Es ist eine Horrorvorstellung für jede Kommune und jedes Krankenhaus: Eine Schadsoftware hat sämtliche Daten verschlüsselt - und um sie wieder lesen zu können, muss Lösegeld gezahlt werden. Zahlreiche öffentliche Einrichtungen sind schon Opfer solcher Angriffe geworden. Um sich vor Hackern zu schützen, müssen die Beschäftigten bestimmte Sicherheitsregeln kennen und einhalten.
DGB/Gleb Shabashnyi/123rf.com
Es ist Montagmorgen, und Dan Jakob muss umdisponieren. Der Einsatz bei einem Kunden muss warten, denn ein neuer Kunde hat sich mit einem Notfall gemeldet: Eine kleine süddeutsche Kommune. Was die Mitarbeiter der dortigen Kämmerei am Morgen vorfanden, war mehr als ein schlechter Wochenstart. Sämtliche Daten wurden von einem Schadprogramm verschlüsselt. Es traf die Rechner aller Arbeitsplätze im Amt und den zentralen Server.
Auf ihren Bildschirmen finden die Beschäftigten die Aufforderung, einen bestimmten Betrag in Bitcoins – einer digitalen Währungseinheit – zu zahlen. Dann bekomme man den Schlüssel, um wieder an die Daten zu gelangen. Die Schadsoftware bietet gleich noch Links an, wo Bitcoins erworben und wie sie elektronisch versendet werden können. Und viele Kommunen, Krankenhäuser und andere Einrichtungen des öffentlichen Sektors haben nach solchen Angriffen bereits beträchtliche Summen gezahlt.
„Ransomware heißt diese Art Schadsoftware, vom englischen Wort ‚ransom‘ für ‚Lösegeld‘“, erklärt Jakob, dessen Visitenkarte ihn als „Security Engineer“ ausweist: also jemanden, der sich mit der Sicherheit in der Informationstechnik auskennt. „Zu dieser Sicherheit gehört mehr als nur Technik“, so der Experte, „da gehört auch immer der Mensch dazu und die Organisation menschlicher Arbeit.“ Einem dieser Menschen in der Gemeinde ist zu verdanken, dass der Schaden überschaubar ist: Die Administratorin hat dafür gesorgt, dass die Daten vom Zentralrechner regelmäßig auf einer getrennten Festplatte gesichert wurden.
Allerdings: Nicht alle Beschäftigten haben ihre Dateien auf dem Zentralrechner abgelegt – wie es die Administratorin unzählige Male erbeten hatte. Deren Dateien sind jetzt nicht mehr lesbar. „Es bringt nichts, im Nachhinein mit dem Zeigefinger auf solche Kolleginnen und Kollegen zu zeigen“, mahnt Dr. Karsten Schneider, Abteilungsleiter beim DGB Bundesvorstand, „die Menschen müssen durch Fortbildungen verstehen, warum es wichtig ist, bestimmte Sicherheitsregeln einzuhalten.“
Dabei sensibilisieren die Bundesakademie für öffentliche Verwaltung (BAköV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit sieben Jahren die Beschäftigten des öffentlichen Dienstes. Neben einem Standardseminar und einem elektronischen Werkzeugkasten aus Konzepten, Filmen und Plakaten können sich Behörden Angebote maßschneidern lassen. „Eine ständige Aktualisierung der Materialien ist für den Erfolg unabdingbar“, erläutert Dr. Käthe Friedrich von der Lehrgruppe „ITFortbildung“ der BAköV, „ebenso wie die Anpassung jeder Maßnahme an die Sicherheitskultur der einzelnen Behörde.“
In den zurückliegenden Jahren seien in über 150 Bundesbehörden Fortbildungsmaßnahmen zur IT-Sicherheit für über 90.000 Beschäftigte durchgeführt worden. „Die BAköV leistet hier viel“, lobt auch Dr. Schneider. Aber bei 480.000 Bundesbeschäftigten sei das noch nicht genug. „Beim Staat liegen hochsensible Bürgerdaten, daher brauchen wir flächendeckende Schulungen“, fordert der Beamtengewerkschafter. Immer noch klagten viele Beschäftigte, dass Fortbildungsanträge abgelehnt würden, weil die Beschäftigten wegen zu knapper Personaldecke unabkömmlich seien. „Wir setzen uns daher für einen Rechtsanspruch auf dienstliche Qualifizierungsmaßnahmen ein“, so Dr. Schneider.
