Cybersicherheit in Gemeinden

Noch lässt die Umsetzung der NIS2-Richtline der EU in nationales Recht auf sich warten. Ihr grundlegendes Ziel ist, wie schon bei der ersten NIS-Richtlinie, das Schaffen eines hohen gemeinsamen Niveaus der Cybersicherheit in der EU - in einem zur heutigen Zeit passenden, modernisierten Rechtsrahmen, geltend für eine erweiterte Anzahl an Unternehmen, Institutionen und öffentlichen Einrichtungen.

Gemeinden und Gemeindeverbände an sich sind davon zwar ausdrücklich ausgenommen, dennoch könnten sie als Betreiber von kritischen Infrastrukturen wie Kläranlagen oder Abfallentsorgern trotzdem von der Regelung betroffen sein. 

Gemeinden werden immer öfter Ziel von Attacken

Doch selbst, wenn sie es nicht sind, ist es allen Gemeinden wärmstens ans Herz zu legen, ihre IT up-to-date zu halten, bzw. in vielen Fällen erstmal dahin zu bringen. 

Etliche Gemeinden wurden in jüngster Vergangenheit Opfer von Cyberkriminalität. Manchmal ganz gezielt, wie die Gemeinde Hagenbrunn, die von Internetbetrügern um 300.000 Euro erleichtert wurde, und häufig auch nur als Zufallsopfer, wie die Städte Tulln oder Korneuburg, die sich Ransomware-Attacken ausgesetzt sahen, bei denen ihre Daten verschlüsselt wurden und nur gegen Lösegeld wieder freigegeben worden wären. 

Angesichts dieser Gefahren hat KOMMUNAL mit Martin Grasel vom Cyber Crime Competence Center (C4) des Bundeskriminalamtes gesprochen. Ebenso beim Interview zu Gast war Sylvia Mayer, Vizedirektorin der Direktion Staatsschutz und Nachrichtendienst (DSN), die noch zu BVT-Zeiten den Aufbau einer Organisationseinheit zum Schutz kritischer Infrastruktur und Cybersicherheit verantwortet hat. 

Kommunal: Vorab zur Klarstellung: Wie verwenden Sie den Begriff „Cyber” und in welchem Zusammenhang? 

Sylvia Mayer: „Cyber“ bezeichnet alles, was durch Informationstechnologie vernetzt ist. Früher hat man eher Computernetzwerke darunter verstanden. Mittlerweile fallen aber sehr viele Geräte darunter: etwa Mobiltelefone oder Smart Devices, Stichwort „Internet of Things“, wie die vernetzte Waschmaschine, Kameras etc. Alles, was vernetzt ist und worauf zugegriffen werden kann, würde ich ganz generell unter "Cyber" subsummieren. 

Martin Grasel: Die generelle Unterscheidung zwischen Cybercrime und Cybersecurity ist ganz wichtig. Cybercrime bezieht sich ausschließlich auf die Delikte, die im Bereich des Internets stattfinden. Dabei gibt es Cybercrime im engeren und im weiteren Sinne. Bei Cybersecurity hingegen geht es ausschließlich um die IT-Sicherheit, also um Sicherheitsvorkehrungen, um Awareness und darum, dass Systeme und Netzwerke sicher und geschützt sind. In weiterer Folge geht es dabei natürlich auch um die Sicherheit der Daten. 

Cyberkriminalität kann Gemeinden auf verschiedene Arten betreffen - von DDoS-Attacken bis Trickbetrug. In letzter Zeit haben sogenannte Ransomware-Angriffe für mediales Aufsehen gesorgt, also Erpressungen durch Datenverschlüsselung. Wie viele Fälle gab es davon tatsächlich? Wie viele sind Ihnen bekannt und wie hoch schätzen sie die Dunkelziffer? 

Grasel: Die Zahlen laufen bei uns im Bundeskriminalamt C4 zusammen. Wir registrieren jeden einzelnen Ransomware-Vorfall, der polizeilich bekannt wird. In der Regel durch Anzeigen, aber auch durch ausländische Strafverfolgungsbehörden, oder wenn gestohlene Daten, für die man kein Lösegeld bezahlt hat, auf Leak-Pages veröffentlicht werden. In den letzten fünf Jahren hatten wir 181 angezeigte bzw. bekannt gewordene Ransomware-Fälle. 2022 war der Höchststand. Seither sind die Zahlen der angezeigten Fälle wieder leicht rückgängig. Im letzten Jahr haben wir rund 120 Fälle verzeichnet. 

