Mal geht es lustig bis glimpflich ab, wenn zum Beispiel die Glocken des Stephansdoms in Wien nachts um 2.11 Uhr wie verrückt zu läuten beginnen. Mal ist es nur ärgerlich wie in Köln, als die Stadt im Internet stundenlang nicht mehr erreichbar war, weil sie ein Angriff mit einhunderttausend gleichzeitigen Anfragen pro Minute lahmgelegt hatte. Mal geht es aber auch fatal aus wie im Rhein-Pfalz-Kreis, den Hacker digital überfielen, um ein Lösegeld zu erpressen. Bergeweise Computer landeten im Müll, die Verwaltung war wochen- und monatelang massiv eingeschränkt. Cyber-Angriffe gehören mittlerweile zum Alltag von Kommunen. Dass in München die Abwehr steht und zur Not auch der Schaden begrenzt wird, darum kümmern sich Thomas Reeg und sein Team von IT-Experten.
Wie wichtig ihre Arbeit heutzutage ist, hat die Stadt kürzlich deutlich gemacht. Das Sicherheitsteam für die digitale Welt läuft seit 1. August als eigene Hauptabteilung im IT-Referat. „In Zeiten von Desinformationskampagnen und internationalen Konflikten, die immer stärker auch im Digitalen ausgetragen werden, wird der Schutz der digitalen Infrastruktur immer wichtiger, aber auch immer komplexer“, begründet IT-Referentin Laura Dornheim den Schritt. „Auch Kommunen stehen vermehrt im Fokus von Cyberkriminellen, wie aktuelle Entwicklungen leider eindrucksvoll zeigen“, sagt ihr IT-Sicherheitschef Reeg.
Das schlimmste Szenario wäre für ihn ein Ransomware-Ausbruch. Das bedeutet, dass Angreifer ins System eindringen und Daten stehlen oder so verschlüsseln, dass sie unbrauchbar sind. Das kann die komplette IT bis hin zu den Telefonanlagen außer Gefecht setzen wie im Rhein-Pfalz-Kreis. In der Regel fordern die Hacker dann Lösegeld. Wer nicht zahlt, muss vieles neu aufsetzen. „Die Betroffenheit im stadtweiten Kontext wäre natürlich immens“, sagt Sicherheitschef Reeg. Doch er schiebt beruhigend hinterher. „Wir sind gut aufgestellt, solch einen Angriff bestmöglich abzuwehren, aber auch um betroffene Dienste wiederherzustellen.“
Der Ciso, wie er im Tech-Sprech heißt (Chief Information Security Officer), neigt grundsätzlich nicht zur Panikmache. Wenn er alle Scans von potenziellen Eindringlingen, also alle Tests der städtischen IT-Systeme auf mögliche Schwachstellen, als Angriffe werten würde, dann käme er auf eine sechsstellige Zahl an Attacken im Jahr. Diese hat die städtische Abwehr jedoch automatisch im Griff, relevant sind für ihn die etwa 1000 Vorfälle im Jahr, bei denen sein Team eingreifen muss. Dazu zählen gestohlene Laptops genauso wie ein verseuchter Link in einer Mail oder eine Schwachstelle in einem Programm, die schnellstens behoben werden muss.
Herausfordernd ist auch der Einsatz von künstlicher Intelligenz
Wie viele Leute er beschäftigt, das mag Reeg aus taktischen Gründen nicht verraten, aber dass er sie gut findet, das schon. „Das könnte ich mir aktuell nicht besser vorstellen“, sagt der Ciso. „Auf der anderen Seite kann man sich nicht hinstellen und sagen, wir haben alles vollständig im Griff. Die Gefährdungslage im Cyberraum weist einfach eine zu hohe Dynamik auf, ebenso wie durch die hohe Schlagzahl bei der Digitalisierung immer neue Herausforderungen für die Informationssicherheit entstehen, zum Beispiel durch den Einsatz von künstlicher Intelligenz oder durch eine hohe Cloud-Nutzung.“
Dabei spielt auch die Größe der Stadt eine Rolle, die eine entsprechende Angriffsfläche bietet. Zwei Rechenzentren bilden das Herzstück der IT-Technik. Alleine 40 000 Computer sind im Einsatz. Sechs Millionen E-Mails kommen von externen Absendern herein, von denen vier Millionen aussortiert werden, weil sie als Spam oder Phishing-Nachrichten klassifiziert werden. Vier Millionen, pro Monat.
Die Cyber-Abwehr der Stadt basiert grob gezeichnet auf zwei Bereichen, die sie fit halten muss: zum einen die Mitarbeiterinnen und Mitarbeiter der Stadt, zum anderen die Technik mit etwa 4000 verschiedenen Programmen auf den Rechnern. Beschäftigte verlieren zum Beispiel Laptops, reisen in unsichere Länder oder drücken unter Zeitdruck auf die falschen Anhänge in Mails. Da gilt es zu sensibilisieren, aber auch genügend Schutzringe einzuziehen, sodass mit einer schnellen Reaktion kein größerer Schaden entsteht.
