Stadt befürchtet Millionenschaden durch Cyber-Angriffe

Am 2. März war die Stadtseite bad-kreuznach.de stundenlang nicht zu erreichen. Betroffen war auch das Intranet der Stadtverwaltung. Weder Rats- und Ausschussmitglieder konnten die digitalen Angebote nutzen. Ursache dafür war laut Aussage des städtischen Hostingbetreibers ein Cyber-Angriff (diese Seite berichtete). Die IT der Stadt hat darauf am 9. März mit einem Vermerk reagiert. Der wird am Dienstag kommender Woche (14.3.2023) im Finanzausschuss beraten. Auf Vorschlag von Bürgermeister Thomas Blechschmidt soll das Gremium 125.000 € überplanmäßig zur Verfügung zu stellen.

Mit dem Geld sollen “Dringlichkeitsmaßnahmen” des „ISMS“ (Information Security Management System) schnellstmöglich umgesetzt werden. Geschieht dies nicht, so die städtische IT, “droht ein vorab nicht zu beziffernder Schaden, jedoch schätzungsweise im siebenstelligen Bereich”. Die EDV-Spezialisten werden in diesem Punkt sehr deutlich: “Gesamtverwaltung, Feuerwehr, Abwasserbetrieb und Bauhof wären in einem solchen Szenario auf Wochen nur bedingt arbeits- und/oder handlungsfähig”.

Lesen Sie zum Thema auch auf dieser Seite:

08.03.23 – “Provider der Stadtseite wehrt Cyberangriff erfolgreich ab”
02.03.23 – “Eilmeldung 1: Stadtseite gestört – Ratsinformationssystem nicht verfügbar”

Die Mitteilung der städtischen IT vom 9.3.2023 im Wortlaut:

Abt. 112 /IT 09.03.2023

Für die Sitzung des Finanzausschusses am 14.03.2023

Betreff: Überplanmäßige Aufwendungen/Auszahlungen für das Haushaltsjahr 2023

Beschlussvorschlag:
Der Finanzausschuss beschließt, im Ergebnishaushalt beim Kostenträger 11440 (IT), Sachkonto 562400, Sächlicher Aufwand TUIV, Haushaltsmittel für Auszahlungen in Höhe von 125.000 € überplanmäßig zur Verfügung zu stellen.

Erläuterungen:
Am 02.03.2023 wurde eine technische Störung unserer Webseite bad-kreuznach.de inklusive des Intranets sowie der darüber bereitgestellten Dienste (Ratsinformationssystem, Online-Terminvergabe Einwohnermeldeamt, Kfz-Zulassung etc.) festgestellt. Ursache dafür war laut Aussage unseres Hostingbetreibers ein Angriff auf unsere Domain bad-kreuznach.de.

Diesen Vorfall möchten wir aufgreifen, um die u. a. Dringlichkeitsmaßnahmen zur schnellstmöglichen Umsetzung zu empfehlen. Im Rahmen der derzeit laufenden Umsetzung des „ISMS“ (Information Security Management System), mit beratender Unterstützung durch die Fa. Securion, wird es verzögert ohnehin zu einer entsprechenden Empfehlung zur Umsetzung weiterer Maßnahmen kommen. Die Einleitung der Maßnahmen soll ggf. gezielte Angriffe auf unsere IT-Infrastruktur erkennen, verhindern und ggf. bekämpfen.

Sowohl dieses unerwünschte Ereignis vom 02.03.2023 als auch die medial befeuerten zeitlich wie räumlich „näher rückenden Einschläge“ zeigen deutlich den Handlungs- und daraus resultierenden Nachholbedarf im Bereich IT-Security öffentlicher Verwaltungen. Alle Akteure der Cybersicherheits-Domänen in Deutschland sind sich einig, dass die relevante Frage nicht ist, ob eine kommunale Einrichtung Opfer einer Cyberattacke wird – sondern lediglich, wann dies passiert. Die Begründung einer Dringlichkeitsvergabe zur Erhöhung der IT- und Cybersicherheit ergibt sich aus mehreren Sachverhalten, die in Kombination eine umgehende Erhöhung der IT- und Cybersicherheit von kommunalen Einrichtungen erfordern.

Betreiber sogenannter kritischer Infrastrukturen (KRITIS) sind gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyberattacken zu treffen – nach aktueller Definition gelten wir zwar derzeit nicht als sog. „KRITIS“, jedoch sehen kommende Richtlinien (EU-Richtlinie NIS2 aus 12/22) auch unsere Strukturen dafür vor. Zudem ist darauf hinzuweisen, dass im Ransomware-Schadensfall die Auszahlung von Leistungen und Forderungen für einen möglicherweise unbestimmten Zeitraum blockiert wird.

