Cyberkriminalität: Richtig handeln – Fehler vermeiden

Obwohl Gemeinden in Österreich nicht direkt vom NIS-2 Cybersicherheitsrecht betroffen sind, sollten die darin festgelegten Maßnahmen – freiwillig – ein „Must“ für jede moderne Verwaltung sein. Cyberangriffe auf öffentliche Verwaltungen nehmen zu, oftmals mit weitreichenden Folgen, von denen auch die Bürgerinnen und Bürger betroffen sind. Die Angriffe sind professionell geplant, meist automatisiert und finden auf höchstem technischen Niveau statt. Ein falscher Klick – und schon ist es passiert.

IT-Sicherheit als fundamentale Säule

Eine sichere IT ist zentrales Element jeder Gemeindeverwaltung. Angesichts der zunehmenden Bedrohungslage ist es sinnvoll, einen ganzheitlichen Ansatz zur Abwehr von Cyberangriffen zu wählen, der technische, organisatorische und personelle Maßnahmen kombiniert. Aktuelle EDV-Sicherheitssysteme wie Firewalls, Virenschutzprogramme oder regelmäßige Software-Updates sollten selbstverständlich sein. 

Ebenso wichtig sind kontinuierliche Datensicherungen, um im Ernstfall darauf zurückgreifen zu können. Organisatorisch braucht es klare Regeln und Abläufe. Dazu zählen etwa Zugriffsrechte, IT-Sicherheitsrichtlinien oder ein Notfallplan für den Umgang mit Cybervorfällen. Regelmäßige Sicherheitsüberprüfungen helfen, Schwachstellen frühzeitig zu erkennen. Ein zentraler Faktor ist und bleibt jedoch der Mensch. Mitarbeitende müssen für Gefahren aus dem Netz sensibilisiert und geschult werden. Eine gelebte Sicherheitsstruktur trägt dazu bei, Risiken zu minimieren.

Aktive Vorsorge durch Cyber-Haftpflicht

Nicht nur Cyberangriffe stellen für Gemeindeverwaltungen ein zunehmendes Risiko dar. Auch Fehlverhalten im digitalen Raum wie eine falsche Veröffentlichung oder ein unbefugter Zugriff können zu finanziellen Schäden oder rechtlichen Konsequenzen führen. Solche Schadensfälle sind durch klassische Versicherungslösungen nicht abgedeckt, eine ergänzende Cyber-Haftpflicht schließt diese Lücke. 

Abgesehen von der Kostenübernahme stellen sie im Bedarfsfall Fachleute wie Juristen oder Krisenmanager zur Verfügung. Es lohnt sich für jede Gemeindeverwaltung, sich eingehend und individuell beraten zu lassen, um im Ernstfall abgesichert zu sein.

Die meisten Angriffe beginnen im Posteingang

IT-Sicherheit ist keine reine Aufgabe der Technik. Sie beginnt im Alltag, bei jedem einzelnen Arbeitsplatz. Gerade in Gemeinden, wo vieles pragmatisch und schnell erledigt werden muss, ist ein wachsamer Blick der beste Schutz. Mit einfachen Maßnahmen und gesundem Hausverstand lassen sich viele Angriffe bereits im Ansatz verhindern.

Weit verbreitet sind sogenannte Phishing-Angriffe. Durch gefälschte, aber trotzdem täuschend echt aussehende E-Mails oder Nachrichten werden Mitarbeitende verleitet, schädliche Anhänge zu öffnen oder Zugangsdaten preiszugeben. Besonders auffällig sind Nachrichten, die zur Eile drängen oder ungewöhnliche Handlungen fordern. Hier gilt: Im Zweifel immer nachfragen und keine vorschnellen Klicks tätigen. Achtung: Auch interne Mails können gefälscht sein!

Ein besonders häufiger Fehler ist der Umgang mit Passwörtern. Diese dürfen unter keinen Umständen weitergegeben werden, auch nicht am Telefon. Weder eine IT-Abteilung noch eine Bank oder ein EDV-Dienstleister werden jemals seriös nach einem Passwort fragen. Gleiches gilt für Anrufe, bei denen versucht wird, Druck aufzubauen oder schnell Informationen zu erhalten. Hier hilft ein einfacher Grundsatz: Im Zweifel das Gespräch beenden und selbst über eine offizielle Nummer zurückrufen. Ein weiterer wichtiger Aspekt ist der Umgang mit externen Datenträgern wie unbekannten USB-Sticks oder unerwarteten Anhängen.

Was tun, wenn doch etwas passiert?

„Ein zentraler Punkt ist der richtige Umgang mit Vorfällen. Wenn ein Computer ungewöhnlich reagiert, eine verdächtige E-Mail eingeht oder plötzlich etwas ‚nicht mehr passt‘, gilt: nicht zögern, sondern sofort melden“, erklärt Joe Pichlmayr, CEO von IKARUS Security Software. „Es ist kein Fehler, einen möglichen Vorfall zu melden, im Gegenteil. Je früher reagiert wird, desto geringer bleibt der Schaden.“ Wichtig sei dabei auch, nichts selbst „reparieren“ zu wollen. Kein Neustart, kein Herumprobieren. Die IT braucht eine unveränderte Ausgangssituation, um schnell und gezielt handeln zu können.