Bei der Technik muss die Cyber-Abwehr im Blick haben, welche Einfallstore es gibt und wie man sie schließt, bevor jemand eindringt. Dabei gibt es unterschiedliche Gefahrenstufen. „Das Grundrauschen der Angriffe kann man mit dem Pegel eines Flusses vergleichen. Unsere Systeme zur Angriffserkennung und -abwehr bilden einen Damm, der diesen Aktivitäten Stand hält. Man muss allerdings immer aufpassen und den Moment herausfinden, wenn der Pegel droht, den Damm zu überfluten“, sagt Reeg. Darüber hinaus werden auf der Abwehrseite Informationen über Angriffe gesammelt und weitergegeben. „Wir setzen auf ein zentrales System zur Angriffserkennung, das an die 30 000 Ereignismeldungen pro Sekunde aus unserer Infrastruktur verarbeitet. Aus dieser Menge an Meldungen müssen wir diejenigen herausfiltern, die eine wirkliche Bedrohung für die IT darstellen.“
„Wir scannen aktiv intern unsere Infrastruktur auf Schwachstellen“
Nicht zuletzt beschäftigt die Stadt im Cyber Security Center ein Team, das ihre eigenen Systeme anzugreifen versucht und mögliche Einbruchsstellen finden soll, bevor sie Cyberkriminelle nutzen. „Wir scannen aktiv intern unsere Infrastruktur auf Schwachstellen“, erklärt der Ciso. Entscheidend sei dabei, herauszufinden, was wirklich schlimm sei. Es gibt aber auch Hacker auf der guten Seite, die auf Schwachstellen aufmerksam machen und Gelegenheit geben, sie zu beseitigen, bevor sie diese öffentlich machen.
Die von der anderen Seite hätten aus ihren Einbruchs-Fähigkeiten laut Reeg ein hochprofessionelles Geschäftsfeld gemacht. Im Darknet, also im zumindest weniger gut sichtbaren Teil des Internets, könne man sich von verschiedenen Spezialisten einen Hackerangriff zusammenkaufen, sagt Reeg. „Es kommen immer neue Player ins Spiel. Nicht jeder nutzt dabei die neuesten Angriffswerkzeuge, was eine Erkennung in diesem Bereich vereinfacht. Schwieriger wird es jedoch, wenn neueste Technologien auf Angreiferseite zum Einsatz kommen. Solche Angriffe rechtzeitig zu erkennen ist sehr komplex.“
Bei den Angreifern unterscheidet er grob vier Gruppen. Die sogenannten Script Kiddies versuchen im Internet mit fertigen Tools Schwachstellen zu finden und dort einzudringen. Sie machen ausgebufften Sicherheitsleuten in der Regel nicht die größten Probleme. Anders jedoch ist es bei professionellen Einzelpersonen oder Gruppen, die aus ideologischen Gründen angreifen oder um Geld zu erpressen. Die vierte Partei im Hackergeschäft sind von Staaten unterstützte Gruppen, die von Desinformation bis hin zu Angriffen auf die Infrastruktur verschiedenste Ziele im Visier haben.
Allerdings spielt es für den IT-Sicherheitschef der Stadt nicht die große Rolle, wer letztlich der Angreifer oder der Auftraggeber ist. „Für uns bedeutsamer in der Beurteilung sind die Techniken und Verfahrensweisen, mit denen die Angreifer agieren. Diese müssen wir identifizieren, damit wir entsprechend reagieren und unsere Infrastruktur absichern können.“ Letztlich gleicht die Cyberabwehr immer einem Rennen, in der sie aufgrund der immer neuen Sicherheitslücken und Vorgehensweisen der Cyberkriminellen keinen leichten Stand hat. „Durch die allgemeine Konstellation wird der Angreifer immer einen leichten Vorteil haben. Eine Schwachstelle zu erkennen und zu beheben, bevor die Angriffe dafür gebaut und ausgeführt werden, kommt einer Hase-Igel-Situation gleich.“
Entscheidend dabei ist stets eine schnelle Reaktion. Dafür seien mit der Organisation der Stadt und der erneuten Aufwertung der IT-Sicherheit für Reeg die Weichen richtig gestellt. Das bedeute auch, dass die wichtigsten Fragen der Verteidigung strukturell geklärt seien. „Wer entscheidet zum Schluss? Wer hat das Recht, einen Rechner aus dem Netz zu nehmen oder ganze Netzsegmente auszuschalten? Was ist die Folge? Wenn große Referate wie das KVR oder das Sozialreferat betroffen sind, hat das sicher mehr Auswirkungen auf die Verwaltung und die Stadtgesellschaft als wenn es um kleinere Einheiten geht.“
Was sich die Stadt wie alle anderen Gemeinden in Deutschland laut ihrem Ciso noch wünschen würde, wäre eine systematischere und bessere Unterstützung vom Bund und den Ländern. Denn auch in der großen Politik müsse endlich ankommen, was zum Beispiel in München schon gelte. „Die IT-Sicherheit ist in den letzten zehn Jahren aus dem Teenager-Alter rausgekommen. Sie hat sich zu einer vollwertigen Management-Disziplin entwickelt, die aktiv und vor allem kontinuierlich betrieben werden muss“.