Da sie mit zahlreichen persönlichen und sensiblen Daten ihrer Bürger umgehen und die Kontinuität der öffentlichen Dienstleistungen auf dem Spiel steht, sind immer mehr Behörden von Cyberangriffen betroffen. Von den großen Metropolen bis hin zu den kleinsten Rathäusern: Wie kann man diesen Bedrohungen begegnen? Stand der Dinge.
Einige Cyberexperten sind der Ansicht, dass der Cyberangriff auf die Stadt Baltimore in den USA im Mai 2019 ein herausragendes Ereignis der Cyberbedrohungen gegen Kommunen war. Die hohen Lösegeld- und Wiederherstellungssummen, die Berichterstattung in den Medien oder auch die Anzahl der betroffenen Computer – der Fall hatte in der Tat einen bleibenden Eindruck hinterlassen. Und scheint eine Sogwirkung entfaltet zu haben, denn seitdem gibt es immer mehr Beispiele in globalem Maßstab.
Cyberangriffe und Gemeinden: eine Bedrohung auf internationaler Ebene
Laut einer Studie von 2020 richteten sich 44 % der Ransomware-Angriffe gegen Kommunen. Ransomware-Angriffe, die für die Opfer noch komplexer werden. Im September 2020 stellen Cyberkriminelle 20 Gigabyte gestohlener Daten der französischen Metropole Aix-Provence-Marseille online. Darin befanden sich Namen von Beamten und ihre Personalnummern sowie zwei Dateien mit 23.000 E-Mail-Adressen, die mit Namen verknüpft waren. Ein Leck mit sensiblen Daten, das ein Schlaglicht auf eine neue Form der Einschüchterung warf, bei der mit dem Durchsickern von Daten gedroht wird, um die Zahlung eines Lösegelds zu erzwingen.
Und die Bedrohung ist global. Im Juli 2021 musste die Verwaltung des Landkreises Anhalt-Bitterfeld in Deutschland nach einem Cyberangriff ihre Faxgeräte aus dem Schrank holen. In Italien war im August die gesamte Region Latium betroffen, als eine Ransomware das regionale Rechenzentrum lahmgelegt hatte, wodurch unter anderem die Buchungsplattform für die Covid-Impfung nicht mehr verfügbar war. In den USA gibt es unzählige Beispiele. Im September 2021 titelte die Washington Post wie folgt Ransomware bringt Chaos über amerikanische Städte. Von der Polizei in Washington bis zu den Schulen in Fairfax County, der Trend scheint sich durchgesetzt zu haben und erreicht sogar Strafvollzugsanstalten. So wurde im Januar 2022 ein Gefängnis in New Mexico von einem Cyberangriff betroffen, bei dem Kameras und automatische Türen außer Betrieb gesetzt wurden.
„Es gibt eine Explosion von Ransomware-Angriffen“, bestätigt Vincent Nicaise, der bei Stormshield für Partnerschaften und das Ökosystem der Industrie zuständig ist. Dies gilt umso mehr, als einige Behörden sowohl herkömmliche IT-Infrastrukturen als auch die sensiblere OT-Infrastruktur betreiben – wie das Beispiel des Cyberangriffs in New Mexico zeigt. Dabei sind Gemeindeverbände und andere Rathäuser nicht gerade für ihren üppigen Cashflow bekannt. Warum sollten sie dann gezielt angesprochen werden? Für Philippe Loudenot, Mitglied des CESIN, Cybersicherheitsbeauftragter des Regionalrats Pays de la Loire und ehemaliger Beamter für die Sicherheit von Informationssystemen (FSSI) in den Sozialministerien, handelt es sich meist um opportunistische Angriffe. Da sie jedoch eine direkte Bedrohung für das reibungslose Funktionieren der öffentlichen Dienste darstellen, verdienen Cyberangriffe, die sich auf Kommunalverwaltungen auswirken, Aufmerksamkeit.
Öffentlicher Dienst durch Cyberangriffe in Bedrängnis gebracht
Die Cybersicherheit von Kommunen ist deshalb so wichtig, weil ein Cyberangriff auf eine Kommune verschiedene, jedes Mal verheerende Folgen haben kann. Philippe Loudenot unterscheidet fünf davon.
Die Gefährdung der Kontinuität des öffentlichen Dienstes, die für Verwaltungen typisch ist. Die Kommunen sind auf ihre IT-Systeme angewiesen, um ein breites Spektrum von Aufgaben zu verwalten, von der Schulkantine über das Verkehrsnetz bis hin zum Sozialwesen. Ohne Zugang zu den Daten werden diese Aufgaben unterbrochen oder stark beeinträchtigt.