Für den Rückgang gibt es mehrere Gründe. Wir gehen davon aus, dass die Unternehmen widerstandsfähiger werden, die Schäden begrenzter ausfallen, und eine Anzeige oft nicht notwendig erscheint, weil man damit umgehen kann, bzw. die Systeme wiederherstellen konnte. Die Anzeige unterscheidet sich zudem von der Meldepflicht (bei der Datenschutzbehörde über eine potenzielle Datenschutzverletzung, Anm.d.Red.). Das heißt nicht jeder Meldepflichtige zeigt auch an. Wir gehen immer von einer Dunkelziffer aus, denn wenn wir im Zuge der Ermittlungen in eine kriminelle Infrastruktur eindringen, sehen wir die von ihr betroffenen Unternehmen und können sehr gut abgleichen, dass ein paar Anzeige erstattet haben, aber einige auch nicht. 

Das sind die Zahlen für Ransom-Attacken insgesamt, richtig? Nicht nur für Gemeinden oder öffentliche Stellen.

Grasel: Das sind die Gesamtzahlen, und 90 Prozent davon betreffen Unternehmen. Früher waren im Zuge von Massen-Ransomware-Attacken auch Privatpersonen betroffen. Doch das hat sich geändert hin zu Firmen. Heute werden auch kleinere und mittlere Unternehmen angegriffen und parallel dazu trifft es immer wieder auch den öffentlichen Bereich.

Suchen Sie aktiv nach geleakten Daten? 

Grasel: Wir monitoren die Leak-Pages regelmäßig hinsichtlich der Ransomware-Gruppierungen, die in Österreich besonders auftreten. Einerseits, um einen Überblick über die Lage zu haben, und andererseits, weil wir dann auch proaktiv auf betroffene Unternehmen aus Österreich zugehen können um unsere Unterstützung anzubieten.

Innenminister Karner sagte, dass die Fallzahlen immer mehr ansteigen. Er sprach dabei von Cybercrime-Delikten insgesamt, ist das korrekt? 

Grasel: Ja, wir haben über 60.000 Cybercrime-Delikte, mit dem Höchststand letztes Jahr von ca. 65.000 Fällen. Jetzt sind die Zahlen zwar wieder leicht rückgängig, doch ist bei Cybercrime immer eine Dunkelziffer zu berücksichtigen. Der Statistik nach ist Internetbetrug das Hauptproblem und da ist die Dunkelziffer weitaus höher als in anderen Deliktsbereichen. 

Laut Minister Karner ist Cybercrime der am schnellsten wachsende Kriminalitätsbereich und macht acht bis neun Prozent aller Kriminaldelikte aus. 

Grasel: Bei über 500.000 angezeigten Fällen pro Jahr und zwischen 60.000 und 70.000 Cybercrime-Delikten, sind wir ungefähr in diesem Bereich.

Mayer: Das liegt daran, dass sich die Kriminellen nach ihren Zielen richten. Unternehmen wie auch Privatpersonen tätigen immer mehr Aktivitäten und Geschäfte im Internet. Somit wechseln auch die Kriminalen dorthin, wo sie ihre Opfer treffen können. 

Kommunal: Sind Gemeinden oder andere öffentlichen Stellen Zufallsopfer oder werden sie gezielt ausgewählt? 

Mayer: Grundsätzlich muss man nach Art der Angriffe unterscheiden. Zwischen beispielsweise Ransomware-Angriffen, DDoS-Angriffen oder auch - und das betrifft dann wieder unseren Bereich Verfassungsschutz - sogenannte APT-Angriffe (Advanced Persistent Threats), also Spionage-Angriffe gegen Einrichtungen. Nach den jeweiligen Zielen richten sich die Angriffsarten. 

In Bezug auf Ransomware und Gemeinden muss man sagen, dass sich die Ransomware-Gruppierungen schlicht die einfachsten Ziele suchen. Das sind in sehr vielen Fällen kleinere und mittlere Unternehmen, die noch nicht die notwendigen Schutzmaßnahmen eingerichtet haben. Es kann aber unter anderem auch Gemeinden treffen. Tatsächlich zielgerichtete Angriffe sehen wir bei Gemeinden nicht unmittelbar. Mit Ransomware werden einfach leicht erreichbare Ziele in der Wirtschaft und der Verwaltung angegriffen. 

