zielinfrastruktur. Oft führt dies unvorbereitet und ungeplant zur Einführung neuer Technologien, was zusätzliche Herausforderungen mit sich bringt. Der Zugang zu den Netzen des Bundes oder des Landes kann eingeschränkt sein. Manchmal werden Kommunen aus den Netzen entfernt und die Zertifikate gelöscht. Es muss geklärt werden, welche Sicherheitsvorkehrungen getroffen werden müssen.
4.2 Kapazitäten und Unterstützung
Wirkliche Krisen dauern oft länger als erwartet. Es ist wichtig, rechtzeitig Unterstützung anzufordern, etwa durch Amtshilfe von anderen Kommunen. Eine zeitweise Auslagerung von Fachverfahren kann in Betracht gezogen werden. Dabei müssen datenschutzrechtliche Aspekte, aber auch die geografische Nähe berücksichtigt werden, um Mitarbeitenden und Bürgern den Zugang zu erleichtern. Verschiedene Faktoren können die Krisenbewältigung erschweren. Wiederholte Fragen und Auskünfte binden Ressourcen. Informationen werden nicht immer verstanden oder können nicht nachgehalten werden. Eingriffe in Prozesse und neue Priorisierungen, sei es saisonal oder situationsbedingt, führen zu Konflikten. Unklare Rollenverteilungen verstärken diese Probleme.
5. Krisenvorbereitung: Strategien für den Ernstfall
Eine effektive Krisenbewältigung ist nur möglich, wenn die Vorbereitung stimmt. Es reicht nicht aus, nur die zuständigen Personen zu kennen; auch die Routinen und Prozesse müssen bekannt und eingeübt sein. Mitarbeitende sollten die Fachverfahren und Leistungen in einem Verzeichnis pflegen und wissen, welche technischen Voraussetzungen dafür notwendig sind und wo die entsprechen de Dokumentation (analog) zu finden ist.
Eine Prioritätenliste hilft, um im Ernstfall die wichtigsten Leistungen zuerst wiederherzustellen. Kriterien für die Priorisierung können sein: Schutz von Leib und Leben, Vermeidung existenzieller Schäden, Haftungsrisiken und schnelle Erfolge („Low Hanging Fruits“). Resilienz sollte als fortlaufender Prozess verstanden werden, der auf Anpassungsfähigkeit statt auf Stabilität setzt. Auswahlmöglichkeiten und Selbstorganisation fördern die Resilienz einer Organisation. Emergenz, also die spontane Herausbildung von Strukturen in komplexen Systemen, spielt dabei eine wichtige Rolle.
5.1 Notfallpläne erstellen und pflegen
Dennoch, ein IT-Notfallhandbuch ist unerlässlich. Es enthält Sofortmaßnahmen, szenariospezifische Anweisungen, Alarmierungs- und Eskalationspläne sowie Kontaktlisten für die Alarmierung, Meldungen und die Kommunikation mit Dienstleistern und Partnern. Ein Krisenstab und ein Stabsraum sollten definiert sein. Das Business Continuity Management (BCM) regelt den Notbetrieb und mögliche Bypass-Lösungen. Hierunter versteht man das zeitweise Angebot der Verwaltungsleistungen in anderen IT-Infrastrukturen. Pläne für den Wiederanlauf, die Wiederherstellung und die Überführung in den Normalbetrieb sind ebenfalls festzuhalten. Nach der Krise erfolgt eine Debriefing und Aktualisierung der Pläne.
5.2 Kommunikationsplan
Ein klarer Kommunikationsplan definiert, wer wann welche Informationen erhält und wie die Kommunikation nach innen und außen abläuft. Dies vermeidet Missverständnisse und sorgt für Transparenz. Angesichts der steigenden Bedrohungslage müssen Organisationen ihre Abwehrmaßnahmen und Reaktionspläne regelmäßig testen und verbessern.
5.3 Ziele von Krisenübungen
Durch Übungen werden Routinen getestet und verbessert. Die Wirksamkeit der Maßnahmen wird beurteilt, Lücken und Mängel werden erkannt. Die Fähigkeit zur Zusammenarbeit und zur Kommunikation in unvorhergesehenen Situationen werden verbessert. Teilnehmende werden im Umgang mit Cybervorfällen geschult, und Schwächen in der Interaktion zwischen Organisationseinheiten werden aufgedeckt.
6. Kooperationen und Resilienz durch Zusammenarbeit
6.1 RESI Framework und BSI Cybersicherheitsdialog
Der Dialog zwischen Zivilgesellschaft und Behörden ist essenziell, um die gesamtgesellschaftliche Relevanz von Cyberbedrohungen zu adressieren. Der Cybersicherheitsdialog des BSI fördert den Austausch und die Entwicklung gemeinsamer Strategien. Aktuell werden in einer interprofessionellen und interdisziplinären Zusammenarbeit ein Ransomware-Szenario sowie bestehende Publikationen zusammengefasst, der Ablauf mit den entsprechenden Aktivitäten und Entscheidungen aufgeschrieben und Handreichungen, Vorlagen und Checklisten, an eben diesen Punkten verlinkt. Ziel ist es, in Krisen schneller und effektiver zu reagieren.
6.2 Kooperative Resilienz
Kooperative Resilienz bezeichnet die Fähigkeit, die Krisen der Kooperation selbst abzumildern. Es handelt sich um ein komplexes Geflecht von kollaborierenden Akteuren und unterstützenden Technologien. Dies umfasst eine organisationsübergreifende Vernetzung und Zusammenarbeit, also den Austausch von Informationen und Best Practices, eine kooperative Infrastruktur und die gemeinsame Nutzung von Ressourcen. Sie umfasst ein gemeinsames Lagebild für ein einheitliches Verständnis der aktuellen Situation und die gegenseitige Bereitstellung von Kapazitäten, also eine Unterstützung durch Personal und materielle Ressourcen. Erfahrungsgemäß erfolgen Amtshilfen oder Umgehungslösungen oft unkoordiniert. Unklare Abordnungen von Personal oder die Bereitstellung von Ressourcen ohne klare Absprachen können die Situation verschärfen.
6.3 Netzwerk Kooperative Resilienz
Durch freiwillige Vereinbarungen können Kommunen zusammenarbeiten. Maßnahmen wie das Aussenden von Amtshilfeersuchen an benachbarte Kommunen oder der Austausch von Kompetenzen und Erfahrungen tragen zur Stärkung der Resilienz bei. Dokumentationen, Wikis und Vorlagen unterstützen den Aufbau und die Rückkehr in die Netze. Dark Sites mit Eingabemasken und Vorlagen ermöglichen die schnelle Verfügbarkeit von Informationen. Ein Ressourcen-Pool für Hardware und Software erleichtert den Notbetrieb.
7. Resilienz als Schlüssel zum Erfolg
Der Fokus muss auf der Resilienz liegen, damit Kommunen „Herr der (Bedrohungs-)Lage“ bleiben. Angesichts der Vielzahl von Angriffspunkten und Schwachstellen ist es wahrscheinlich, dass Cyberattacken passieren werden. Die Krisenreaktion und -bewältigung ist nur so gut wie die vorherige Krisenvorbereitung. Durch gezielte Maßnahmen in der Prävention, klare Kommunikations- und Notfallpläne sowie kooperative Ansätze kann die öffentliche Verwaltung ihre Widerstandsfähigkeit stärken und im Ernstfall effektiv handeln.
