Bad Kissingen
Wie sicher sind die Daten in der Gemeinde?
Server und Computer der Gemeinden sind vor Hacker-Angriffen gesichert. Aber reichen die bestehenden Sicherungssysteme aus?
Was haben die Gemeinde Dettelbach, die Firma Leoni, die Bundestagsverwaltung und die Deutsche Telekom gemeinsam? Sie waren Angriffsziele von Hackern. Das wirft die Frage auf: Wie sicher sind der Landkreis und die Gemeindeverwaltungen bei einem Angriff auf ihre Computersysteme? Wie sicher sind die Daten, die sich über jeden einzelnen Bürger gespeichert haben?
Das Thema ist wichtig, das Thema ist aktuell und es besteht Handlungsbedarf. Drei Dinge, die Landrat Thomas Bold (CSU) dazu bewogen haben, die Sicherheit von Computer-Servern und Daten auf die Tagesordnung einer Bürgermeisterdienstbesprechung zu heben. Jürgen Bischoff, IT-Leiter am Landratsamt Bad Kissingen hatte dabei für die Bürgermeisterinnen und Bürgermeister in der Sitzung am Freitag ein klare Botschaft: "Wir müssen etwas tun".
Das soll jetzt nicht bedeuten, dass derzeit die Ämter und Gemeinden ohne Computerschutz da stehen. Das natürlich nicht. Schon heute sind viele Sicherungs- und Verschlüsselungssysteme eingebaut in den kommunalen Rechnern, aber Stillstand darf es nicht geben. Hacker schlafen nicht und täglich feilen sie an einer neuen "Waffe" (Trojaner), um aus dem Darknet die Verletzlichkeit eines potenziellen "Kunden" zu testen.
Die neuesten Trojaner, so Hans-Jürgen Bühner (Informationssicherheitsbeauftragter des Landratamtes), starten nicht sofort. Wenn sie einmal Zugang zu einem System gefunden haben, dann nisten sie sich ein. Sie werden nicht sofort aktiv, sondern bleiben zunächst in Ruhe. Wenn für das befallene System auf einem übergeordneten Server eine Sicherung gezogen wird, wird der Trojaner ebenfalls ein zweites Mal gesichert.
Wird dann der Trojaner auf dem ersten Zielsystem aktiviert, sind die Daten schlimmstenfalls nicht mehr zu gebrauchen, wie im Fall Dettelbach im Mai dieses Jahres. Versucht man anschließend über das Backup den Schaden zu beheben, wird der Betroffene feststellen, dass das auch nicht mehr geht. Solche Szenarien sind kein Blick in die Zukunft, sie sind heute Realität und ein Schreckgespenst, vor dem es keine 100-prozentige Sicherheit gibt.
Das Gesetz über die elektronische Verwaltung in Bayern vom 22. Dezember 2015 besagt, dass "die Sicherheit der informationstechnischen Systeme der Behörden ... sicherzustellen" ist. Die Behörden sollen zu diesem Zweck "angemessene und organisatorische Maßnahmen" und Informationssicherheitskonzepte" erstellen. Dieses Gesetz tritt am 1.1.2018 in Kraft und fordert die Gebietskörperschaften zum Handeln auf.
"Wir stehen vor einer massiven Zunahme und Professionalisierung der Internetkriminalität", sagte Hans-Jürgen Bühner. Es gebe schon Dienstleister für Hacking, einen zunehmenden Finanzbetrug im Internet, Identitätsdiebstahl, ja sogar einen Auftragsmord kann man im Internet bestellen. Im sogenannten "Darknet" sind die Hacker und Anbieter solcher Dienstleistungen nicht zu fassen. Die spezielle Computeradresse, die jeder normale Nutzer im Internet hinterlässt, wird im Darknet durch das ständige Springen des Nutzers von einem Server zum anderen verwischt. Die Folge: Man kann ihn nicht ausfindig machen.
Was kann man tun, um die eigenen Systeme noch besser zu sichern? Der Landkreis will dafür ein Angebot des Freistaates nutzen. Das "Informations-Sicherheitsmanagement System in 12 Schritten" (ISIS 12) bietet Hilfe und Unterstützung, Computer und Daten von Behördern sicherer zu machen. Der Landkreis möchte ISIS12 in Anspruch nehmen und könnte hierbei auch die Kommunen über eine Zweckvereinbarung ins Boot holen.
Eine solche Vereinbarung hätte mehrere Vorteile: Zum einen reduziert sich für die Kommunen der eigene Aufwand, zum anderen wird durch die Gemeinschaft ein gemeinsamer Software- und Betreuungstandard eingeführt, welcher die Sicherung und Pflege der Systeme vereinfacht. Landratsamt und Kommunen pflegen heute schon einen durchaus regen Datenaustausch (verschlüsselt), so dass man diese vorhandene Basis für die Datensicherung weiter ausbauen kann. Und noch einen Vorteil hat die Zusammenarbeit Landkreis - Gemeinden: Jede Kommune, die sich ISIS 12 anschließt, kann eine Förderung für die anfallenden Kosten beantragen. Das will man nutzen.
"Wir brauchen Fachleute", sagte Landrat Thomas Bold nach dem Fachvortrag, "ich bin da völlig überfordert", räumte er ein. Den Bürgermeisterinnen und Bürgermeistern ging es da ähnlich. Die Gemeinden Motten und Burkardroth haben jedenfalls schon Förderanträge für ISIS 12 gestellt, es erging nun in der Bürgermeisterdienstbesprechung die Aufforderung an die übrigen Rathauschefs, das ebenfalls in die Wege zu leiten.