Grasel: Das können wir bestätigen. Gezielte Attacken sehen wir nicht wirklich. Wenn Täter beispielsweise IT-Security-Systeme auf Schwachstellen scannen, und eine solche bei einem Scan aufpoppt, dann sieht der Täter im ersten Moment meist gar nicht, ob es sich ein Unternehmen, eine Gemeinde oder eine andere öffentliche Einrichtung handelt. Das sind meistens Zufallstreffer. 

Welche konkreten Maßnahmen empfehlen Sie den Gemeinden zur Absicherung ihrer IT-Systeme? 

Mayer: Man kann die Maßnahmen nach der Art der Angriffe strukturieren. Ein Angriff beginnt grundsätzlich mit dem Einbruch im System. Das ist Schritt eins. Schritt zwei ist meistens die Rechte-Erweiterung im System, meist die Zuordnung von Administratorenrechten. Der dritte Schritt ist dann die Ausbreitung im System, um möglichst viele Segmente davon zu treffen. Der vierte Schritt ist der Datenabfluss oder die Verschlüsselung und als Fünftes der Incident Response. Und man kann bei jedem dieser Schritte Maßnahmen treffen, die sehr umfangreich sind. 

Grundsätzlich empfehlen wir, dass sich Unternehmen, aber insbesondere natürlich auch Gemeinden, nach geltenden IT-Sicherheitsstandards richten. Es gibt internationale Standards, wie zum Beispiel den BSI-Grundschutz aus Deutschland. In nächster Zeit werden auch die Maßnahmen nach dem neuen Netz- und Informationssystemsicherheitsgesetz in Kraft treten. 

Das Wichtigste aber sind Patches und Updates. Wir sehen, dass in den meisten Fällen schon bekannte Schwachstellen von den Angreifern genutzt werden, die durch Sicherheits-Patches/-Updates längst geschlossen sein könnten. Ein gutes Patch-Management zu haben und immer am Ball zu bleiben, ist eine ganz wichtige Maßnahme. Und das zweite ist die Mitarbeiterschulung, etwa nicht jedes E-Mail zu öffnen und vorsichtig zu sein.

Grasel: Ich möchte noch ergänzen, bei den Gemeinden einen Verantwortlichen für die IT-Sicherheit zu benennen, weil es oft so ist, dass das IT-Sicherheitsthema bei niemandem konkret festgemacht ist. Das gehört aber auf die Management-Ebene gehoben. Das schon angesprochene BSI (das deutsche Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Red.) hat hervorragende Unterlagen im Bereich der Cyber-Sicherheit für KMU und Gemeinden. Wenn sich ein Verantwortlicher darum kümmert, dann ist für das Patch-Management gesorgt, für die Awareness-Schulung und für die Sicherheitsarchitektur.

Mayer: Wenn wir über Ransomware sprechen, und den damit verbundenen Datenabfluss und die Verschlüsselung, ist das Backup die wichtigste Maßnahme. Ransomware wäre nicht mehr erfolgreich, wenn alle Unternehmen und Gemeinden Backups erstellen würden, sowie Pläne dafür, wie das Backup wieder eingespielt werden kann. 

Grasel: Die Backups müssen allerdings auch funktionieren. Wir sind leider immer wieder damit konfrontiert, dass sich die Backups selbst ebenfalls im kompromittierten Bereich befinden und nicht wieder einspielbar sind. Dann schlägt die Wiederherstellung fehl und das ganze Backup hilft nichts. 

Im Zuge unserer Recherchen haben wir festgestellt, dass Betroffene nicht gerne über Cyberattacken sprechen. 

Mayer: Es ist generell ein Problem, dass Betroffene ungern über Angriffe, insbesondere erfolgreiche Angriffe berichten. Wir ersuchen immer alle Betroffenen, Vorfälle zur Anzeige zu bringen und zu melden. Das ist essenziell - einerseits zur Ausforschung der Täter, aber auch um aktuelle Angriffsmuster zu erkennen und andere entsprechend warnen zu können. Gemeinden melden das in der Regel auch. Bei Unternehmen ist es schwieriger. Wenn sie erfolgreiche Cyberangriffe melden würden und das veröffentlicht würde, wäre das ein Reputationsschaden für das Unternehmen. Darum müssen wir eine gute Vertrauensbasis schaffen und vertraulich mit diesen Informationen umgehen.

