IT-Sicherheit: Kommunales CERT

Einführung eines kommunalen CERTs (Computer Emergency Response Team)

Vor dem Hintergrund der zunehmenden Digitalisierung in der öffentlichen Verwaltung und der bestehenden Gefährdungslage für die Informationstechnik in Deutschland kommt der Informationssicherheit eine immer stärkere Bedeutung zu. Mit der Einführung eines kommunalen CERTs (Computer Emergency Response Team) wollen die kommunalen Spitzenverbände in Rheinland-Pfalz eine Kopfstelle etablieren, die sich gemeinsam mit dem CERT-rlp (dem CERT des Landes) um Sicherheitsvorfälle in den Kommunen kümmert. Zudem sollen die Informationen des Warn- und Informationsdienstes des Landes auch für alle Kommunen erschlossen werden.

Die jüngsten Vorfälle in den Kommunalverwaltungen in Rheinland-Pfalz zeigen, dass wir dieses Thema nicht auf die lange Bank schieben können, sondern alle Beteiligten kurzfristig zum Handeln gezwungen sind.
In den letzten Monaten ist der KommWis fast in jeder Woche ein Sicherheitsvorfall von einer Kommune in unserem Bundesland angezeigt worden. Die größte Bedrohung geht derzeit von sog. Ransomware aus. So werden Schadprogramme bezeichnet, die den Zugang zum Computer und mobilen Geräten verhindern oder darauf gespeicherte Daten verschlüsseln. Benutzer erhalten eine Nachricht, mit der Aufforderung, eine bestimmte Lösegeldsumme zu bezahlen, verbunden mit dem Hinweis, dass bei Nichtbezahlen die Dateien verschlüsselt bleiben. Die Bezahlung des Lösegelds soll dann über digitale Zahlungsdienste oder eine anonyme Überweisung ins Ausland geschehen.

Üblicherweise werden alle Daten verschlüsselt, auf die der infizierte Client Zugriff hat. Also neben den lokal gespeicherten Daten auch solche auf zugänglichen Netzlaufwerken oder eingebundenen Cloud-Diensten. Die verschlüsselten Daten stehen (auch nach Bereinigung des Schadprogramms) nicht mehr zur Verfügung. Für die Verschlüsselung werden als sicher anzusehende Algorithmen eingesetzt.

Eine Wiederherstellung der Daten und Systeme ohne Lösegeldzahlung setzt voraus, dass im Vorfeld organisierte Datensicherungen erfolgreich wieder eingespielt werden können.

Aus der Sicht von Kriminellen haben Cyber-Angriffe mittels Ransomware den Vorteil, dass weder der Infektionsweg noch die Zahlung (per anonymen Zahlungsmitteln wie Bitcoin oder Guthaben- und Bezahlkarten) kaum bis zu ihnen zurückzuverfolgen sind. Die Kriminalpolizei rät dringend von der Zahlung eines Lösegeldes ab, weil Zahlende meist erneut Opfer von ähnlichen Attacken werden.

Seit Dezember 2015 beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) große Spam-Wellen, über die massenhaft Ransomware verteilt wird.

Die Auswirkungen der Spam-Wellen lassen sich auch anhand der dem BSI vorliegenden Detektionszahlen für Deutschland nachvollziehen. Gegenüber Oktober 2015 wurde im Februar 2016 mehr als 10- mal so häufig Ransomware durch Virenschutzprogramme in Deutschland detektiert. Aber auch weltweit stieg die Anzahl der Detektionen um den Faktor 6 an.
Bei den kommunalen Vorfallsmeldungen an die KommWis konnten wir häufg feststellen, dass eine Beratung zu angemessenen präventiven und reaktiven Maßnahmen gesucht wurde. Auch die Vermittlung von Kontakten zu anderen betroffenen Kommunen wurde vielfach als hilfreich bezeichnet.

Das Schadensausmaß ist erheblich davon abhängig, wie die betroffene Organisationseinheit technisch und organisatorisch vorbereitet ist. Selbst wenn Präventionsmaßnahmen nicht gegriffen haben und eine Störung sich nicht abwenden ließ, kann eine gute Bewältigungsstrategie den Schaden erheblich begrenzen.