Auch ein Datenleck, Diebstahl oder Verlust von personenbezogenen Daten ist zu bedenken, da die Gemeinden Zugang zu sensiblen Daten ihrer Bürgerinnen und Bürger haben. So verbreiteten Cyberkriminelle im Mai 2021 die Daten von 1.000 Bediensteten des Großraums Annecy in Frankreich, darunter ihre Covid-Testergebnisse und persönlichen Kontaktdaten, fünf Monate nach einem Angriff auf das Computersystem des Gemeindeverbands. Im August 2021 ist es die französische Website für Visaanträge die auf diese Weise angegriffen wurde.
Der Verlust des Datenvermögens ist ein weiteres Risiko, das für Kommunen typisch ist. Neben den Daten, die ihre Bürger betreffen, „besitzen die Gebietskörperschaften ein großes Datenvermögen“, weiß Philippe Loudenot, wie z. B. Personenstands-, Sozial-, Finanz- und Steuerdaten usw. Wenn diese Daten zerstört oder in ihrer Integrität beeinträchtigt werden, riskiert die Gebietskörperschaft, einen Teil ihrer Geschichte zu verlieren.
Auch die Auswirkungen auf das Image der Kommune sind eine wichtige Folge. Ein Cyberangriff kann, wenn er den Bürgern bekannt wird, negative Auswirkungen auf das Vertrauen der Bürger in die Gemeinde und ihre Dienste haben. Dies gilt umso mehr in Zeiten von Kommunalwahlen ...
Schließlich ist auch das rechtliche Risiko zu berücksichtigen. Im Falle eines nachgewiesenen Fehlverhaltens beim Schutz personenbezogener Daten drohen der Kommune Sanktionen durch staatliche Instanzen, aber auch rechtliche Schritte durch die Bürger selbst.
Die Geldbörse oder das öffentliche Leben
Auf der Ebene der Verteilung der Bedrohungen und laut einem Bericht von Clusif aus dem Jahr 2020, einem französischen Verband, der sich mit IT-Sicherheit befasst, gaben 30 % der Kommunen an, Opfer von Ransomware zu sein. Eine Zahl, die mit Abstand betrachtet werden muss, da Cyberangriffe oft unter dem Radar fliegen: mehr als die Hälfte der befragten Kommunen gab an, keine Angaben dazu zu machen. Im Jahr 2021 führte die Zeitung LeMagIt eine Zählung der französischen Städte durch, die von Ransomware betroffen waren.. Insgesamt sind es rund 60, darunter Mitry-Mory, Chalon-sur-Saône, der Gemeindeverband Est Lyonnais, Douai, Villepinte, Erstein, Istres oder Annecy. Das ANSSI erwähnt in einem speziellen Leitfaden zum Thema, sind alle Gemeinden und interkommunalen Organisationen betroffen sind.
Die Lösegeldforderungen können sehr unterschiedlich sein, aber man muss auch die mit einem Angriff verbundenen indirekten Kosten berücksichtigen
Philippe Loudenot, Delegierter für Cybersicherheit beim Regionalrat Pays de la Loire, ehemaliger Beamter für die Sicherheit von Informationssystemen (FSSI) im Gesundheitsministerium und in den Diensten des Premierministers
Was die Höhe der Lösegelder angeht, so belaufen sich diese laut ANSSI in den USA auf durchschnittlich 836.000 US-Dollar, in Frankreich auf 130.000 Euro. „Die geforderten Lösegelder können sehr unterschiedlich sein, aber man muss auch die indirekten Kosten berücksichtigen“, betont Philippe Loudenot. Denn die Zahlung eines Lösegelds ist nicht der einzige Verlust, der auf einen Cyberangriff zurückgeführt werden kann. In Frankreich haben die Stadt Chalon-sur-Saône und der Großraum Chalon beispielsweise 550.000 Euro aufgewendet, um ihre Computersysteme nach einem Cyberangriff im Februar 2021 wieder auf Vordermann zu bringen. Die Gemeinde macht weder Angaben zu Lösegeldzahlungen noch zum Gesamtbetrag, der in die Sanierung – also die Wiederherstellung der Daten und die Wiederinbetriebnahme des Systems – geflossen ist. Konkret bedeutete dies die Einführung neuer Verfahren und Einstellungen zur Verstärkung der Teams, die für die Netzwerkinfrastruktur, technische Projekte und Sicherheitssysteme zuständig sind. Philippe Loudenot erwähnt auch die Kosten für die Gehälter, die den Angestellten in Kurzarbeit gezahlt werden, sowie die Kosten für die Kommunikation, die notwendig ist, um die Bürger richtig zu informieren. Schließlich können Sanktionen in Betracht gezogen werden, falls Fehler beim Schutz personenbezogener Daten festgestellt werden, „auch wenn die französische Datenschutzbehörde (CNIL) eher eine begleitende Logik verfolgt“.