Grasel: Ich wäre sehr dafür, dass man in eine positive Fehlerkultur übergeht, weil sowieso jeder betroffen ist. Es gibt niemanden, der 100 Prozent Schutz garantieren kann. Deshalb ist es umso besser, wenn man eine Krisenkommunikation offensiv betreibt, egal über welche Kanäle, aktiv informiert und danach auch bekannt gibt, wie man das Problem gelöst hat und was die Ursachen waren. Davon profitieren alle. Und jeder weiß, dass er irgendwann betroffen sein wird - oder es eh schon war. 

Wie gut sind denn aus Ihrer Sicht die kleinen Gemeinden aufgestellt, die keine eigenen IT-Abteilungen haben? 

Grasel: In einer kleinen Gemeinde gibt es einen Bürgermeister, einen Amtsleiter und zwei, drei Gemeindesekretäre. Wenn man Glück hat, ist eine Person dabei, die das Thema proaktiv in die Hand nimmt und darauf schaut. Wenn man niemanden hat, dann kommt man wieder auf die erste Frage zurück: wer ist verantwortlich für dieses Thema? 

Man muss jemanden bestimmen und gegebenenfalls auf Schulungen schicken, oder gezielt solche Mitarbeiter suchen und einstellen. Wobei ich weiß, dass das angesichts der starren Gehaltsschemata leichter gesagt als getan ist. Die Grundzüge der IT-Sicherheit sind erlernbar. Wenn mich das interessiert und ich dafür verantwortlich bin, kann ich diese Hausaufgaben durchaus lösen. Dazu braucht es die Unterstützung des Landes oder übergeordneter öffentlicher Einrichtungen, die besser ausgestattete IT-Teams und die Kompetenz haben, die Gemeinden mit den neuen Informationen und Ressourcen zu unterstützen. 

Mayer: Man kann tatsächlich mit einfachen, recht schnell umzusetzenden Maßnahmen relativ viel erreichen. IT-Angriffe passieren auf unterschiedlichen Ebenen. Angreifer scannen häufig, welche Einrichtungen gewisse Patches nicht umgesetzt haben und können so relativ einfach Ziele treffen. 

Wenn man die Grundmaßnahmen umsetzt, ist man gegen diese Low-Level-Angriffe schon mal abgesichert. Gegen komplexe Angriffe ist es für jedes Unternehmen schwer, Maßnahmen zu setzen. Etwa wenn staatliche Akteure hinter dem Angriff stehen. Das betrifft Gemeinden jedoch nicht so häufig. Aber eine Vielzahl an Angriffen kann man durch einfache Maßnahmen tatsächlich schon verhindern.

Wäre es aus Ihrer Sicht wünschenswert, dass man die IT-Systeme der Gemeinden vereinheitlicht oder möglichst harmonisiert? Oder trifft es dann gleich 500 Gemeinden auf einmal, wenn irgendwo ein Patch fehlt? 

Mayer: Es braucht eine Gratwanderung in dem Spannungsverhältnis Zentralisierung versus Individualisierung. Die Lösung besteht darin, dass man gewisse Standards einrichtet, zum Beispiel durch das NIS-Gesetz: ein Standard für die öffentliche Verwaltung, für die Gemeinden. 

Das Anwenden des NIS-Gesetzes ist für Gemeinden nicht verpflichtend, aber man kann es dennoch auf freiwilliger Basis umsetzen. Man sollte gemeinsame IT-Sicherheitsstandard einhalten, um weiterhin die Flexibilität einzelner IT-Systeme zu gewährleisten.

Grasel: Bei Hard- und Software, wird es wegen der öffentlichen Ausschreibungen meist schwierig, aber es wäre wirklich wichtig, dass man diese gemeinsamen IT-Sicherheitsstandards etabliert.

Mayer: Die verantwortliche Person braucht einen fundierten Überblick über die IT-Landschaft, die man betreibt, auch um zu verhindern, dass eine Schatten-IT betrieben wird, über die die Standards nicht gelegt wurden. 

