Städte wollen sich als Smart-City präsentieren, jede kleine Gemeinde beschäftigt sich mit der Digitalisierung. Mehr Service für die Bürger und Beteiligung über Open-Government-Instrumente sind gute Sachen, aber die Abhängigkeit von Datenbanken und Internet wächst und birgt Gefahren. „Jede Kommune wird irgendwann Opfer eines Cyberangriffs. Die Frage ist nur wann“, sagt Moritz Huber. Der Lehrbeauftragte an der Ludwigsburger Hochschule für Verwaltung und Finanzen erhielt zusammen mit Regina Holzheuer, ebenfalls Lehrbeauftragte, und einigen Studenten den ersten Preis beim Wettbewerb „Leuchttürme des digitalen Wandels“, den der Staatsanzeiger ausgeschrieben hatte. Der Name des prämierten Projekts: „#Zukunftskommune - Notfallmanagement bei Cyberangriffen“.
Mit einem aktuellen Viren-Scanner und einer Firewall sei es heute nicht mehr getan, sagen die beiden Fachleute. Die Rathausspitze müsse organisatorisch und personell so vorbereitet sein, dass ein Cyberangriff bestmöglich bewältigt werden könne. Jede Verwaltung müsse sich mit einem Informationssicherheit-Management für diesen Fall wappnen, sagt Holzheuer, die bis April 2018 im Esslinger Landratsamt für Informationssicherheit zuständig war. Heute ist sie CISO (Chief Information Security Officer) des Stuttgarter Ministeriums für Ländlichen Raum und Verbraucherschutz.
Mails täuschen den Nutzer
In jeder Firma und jeder Verwaltung ist die IT-Architektur im Laufe der Jahre gewachsen. Das System ist nicht geschlossen - Homeoffice, Cloud und E-Mail heißen die Türen. „Je mehr ich vernetze, umso unkontrollierter wird mein System“, sagt Moritz Huber, „der Hacker nutzt das schwächste Glied.“ Und seine Kollegin Holzheuer ergänzt: „Das größte Risiko bringt der Mitarbeiter mit.“ Unwissenheit, Neugier, Bequemlichkeit bei Passwörtern, private Geräte und insbesondere E-Mail-Verkehr schaffen Angriffsflächen. Holzheuer zeichnet ein kleines Dreieck, um zu illustrieren, wie ein Hacker indirekt an sein Ziel kommt. Der Angreifer liest die E-Mails der Behörde bei einem Dritten aus, bei dem er die Schadsoftware installieren konnte. Das Opfer hat er beispielsweise über einen kostenlosen WLAN-Zugang eingefangen, den er mit minimalen technischen Mitteln aufgebaut hat. Gern verleitet der Hacker mit geschickter Namensgebung dazu, eine Mail zu öffnen, von der man besser die Finger gelassen hätte. „Das Sensibilisieren der Mitarbeiter ist deshalb das Wichtigste“, betont Regina Holzheuer, „das ist die Hauptaufgabe des Informationssicherheit-Beauftragten.“
Der Cyberangriff auf eine kleinere Gemeinde lohne sich nicht? Moritz Huber, der in Plochingen wohnt, hauptberuflich als Inspektionsleiter beim LKA arbeitet und nebenbei ein Start-up für Cybersecurity aufbaut, kann da nur lächeln. Nach dem Motto „Kleinvieh macht auch Mist“, sei es einem Hacker egal, ob er eine große Stadt oder 1000 kleine Kommunen erwische. Vor drei Jahren wurden beispielsweise die Daten von Dettelbach - eine Kleinstadt mit etwa 7000 Einwohnern - verschlüsselt. Die Bürgermeisterin zahlte ein Lösegeld.
Huber und Holzheuer lassen derzeit fünf Ludwigsburger Master-Studenten - etliche arbeiten hauptberuflich in verantwortlichen Positionen auf einem Rathaus - eine Notfall-Leitlinie für die Gemeinde Salach im Filstal erarbeiten. Sie können sich dabei am Standard „100-4“ des BSI orientieren, den das Bundesamt für Sicherheit in der Informationstechnik empfiehlt. Zunächst gilt es zu analysieren, wo die Kommune und ihre Bürger am empfindlichsten getroffen werden können. Das können beispielsweise die Stromversorgung sein, die Verkehrsregelung, das städtische Krankenhaus oder die Abwasserbeseitigung. Aus der sogenannten Business-Impact-Analyse resultiert die Strategie. Sie zielt darauf ab, die wichtigsten Prozesse schnell wieder zum Laufen zu bringen. Und sie muss Kommunikationswege sicherstellen. Es muss klar sein, wer zuerst anzurufen ist. Während sich Kommunen in anderen Ländern bereits an Computer Emergency Response Teams wenden können, hat Baden-Württemberg diesen Notfallservice bislang nur für die Landesverwaltung aufgebaut.
Um selbst ein maßgeschneidertes Notfallkonzept aufzustellen, fehle kleineren Kommunen das Know-how, mutmaßt Huber. Vielleicht lasse sich aber aus dem Hochschulprojekt eine Blaupause für andere Gemeinden entwickeln. Denkbar wäre auch, dass sie sich zusammentun, um ein Informationssicherheit-Management in ihren Betrieb einzubauen. Der Handlungsdruck werde auf jeden Fall wachsen, davon sind die Spezialisten überzeugt. „Die Revolution mit der künstlichen Intelligenz steht uns noch bevor“, sagt Huber.