Risikovektoren und Angriffsfläche für Gemeinden
Eine Begleitungslogik, die auf allen Ebenen notwendig ist, da die Angriffsfläche der lokalen Gebietskörperschaften aufgrund mehrerer Schwachstellen so groß ist. Zu den Ursprüngen dieser Anfälligkeit gehört ein gewisser Mangel an Budgets, die für Fragen der Cybersicherheit bereitgestellt werden: Die meisten französischen Gebietskörperschaften geben weniger als 10 % ihres Budgets für Cybersicherheit aus. Dies entspricht dem von der ANSSI empfohlenen Satz.
Eine erste direkte Folge: Die Quellen von Infektionen sind häufig mit dem Faktor Mensch verbunden. Hierbei handelt es sich nicht um etwas Revolutionäres, da Behördenmitarbeiter regelmäßig dem Phishing ausgesetzt sind. Und die pädagogischen Bemühungen, zwischen der Sensibilisierung für digitale Hygiene und der Ausbildung in Cybersicherheit, sind bis heute noch zu gering.
Die Budgetknappheit öffnet den Cyberkriminellen ein weiteres potenzielles Einfallstor durch veraltete Arbeitsplätze, auf denen veraltete Betriebssysteme laufen, die häufig mit Updates im Rückstand sind. Und das Feld, das es abzudecken und zu schützen gilt, wird ständig erweitert: Die Kommunalverwaltungen haben ihre Mitarbeiter mit Smartphones, Tablets und Laptops ausgestattet. All dies sind zusätzliche Einfallstore mit diesen Flotten von vernetzten Geräten, deren Kennwörter oft unsicher sind, manchmal in den Büros aushängen und von den Behördenmitarbeitern nur selten geändert werden.
Eine weitere Schwachstelle sind die IT- (und operativen) Netzwerke, die von den Kommunen verwaltet werden. Der Grund dafür sind Systeme, die häufig flach strukturiert sind, keine Netzwerksegmentierung haben und daher anfällig für Lateralangriffe sind. Ein Cyberangriff auf eine Abteilung der Kommune kann daher „dank“ ihrer Vernetzung auch die anderen Abteilungen infizieren. Und wenn die Malware einmal implantiert ist, kann sie eine Weile schlummern, bevor sie im günstigsten Moment von Cyberkriminellen aktiviert wird, wie auf der Seite von Gloucester in Großbritannien, die im Januar 2022 betroffen war.
Ein weiterer Schwachpunkt sind böswillige Angriffe von innen, so Philippe Loudenot, der von „ungesunder Neugier, die einen Beamten dazu bringt, sich Zugang zu vertraulichen Informationen zu verschaffen“, oder auch von einem unzufriedenen ehemaligen Beamten spricht, dessen Zugang zu den IT-Systemen nicht widerrufen wurde.
Cybersicherheit in Kommunen: Langfristige Lösungen
Sind Behörden, die von innen und außen bedroht werden, also dazu verurteilt, unaufhörliche Angriffswellen zu erleiden? Auch wenn ein gewisser Verwaltungsaufwand die Anpassung und Flexibilität, die für einen besseren Schutz vor Cyberrisiken erforderlich sind, verhindern kann, gibt es dennoch Lösungen. In Frankreich fallen Cyberangriffe auf Kommunen in den gemeinsamen Zuständigkeitsbereich der ANSSI und der Abteilung für Cyberkriminalität der Gendarmerie Nationale. Im Falle von Ransomware bleiben die Empfehlungen dieser Institutionen klassisch, sagt Philippe Loudenot: „das Lösegeld nicht zahlen, um zukünftige Cyberkriminelle nicht zu ermutigen, Anzeige erstatten und die Informationen weiterleiten“.
Doch das Sprichwort „Vorbeugen ist besser als Heilen“ gilt auch in diesem Fall. Daher ist es vor allem wichtig, dass die Kommunen ihren Gesamtansatz zur Cybersicherheit ändern. Das Ziel? Erreichen eines langfristigen Schutzes, der durch eine Reihe von Maßnahmen erreicht werden soll.