Es wurde mit dem 12-Punkte-Plan angekündigt, dass es in Zukunft Schulungen geben soll. Gibt es jetzt schon Initiativen oder Programme für die Sensibilisierung von kommunalen IT-Mitarbeitern? 

Grasel: Also die Unterzeichnung der Kooperationsvereinbarung mit dem Gemeindebund geht in Richtung der Awareness-Bildung. Im Rahmen der Initiative „Gemeinsam Sicher“ werden wir schwerpunktmäßig das Thema IT aufnehmen und Awareness-Kampagnen für Mitarbeiter von Gemeinden anbieten. Wir möchten sie - beispielsweise in Form von Webinaren - über Cybercrime-Phänomene und Bedrohungslagen für Gemeinden informieren. 

Die Grenze zur Cyber-Sicherheit ist dabei jedoch recht schnell erreicht. Dafür sind dann wieder andere Stellen zuständig, wenn es darum geht, die Sicherheit in den Systemen dauerhaft sicherzustellen. Das ist etwas ganz anderes als unsere Cyberkriminalitätsprävention, die über das richtige Verhalten und Bedrohungslagen aufklärt.

Mayer: Es ist wichtig den Gemeinden Informationen zur Verfügung zu stellen, nach denen sie sich richten können. Etwa die Top 14 Fragen zur Cyber-Sicherheit für KMU. Es gibt Ausbildungen für CISOs (=zentrale Informationssicherheitsbeauftragte, Anm.d.Red.), im Zuge derer sie genau die Maßnahmen erlernen, die man in kleineren Unternehmen oder Gemeinden umsetzen könnte. Es gibt sehr viel Material dazu. Wichtig ist, dass wir die Gemeinden unterstützen und aufzeigen, was es gibt. 

Grasel: Wir haben gemeinsam mit der DSN ein Folder für Sicherheitsvorfälle erstellt. Der erklärt, was die Polizei macht und warum es wichtig ist, Anzeige zu erstatten. Er sagt auch, was wir nicht machen, denn oft besteht da eine falschen Vorstellung - auch hinsichtlich Schulungen oder Wiederherstellungen von Systemen. Aber wenn man das weiß, dann ist klar, was man von wo zu erwarten hat. 

Oft ist es so, dass wir Ermittlungen schon sehr weit vorangetrieben haben und beispielsweise Tools für die Entschlüsselung bereitstellen können. Es gibt dazu eigene Plattformen, aber das vergisst man dann in der Eile. Deshalb wären Notfallpläne so wichtig. Für jedes Unternehmen, das einen wichtigen Betrieb sicherzustellen hat, ist der Ernstfall vorzubereiten. Man braucht etwa einen Notfallplan dafür, wie man den Offline-Betrieb sicherstellen kann, wen man informiert, und wen man zu Rate zieht. In vielen Fällen gibt es diese Notfallpläne leider noch nicht. 

Mayer: Die Notfallpläne, sollten die Redundanzen klären, wenn tatsächlich das System ausfällt. Habe ich z. B. Telefonnummern auch physisch ausgedruckt, um andere Personen anrufen zu können, die in der Gemeinde betroffen sind? Dazu gehört ebenso mir als Gemeinde im Vorfeld zu überlegen, welche meine kritischen Services sind, die unbedingt weiter funktionieren sollten, um diese in Folge besonders abzusichern.  

Angenommen, es hat ein Cyberangriff auf eine Gemeinde stattgefunden. Was soll die Gemeinde jetzt machen? 

Grasel: Erstens Ruhe bewahren. Dann ist immer die Frage, ob man die notwendigen Leute hat, um ein Incident Response Team aufzustellen, das diesen Angriff lokalisiert und isoliert. Ein bestehender Angriff kann sich noch ausbreiten, und die Angreifer können sich noch immer im System bewegen und weiterhin Schaden anrichten. Man muss versuchen, die Situation einzufrieren und zu lokalisieren, von wo der Angriff ausgeht. Wahrscheinlich muss man Experten beiziehen. 

Auf jeden Fall soll man das GovCERT (=Government Computer Emergency Response Team für die öffentliche Verwaltung in Österreich, Anm.d. Red.) informieren, denn da gibt es ein Rapid Response Team, das Unterstützung anbietet. 

