Kommentar von Dirk Arendt, Leitender Beauftragter Public Affairs & New Technologies bei Check Point Software Technologies GmbH
Das Beispiel der Verwaltung der unterfränkischen Stadt Dettelbach zeigt die Gefahr und die Hilflosigkeit von Verwaltungen beim Umgang mit Sicherheitsbedrohungen. Nach einem Angriff mit sogenannter Ransomware sah die Kommunalverwaltung keine andere Möglichkeit, als eine „Fachfirma“ mit der Bezahlung des Lösegelds zu beauftragen – entgegen der Empfehlung der Polizei und des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Ransomware infiziert wahllos Dateien des Opfers und verschlüsselte sie, sodass diese nicht mehr zu öffnen sind. Das Schlüsselpasswort zur Wiederherstellung erhält das Opfer nur durch die Zahlung eines Erpressungsgelds an die Angreifer. Im konkreten Fall wurde genau dies in Form der Internetwährung Bitcoins getan. Behörden raten davon ab, da es keine Sicherheiten für eine Freigabe der Dateien gibt und durch Zahlung Kriminelle in ihrer Handhabung unterstützt werden.
Bei der eingesetzten Malware handelt es sich um Ransomware mit dem Namen TeslaCrypt , bei einem ähnlichen Angriff hat eine Malware mit dem Namen Locky vor wenigen Tagen zeitweise 5.000 Rechner pro Stunde infiziert. TeslaCrypt ist bereits seit Anfang 2015 bekannt und wird von entsprechender Schutzsoftware erkannt. In Dettelbach gab es aber nur unzureichende Vorkehrung, sodass es zu einem erfolgreichen Angriff kommen konnte. Attacken auf die Daten von Bürgerinnen und Bürger sind besonders verheerend, da es das Vertrauen in staatliche Infrastruktur und den Zusammenhalt von Staat und Gesellschaft maßgeblich verschlechtern kann.
Die Schuld bei einzelnen Lokalverwaltungen zu suchen, wäre aber zu kurz gedacht. Die Gefahrenlandschaft hat sich grundlegend gewandelt. Früher reichte eine Firewall oder ein Virenscanner, heute geht es um umfassendere Sicherheitsarchitekturen. Das BSI selbst argumentiert in seinem aktuellen Lagebericht zur IT-Sicherheit: „Der Schutz der IT-Systeme durch die Anwender kann mit den oft hoch entwickelten Werkzeugen zur Ausnutzung von Sicherheitslücken nicht immer Schritt halten.“ Besonders die Wandlungsfähigkeit und das rasche Wachstum von Malware ist eine Gefahr. Forschungsergebnisse zeigen, dass im Jahr 2014 41 Prozent aller Organisationen mindestens eine unbekannte Malware heruntergeladen haben. Im Schnitt werden jede Stunde 106 infizierte Dateien herunterladen, das sind 25 Prozent mehr als im Vorjahr.
Die Bedrohung ist real und darf nicht mehr länger unterschätzt werden. Es braucht eine klare Strategie auf Bundes- und Länderebene, die einheitliche Sicherheitsstandards und entsprechende Richtlinien für öffentliche Einrichtungen definiert. Die Sicherheitsverantwortlichen in den Verwaltungen dürfen bei der Umsetzung auf keinen Fall alleine gelassen werden. Es ist wichtig, der Bevölkerung das nötige Verantwortungsbewusstsein zu zeigen.
Staatliche Institutionen haben eine Vorbildfunktion und müssen persönliche Daten der Mitbürgerinnen und Mitbürger unter allen Umständen vor Kriminellen beschützen. Die digitale Integration betrifft alle Teile der Bevölkerung. Es sollte zugeschnittene Programme für einzelne Gruppen geben, um die Thematik umfassender in alle Bevölkerungsgruppen zu tragen. Sicherheit und damit das Vertrauen ist ein Gemeingut, das den Einsatz, die Involvierung aller Akteure bedarf. Nur so lassen sich Vorfälle wie in Unterfranken in Zukunft vermeiden.