Wie lässt sich die Cyber-Resilienz in den Kommunen nachhaltig verbessern? Sachsen-Anhalt will zu diesem Zweck ein nationales Übungszentrum aufbauen. Auch das bayrische LSI hilft seinen 2056 Gemeinden bei der Erprobung des Ernstfalls und der Schulung von kommunalen Entscheidungsträgern. Die Stadt Witten übt, seitdem sie 2020 angegriffen wurde, ebenfalls den Cyber-Katastrophenfall und setzt darüber hinaus auf eine Mischung aus zentralen Lösungen und interkommunaler Zusammenarbeit.
„Wir dürfen nicht nur an den Bund und die Länder denken. Die wesentliche Arbeit am Bürger findet in den Kommunen statt. Wir müssen dafür sorgen, dass sie handlungsfähig und informationssicher aufgestellt sind“, betonte Bernd Schlömer, Staatssekretär und CIO in Sachsen-Anhalt, auf der PITS in Berlin. Er blickte auf den Cyber-Angriff auf den Landkreis Anhalt-Bitterfeld im Jahr 2021 zurück, als in der Folge der Katastrophenfall ausgerufen wurde. Dieses Erlebnis sowie die NIS-2-Richtlinie hätten ihn dazu bewogen, gemeinsam mit der Wissenschaft einen Konzeptvorschlag zur Einrichtung eines nationalen Übungszentrums zu entwickeln.
Trotz Angriff arbeitsfähig
Das Zentrum soll dazu dienen, Führungskräften, Hauptverwaltungsbeamten und auch dem Fachpersonal die kommunale Cyber-Sicherheit näherzubringen und die Frage zu beantworten: „Was passiert eigentlich in meiner Kommune, in meinem Landratsamt, Bürgeramt oder Rathaus, wenn ein Cyber-Angriff geschieht?“ Die Mitarbeitenden sollen lernen und üben, wie die Geschäftsbearbeitung ungehindert weiterlaufen könne – etwa die Auszahlung von Sozialleistungen.
Zudem soll das Zentrum eine Stelle für den Wissenstransfer werden. Kommunen sollen dort Sicherheitslösungen testen und evaluieren können. Auch die angewandte Cyber-Sicherheitsforschung und resultierende Prototypen sollen künftig verprobt werden. Daher gebe es viele Synergien, etwa mit der Cyberagentur, die ihren Sitz in Halle (Saale) hat.
Ziel sei, das Zentrum einmal bundesweit zugänglich zu machen – für Kommunen in ganz Deutschland. Dies könnte beispielsweise über den IT-Planungsrat ablaufen. Wichtig sei, dass es von der Politik getragen werde, von den Ländern und Kommunen, sagte Schlömer. Er erklärte: „Es gibt aus allen Bundesländern sehr starkes Interesse, dass wir die Idee fortsetzen und weiterentwickeln, weil alle glauben, dass es eine richtige Sache ist“. Auch mit BSI-Präsidentin Claudia Plattner stehe der CIO diesbezüglich im Austausch.
Skalierbare Tabletop-Übungen
In Bayern wurden ebenfalls bereits Wege gefunden, um Kommunen auf Cyber-Vorfälle vorzubereiten. Bernd Geisler, Präsident des Landesamts für Sicherheit in der Informationstechnik (LSI), berichtete von sogenannten Tabletop-Übungen, bei denen kommunale Entscheidungsträger wie Bürgermeister, Informationssicherheitsbeauftragte und Amtsleiter ihre Rollen und Reaktionen während eines Notfalls durchsprechen. Dafür wurden vier Szenarien entwickelt. „Die Übungen werden ganz gut angenommen – der Bedarf ist da“, so Geisler.
Angesichts der über 2.000 Gemeinden im Freistaat müsse das Angebot unbedingt skalierbar sein. Deshalb stelle das LSI die Übungsmodule inklusive Video-Unterstützung und Anleitung zur eigenständigen Durchführung bereit. Einige Kommunen wünschten sich dennoch eine Moderation durch das LSI. Dies sei zwar grundsätzlich möglich, aber bei derzeit 15 bis 20 Mitarbeitenden in der Kommunalberatung des LSI nicht flächendeckend realisierbar.
Deep Fakes als Einfallstore
Doch neben den „klassischen“ Cyberangriffen auf Behörden, sind auch Deep Fakes und damit einhergende Fake News ein immer häufigeres Problem für die Sicherheit. Denn wie Dr. Kerstin Zettl-Schabath, Senior Cyber Threat Intelligence Analyst der Deutschen Cybersicherheitsorganisation erklärt, können damit – auf weiter Ebene – große wirtschaftliche Schäden angerichtet und Ängste und Unsicherheiten in der Bevölkerung geschürt werden, oder – auf kleiner Ebene – eben Deep Fake Phishingversuche gestartet werden. Durch E-Mails oder (Video-)Anrufe können Mitarbeiter*innen zu unautorisierten Taten aufgerufen werden, um beispielsweise sensible Daten oder Geld weiterzugeben.