Wir ersuchen auch, die Polizei zu informieren und Anzeige zu erstatten, denn im Bundeskriminalamt haben wir die Ransomware-Experten. Dann wird gemeinsam auf der Strafrechtsschiene und der IT-Sicherheitsschiene versucht, das Problem zu erheben und zu analysieren, um in letzter Konsequenz die forensische Datensicherung durchzuführen. Erst danach wird das System wieder hergestellt. 

Leider passiert es oft, dass die Wiederherstellung sehr schnell durchgeführt wird, und es dadurch keine Beweismittel mehr für uns gibt. Die forensischen Sicherungen sind aber notwendig, um international Abgleiche zu machen. Wenn man wirklich sicher ist, dass das System gereinigt ist und alle Angreifer ausgeschlossen wurden, sind sicherheitshalber sofort alle Benutzernamen und Passwörter zu ändern. 

Wenn Vorfälle dahingehend analysiert werden, wie die Angriffe erfolgreich sein konnten, werden die gewonnenen Erkenntnisse anderen Gemeinden zur Verfügung gestellt? Werden die Schlussfolgerungen irgendwie weiterverbreitet und wenn ja, wie? 

Grasel: Das GovCERT sammelt regelmäßig allgemein bekannte Schwachstellen und veröffentlicht diese auf der Webseite. Es analysiert alle gemeldeten Vorfälle, und stellt die Informationen und Erkenntnisse dazu bereit. Alle Fälle, die bei uns landen, werden ebenfalls analysiert. Diese geben wir u.a. im Cybercrime Report bekannt, allerdings nicht so detailliert, wie es das GovCERT tut. Das GovCERT ist exakt für diese Dinge zuständig, nämlich die Analyse und Prävention von weiteren Vorfällen. 

Mayer: Beim Schwachstellenmanagement geht es darum, möglicherweise neue Schwachstellen zu erkennen bzw. informiert zu werden, um das eigene System anzupassen. Es gibt international dazu das „Common Vulnerability Scoring System“ (CVSS), wo immer wieder neue Schwachstellen veröffentlicht werden und auch, welche Systeme sie betreffen. 

Wenn die Rolle des CISOs eingerichtet ist, sollte dieser im Blick haben, welche Schwachstellen es die einzelnen Systeme betreffend gibt, und kann somit die Systeme immer wieder aktualisieren. Darum ist einerseits die Rolle des CISOs so wichtig, und andererseits die Rolle der GovCERTs, das die Spezifika der Systeme im österreichischen Bundesverwaltungswesen und im Gemeindewesen am Schirm hat und sobald es neue Erkenntnisse gibt, die Gemeinden entsprechend informieren kann. 

Grasel: Das GovCERT hat im Februar 2025 noch einmal darauf hingewiesen, dass in der Software des bekannten IT-Sicherheitsunternehmen Fortinet seit 2024 eine Schwachstelle besteht. Genau diese Schwachstelle wurde bei den jüngst betroffenen Gemeinden ausgenutzt. Und viele andere haben diese Lücke ebenfalls nicht geschlosseen, denn das GovCERT hat festgestellt, dass in Österreich immer noch 368 verwundbare IT-Adressen sichtbar sind. 

Angriffe sind in der Regel international und Ländergrenzen für Angreifer egal. Wie sieht das bei Ihnen aus? Arbeiten Sie auch international mit anderen Institutionen im Ausland zusammen? 

Grasel: Im Bereich Ransomware funktioniert die Bekämpfung und Ermittlung ausschließlich durch internationale Kooperationen - überwiegend über Europol. Es gibt zu fast jeder Ransomware-Gruppierung eine eigene Ermittlungsstrategie. Eine zunehmende Problematik ist dabei das Angebot an „Ransomware as a Service“. 

Viele Gruppierungen steigen immer mehr auf „Ransomware as a Service“ um und produzieren eine Vielzahl an Kooperationspartnern, die dann quasi die Angriffe über das System und über die Infrastruktur durchführen, die ihnen zur Verfügung gestellt wird. Das führt wiederum dazu, dass es immer schwieriger wird, die Angriffe einer konkreten Tätergruppe zuzuordnen. Auch deren Bekämpfung geht nur mehr ausschließlich über internationale Kooperation. Wir sammeln die Fälle bundesweit hier im Bundeskriminalamt und beteiligen uns nach Ressourcen und nach Gewichtung an den jeweiligen Ermittlungsprojekten über Europol. 

