Deutscher Gewerkschaftsbund

19.10.2016
Beamtenmagazin 10/2016

Daten gegen Lösegeld? Wie Kommunen sich vor Hackern schützen

"Wir brauchen flächendeckende Schulungen"

Es ist eine Horrorvorstellung für jede Kommune und jedes Krankenhaus: Eine Schadsoftware hat sämtliche Daten verschlüsselt - und um sie wieder lesen zu können, muss Lösegeld gezahlt werden. Zahlreiche öffentliche Einrichtungen sind schon Opfer solcher Angriffe geworden. Um sich vor Hackern zu schützen, müssen die Beschäftigten bestimmte Sicherheitsregeln kennen und einhalten. 

Hacker mit Kapuze

DGB/Gleb Shabashnyi/123rf.com

Notfall: Schadprogramm

Es ist Montagmorgen, und Dan Jakob muss umdisponieren. Der Einsatz bei einem Kunden muss warten, denn ein neuer Kunde hat sich mit einem Notfall gemeldet: Eine kleine süddeutsche Kommune. Was die Mitarbeiter der dortigen Kämmerei am Morgen vorfanden, war mehr als ein schlechter Wochenstart. Sämtliche Daten wurden von einem Schadprogramm verschlüsselt. Es traf die Rechner aller Arbeitsplätze im Amt und den zentralen Server.

Kommune soll Lösegeld zahlen

Auf ihren Bildschirmen finden die Beschäftigten die Aufforderung, einen bestimmten Betrag in Bitcoins – einer digitalen Währungseinheit – zu zahlen. Dann bekomme man den Schlüssel, um wieder an die Daten zu gelangen. Die Schadsoftware bietet gleich noch Links an, wo Bitcoins erworben und wie sie elektronisch versendet werden können. Und viele Kommunen, Krankenhäuser und andere Einrichtungen des öffentlichen Sektors haben nach solchen Angriffen bereits beträchtliche Summen gezahlt.

Daten auf getrennter Festplatte sichern

„Ransomware heißt diese Art Schadsoftware, vom englischen Wort ‚ransom‘ für ‚Lösegeld‘“, erklärt Jakob, dessen Visitenkarte ihn als „Security Engineer“ ausweist: also jemanden, der sich mit der Sicherheit in der Informationstechnik auskennt. „Zu dieser Sicherheit gehört mehr als nur Technik“, so der Experte, „da gehört auch immer der Mensch dazu und die Organisation menschlicher Arbeit.“ Einem dieser Menschen in der Gemeinde ist zu verdanken, dass der Schaden überschaubar ist: Die Administratorin hat dafür gesorgt, dass die Daten vom Zentralrechner regelmäßig auf einer getrennten Festplatte gesichert wurden.

Beschäftigte brauchen Fortbildungen

Allerdings: Nicht alle Beschäftigten haben ihre Dateien auf dem Zentralrechner abgelegt – wie es die Administratorin unzählige Male erbeten hatte. Deren Dateien sind jetzt nicht mehr lesbar. „Es bringt nichts, im Nachhinein mit dem Zeigefinger auf solche Kolleginnen und Kollegen zu zeigen“, mahnt Dr. Karsten Schneider, Abteilungsleiter beim DGB Bundesvorstand, „die Menschen müssen durch Fortbildungen verstehen, warum es wichtig ist, bestimmte Sicherheitsregeln einzuhalten.“

Bundesakademie mit breitem Angebot

Dabei sensibilisieren die Bundesakademie für öffentliche Verwaltung (BAköV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit sieben Jahren die Beschäftigten des öffentlichen Dienstes. Neben einem Standardseminar und einem elektronischen Werkzeugkasten aus Konzepten, Filmen und Plakaten können sich Behörden Angebote maßschneidern lassen. „Eine ständige Aktualisierung der Materialien ist für den Erfolg unabdingbar“, erläutert Dr. Käthe Friedrich von der Lehrgruppe „ITFortbildung“ der BAköV, „ebenso wie die Anpassung jeder Maßnahme an die Sicherheitskultur der einzelnen Behörde.“

