Serie Cyber-Sicherheit:
Ein falscher Klick reicht


[6.10.2022] Cyber-Sicherheit ist kein Expertenthema, sondern geht alle an. In einer sechsteiligen Serie in Zusammenarbeit mit dem Hessen CyberCompetenceCenter wird Grundwissen vermittelt und praxisnah aufgezeigt, wie sich Kommunen schützen können.

 Cyber-Kriminelle sind eine Bedrohung für Kommunen. Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt, die Stadt Stralsund in Mecklenburg-Vorpommern und die Gemeinde Kammeltal in Bayern – drei Orte in Deutschland, die in Größe, Einwohnerzahl und Bekanntheitsgrad unterschiedlicher nicht sein könnten. Doch alle drei Kommunen haben eines gemeinsam: Sie wurden im vergangenen Jahr Opfer einer Ransomware-Attacke. Plötzlich konnten essenzielle Verwaltungsdienstleistungen nicht mehr erbracht werden. Zu den betroffenen Verwaltungsdienstleistungen zählten beispielsweise die Auszahlung von Sozialleistungen, das Beantragen von Ausweisen und Pässen ebenso wie die Anmeldung von Kraftfahrzeugen.
Cyber-Angriffe auf Ämter und Behörden sind längst Alltag geworden. Dennoch scheinen viele Kommunen das Thema nur zögerlich anzugehen. Die Herausforderung, vor die insbesondere kleine und mittlere Kommunen gestellt werden, ist groß: Technik, die immer wieder erneuert werden muss, Fachkräfte, die überall händeringend gesucht werden und gewachsene IT-Systeme, bei denen der Sicherheitsaspekt nicht immer mitgedacht wurde. Für Laien wirken die meist englischen Fachbegriffe und der technische Jargon zusätzlich abschreckend. Doch Cyber- und IT-Sicherheit ist kein Thema, das nur Fachkräfte etwas angeht. Alle Nutzerinnen und Nutzer von Endgeräten müssen sich mit dem Thema auseinandersetzen – denn ein falscher Klick reicht.

Lukratives Betätigungsfeld für Kriminelle

Um die angespannte Cyber-Bedrohungslage zu verstehen, muss man sich vom Bild des Hackers als einsamem Computer-Genie im Kapuzenpullover verabschieden. Lösegeldzahlungen und die Wahrscheinlichkeit, nicht gefasst zu werden, haben ein lukratives Betätigungsfeld für Kriminelle geschaffen. Erfolgreiche Cyber-Kriminelle benötigen heute keine besonderen IT-Kenntnisse mehr. Stattdessen können sie einzelne Dienstleistungen im Darknet einkaufen oder beauftragen. Angriffe setzen oft auf Quantität und Streuwirkung: Masse statt Klasse. Daneben gibt es auch hoch spezialisierte Angreifer, die von langer Hand planen und den Angriff individuell an das Ziel anpassen.
Mit fortschreitender Digitalisierung erhöht sich auch die Geschwindigkeit des digitalen Datenverkehrs und für Cyber-Kriminelle damit die Möglichkeit, an attraktive Daten zu gelangen. Wichtige Prozesse wie beispielsweise die Fernwartung von Systemen bieten neue Angriffsmöglichkeiten. Zahlreiche Menschen geben in sozialen Netzwerken wie LinkedIn, Facebook oder Instagram Informationen über sich preis. Diese können Cyber-Kriminelle nutzen, um die betreffende Person zu manipulieren, zu erpressen oder um sie zu unüberlegten Handlungen zu bringen. Während die meisten Standardarbeitsplätze mit grundlegenden Sicherheitsmaßnahmen wie zum Beispiel einem Viren-Scanner abgesichert werden, bleiben andere Systeme ungeschützt. Hierzu gehören (Dienst-) Handys und Tablets ebenso wie Router, Industrieanlagen, Smart-TV und die Heizung, die sich aus der Ferne steuern lässt.

Mit Hessen3C Cyber-Gefahren abwehren

In Erkenntnis dieser wachsenden Bedrohungslage hat das Hessische Ministerium des Innern und für Sport im April 2019 das Hessen CyberCompetenceCenter (Hessen3C) eingerichtet. Dessen Aufgabe ist es, die Sicherheit in der Informationstechnik des Landes zu erhöhen, cyberspezifische Gefahren abzuwehren sowie die Effizienz der Bekämpfung der Cyber-Kriminalität zu steigern. Hessen3C arbeitet hierzu eng mit der hessischen Polizei, dem Landesamt für Verfassungsschutz Hessen und dem Hessischen Landeskriminalamt zusammen. Hessen3C ist die gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) benannte zentrale Kontaktstelle für die Entgegennahme landesbezogener KRITIS-Meldungen und vertritt das Land Hessen im Nationalen Cyber-Abwehrzentrum.
Unter Wahrung des Selbstverwaltungsprinzips können hessische Kommunen und ihre Eigenbetriebe – auf freiwilliger Basis und ohne Kostenbeteiligung – Leistungen des Hessen3C nutzen. Zu diesen Leistungen gehören Beratungs- und Awareness-Veranstaltungen für Mitarbeiterinnen und Mitarbeiter, ein werktäglicher Schwachstellenbericht mit verifizierten Informationen zu aktuellen Schwachstellen in Hard- und Software sowie Warnungen bei akuten Cyber-Bedrohungen. Hessen3C warnt teilnehmende Kommunen zudem vor durch Diebstahl oder Datenlecks kompromittierten dienstlichen E-Mail-Adressen. Bei IT-Sicherheitsvorfällen erreichen Betroffene über die rund um die Uhr an sieben Tagen die Woche besetzte Notfall-Hotline das im Hessen3C integrierte CERT-Hessen, das bei IT-Sicherheitsvorfällen zum Krisen-Management berät, gemeinsam mit den Verantwortlichen (bei Bedarf auch durch ein mobiles Team vor Ort) die Angriffswege analysiert und zu gesetzlichen Meldepflichten sowie der Erstattung von Strafanzeige informiert.

