Mitteilung
IT-Sicherheit in Kommunen: der Freitag
Es ist schon 12:15. Noch ein Antrag und eine E-Mail, dann steht das wohlverdiente Wochenende vor der Tür: also schnell den Arbeitstisch leer kriegen. Dann ruft plötzlich noch jemand aus dem kommunalen Rechenzentrum an und benötigt ein paar Infos zum Netzwerk und zur Softwareversion (warum das ein Problem ist). „Nervig, aber wenn’s denn sein muss, wir wollen ja mal zum Ende kommen…“ Die E-Mail, die gerade noch reingerutscht ist und das Anklicken eines Links verlangt, wird auch noch schnell „abgehakt“. Schließlich soll zu Beginn des Wochenendes doch das Gefühl da sein, alles erledigt zu haben.
Ist der Freitag an sich schon ein Sicherheitsrisiko für die kommunale IT? Studien einer kanadischen Universität deuten darauf hin, dass das Bewusstsein für Cybersicherheit bei den Beschäftigten zum Ende der Woche hin abnimmt. Die Forschenden vermuten zunehmende Müdigkeit und abnehmende Energie als Hauptursachen.
Für Cyberkriminelle kann es sich daher lohnen, Attacken genau zu diesem Zeitpunkt zu platzieren. Speziell, wenn wie im oben genannten Beispiel eine Person ohne großes Nachdenken reagieren soll, ist es nützlich, wenn diese nicht mehr allzu wachsam ist. Oder in Eile, weil sie um 12 oder 13 Uhr fertig werden will. Für Kommunalverwaltungen, bei denen vielerorts zu diesem Zeitpunkt die Sprechzeiten und Anwesenheitspflichten enden, kann dies ein Faktor für die IT-Sicherheit sein.
Ob aber am Freitag generell eine höhere Bedrohungslage besteht, ist umstritten. So weisen Statistiken darauf hin, dass montags mehr Phishing-Mails versendet werden als an anderen Wochentagen. Dennoch kann der Zeitpunkt, wann mit Anrufen und Mails gearbeitet wird, Einfluss auf den Umgang damit haben. Dies gilt aber nicht unbedingt nur freitags.
Besonders „günstig“ für Phishing kann auch der erste Tag nach dem Urlaub sein: hat sich das Mail-Postfach zu sehr gefüllt, kann der innere Druck groß sein, schnellstmöglich wieder „auf Stand zu kommen“ und viele Nachrichten in kurzer Zeit zu bearbeiten. Dadurch steigt das Risiko, einer täuschend echt aussehenden Anfrage auf den Leim zu gehen. Aus diesem Grund ist es auch nicht ratsam, in einer automatischen Abwesenheitsnachricht nach außen anzugeben, bis wann der eigene Urlaub dauert: Angreifende erhalten so die wichtige Information, wann ihre Mail in einer Flut anderer Infos möglichst unauffällig platziert werden kann.
Einschätzung des Städte- und Gemeindebundes NRW
Die Gefahren für die kommunale IT sind allgemein und an allen Wochentagen nicht zu unterschätzen. Daher gilt generell: je stärker das Sicherheitsbewusstsein des Personals ausprägt ist, desto besser. Dazu gehört auch die Überlegung, dass kurz vor Feierabend die eigene Unachtsamkeit stärker ausgenutzt werden kann.
Für bestimmte Zeitpunkte lässt sich strukturell manches verbessern: Vorgesetzte können etwa mit ihren Teams über den Umgang mit E-Mails sprechen – dass zum Beispiel nach der Urlaubsrückkehr das persönliche Gespräch Vorrang haben kann, um das Ankommen und Informationen sammeln zu erleichtern. Dies senkt den Druck, sich tunnelblickmäßig mit dem Posteingang zu befassen.
Dass mit dem Fortschreiten der Arbeitswoche die Aufmerksamkeit sinken kann, sollten Städte und Gemeinden außerdem bei der Terminierung von IT-Sicherheitstrainings berücksichtigen: wer möchte, dass alle dem Thema mit Konzentration und Interesse folgen, um bestmöglich sensibilisiert zu werden, legt solche nicht unbedingt bis spät in den Nachmittag und vor das Wochenende oder Feiertage, sondern an den Anfang der Woche und vormittags.