DGB setzt sich für Rechtsanspruch für Qualifizierungsmaßnahmen ein

In den zurückliegenden Jahren seien in über 150 Bundesbehörden Fortbildungsmaßnahmen zur IT-Sicherheit für über 90.000 Beschäftigte durchgeführt worden. „Die BAköV leistet hier viel“, lobt auch Dr. Schneider. Aber bei 480.000 Bundesbeschäftigten sei das noch nicht genug. „Beim Staat liegen hochsensible Bürgerdaten, daher brauchen wir flächendeckende Schulungen“, fordert der Beamtengewerkschafter. Immer noch klagten viele Beschäftigte, dass Fortbildungsanträge abgelehnt würden, weil die Beschäftigten wegen zu knapper Personaldecke unabkömmlich seien. „Wir setzen uns daher für einen Rechtsanspruch auf dienstliche Qualifizierungsmaßnahmen ein“, so Dr. Schneider.

Flächendeckende Sensibilisierung in weiter Ferne

Bei Jakobs neuem Kunden hätte sich eine Investition in Qualifizierungen und IT-Sicherheit gelohnt. An einer der 82 sogenannten Roadshows, die die BAköV in den letzten Jahren auch für Beschäftigte von Ländern und Kommunen angeboten hat, hatte aus der süddeutschen Kommune leider niemand teilgenommen. Zwar ist dieses Veranstaltungsformat besonders eindrucksvoll, weil live vorgeführt wird, wie Hacker in elektronische Kommunikationsmittel eindringen. Doch mit knapp 20.000 erreichten Beschäftigten ist man von einer flächendeckenden Sensibilisierung hier noch weiter entfernt. Auch der Entwurf der Cyber-Sicherheitsstrategie der Bundesregierung verspricht hier keine deutliche Besserung.

Es mangelt an Fachkräften für IT-Sicherheit

Düster sieht es auch bei der Qualifizierung von Spezialistinnen und Spezialisten für IT-Sicherheit in der öffentlichen Verwaltung aus. Zwar öffnet die Bundeswehr den mit elf Professuren an ihrer Universität in München ausgestatteten Studiengang „Cyber-Sicherheit“ für Studierende aus anderen Ressorts der Bundesverwaltung. Zusätzliche Anstrengungen – insbesondere aus dem Geschäftsbereich des Bundesministerium des Innern – sind einem Entwurf der Cyber-Sicherheitsstrategie der Bundesregierung, der dem Beamtenmagazin vorliegt, indes nicht zu entnehmen.

Konkrete Maßnahmen fehlen

"Wir lesen im Entwurf der Cyber-Sicherheitsstrategie mehr über den Fachkräftemangel und die damit begründeten Privatisierungspläne als über Maßnahmen, um den Fachkräftemangel abzuwenden“, moniert Dr. Schneider. Pläne für neue Ausbildungsmodule an der Hochschule des Bundes begrüßt der DGB, bezweifelt aber, dass die notwendigen Ressourcen und Anstrengungen ergriffen werden, um wirklich Fachwissen auf der Höhe der Zeit vermitteln zu können.

Klassische Abwehrmechanismen

Wie sehen Abwehrstrategien auf der Höhe der Zeit aus? „Neunzig Prozent der Cyberangriffe bekommt man mit klassischen Abwehrmechanismen in den Griff, wenn sie gut gemacht sind“, so Dirk Arendt. Er arbeitet wie Jakob beim deutschen Ableger des israelischen IT-Sicherheitskonzerns „Check Point Software“ als Leiter Public Sector & Government Relations. Neben der vom heimischen Computer bekannten Firewall und dem Antivirenprogramm setzt sich auch in der Verwaltung langsam die sogenannte „Intrusion Prevention“ durch. Dabei werden IT-Systeme aktiv nach verdächtigen Mustern überwacht. Allen drei Instrumenten ist gemein: Sie nutzen das Wissen über vergangene Angriffe.

Neue Methoden gegen neue Bedrohungen

Genau dieses fehlt aber bei den restlichen zehn Prozent der Cyberangriffe. „Diese Schadprogramme können wir nur aus der Reserve locken, wenn wir simulieren, sie hätten es auf den Rechner des Opfers geschafft“, veranschaulicht Arendt. „Sandboxing“ heißt dieses Prinzip. Um ungefährliche von gefährlichen Besuchern zu unterscheiden, lässt man sie nicht in die Wohnung – man lässt sie nur in eine Simulation der Wohnung und schaut, ob sie Ungewöhnliches unternehmen. Wenn IT-Verantwortliche in der öffentlichen Verwaltung solche Methoden nicht kennen, können sie auch nichts gegen neue Bedrohungen unternehmen. Wie im Fall der betroffenen Kommune.