 Welche Entwicklungen gibt es durch den Einsatz von KI? Sind exponentiell ansteigende Gefahren zu befürchten? 

Mayer: Einfacher Code für Schadsoftware kann durch die KI selbst erstellt werden. Dafür wird sie auch jetzt schon genutzt. Wir sehen täglich 200.000 bis 300.000 neue Schadsoftware-Arten weltweit, unter anderem auch, weil KI neue Schadsoftware herstellt. 

Beim Programmieren von Code sehen wir KI jetzt schon im Einsatz und ebenso ist es in Zukunft natürlich eine größere Gefahr, dass Spear-Phishing, also tatsächlich die Phishing-Mails, die zum Beispiel an Bedienstete von Gemeinden geschickt werden, nicht mehr so allgemein wie jetzt formuliert sind, bei denen wir oft relativ schnell bemerken, dass es wohl Phishing-Mails sind, durch die meine Zugangsdaten oder ähnliches abgegriffen werden sollen. 

Spear-Phishing heißt, dass ich konkret auf eine bestimmte Person abziele und somit die Echtheit des Mails besser vortäuschen kann. Mittels KI kann das viel gezielter erfolgen, weil die KI Hobbys und Interessen von einzelnen Mitarbeitern herausfinden kann, oder mehr Informationen zum Unternehmen oder zur Gemeinde selbst und sie somit diese E-Mails, mit denen Schadsoftware verbreitet wird, viel gezielter einsetzen kann. 

Wir erwarten, dass in Zukunft, auch Ransomware-Angriffe automatisierter erfolgen werden. Das Abscannen von Schwachstellen in Systemen kann zielgerichteter erfolgen, indem KI automatisiert neue Schwachstellen findet und dann abscannt, welche Unternehmen diese Schwachstelle offen haben. Diese Automatisierung wird zunehmen.

Man wird sehen, wer den größeren Vorteil haben wird: der Defender, der KI nutzt, oder der Offender, der KI nutzt. Denn als Defender, also als IT-Sicherheit in einem Unternehmen oder in einer Gemeinde kann man KI natürlich genauso einsetzen - etwa um Unregelmäßigkeiten im System automatisiert festzustellen, oder um Sicherheitslücken automatisiert schließen zu können. Man muss abwarten, wer diesen Wettkampf gewinnen wird. Wenn der Angreifer KI nutzt, wird man auf Defender-Seite ebenso KI nutzen müssen, um die Systeme sicher zu halten. 

Sind irgendwelche verpflichtenden Vorgaben für die IT-Sicherheit in Gemeinden vorgesehen? Gibt es Mindeststandards, die empfohlen, vorgeschrieben oder angehoben werden? 

Mayer: Die wichtige Maßnahme, die jetzt gesetzt wird, ist die Novellierung des Netz- und Informationssystemsicherheitsgesetzes anlässlich der NIS-2-Richtlinie der EU. NIS-1 gibt es ja schon. Da war die öffentliche Verwaltung nur freiwillig dabei. Mit NIS-2 ist die öffentliche Verwaltung jetzt auf Bundes- und Landesebene ebenso integriert. Gemeinden hingegen sind auch im jetzigen Entwurf nicht verpflichtend im Anwendungsbereich. 

Meiner Ansicht nach wären die Gemeinden allerdings gut beraten, die Maßnahmen dennoch freiwillig umsetzen. Vielleicht nicht in der umfassenden Form, wie es für die Betreiber wesentlicher Dienste nach NIS-2 vorgesehen ist, aber hinsichtlich der Grundmaßnahmen sehr wohl. 

Vielen Dank für das Gespräch. Wenn Sie eine abschließende Botschaft an die Gemeindeverantwortlichen hätten, welche wäre das?

Mayer: Auch wenn ich glaube, dass es mittlerweile vielerorts ohnehin stattfindet, appelliere ich, das Thema IT-Sicherheit ernst zu nehmen und sich aktiv damit zu beschäftigen, welche Maßnahmen in der Gemeinde umgesetzt werden können.

Grasel: Genau, IT-Sicherheit muss auf die Gemeindemanagement-Agenda. Eine konkrete Person muss für sie verantwortlich sein! Das ist wichtig.