Am deutlichsten wird dies bei der Bewusstseinsbildung. „Wir müssen alle auf den neuesten Stand bringen, was die grundlegenden Gesten der digitalen Hygiene betrifft“, erklärt Philippe Loudenot. Robuste Kennwörter einrichten, sie regelmäßig ändern, sie nicht auf Post-it-Zetteln auf dem Schreibtisch liegen lassen, sich vor empfangenen Links in Acht nehmen ... Einfache Reflexe, die aber noch verinnerlicht werden müssen, gibt Philippe Loudenot zu. „Davon sind wir noch weit entfernt“, bedauert er. Der Diskurs ist verkürzt, da hauptsächlich über Bedrohungen gesprochen wird und die Gemeinden sich nicht betroffen fühlen. Wir müssen über die Auswirkungen sprechen. Es trifft jeden, wenn er weiß, dass er nicht in der Lage sein wird, die Kontinuität seines öffentlichen Dienstes zu gewährleisten. „Für den Experten gilt es, die Perspektive zu verändern: Es geht nicht darum, „ob“, sondern „wann“ eine Kommune angegriffen wird. Was setzen wir um? Welche alternativen Arbeitsweisen gibt es?“ Eine Verzögerung bei der Sensibilisierung, die auch Vincent Nicaise bemerkt. Er betont, dass im Rahmen des Programms France Relance der französische Staat bis zu 100 % der Kosten für eine Diagnose in einer Gemeinde übernehmen kann, damit diese eine Bestandsaufnahme ihres Niveaus und ihrer Bedürfnisse vornehmen kann. Und um noch weiter zu gehen, wurden zahlreiche praktische Leitfäden von der Regierung rund um das Thema Cybersicherheit im öffentlichen Dienst herausgegeben.
Der Diskurs ist verkürzt, weil hauptsächlich über Bedrohungen gesprochen wird und die Gemeinden sich nicht betroffen fühlen. Wir müssen über die Auswirkungen sprechen. Es trifft jeden, wenn man erfährt, dass man nicht in der Lage sein wird, die Kontinuität seines öffentlichen Dienstes zu gewährleisten
Philippe Loudenot, Cybersicherheitsbeauftragter des Regionalrats Pays de la Loire, ehemaliger Beamter für Informationssystemsicherheit (FSSI) im Gesundheitsministerium und in den Diensten des Premierministers
Parallel zur Bewusstseinsbildung müssen die Kommunen auch geeignete Schutzlösungen einführen. Endpunktlösungen zum Schutz von Arbeitsplätzen, Firewalls zur Sicherung von Netzwerken, Verschlüsselungslösungen zur Sicherung der Datenintegrität – die Werkzeuge sind vielfältig und unterschiedlich. Aber sie kommen zwangsläufig mit gewissen Kosten. In Frankreich ist sich die ANSSI dieser Herausforderungen seit mehreren Jahren bewusst und hatte bereits ein beträchtliches Budget zur Unterstützung der Kommunen vorgeschlagen, das sich auf 60 Millionen Euro in den Jahren 2021 und 2022 beläuft. Zu Beginn des Jahres 2022 erreichen die ersten Begünstigten des Programms „France Relance“ das Ende des Cybersecurity-Parcours (im Audit-Teil) und dürften Zugang zum Kofinanzierungsplan erhalten (bis zu 70 %, im Rahmen des Programms). So soll 2022 (endlich?) das Jahr der sicheren Systeme werden.
Ein weiterer wirksamer Ansatz ist die Einrichtung eines Backup-Systems. So geht die französische Gemeinde Chalon-sur-Saône mit gutem Beispiel voran: Dank automatischer Datensicherungen am Tag 1 konnte die Gemeinde ihre Systeme ohne Datenverlust wieder in Betrieb nehmen, nach dem im Februar 2021 erlittenen Angriff. Ein wirksames System, das „systematisch eingeführt werden sollte“, empfiehlt Philippe Loudenot, „aber das ist bei weitem nicht der Fall“.
Auf französischer Seite liegt der Schwerpunkt ebenfalls auf dem Aufbau eines Netzwerks von lokalen Referenten. Dieses Netzwerk wird sich auf Cybersicherheitsreferenten stützen, um stets auf dem neuesten Stand zu bleiben, was die Kenntnis von Schwachstellen und Warnungen betrifft, die von der ANSSI und dem CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) herausgegeben werden. Die Gründung eines regionalen CSIRT (Computer Security Incident Response Team) ist übrigens im Gange, parallel zur Ankündigung der Schaffung eines Netzwerks territorialer CISRs, das auf dem FIC 2021 angekündigt wurde. Schließlich ist es auch wichtig zu erwähnen, dass die öffentliche Interessenvereinigung cybermalveillance.gouv.fr ein Label Cyber Responsible City eingeführt hat, um Städte auszuzeichnen, die sich in einem Aktionsplan zur Bekämpfung von Cyberangriffen engagieren.
All diese Initiativen führen dazu, dass „heute den gewählten Vertretern bewusst wird, dass die Cybersicherheit ihrer Gebietskörperschaften kein Un-Thema ist“, meint Philippe Loudenot. Das trifft sich gut, denn es gibt viel zu tun.
