Hackerangriff auf das Rathaus von Korneuburg
In der Nacht von 5. auf 6. Februar 2024 griff die russische Hackergruppe „Lockbit“ die IT-Infrastruktur der Stadtgemeinde Korneuburg an.
IT-Chef Christopher Kremlicka fuhr sofort auf die Gemeinde, nahm alles vom Strom und verhinderte somit noch Schlimmeres.
© Composit C.Stadler/Bwag CC BY-SA 3.0 at//stock.adobe.com/santoella

Cybersecurity

Wie Gemeinden Hackerangriffe abwehren können

Der jüngste Hackerangriff auf die IT-Infrastruktur der Stadtgemeinde Korneuburg hat gezeigt, dass der Schaden relativ in Grenzen gehalten werden kann, sofern die Verantwortlichen kontinuierlich gewissenhaft vorbeugen.

Anfang Februar dieses Jahres wurde über Nacht die IT-Infrastruktur der niederösterreichischen Stadtgemeinde Korneuburg von einer kriminellen Hackergruppe mit einer sogenannten Ransomware angegriffen, wobei sämtliche Daten verschlüsselt werden sollten. „Ransom“ bedeutet auf Deutsch Lösegeld, und genau darum ging es den Hackern: Um die Daten wieder zu entschlüsseln, sollte die Gemeinde ihnen einen Millionenbetrag zahlen.

Doch Korneuburg hatte relatives Glück im ­Unglück, denn zum einen hat Christopher Kremlicka, der IT-Chef der Stadtgemeinde, schnell reagiert und im wahrsten Sinne des Wortes den Stecker gezogen, und zum anderen hat die Gemeinde regelmäßig externe Daten-Backups auf Band angefertigt, auf die sie nun zurückgreifen konnte. 

Stadt war vorbereitet

Christian Gepp
„Wir sind nur froh, dass wir eine externe Daten-Sicherung hatten, die auf Band gespeichert wird. So konnten wir noch größeren Schaden abwenden.“ Christian Gepp, Bürgermeister von Korneuburg, über den Hackerangriff mit Ransomware

Die Stadt war schon ziemlich gut aufgestellt, erwischt hat es sie trotzdem. Zwar hat sie das Lösegeld an die russische Hackergruppe „Lockbit“ nicht bezahlt, gekostet hat es sie dennoch einiges, denn der Aufwand, um die Systeme wieder einsatzbereit zu machen, war hoch. Dank des externen Backups fehlten letztendlich „nur“ die  Daten der letzten fünf Werktage, die E-Mails der vergangenen zehn Tage sowie die Daten für den Jahresabschluss. 

Große Schäden in Deutschland

Korneuburg ist leider bei weitem kein Einzelfall. Mediales Aufsehen erregte bereits im September 2022 ein ganz ähnlicher Angriff auf die IT der steirischen Bezirkshauptstadt Feldbach. Ein Blick über die Grenzen nach Deutschland verdeutlicht, welche Kreise derartige Angriffe ziehen können. 

Am 30. Oktober 2023 gab es dort eine Ransomware-Attacke auf den kommunalen IT-Dienstleister „Südwestfalen-IT“. Als Folge davon fiel in 72 Mitgliedskommunen die gesamte IT aus. Es ging praktisch nichts mehr. In Summe waren es sogar 11 Kreisverwaltungen, 105 Gemeinden und 26 Unternehmen, Verbände und andere Organisationen, die von dem Hackerangriff ganz oder teilweise betroffen waren. 

Nicht einmal einen Monat später griff die Hackergruppe „Akira“den Zweckverband gemeindliche Datenverwaltung von zwölf schwäbischen Gemeinden an. Auch hier handelte es sich um  erpresserische Verschlüsselung. 

Programmierkenntnisse sind kaum noch nötig

Die Bedrohung durch Cyberattacken ist real und nimmt zu. Zur Einordnung: Wäre Cybercrime eine eigene Volkswirtschaft, so wäre sie mit acht Billionen Dollar nach den USA und China die drittgrößte der Welt. 

Im Darknet ist es ein Kinderspiel, an die nötigen Tools zu kommen, Programmierkenntnisse sind für eine Ransomware-Attacke kaum noch nötig und wer ganz bequem  ist, ordert „Cyberangriffe as a service“ und lässt kriminelle Dienstleister für sich erpressen. 

Wie kann man als Gemeinde seine IT vor krimineller Energie dieser Größenordnung schützen? 

Indem man ständig wachsam bleibt und seine Infrastruktur up-to-date hält. Dabei sind Maßnahmen in technischer, organisatorischer und physischer Hinsicht nötig, die im Folgenden in Form einer Checklist aufgezählt sind.

Technische Maßnahmen 

Firewall und aktuelle Antivirus-Software

Implementierung und regelmäßige Aktualisierung von Firewalls und Antivirus-Software, um Eindringversuche und Malware abzuwehren.

Intrusion Detection und Prevention Systeme (IDS/IPS)

Verwendung von IDS/IPS, um verdächtige Aktivitäten zu erkennen und zu blockieren.

Verschlüsselung

Einsatz von Verschlüsselungstechnologien für Daten sowohl im Transit als auch im Ruhezustand, um unbefugten Zugriff zu verhindern.

Netzwerksegmentierung

Segmentierung des Netzwerks in kleinere, voneinander getrennte Abschnitte, um die Ausbreitung eines Angriffs zu erschweren.

Regelmäßige Software-Updates und Patch-Management

Sicherstellen, dass alle Software und Systeme regelmäßig aktualisiert und mit den neuesten Sicherheits­patches versehen werden.

Sicherheitsüberprüfungen und Penetrationstests

Regelmäßige Durchführung von Sicherheitsüberprüfungen und Penetrationstests, um Schwachstellen zu identifizieren und zu beheben.

Organisatorische Maßnahmen 

Schulung und Sensibilisierung

Regelmäßige Schulungen und Sensibilisierungs­kampagnen für Mitarbeiter, um das Bewusstsein für Sicherheitsrisiken und Best Practices zu erhöhen.

Sicherheitsrichtlinien und -verfahren 

Entwicklung und Durchsetzung klarer Sicherheits­richtlinien und -verfahren, die alle Mitarbeiter ein­halten müssen.

Zugangskontrollen

Implementierung strenger Zugangskontrollmaßnahmen, einschließlich der Verwendung starker Passwörter und Zwei-Faktor-Authentifizierung 
(2FA).

Reaktionsplan für Sicherheitsvorfälle 

Entwicklung eines klaren und effektiven Reaktionsplans für Sicherheitsvorfälle, um im Falle eines Angriffs schnell und koordiniert reagieren zu können.

Physische Maßnahmen 

Sichere Aufbewahrung von Hardware 

Sicherstellung, dass alle Server und kritische Hardware in gesicherten Räumen mit Zugangskontrollen aufbewahrt werden.

Videoüberwachung und Alarmsysteme

Einsatz von Videoüberwachung und Alarmsystemen, um unbefugten physischen Zugriff zu verhindern und zu überwachen.

Ergänzend dazu sind die Zusammenarbeit und der Informationsaustausch mit Behörden, Organisationen und anderen Gemeinden über Bedrohungen und Sicherheitsvorfälle höchst ratsam. Hundertprozentige Sicherheit wird es nie geben, aber man kann vieles tun, um das Risiko und den Schaden im Fall des Falles möglichst gering zu halten.