Öffentliche Verwaltung und Cyber-Angriffe. Leichtes Spiel in Deutschland
Wenn auch sehr schleppend und mühsam geht es bei mehr und mehr Städten und öffentlichen Verwaltungen in Sachen Digitalisierung vorwärts. Leider sind diese oft leichtes Spiel für Hacker.
Über das Thema Digitalisierung in Deutschland wird gerne und viel geredet. Gerade während des letzten Wahlkampfes zur Bundestagswahl 2021 war die Digitalisierung ein zentrales Thema, das viel Aufmerksamkeit bekommen hat. Nur bleibt es oft nur bei leeren Worten, denn wirklich etwas umgesetzt wird selten. Und wenn sich doch mal etwas tut, dann kommen Schlagzeilen zu Ransomware Angriffen auf Behörden in die Nachrichten. Im Landkreis Anhalt-Bitterfeld gilt seit Juli 2021 der Katastrophenfall auf Grund eines Cyberangriffs und die Behörden rechnen damit, dass erst bis Ende des Jahres die Systeme wieder komplett laufen werden. Aber nicht nur Städte und Landkreise sind betroffen, auch die Plattform für die Vergabe von öffentlichen Aufträgen in ganz Bayern war kürzlich nach einem Ransomware-Angriff lahmgelegt. Dabei wurden alle ausgeschriebenen Aufträge auf Pause gesetzt und erst nach Wiederherstellung der Systeme fortgesetzt.
Was sind die Hintergründe von diesen Angriffen und warum trifft es öffentliche Stellen in letzter Zeit so häufig? Für die Cyberkriminellen ist es die wichtige Aufgabe von Behörden, die sie so interessant macht. Je größer der Druck desto eher werden hohe Lösegeldsummen gezahlt. Die USA haben in den ersten sechs Monaten in 2021 bereits $590 Millionen US Dollar an Lösegeldforderungen in Kryptowährungen zugeordnet. Zusätzlich sind persönliche Daten, die meist von öffentlichen Stellen verwaltet werden auch so viel Geld wert, auch wenn sich die betroffene Behörde nicht entschliesst Lösegeld zu zahlen. Leider gibt es zu Cyberangriffen auf öffentliche Stellen keine Meldepflicht und somit auch keine Übersicht. Auch vom BSI gibt es keine Zahlen und keine Auskunft, sondern nur, dass sich die Länder und jeweiligen Verwaltungen selbst um ihre IT Sicherheit kümmern.
Das ist ein weiterer Punkt für die Häufung der Angriffe auf Behörden. Es gibt keine Vorgaben zur IT Sicherheit, sondern wird meist auf Kommunalebene entschieden. Besonders in kleineren Gemeinden wird dabei gerne bei der Sicherheit gespart, denn wie bei allen öffentlichen Ausschreibungen entscheidet der Preis. Zudem gibt es auch kaum IT Know How, womit man die IT Sicherheit überprüfen könnte oder die Arbeit der Dienstleister nachprüfen könnte. Das BSI gibt zwar einige Checklisten heraus, aber kontrolliert wird davon in der Realität selten etwas. Daher fordern wir von unison schon seit längerem mehr Bildung in digitalen Bereichen für die gesamte Bevölkerung.
Im Bereich Nachhilfe und digitaler Bildung geht es aus unserer Sicht bei öffentlichen Institutionen sehr schleppend vorwärts, denn es werden keine Budgets dafür zur Verfügung gestellt. Auch fühlt sich niemand dafür zuständig. Man zahlt lieber horrende Summen an Lösegeld falls ein Cyberangriff vorkommt anstatt das Problem zu bekämpfen. Das sieht auch das BSI so und akzeptiert deswegen Ransomware-Angriffe auf öffentliche Verwaltungsstellen oder Kommunen, da diese nicht als kritische Infrastruktur gewertet werden. In unserem Beispiel aus Anhalt-Bitterfeld beläuft sich die Summe an angelaufenen Kosten zur Wiederherstellung aller Systeme bereits jetzt schon auf einen sechsstelligen Betrag.