Dies betrifft z. B. Leistungen im Bereich der Sozial- (Grundsicherung) und Jugendhilfe (wirtschaftliche Erziehungshilfe, etc.). Gesamtverwaltung, Feuerwehr, Abwasserbetrieb und Bauhof wären in einem solchen Szenario
auf Wochen nur bedingt arbeits- und/oder handlungsfähig. Der potenzielle Schaden für die Gesamtverwaltung wäre vorab nicht zu beziffern, läge jedoch schätzungsweise im siebenstelligen Bereich.

Folgende IT-Security-Maßnahmen werden von uns daher konkret zur schnellstmöglichen Umsetzung empfohlen:

1. Einführung einer EndpointProtection MDR (sog. Managed Detection and Response)

Bisher eingesetzte Sicherheitssysteme sind als eher klassische Endpunktsicherung (PC, Notebook, Server) zu verstehen, welche bspw. Betriebssysteme und darunter befindliche Dateien prüfen, bei Auffälligkeit blocken oder entfernen.

MDR-Systeme agieren hier proaktiv, vernetzt, mit einer Art „Schwarmintelligenz“ – Firewall und Endpunkte kommunizieren miteinander, stimmen Verhaltensauffälligkeiten ab und reagieren umgehend, ggf. nach automatisch initiierter Prüfung durch Forensiker. MDR ist ein 24×7 Service für Cybersicherheit. Der Komplett-Service ist die optimale Lösung für Einrichtungen, die intern nur über begrenzte Ressourcen zur lückenlosen Gewährleistung ihrer Cybersicherheit verfügen. Ein externes Experten-Team kümmert sich rund um die Uhr um die Cybersicherheit, sucht proaktiv nach Bedrohungen (Threat Hunting), um Angriffe rechtzeitig zu erkennen, bevor Schaden entsteht, und reagiert im Bedarfsfall sofort.

In Anbetracht der internen Kapazitäten kommunaler Einrichtungen für IT- und Cybersicherheit und ihres erhöhten Schutzbedarfs ist der Einsatz eines externen Security-Operation-Centers, wie es im MDR Service geliefert wird, unabdingbar. Der Einsatz eines solchen Services ist ein erheblicher Baustein für die Erfüllung des vom Gesetzgeber geforderten Maßes an Sicherheit im Bereich der Detektion und Reaktion von Sicherheitsvorfällen. Mit dem Service ist gewährleistet, dass Cyberangriffe auch in der aktuell verschärften Sicherheitslage effektiv abgewehrt werden können, um einen Ausfall des Betriebs kommunaler Einrichtungen zu verhindern und die Grundversorgung der Bevölkerung mit essenziellen Dienstleistungen zu gewährleisten.

Zu beachten ist hierbei, dass aktuell bereits Kosten in Höhe von ca. 40.000 € jährlich anfallen und im Haushalt eingeplant sind. Die hierdurch abgedeckten Lösungen entsprechen jedoch nicht mehr den aktuellsten Sicherheitsanforderungen akuter Bedrohungslage bzw. sind als diesbezüglich nicht mehr ausreichend zu erachten.

Eine sofortige Umsetzung und Erhöhung der hierfür benötigten Mittel auf ca. 165.000 € (dies verursacht aktuell jährliche Mehrkosten von 125.000,00 €) würde unseren Sicherheitsstandard auf notwendige Weise wesentlich erhöhen, das Schadensrisiko minimieren sowie die ggf. entstehende Ausfallzeit bestmöglich verkürzen. Bei aktuell ca. 1.110 Endgeräten (PCs, Notebooks, Server, Smartphones, Tablets) belaufen sich die
Kosten je Endgerät demnach Stand heute auf umgerechnet ca. 36 € p.a., künftig auf ca. 149 € p.a.

Signifikante Vorteile, deutliche Mehrwerte:
– Je früher wir starten, desto kürzer ist die Ausfallzeit und Widerherstellung im Schadensfall
– Erkennung, Bewertung und Reaktion durch externe Forensiker – auch außerhalb der
Dienstzeiten
– MDR-Systeme agieren proaktiv, vernetzt und überwachen den kompletten Netzverkehr per
„Schwarmintelligenz“
– Überwachung der Sicherheitsprozesse 24×7
– Angriffsfrüherkennung
– Beseitigung von Bedrohungen und ihren Folgen
– Umfassende Reaktion auf Vorfälle: Bedrohungen werden vollständig eliminiert
– Ursachenanalyse: um ein erneutes Auftreten in Zukunft zu verhindern
– Dedizierter Ansprechpartner
– Das Produkt „MDR Complete“ beinhaltet eine Kostenübernahmegarantie im Schadensfall,
welche Kosten in Höhe von bis zu 1 Mio. US-Dollar für Reaktionsmaßnahmen abdeckt
• Bis zu 1.000 US-Dollar pro kompromittiertem System
• Gesamtkosten für Reaktionsmaßnahmen in Höhe von bis zu 1 Mio. US-Dollar
• Bis zu 100.000 US-Dollar Lösegeld (als Teil des Limits pro Gerät)
• Deckt diverse Ausgaben ab, darunter Kosten für die Anzeige des
Datenschutzverstoßes, PR-, Rechts- und Compliance-Kosten