Übungen bereiten auf den Ernstfall vor

Gemeinsam mit ekom21, dem BSI-zertifizierten kommunalen IT-Dienstleister in Hessen, hat das Land Hessen das Kommunale Dienstleistungszentrum Cyber-Sicherheit (KDLZ-CS) sowie das Hessische Cyber-Abwehrausbildungszentrum Land/Kommunen (HECAAZ L/K) entwickelt. Die beiden sich ergänzenden Angebote orientieren sich an den Standards des BSI. Das KDLZ-CS steht seit 2016 zur Verfügung. Basierend auf einer Ist-Analyse zur Cyber-Sicherheit der teilnehmenden Kommune wird ein konkreter Maßnahmenplan zur Stärkung der Widerstandsfähigkeit gegen Cyber-Angriffe entwickelt. Bis zum 31. Juli 2022 haben 330 der insgesamt 443 hessischen Kommunen am Programm KDLZ-CS teilgenommen. 60 Gemeinden und fünf Landkreise haben inzwischen fortgeschrittene Maßnahmen durchgeführt.
Das HECAAZ L/K bereitet Bedienstete aus den Bereichen Verwaltungsleitung, Organisation und IT-Betrieb in realistischen Übungsszenarien auf den Ernstfall vor: einen Cyber-Angriff auf die Kommune. In den Schulungsveranstaltungen lernen die kommunalen Entscheider Maßnahmen des Business Continuity Managements (BCM) kennen. Anhand praktischer Übungen werden Notfallpläne und Strategien entwickelt. So sollen die Kommunen auch nach einem Cyber-Angriff schnell wieder arbeitsfähig sein.
Kommunale Cyber-Sicherheit und Resilienz betrifft alle. Die Bürgerinnen und Bürger sind darauf angewiesen, dass die über 10.000 deutschen Kommunen den wachsenden Bedrohungen aus dem Cyber-Raum gewachsen sind und ihre Widerstandskraft gegen Angreifer stärken.

Hessen CyberCompetenceCenter ­(Hessen3C).

Serie Cyber-Sicherheit,
Teil 1: Bedeutung des Themas und Vorstellung von Hessen3C Teil 2: Die wichtigsten Tipps zur Erhöhung der Informationssicherheit Teil 3: Cyber-Kriminelle und ihre Methoden Teil 4: Gefahren im Homeoffice und durch mobiles Arbeiten Teil 5: Resilienz erhöhen – Wie kann man sich auf den Ernstfall vorbereiten? Teil 6: Interne und externe Kommunikation in der Krise

https://cybersicherheitsgipfel.de
Das Hessen CyberCompetenceCenter ­(Hessen3C) (Deep Link)
Dieser Beitrag ist in der Ausgabe Oktober 2022 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.  (Deep Link)

Stichwörter: IT-Sicherheit, Hessen CyberCompetenceCenter

Bildquelle: Who is Danny/stock.adobe.com

Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Innenministerkonferenz: Cyber-Abwehr und KRITIS stärken
[7.12.2022] Der Vorschlag, das Bundesamt für Sicherheit in der Informationstechnik zu einer übergeordneten Zentralstelle auszubauen und so die Cyber-Abwehr zu stärken, war eines der Themen auf der 218. Innenministerkonferenz. 
 mehr...
Die Innenministerkonferenz diskutierte unter anderem darüber, wie die Cyber-Abwehr schlagkräftiger gestaltet werden kann.
Hessen/BSI: Vertiefte Zusammenarbeit
[7.12.2022] Eine vertiefte Zusammenarbeit haben das Land Hessen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vereinbart. Insgesamt wurden sieben Kooperationsfelder identifiziert. mehr...
Hessen und BSI vertiefen ihre Zusammenarbeit im Bereich Cyber-Sicherheit.
Bayern: LSI feiert Fünfjähriges
[6.12.2022] Als erstes Bundesland hatte Bayern im Jahr 2017 eine eigenständige IT-Sicherheitsbehörde gegründet. In den fünf Jahren seines Bestehens hat das Landesamt für Sicherheit in der Informationstechnik bereits zahlreiche Meilensteine gesetzt. mehr...
Bayern: Festakt zum fünften Geburtstag des Landesamts für Sicherheit in der Informationstechnik.
Bayern: Wichtige Schritte gegen Cybercrime
[14.11.2022] Die Cyberabwehr Bayern, in der die bayerischen Behörden mit Cyber-Sicherheitsaufgaben zusammenarbeiten, hat neue Räume bezogen. Zudem erschien der erste bayernweite Bericht zur Cyber-Sicherheit, der belegt, dass sich Cyber-Angreifer immer weiter professionalisieren. mehr...
Die Cyberabwehr Bayern hat neue Räume bezogen, um ihren Informations- und Koordinierungsaufgaben noch besser nachkommen zu können.
ProLion: Datensicherungslösung bewährt sich
[11.11.2022] Nicht nur Cyber-Angriffe bedrohen die Datensicherheit in Rechenzentren. Dies zeigt ein Stromausfall im Rechenzentrum der Universität Bonn. Die Lösung ClusterLion trug erfolgreich dazu bei, Ausfallzeiten und Datenverluste beim erneuten Starten des Systems zu verhindern. mehr...
Suchen...
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GROUP
04425 Taucha bei Leipzig
procilon GROUP
Aktuelle Meldungen