Große Aufgaben also für die öffentliche Verwaltung und ihre Aus- und Fortbildungseinrichtungen, damit die Daten von Staat, Bürgerinnen und Bürgern bestmöglich geschützt werden


Links:

Angebote der BAköV: Sensibilisierungsinitiative für Informationssicherheit in der Bundesverwaltung

Tipps und Empfehlungen für Jede und Jeden: BSI für Bürger


Nach oben

Dieser Artikel gehört zum Dossier:

E-Government - Ein Thema für den öffentlichen Dienst

Zum Dossier

Weitere Themen

Wohn­gip­fel der Bun­des­re­gie­rung: "Po­li­tik der Trip­pel­schrit­te"
DGB/totalpics/123rf.com
Die Bundesregierung will Wohnen wieder bezahlbar machen - doch die Maßnahmen, die dazu heute beschlossen wurden, reichen bei weitem nicht aus. Im Gegenteil: "Wer weiter eine Politik der Trippelschritte macht, braucht sich über einen schwindenden sozialen Zusammenhalt nicht zu wundern", kritisiert DGB-Vorstand Stefan Körzell.
weiterlesen …

ein­blick - DGB-In­fo­ser­vice kos­ten­los abon­nie­ren
Mehr online, neues Layout und schnellere Infos – mit einem überarbeiteten Konzept bietet der DGB-Infoservice einblick seinen Leserinnen und Lesern umfassende News aus DGB und Gewerkschaften. Hier können Sie den wöchentlichen E-Mail-Newsletter einblick abonnieren.
zur Webseite …

Bür­ger­be­we­gung Fi­nan­zwen­de: Für ein neu­es Fi­nanz­sys­tem
Bürgerbewegung Finanzwende
Vor zehn Jahren begann mit der Pleite der Bank "Lehman Brothers" eine weltweite Finanz- und Wirtschaftskrise. Der Verein "Bürgerbewegung Finanzwende" will jetzt dafür sorgen, dass endlich die notwendigen Konsequenzen gezogen werden und das internationale Finanzsystem nachhaltig, sozial und gerecht wird. Gründungsmitglied des Vereins ist der DGB.
weiterlesen …

Themenverwandte Beiträge

Artikel
Zeitenwende im öffentlichen Dienst mitgestalten
„Zeitenwende im öffentlichen Dienst - Weichen stellen für einen handlungsfähigen Staat“, unter diesem Titel hat die stellvertretende DGB-Vorsitzende Elke Hannack am Dienstag in Berlin das Schöneberger Forum eröffnet. Der öffentliche Dienst befinde sich angesichts der Digitalisierung der Arbeit mitten in einer zu gestaltenden Zeitenwende, doch in vielen weiteren Punkten bestehe Handlungsbedarf, so Hannack. weiterlesen …
Link
Arbeitsverträge: Vor allem der Staat stellt sachgrundlos befristet ein
Die Politik diskutiert über sachgrundlose Befristungen - doch einer der Haupttäter ist der Staat selbst. Innerhalb von zehn Jahren hat sich der Anteil von Befristungen ohne Grund im öffentlichen Sektor verdoppelt. "So ein Mittel zu wählen, in so einem großen Ausmaß, das ist überhaupt nicht nachvollziehbar", kritisiert DGB-Expertin Henriette Schwarz im Kölner Stadt-Anzeiger. zur Webseite …
Datei
Die Zukunft hat begonnen
Themen: Die Zukunft hat begonnen: Digitale Polizei in einer vernetzten und globalisierten Gesellschaft; Gastkommentar Dorothee Bär: Der Passierschein A 38 kommt endgültig in Ablage P; Interview mit Carmen Schweickardt über mobiles Arbeiten im Polizeidienst; Gegen alle Widerstände beschlossen: Bayerisches Polizeiaufgabengesetz; Atlas der Arbeit:. weiterlesen …

Zuletzt besuchte Seiten