Mitteilungen - Digitalisierung

Staat, Wirtschaft und Gesellschaft stellen sich stärker als bisher auf die Bedrohungen im Cyberraum ein. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, der kürzlich vom Bundesamt für Sicherheit in der Informationstechnik, BSI, veröffentlicht wurde. Der jährlich erscheinende Bericht zeigt sowohl die aktuelle Gefahrenlage auf als auch die Aktivitäten des BSI zur Stärkung der Cyberresilienz. Die Kommunen finden vor allem als potenzielle Opfer von Ransomeware- und DDoS-Angriffen Erwähnung.

Im Berichtszeitraum von Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt – ein Anstieg von 26 Prozent im Vergleich zum Vorjahr. Der Bericht unterstreicht zudem, dass die Angriffsflächen sich auch durch die fortschreitende Digitalisierung ständig vergrößern: Die Prozesse werden komplexer, die Systeme verwundbarer und die Anzahl der Schwachstellen steigt an.

Im Hinblick auf die Angriffsarten verweist der Bericht auf eine „alarmierende“ Zahl von hochvolumigen DDoS-Angriffen. Der Anteil derartige Überlast-Angriffe lag bei monatlich durchschnittlich 13 Prozent – doppelt so hoch wie im langjährigen Durchschnitt mit 6,75 Prozent. Insbesondere kleinere Kommune sowie kleinere und mittlere Unternehmen sind von Ransomware-Angriffen bedroht, die sich massenhaft gegen diese häufig noch unzureichend geschützten Einheiten richten. Das BSI verweist hier auch noch einmal explizit auf den Angriff auf einen kommunalen IT-Dienstleister Ende Oktober 2023, von dem 72 kommunale Kunden mit rund 20.000 kommunalen Arbeitsplätzen betroffen waren. Dies ist ein besonders drastisches Beispiel für die erhebliche Schadwirkung von Ransomware-Angriffen, die oftmals zu monatelangen Ausfallzeiten bei Kommunen führen.

Die Zahl der Opfer von Datenleaks nach Ransomware-Angriffen ist weiter gestiegen. Zugleich sank im Betrachtungszeitraum aber der Anteil der Ransomware-Opfer, die Lösegeld bezahlen. Betroffene, die über funktionierende Back-ups ihrer Daten verfügen, sind nicht auf die Entschlüsselung ihrer Systeme durch die Angreifer angewiesen. Ebenfalls positiv zu verbuchen sei laut BSI, dass immer mehr betroffene Einrichtungen transparent mit Cyberangriffen umgehen und sowohl die Öffentlichkeit als auch die Kundschaft entsprechend informieren. Dies trage dazu bei, dass potenzielle Schwachstellen schneller geschlossen und Schäden von weiteren Institutionen abgewendet werden können.

Anmerkung des DStGB und des Städte- und Gemeindebundes NRW

Der Bericht kommt bei den vielfältigen Bedrohungslagen dennoch zu dem Ergebnis, dass Deutschland auf dem Weg zu einer resilienten Cybernation ein gutes Stück weit gekommen sei. Dies führt das Bundesamt insbesondere auf die breite Expertise der Mitarbeitenden bei Früherkennung und Unterstützungsleistungen zurück. Die einzelne Kommune kann dieses Ergebnis allerdings nur bedingt beruhigen. Dafür wäre neben einem Mehr an Expertise des BSI auch eine Erweiterung der Einsatzbereiche erforderlich. Auch wenn das BSI auf einen umfangreichen Bestand an Empfehlungen und Checklisten auch für die kommunale Anwendung verweisen kann, bleibt es dabei, dass der Informationsfluss, der Austausch und die Unterstützung im Krisenfall im Zusammenspiel von Bund, Ländern und Kommunen ausbaufähig ist. Von einem Bundesamt BSI als zentraler Koordinierungsstelle könnten die Kommunen – jedenfalls mittelbar – deutlich profitieren.

Bund und Länder stehen grundsätzlich und nicht zuletzt vor dem Hintergrund der zunehmenden Anzahl ebenenübergreifender Verfahren in der Verantwortung, für ein möglichst hohes Maß an Sicherheit auf der kommunalen Ebene zu sorgen. Die steigende Anzahl von Angriffen auf die IT-Infrastruktur hat auch bei kommunalen Verwaltungen gerade in letzter Zeit deutlich vor Augen geführt, welche Sicherheitsrisiken bestehen und welche Folgekosten aus Angriffen, Handlungsunfähigkeit und Widerinstandsetzung der betroffenen Systeme in Städten und Gemeinden resultieren können. Die Kommunen arbeiten im Rahmen ihrer Möglichkeiten an einer stärkeren Widerstandsfähigkeit ihrer Systeme. Das erforderliche Schutzniveau kann keine kommunale Einheit allein auf sich gestellt erreichen.

Ein gemeinsames Vorgehen der politischen Ebenen setzt klare Absprachen und einen möglichst engmaschigen und umfangreichen Informationsaustausch, transparente Notfallpläne, abrufbare Einsatzteams und Übungsszenarien für Krisenfälle voraus. Hier muss eine gesamtstaatliche Strategie im Sinne der vom BSI ausgerufenen „Cybernation“ unter strikter Einhaltung der Konnexitätsgrundsätze greifen. Ziel muss es sein, die Kommunen auf ein stabiles Maß im Hinblick auf Finanzmittel, Fachpersonal, Kapazitäten und Kooperationen zu bringen. Wichtig wäre zudem ein gemeinsames Verständnis von Mindeststandards und etwa einheitliche Meldepflichten zu kommunalen IT-Sicherheitsvorfällen in ganz Deutschland. Kooperationen und Standards, harmonisierte Meldeketten und ein dauerhaft hoher Informationsaustausch müssen das Silodenken künftig ablösen.

Weiterführende Informationen:

• Lagebericht des BSI: www.bsi.bund.de/SharedDocs
• Neuauflage der Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen: www.dstgb.de (Rubrik Themen / Digitalisierung/ Aktuelles)

Az.: 17.0.6.4.1-001/004