Wie einfach so eine Informationsmanipulation funktionieren kann, weiß auch Benjamin Koch, der stellvertretende Bereichsleiter für IT-Security bei der Bundesagentur für Arbeit (BA). Er und seine Kolleg*innen hätten sich die Frage gestellt, wie man die Leute in der eigenen Behörde dafür sensibilisieren könnte. Daraufhin haben Sie behördenintern ein Video veröffentlicht, in dem die Chefin der BA, Andrea Nahles, ankündigt, dass die BA künftig den 1. FC Nürnberg sponsoren will. Die Chefin sei natürlich eingeweiht gewesen, aber das Video habe so schnell so viele Rückfragen und Äußerungen ausgelöst, dass noch am selben Tag das für später geplante Aufklärungsvideo veröffentlicht werden musste, so Koch. Die Mitarbeiter*innen hätten ganz unterschiedlich reagiert, jedoch habe das Video auf jeden Fall auf die Thematik aufmerksam gemacht. Wie Koch betont, sei gerade bei Deep Fakes die Human Firewall essenziell: „Jeder der sein Gerät bedienen kann, ist selbst dafür verantwortlich, solche Infos zu hinterfragen und z. B. auf Checkerseiten nachzuschauen.“ Und grundsätzlich gilt: Wenn es zu gut klingt und wahr zu sein, dann ist es das in der Regel auch.
Nachwuchs fehlt
Nun gibt es also viele Einfallsmöglichkeiten für Cyber-Angriff, aber daneben fehlt es auch an geschultem Fachpersonal, die im Falle eines Falles genau bescheid wissen. Vor dem Hintergrund rückt für die öffentliche Verwaltung immer stärker die Notwendigkeit einer kompetenten Personalausstattung in den Vordergrund – dabei sind es vor allem die Hochschulen der öffentlichen Verwaltung, die in die Ausbildung von Cyber-Fachkräften investieren sollten. 2020 gründete die Informatikerin Prof. Dr. Anna Schulze, zuvor beim Bundesverwaltungsamt beschäftigt, an der Hochschule des Bundes den Studiengang „Digital Administration and Cyber Security“. Auf der PITS in Berlin erklärte sie, wie wichtig es sei, Anreize zu setzen, um junge Menschen zur Aufnahme des Studiums zu bewegen. Eine große Rolle bei der Entscheidung spiele der Faktor Regionalität: 50 Prozent der Studierenden an ihrer Hochschule kämen aus Nordrhein-Westfalen.
Auch Philipp Krohn, Fachgruppenleiter an der Fachhochschule für öffentliche Verwaltung, Polizei und Rechtspflege des Landes Mecklenburg-Vorpommern, wies darauf hin: die „familiäre und regionale Nähe“ sei ein wichtiger Punkt, um Menschen zu binden. Seine Hochschule adressiere gezielt Hochschulstandorte und gehe Kooperationen ein, um Studierende für die Fachhochschule des Bundes zu gewinnen. Den jungen Menschen würden sie berufspraktische Erfahrungen garantieren, um sie schlussendlich mit A 9 oder A 10 einzustellen.
Cyber-Sicherheitskräfte in der Verwaltung halten
Das Anwerben der Cyber-Sicherheitskräfte von morgen ist die eine Sache, eine andere ist, sie auch zu halten. „Man sollte den jungen Leuten nicht mit der Hierarchiekeule kommen“, empfiehlt beispielsweise Prof. Schulze. Krohn wies darauf hin: Mit den sechsstelligen Jahresgehältern der freien Wirtschaft sei nicht zu konkurrieren, auch würden dort flexiblere Arbeitszeitregelungen angeboten. „Hier können und müssen wir besser werden“, erklärte er. Mit Mietzulagen versucht die Hochschule Niederrhein, ihre Attraktivität zu erhöhen. Prof. Dr. Martin Grothe, Professor für Netzwerksicherheit und sichere Softwarearchitekturen an der Hochschule Niederrhein, gab zudem folgenden Hinweis mit auf den Weg: Beamten sei es immer möglich, einer Nebentätigkeit nachzugehen. Damit ließe sich eine vergleichsweise geringe Vergütung aufwerten.
Der Text wurde in Zusammenarbeit von Anna Ströbele, Scarlett Lüsser und Anne Mareile Moschinski verfasst.
