Den Ärger ihrer Kollegin im unterfränkischen Dettelbach möchte sich Haars Bürgermeisterin Gabriele Müller (SPD) gerne ersparen. Es passierte ziemlich genau vor einem Jahr: Als ein Mitarbeiter im Rathaus der Kleinstadt bei Kitzingen am Morgen des 8. Februar eine E-Mail öffnete, nahm das Unheil seinen Lauf.
Ein Trojaner schlich sich vom Rechner des Bediensteten in das IT-Netzwerk des Rathauses ein. Eine Stunde später registrierte ein Virenscanner den Eindringling. Doch da war es zu spät. Stadtverwaltung und Stadtwerke wurden lahmgelegt. Die Gemeinde Haar setzt nun auf ein Informationssicherheits-Konzept, um so etwas zu verhindern. Sie hat einen externen Berater engagiert und schafft die Stelle eines Informationssicherheitsbeauftragten.
Die Gemeinde Dettelbach zahlte Lösegeld
So sollen kriminelle Hacker davon abgehalten werden, die Kommune und die Bürgermeisterin zu Geiseln zu machen, so wie es in Dettelbach geschah: Sie forderten damals Lösegeld für den Zugriff auf Daten. Die Bürgermeisterin ließ sich auf den Handel mit den Hackern ein und zahlte 490 Euro, um das Schlimmste abzuwenden. Die Polizei rügte das Vorgehen. Der Schaden blieb auch so groß. Die Stadtwerke mussten Kunden um Mithilfe bitten, um wieder ihre Geschäfte ordentlich abwickeln zu können.
Es war ein krasser Fall, der vor einem Jahr publik wurde und vielen zeigte, was für Gefahren gerade Kommunen mit ihrer hohen Zahl an sensiblen Daten drohen. Damit es nicht so weit kommt, hat der bayerische Gesetzgeber die Kommunen über das Ende 2015 in Kraft getretene E-Government-Gesetz verpflichtet, bis spätestens zum Jahr 2018 Gegenstrategien zu entwickeln. Wie sich am Dienstag zeigte, arbeitet die Verwaltung im Haarer Rathaus seit einiger Zeit daran, sich gegen Angriffe zu wappnen. Bürgermeisterin Müller sagte, in Absprache mit dem Personalrat seien Leitlinien entwickelt worden. Eine eigene Stelle solle geschaffen werden, um angesichts ständig wandelnder Herausfordreungen auf Dauer IT-Sicherheit zu gewährleisten. Rathaus-Mitarbeiterin Andrea Schmerber nahm an einer berufsbegleitenden Weiterbildung teil. Sie dürfte kommendes Jahr die Stelle besetzen.
Ein externer Berater unterstützt die Gemeinde
So ist der Plan. In der Aufbauphase setzt die Gemeinde auf Sascha Kuhrau, der Geschäftsführer der Firma ASK Datenschutz ist, zertifizierter IT-Berater und der als Dozent an der Bayerischen Verwaltungsschule auch Schmerber ausbildete. Am Dienstag erteilte der Hauptausschuss des Gemeinderats Kuhrau den Auftrag, Haar als externer Berater zur Seite zu stehen. 17 000 Euro betragen die Kosten für das Projekt, das sicherstellen soll, dass aus dem Versprechen eines bürgerorientierten, virtuellen Rathauses mit Online-Service kein gläsernes Rathaus im negativen Sinn wird.
Kuhrau führte den Gemeinderäten den Fall in Dettelsbach vor Augen und berichtete, dass viele Kommunen ähnliches erlebten. Er nannte auch die Stadt Wolfratshausen als Opfer eines Hackerangriffs. Dem Vernehmen nach hatte man dort noch Glück. Der Schaden hielt sich in Grenzen. Beim Bayerischen Gemeindetag und beim Städtetag haben sich längst Referenten eigens des Themas angenommen. Wie von dort zu hören ist, sind solche Attacken keine Seltenheit. Nur die wenigsten Fälle würden bekannt. Kuhrau sagte, der Fantasie der Täter sei fast keine Grenze gesetzt. Es habe sich ein Geschäftszweig entwickelt, Privatpersonen, Firmen und Kommunen mit Viren und Trojanern zu attackieren, die in Anhängen von E-Mails versteckt seien. Das Geschäft sei lukrativ, die Erpresser seien "hoch motiviert". Dem müssten die Kommunen Sicherheitskonzepte entgegenstellen. Keiner bleibe verschont, sagte Kuhrau: "Es geht explizit nur noch darum, wann ich an der Reihe bin."
Die Bürger können erwarten, dass ihre Daten sicher
Bürger und Unternehmen "erwarten zu Recht, dass ihre Daten bei der Verwaltung sicher sind", sagte Rathaus-Geschäftsleiter Helmut Schmid. Fakt ist schließlich, dass Bürger anders als etwa bei einem Einkauf bei einem Online-Händler gesetzlich verpflichtet sind, sensible Informationen über sich selbst an die Rathäuser zu geben.
In Dettelbach reichte eine Mail, um das IT-System zu knacken. Zuletzt wurden Fälle bekannt, dass Bewerbungsschreiben mit Viren und Trojanern infiziert waren. In Haar soll nun die für kleinere und mittlere Kommunen empfohlene Isis-12-Methode helfen, eine Schutzmauer gegen Schadsoftware zu errichten. In zwölf Schritten soll von der Analyse der Gefahrenstellen bis hin zur Abschätzung dessen, was die Verwaltung leisten kann, ein vertretbares Optimum an Schutz erreicht werden; wie es im Gesetz auch formuliert ist.