Das Thema ist wichtig, das Thema ist aktuell und es besteht Handlungsbedarf. Drei Dinge, die Landrat Thomas Bold (CSU) dazu bewogen haben, die Sicherheit von Computer-Servern und Daten auf die Tagesordnung einer Bürgermeisterdienstbesprechung zu heben. Jürgen Bischoff, IT-Leiter am Landratsamt Bad Kissingen hatte dabei für die Bürgermeisterinnen und Bürgermeister in der Sitzung am Freitag ein klare Botschaft: "Wir müssen etwas tun".
Sicherungssysteme installiert
Das soll jetzt nicht bedeuten, dass derzeit die Ämter und Gemeinden ohne Computerschutz da stehen. Das natürlich nicht. Schon heute sind viele Sicherungs- und Verschlüsselungssysteme eingebaut in den kommunalen Rechnern, aber Stillstand darf es nicht geben. Hacker schlafen nicht und täglich feilen sie an einer neuen "Waffe" (Trojaner), um aus dem Darknet die Verletzlichkeit eines potenziellen "Kunden" zu testen.Die neuesten Trojaner, so Hans-Jürgen Bühner (Informationssicherheitsbeauftragter des Landratamtes), starten nicht sofort. Wenn sie einmal Zugang zu einem System gefunden haben, dann nisten sie sich ein. Sie werden nicht sofort aktiv, sondern bleiben zunächst in Ruhe. Wenn für das befallene System auf einem übergeordneten Server eine Sicherung gezogen wird, wird der Trojaner ebenfalls ein zweites Mal gesichert.
Wird dann der Trojaner auf dem ersten Zielsystem aktiviert, sind die Daten schlimmstenfalls nicht mehr zu gebrauchen, wie im Fall Dettelbach im Mai dieses Jahres. Versucht man anschließend über das Backup den Schaden zu beheben, wird der Betroffene feststellen, dass das auch nicht mehr geht. Solche Szenarien sind kein Blick in die Zukunft, sie sind heute Realität und ein Schreckgespenst, vor dem es keine 100-prozentige Sicherheit gibt.
Neues Gesetz ab 2018
Das Gesetz über die elektronische Verwaltung in Bayern vom 22. Dezember 2015 besagt, dass "die Sicherheit der informationstechnischen Systeme der Behörden ... sicherzustellen" ist. Die Behörden sollen zu diesem Zweck "angemessene und organisatorische Maßnahmen" und Informationssicherheitskonzepte" erstellen. Dieses Gesetz tritt am 1.1.2018 in Kraft und fordert die Gebietskörperschaften zum Handeln auf.
Hacker kommen aus dem Darknet
"Wir stehen vor einer massiven Zunahme und Professionalisierung der Internetkriminalität", sagte Hans-Jürgen Bühner. Es gebe schon Dienstleister für Hacking, einen zunehmenden Finanzbetrug im Internet, Identitätsdiebstahl, ja sogar einen Auftragsmord kann man im Internet bestellen. Im sogenannten "Darknet" sind die Hacker und Anbieter solcher Dienstleistungen nicht zu fassen. Die spezielle Computeradresse, die jeder normale Nutzer im Internet hinterlässt, wird im Darknet durch das ständige Springen des Nutzers von einem Server zum anderen verwischt. Die Folge: Man kann ihn nicht ausfindig machen.
Sicherheitsmanagement
Was kann man tun, um die eigenen Systeme noch besser zu sichern? Der Landkreis will dafür ein Angebot des Freistaates nutzen. Das "Informations-Sicherheitsmanagement System in 12 Schritten" (ISIS 12) bietet Hilfe und Unterstützung, Computer und Daten von Behördern sicherer zu machen. Der Landkreis möchte ISIS12 in Anspruch nehmen und könnte hierbei auch die Kommunen über eine Zweckvereinbarung ins Boot holen.Eine solche Vereinbarung hätte mehrere Vorteile: Zum einen reduziert sich für die Kommunen der eigene Aufwand, zum anderen wird durch die Gemeinschaft ein gemeinsamer Software- und Betreuungstandard eingeführt, welcher die Sicherung und Pflege der Systeme vereinfacht. Landratsamt und Kommunen pflegen heute schon einen durchaus regen Datenaustausch (verschlüsselt), so dass man diese vorhandene Basis für die Datensicherung weiter ausbauen kann. Und noch einen Vorteil hat die Zusammenarbeit Landkreis - Gemeinden: Jede Kommune, die sich ISIS 12 anschließt, kann eine Förderung für die anfallenden Kosten beantragen. Das will man nutzen.
Schnell Förderanträge stellen
"Wir brauchen Fachleute", sagte Landrat Thomas Bold nach dem Fachvortrag, "ich bin da völlig überfordert", räumte er ein. Den Bürgermeisterinnen und Bürgermeistern ging es da ähnlich. Die Gemeinden Motten und Burkardroth haben jedenfalls schon Förderanträge für ISIS 12 gestellt, es erging nun in der Bürgermeisterdienstbesprechung die Aufforderung an die übrigen Rathauschefs, das ebenfalls in die Wege zu leiten.Themen & Autoren / Autorinnen
