Cyberangriffe auf kommunale IT: zu lukrativ, zu teuer, zu wenig IT-Security Basics

16.

Apr.

2025

, Behörden IT, Kritis, Hardware Token, kommunaler IT Dienstleister, Kommunen IT, KRITIS, SIT

In den letzten Monaten haben mehrere Cyberangriffe auf kommunale IT-Strukturen in Deutschland und Österreich aufhorchen lassen. Diese Vorfälle legten die digitale Infrastruktur von Hunderten kommunalen Verwaltungen lahm, und damit auch deren zum Teil kritische Dienstleistungen: Reisepässe, die nicht ausgestellt werden konnten, oder gar mangels Sterbeurkunden verzögerte Bestattungen. Das zeigt erneut die dringende Notwendigkeit von IT-Security Basics, gerade in kommunalen IT-Netzen.

+++ +++ Update 10.12.2024 +++ +++

Cyberangriffe auf kommunale IT-Infrastrukturen finden weiterhin nahezu täglich statt. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK hat deshalb zusammen mit dem BSI einen Wegweiser herausgebracht, um den Schutz vor Cybergefahren zu stärken und das Bewusstsein für IT-Krisen zu schärfen.

Drei Cyberangriffe auf Kommunen-IT – unterschiedliche Szenarien

Blickt man genauer auf drei exemplarische Vorfälle in Korneuburg, Niederösterreich, in Südwestfalen sowie im Landkreis Anhalt-Bitterfeld, offenbaren sich nicht nur tiefgreifende Auswirkungen auf die kommunalen Dienstleistungen und damit den Alltag der Bürger. Es zeigt sich, dass die sehr divers aufgestellte Kommunen-IT-Landschaft – manche Systeme unterscheiden sich von Landkreis zu Landkreis oder gar zwischen Nachbargemeinden – individuell geschützt werden muss vor Cyberkriminellen. Das gestaltet sich jedoch schwierig, mangels IT-Security Personal – gerade in kleinen, ländlichen Kommunen – und mangels geeigneter IT-Security Basics.

Cyberangriff auf Kommune Korneuburg

In der Stadtgemeinde Korneuburg in Niederösterreich wurde die Verwaltung durch einen Cyberangriff nahezu lahmgelegt. Die Angreifer blockierten kritische Systeme und Daten komplett, sodass nur noch das Telefonnetz funktionsfähig blieb.

Real-makabre Folge des Angriffs: Durch die erheblichen Verzögerungen in der Verwaltungsarbeit konnten z.B. keine Sterbeurkunden mehr ausgestellt werden, was wiederum Bestattungen verzögerte.

Cyberangriff auf kommunalen Dienstleister Südwestfalen-IT betrifft Dutzende Kommunen

Die Südwestfalen IT (SIT), ein IT-Dienstleister, der mehr als 70 Kommunen in Nordrhein-Westfalen und Niedersachsen IT-Infrastruktur und Fachverfahren zur Verfügung stellt, wurde Ende Oktober 2023 Ziel eines Ransomware-Angriffs durch die Hackergruppe AKIRA.

Den Angreifern kamen gleich mehrere Schwachstellen zu pass: ein schwaches Passwort, fehlende Mehrfaktor-Authentifizierung und eine schlecht gewartete VPN-Anwendung. So konnten sie tief in das Netzwerk eindringen und erheblichen Schaden anrichten, indem sie Systeme verschlüsselten und den Zugriff auf wichtige Daten blockierten.

Folgen des Angriffs: Das kommunale Personal konnte auf keines der notwendigen Systeme zugreifen. Sie konnten weder Online-Dienste anbieten, noch lokal Verwaltungsdienste wie Antragsbearbeitung oder Auszahlungen durchführen. Elementare Bereiche wie Finanz-, Standes-, Sozial-, Melde- und Passwesen müssen wiederhergestellt und geprüft werden, zusammen mit der Ursachenforschung entstehen Kosten in Millionenhöhe.

+++ +++ Update 16.04.2025 +++ +++

Besser spät als nie: Das NRW-Digitalministerium möchte dafür sorgen, dass die ca. 430 Kommunen in NRW künftig schnelle Hilfe von Notfallteams bekommen. Man hat daher „Digi-SOS“ ins Leben gerufen, die Experten kommen im Cybernotfall von vier Beratungsgesellschaften (Telekom, Bechtle, Deloitte und Ernst & Young).

