IT-Chef Christopher Kremlicka fuhr sofort auf die Gemeinde, nahm alles vom Strom und verhinderte somit noch Schlimmeres.
Cybersecurity
Wie Gemeinden Hackerangriffe abwehren können
Anfang Februar dieses Jahres wurde über Nacht die IT-Infrastruktur der niederösterreichischen Stadtgemeinde Korneuburg von einer kriminellen Hackergruppe mit einer sogenannten Ransomware angegriffen, wobei sämtliche Daten verschlüsselt werden sollten. „Ransom“ bedeutet auf Deutsch Lösegeld, und genau darum ging es den Hackern: Um die Daten wieder zu entschlüsseln, sollte die Gemeinde ihnen einen Millionenbetrag zahlen.
Doch Korneuburg hatte relatives Glück im Unglück, denn zum einen hat Christopher Kremlicka, der IT-Chef der Stadtgemeinde, schnell reagiert und im wahrsten Sinne des Wortes den Stecker gezogen, und zum anderen hat die Gemeinde regelmäßig externe Daten-Backups auf Band angefertigt, auf die sie nun zurückgreifen konnte.
Stadt war vorbereitet
Die Stadt war schon ziemlich gut aufgestellt, erwischt hat es sie trotzdem. Zwar hat sie das Lösegeld an die russische Hackergruppe „Lockbit“ nicht bezahlt, gekostet hat es sie dennoch einiges, denn der Aufwand, um die Systeme wieder einsatzbereit zu machen, war hoch. Dank des externen Backups fehlten letztendlich „nur“ die Daten der letzten fünf Werktage, die E-Mails der vergangenen zehn Tage sowie die Daten für den Jahresabschluss.
Große Schäden in Deutschland
Korneuburg ist leider bei weitem kein Einzelfall. Mediales Aufsehen erregte bereits im September 2022 ein ganz ähnlicher Angriff auf die IT der steirischen Bezirkshauptstadt Feldbach. Ein Blick über die Grenzen nach Deutschland verdeutlicht, welche Kreise derartige Angriffe ziehen können.
Am 30. Oktober 2023 gab es dort eine Ransomware-Attacke auf den kommunalen IT-Dienstleister „Südwestfalen-IT“. Als Folge davon fiel in 72 Mitgliedskommunen die gesamte IT aus. Es ging praktisch nichts mehr. In Summe waren es sogar 11 Kreisverwaltungen, 105 Gemeinden und 26 Unternehmen, Verbände und andere Organisationen, die von dem Hackerangriff ganz oder teilweise betroffen waren.
Nicht einmal einen Monat später griff die Hackergruppe „Akira“den Zweckverband gemeindliche Datenverwaltung von zwölf schwäbischen Gemeinden an. Auch hier handelte es sich um erpresserische Verschlüsselung.
Programmierkenntnisse sind kaum noch nötig
Die Bedrohung durch Cyberattacken ist real und nimmt zu. Zur Einordnung: Wäre Cybercrime eine eigene Volkswirtschaft, so wäre sie mit acht Billionen Dollar nach den USA und China die drittgrößte der Welt.
Im Darknet ist es ein Kinderspiel, an die nötigen Tools zu kommen, Programmierkenntnisse sind für eine Ransomware-Attacke kaum noch nötig und wer ganz bequem ist, ordert „Cyberangriffe as a service“ und lässt kriminelle Dienstleister für sich erpressen.
Wie kann man als Gemeinde seine IT vor krimineller Energie dieser Größenordnung schützen?
Indem man ständig wachsam bleibt und seine Infrastruktur up-to-date hält. Dabei sind Maßnahmen in technischer, organisatorischer und physischer Hinsicht nötig, die im Folgenden in Form einer Checklist aufgezählt sind.
Technische Maßnahmen
Firewall und aktuelle Antivirus-Software
Implementierung und regelmäßige Aktualisierung von Firewalls und Antivirus-Software, um Eindringversuche und Malware abzuwehren.
Intrusion Detection und Prevention Systeme (IDS/IPS)
Verwendung von IDS/IPS, um verdächtige Aktivitäten zu erkennen und zu blockieren.
Verschlüsselung
Einsatz von Verschlüsselungstechnologien für Daten sowohl im Transit als auch im Ruhezustand, um unbefugten Zugriff zu verhindern.
Netzwerksegmentierung
Segmentierung des Netzwerks in kleinere, voneinander getrennte Abschnitte, um die Ausbreitung eines Angriffs zu erschweren.
Regelmäßige Software-Updates und Patch-Management
Sicherstellen, dass alle Software und Systeme regelmäßig aktualisiert und mit den neuesten Sicherheitspatches versehen werden.
Sicherheitsüberprüfungen und Penetrationstests
Regelmäßige Durchführung von Sicherheitsüberprüfungen und Penetrationstests, um Schwachstellen zu identifizieren und zu beheben.
Organisatorische Maßnahmen
Schulung und Sensibilisierung
Regelmäßige Schulungen und Sensibilisierungskampagnen für Mitarbeiter, um das Bewusstsein für Sicherheitsrisiken und Best Practices zu erhöhen.
Sicherheitsrichtlinien und -verfahren
Entwicklung und Durchsetzung klarer Sicherheitsrichtlinien und -verfahren, die alle Mitarbeiter einhalten müssen.
Zugangskontrollen
Implementierung strenger Zugangskontrollmaßnahmen, einschließlich der Verwendung starker Passwörter und Zwei-Faktor-Authentifizierung
(2FA).
Reaktionsplan für Sicherheitsvorfälle
Entwicklung eines klaren und effektiven Reaktionsplans für Sicherheitsvorfälle, um im Falle eines Angriffs schnell und koordiniert reagieren zu können.
Physische Maßnahmen
Sichere Aufbewahrung von Hardware
Sicherstellung, dass alle Server und kritische Hardware in gesicherten Räumen mit Zugangskontrollen aufbewahrt werden.
Videoüberwachung und Alarmsysteme
Einsatz von Videoüberwachung und Alarmsystemen, um unbefugten physischen Zugriff zu verhindern und zu überwachen.
Ergänzend dazu sind die Zusammenarbeit und der Informationsaustausch mit Behörden, Organisationen und anderen Gemeinden über Bedrohungen und Sicherheitsvorfälle höchst ratsam. Hundertprozentige Sicherheit wird es nie geben, aber man kann vieles tun, um das Risiko und den Schaden im Fall des Falles möglichst gering zu halten.