Weitere technische und organisatorische Maßnahmen zur Begegnung von Sicherheitsvorfällen
stehen bereits im Maßnahmenplan des ISMS-Teams.

2. Sensibilisierung der städtischen Bediensteten

Es besteht die dringende Notwendigkeit, dass alle MitarbeiterInnen der Stadtverwaltung
sicherheitstechnisch sensibilisiert und auf korrekte Verhaltensweisen geschult werden.
Eine diesbezügliche fachliche Unterrichtung durch einen Schulungsdienstleister sollte das Sicherheitsbewusstsein erhöhen, das Sicherheitsrisiko/Gefahrenpotenzial senken und rechtlichen Vorgaben Rechnung tragen.

Die genauen Maßnahmen und daraus resultierenden Kosten hierfür wären noch zu ermitteln.

Die Erarbeitung eines Schulungs- und Sensibilisierungskonzeptes befindet sich bereits im
Maßnahmenplan des ISMS-Teams.

Anhang

A. Information zur Gefährdungslage

Fakten aus dem BSI-Report „Lage der IT-Sicherheit in Deutschland 2022“:
– Ransomware-Angriffe sind aktuell eine der größten Cyberbedrohungen für Staat, Wirtschaft und Gesellschaft
– Im Schnitt Zunahme neuer Schadprogramm-Varianten täglich um knapp 319.000
– Anzahl der Angriffe auf kommunale Einrichtungen nehmen erheblich zu, sodass von einer
maximalen Gefährdungslage für diese Einrichtungen ausgegangen werden muss

Beispiel: Landkreis Anhalt-Bitterfeld Katastrophenfall nach Ransomware-Angriff auf Kreisverwaltung

Eine Landkreisverwaltung in Sachsen-Anhalt wurde am 5. Juli 2021 Ziel eines Ransomware-Angriffs. Sämtliche IT-Systeme aller Standorte der Kreisverwaltung waren beeinträchtigt. In der Folge des Angriffs konnten keine Dienste für Bürgerinnen und Bürger erbracht werden. Am 9. Juli 2021 stellte der Landkreis den örtlichen Katastrophenfall fest. Erst am 2. Februar 2022 hob der Landkreis den Katastrophenfall auf. Zu diesem Zeitpunkt war eine Funktionsfähigkeit wiederhergestellt, jedoch waren noch nicht alle Schäden wieder behoben. Quelle: BSI-Report: „Die Lage der IT-Sicherheit in Deutschland 2022“

Beispiel: Ransomware-Angriff auf Verwaltung des Rhein-Pfalz-Kreises

Bereits am 24. Oktober 2022 traf die Verwaltung des Rhein-Pfalz-Kreis eine Cyberattacke. Da das Lösegeld nicht bezahlt wurde, musste versucht werden, alle bekannten Schäden zu korrigieren. Am 5. Dezember 2022 war die Verwaltung erstmals in der Lage wieder Daten zu transferieren und somit teilweise den Betrieb wiederaufzunehmen. Nach vorliegenden Informationen wird bis heute (Februar 2023) mit Hilfe kostenintensiver Unterstützung durch Behörden sowie externer Dienstleister an einer Entstörung und Datenwiederherstellung gearbeitet. Quelle: https://www.rhein-pfalz-kreis.de/stoerung/

B. Besonderer Schutz kritischer Infrastrukturen

Kritische Infrastrukturen sind „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Alle Akteure der Cybersicherheits-Domänen in Deutschland sind sich einig, dass die relevante Frage
nicht ist, ob eine kommunale Einrichtung Opfer einer Cyberattacke wird – sondern lediglich, wann dies passiert.

Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Verhinderung von Cyberattacken zu treffen. Mit der Verabschiedung des „IT-Sicherheitsgesetzes 2.0“ im Frühjahr 2021 wurden diese Pflichten noch einmal verschärft. Ab dem 1. Mai 2023 müssen die Betreiber kritischer Infrastrukturen zusätzlich besondere „Systeme zur Angriffserkennung“ vorhalten.