+++ +++ Update 13.11.2024 +++ +++

Zwölf Monate nach dem Cyberangriff musste der IT-Dienstleister SIT Mehrkosten von 2,8 Millionen Euro aufwenden, um die 22.000 Arbeitsplätze wieder in den Normalmodus zu bringen. Im nächsten Geschäftsjahr rechnet man demnach mit 6-stelligen Investitionen in noch mehr Cybersecurity-Maßnahmen, um künftig besser gewappnet zu sein.

+++ +++ Update 02.04.2024 +++ +++

Etwa fünf Monate nach der Cyberattacke ist nun eine erste größere Reihe an Fachanwendungen wieder verfügbar. Die angeschlossenen Kommunen können u.a. wieder Personalausweise und Reisepässe ausstellen, oder umgezogene Personen ummelden. Es gibt jedoch weiterhin Einschränkungen – der komplette Wiederaufbau wird voraussichtlich noch bis Herbst 2024 andauern.

Cyberangriff auf den Landkreis Anhalt-Bitterfeld

Im Juli 2021 wurde der Landkreis Anhalt-Bitterfeld von der Hacker-Gruppe „Double-Spider“ attackiert. Die Hacker haben die IT-Systeme mit Ransomware infiziert und die Daten verschlüsselt. Der Landkreis weigerte sich standhaft, das geforderte Lösegeld zu zahlen, und rief stattdessen den bundesweit ersten Cyber-Katastrophenfall aus.

Die Angriffsfolgen: Systeme und Daten mussten wiederhergestellt werden, und die IT-Infrastruktur musste komplett neu aufgebaut werden. Das verursachte Kosten von rund 2,5 Millionen Euro. Der Angriff unterstreicht die Bedeutung einer entschlossenen Reaktion, und zeigt die ernsthaften finanziellen und operationalen Folgen solcher Angriffe.

Empfehlung der Redaktion: Die Podcast-Serie You are fucked – Deutschlands erste Cyberkatastrophe des MDR bereitet den Vorfall interessant und kurzweilig auf.

Bei Ransomware-Attacken standhaft zu bleiben, ist kostspielig und zeitaufwändig.

Die Cyberangriffe verursachten Kosten in Millionenhöhe – Geld, das den knappen kommunalen Kassen anderswo fehlt, und letztlich über Steuereinnahmen finanziert werden muss. Es ist enorm aufwändig, alles neu aufzusetzen: IT-Infrastruktur, Datenrettung sofern überhaupt möglich, und neue Hardware und Software.

Die Reaktionen auf die Angriffe zeigen ein wachsendes Bewusstsein für IT-Sicherheit auf kommunaler Ebene. So finanziert z.B. die Landesregierung von NRW die Schwachstellen-Prüfung von kommunalen Systemen. Mit dem Ziel, das Sicherheitsniveau in allen Kommunen zu erhöhen und kritische kommunale Infrastrukturen besser gegen künftige Angriffe zu schützen – denn die wird es geben.

Besser günstiger vorsorgen: IT-Security Basics einsetzen, wie Mehr-Faktor-Authentifizierung

Dieselben Schwachstellen anderswo zu vermeiden und Einfallstore zu schließen, sollte das Ziel anderer, bislang verschonter Kommunen sein. Der Einsatz von Mehr-Faktor-Authentifizierung ist für IT-Security essenziell. Eigentlich ein gängiger, aber leider nicht überall etablierter IT-Standard. ProSoft empfiehlt hier den Einsatz von Access Management von SecurEnvoy. Damit lassen sich sämtliche Benutzerzugriffe im gesamten Netzwerk effizient verwalten und sichern.

Alternativ kann man auch auf Passwortlose Authentifizierung nach FIDO2-Standard setzen (hier ein aufschlussreicher Blog-Beitrag). Benutzer melden sich dabei via Hardware Token oder durch ein biometrisches Merkmal lokal am Endgerät an.

FAZIT: Aus Fehlern lernen und Resilienz stärken

Die jüngsten Cyberangriffe auf kommunale Verwaltungen sind ein Weckruf für alle Beteiligten. Sie verdeutlichen die Notwendigkeit, mindestens IT-Security Basics einzuführen, und Cyberbedrohungen nicht länger als abstrakt und weit weg wahrzunehmen. 100-prozentige Sicherheit kann leider niemand garantieren, aber proaktive Schritte zur Risikominderung und schnelle Reaktionen auf Vorfälle sind unerlässlich. Sprechen Sie uns an, die ProSoft-Experten beraten Sie gerne unverbindlich.