Kommunen geraten immer stärker ins Visier von Ransomware-Banden. Vor allem kleinere Verwaltungen haben oft nicht die Kapazitäten, um ihre IT umfassend abzusichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will mit einer neuen Initiative für mehr Cybersicherheit in den Kommunen sorgen.
Die NCP engineering GmbH macht in einem Blog-Beitrag deutlich, dass die Sicherheit kritischer Infrastrukturen für eine Industrienation wie Deutschland extrem wichtig ist. Doch immer häufiger haben es Cyberkriminelle speziell auf Kommunen abgesehen. So beeinträchtigte im Herbst 2023 eine Ransomware-Attacke auf einen IT-Dienstleister die Verwaltung von über 70 Städten und Gemeinden mit 1,7 Millionen Einwohnern. Wichtige Behördendienste wie die Zulassung von Kraftfahrzeugen oder die Beantragung von Ausweispapieren funktionierten nicht mehr.
Schwachstellen ausgenutzt
Die mutmaßlich für den Angriff verantwortliche Cybercrime-Bande „Akira“ soll mehrere Sicherheitslücken beim IT-Dienstleister ausgenutzt haben. Presseberichten zufolge verwendete das Unternehmen nicht nur schwache Passwörter, sondern verzichtete auch auf eine Multi-Faktor-Authentifizierung (MFA). Zudem war mindestens eine als VPN-Endpunkt genutzte Firewall-Appliance nicht gepatcht, obwohl der Hersteller ein Sicherheits-Update bereitgestellt hatte.
NCP-Vizepräsident Bernd Nüßlein warnt im Interview mit „connect professional“ eindringlich vor den Folgen solcher Angriffe, weil sie das tägliche Leben der Bürger negativ beeinflussen können. Daher sei es extrem problematisch, falls kommunale Rechenzentren oder die lokalen Verwaltungen ins Visier von Hackern geraten sollten. Eine Umfrage von NCP habe zudem „erschreckende“ Ergebnisse zu Tage gefördert: Nur wenige Kommunen hätten bereits moderne Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentifizierung im Einsatz. Es mangele ihnen dafür an Personal, finanziellen Mitteln und/oder Fachkenntnissen.
BSI startet WiBA-Initiative
Um die IT-Sicherheit in den Kommunen zu verbessern, hat das BSI im Frühjahr 2023 das Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA) ins Leben gerufen. Es soll gerade kleineren Verwaltungen den Einstieg in den IT-Grundschutz erleichtern, mit dem viele bislang überfordert waren. „Wir versorgen die kleineren Kommunen mit Checklisten, Prüffragen und Hilfsmitteln, mit denen sie die dringlichsten Maßnahmen selbst identifizieren und umsetzen können“, erklärte BSI-Vizepräsident Gerhard Schabhüser.
Wie die WiBA-Initiative den Kommunen hilft und was Verwaltungen sonst noch für ihre Cybersicherheit tun sollten, erfahren Sie im weiteren Verlauf des Beitrags von NCP.