Bei Jakobs neuem Kunden hätte sich eine Investition in Qualifizierungen und IT-Sicherheit gelohnt. An einer der 82 sogenannten Roadshows, die die BAköV in den letzten Jahren auch für Beschäftigte von Ländern und Kommunen angeboten hat, hatte aus der süddeutschen Kommune leider niemand teilgenommen. Zwar ist dieses Veranstaltungsformat besonders eindrucksvoll, weil live vorgeführt wird, wie Hacker in elektronische Kommunikationsmittel eindringen. Doch mit knapp 20.000 erreichten Beschäftigten ist man von einer flächendeckenden Sensibilisierung hier noch weiter entfernt. Auch der Entwurf der Cyber-Sicherheitsstrategie der Bundesregierung verspricht hier keine deutliche Besserung.
Düster sieht es auch bei der Qualifizierung von Spezialistinnen und Spezialisten für IT-Sicherheit in der öffentlichen Verwaltung aus. Zwar öffnet die Bundeswehr den mit elf Professuren an ihrer Universität in München ausgestatteten Studiengang „Cyber-Sicherheit“ für Studierende aus anderen Ressorts der Bundesverwaltung. Zusätzliche Anstrengungen – insbesondere aus dem Geschäftsbereich des Bundesministerium des Innern – sind einem Entwurf der Cyber-Sicherheitsstrategie der Bundesregierung, der dem Beamtenmagazin vorliegt, indes nicht zu entnehmen.
"Wir lesen im Entwurf der Cyber-Sicherheitsstrategie mehr über den Fachkräftemangel und die damit begründeten Privatisierungspläne als über Maßnahmen, um den Fachkräftemangel abzuwenden“, moniert Dr. Schneider. Pläne für neue Ausbildungsmodule an der Hochschule des Bundes begrüßt der DGB, bezweifelt aber, dass die notwendigen Ressourcen und Anstrengungen ergriffen werden, um wirklich Fachwissen auf der Höhe der Zeit vermitteln zu können.
Wie sehen Abwehrstrategien auf der Höhe der Zeit aus? „Neunzig Prozent der Cyberangriffe bekommt man mit klassischen Abwehrmechanismen in den Griff, wenn sie gut gemacht sind“, so Dirk Arendt. Er arbeitet wie Jakob beim deutschen Ableger des israelischen IT-Sicherheitskonzerns „Check Point Software“ als Leiter Public Sector & Government Relations. Neben der vom heimischen Computer bekannten Firewall und dem Antivirenprogramm setzt sich auch in der Verwaltung langsam die sogenannte „Intrusion Prevention“ durch. Dabei werden IT-Systeme aktiv nach verdächtigen Mustern überwacht. Allen drei Instrumenten ist gemein: Sie nutzen das Wissen über vergangene Angriffe.
Genau dieses fehlt aber bei den restlichen zehn Prozent der Cyberangriffe. „Diese Schadprogramme können wir nur aus der Reserve locken, wenn wir simulieren, sie hätten es auf den Rechner des Opfers geschafft“, veranschaulicht Arendt. „Sandboxing“ heißt dieses Prinzip. Um ungefährliche von gefährlichen Besuchern zu unterscheiden, lässt man sie nicht in die Wohnung – man lässt sie nur in eine Simulation der Wohnung und schaut, ob sie Ungewöhnliches unternehmen. Wenn IT-Verantwortliche in der öffentlichen Verwaltung solche Methoden nicht kennen, können sie auch nichts gegen neue Bedrohungen unternehmen. Wie im Fall der betroffenen Kommune.
Große Aufgaben also für die öffentliche Verwaltung und ihre Aus- und Fortbildungseinrichtungen, damit die Daten von Staat, Bürgerinnen und Bürgern bestmöglich geschützt werden
Links:
Angebote der BAköV: Sensibilisierungsinitiative für Informationssicherheit in der Bundesverwaltung
Tipps und Empfehlungen für Jede und Jeden: BSI für Bürger