Die Vorfälle in den letzten Monaten zeigen, dass der Befall mit Schadprogrammen die gesamte Verwaltungseinheit oft mehrere Tage lahm gelegt hatte. Ein funktionierendes Informationssicherheitsmanagement ist auch vor diesem Hintergrund unabdingbar.

Auf eine weitere Abhängigkeit wollen wir an dieser Stelle noch eingehen. Alle Kommunen und Landesbehörden sind über das Kommunalnetz und über das staatliche rlp- Netz verbunden. Jede Kommune kann damit die zentralen Fachverfahren und die zentralen Kommunikationsdienste oder auch den zentralen Internet-Übergang im LDI in Anspruch nehmen. Ein Netzverbund ist aber immer nur so stark wie sein schwächstes Mitglied. Wir müssen uns in dieser Gemeinschaft untereinander organisieren und einen Verhaltenscodex miteinander abstimmen.

Der Hackerangriff im letzten Jahr im Bereich der Anwendung Kfz-Wunschkennzeichen belegte sehr deutlich, wie wichtig es ist, organisatorisch und strukturell in der Lage zu sein, Großereignisse (ein gleichzeitiger Angriff auf viele Verwaltungseinheiten, eine gleichzeitige Betroffenheit von Virenattacken usw.) zu stemmen. Es ist ein Koordinator erforderlich, der bei solchen Vorfällen die Meldungen analysiert, auswertet und ggf.Vorschläge für reaktive Maßnahmen verteilt. Über eine abgestimmte Kommunikationsbasis müssen die Sicherheitsverantwortlichen in den Kommunen erreicht und unterrichtet werden, um ein Lagebild oder Handlungsvorschläge zu vermitteln, aber auch beispielsweise abgestimmte Pressemeldungen zu verteilen. Sowohl die schnelle und enge Kommunikation mit der Staatsanwaltschaft und polizeilichen Ermittlungskräfte als auch die Einleitung forensischer Maßnahmen kann im Einzelfall entscheidend sein.

Ein weiterer Gesichtspunkt sollte auch bei allen IT-Verantwortlichen unbedingt immer wieder in die Überlegungen einfließen. Es kann heutzutage jede Verwaltung einen Sicherheitsvorfall erleiden. Falsch ist es, die Behandlung des Vorfalles, die Untersuchung der Auswirkungen oder auch die Unterrichtung anderer Stellen zu verschieben oder zu unterlassen. Ehrlichkeit und Offenheit gegenüber den anderen Verwaltungseinheiten im Land sind unerlässlich. Nur bei einer Unterrichtung über ein Problem kann vielleicht eine Nachbarverwaltung vor dem gleichen Vorfall bewahrt werden. Wir müssen in dieser Hinsicht zu einer Kommunikationsgemeinschaft zusammenwachsen.

Das Land hat sich hier in den letzten Jahren schon organisatorisch aufgestellt und das CERT-rlp ins Leben gerufen. Das CERT-rlp fungiert als Landeskopfstelle. Es betreibt einen Warn- und Informationsdienst und unterrichtet die obersten Landesbehörden über Schwachstellen und bekannte Sicherheitsprobleme.

Im vom Land geförderten Projekt „Informationssicherheit bei den Kommunalverwaltungen in Rheinland-Pfalz“ fällt auch den Planungen für den Aufbau eines kommunalen CERT (CERT-Kommunal) eine zentrale Rolle zu. Gemeinsam mit der IT-Zentralstelle im Innenministerium wurde von der KommWis ein erstes Umsetzungsmodell entwickelt. Im Kern soll in den nächsten Jahren ein mehrstufiges Konzept greifen.

Es ist beabsichtigt, in der ersten Umsetzungsstufe den Warn- und Informationsdienst des Landes auch für Kommunen zu öffnen. Alle kommunalen Verwaltungseinheiten können dann die Warn- und Angriffsmeldungen des CERT-rlp abrufen. Zudem ist geplant, in der KommWis eine IT-Sicherheitszentrale als Kopfstelle des CERT-Kommunal einzurichten. Über diese Kopfstelle können die Kommunen genauso wie die obersten Landesbehörden in die bestehende Gesamtstruktur des CERTrlp eingebunden werden. Die Kopfstelle bündelt die kommunalen Interessen in der strategischen und operativen Zusammenarbeit mit dem CERT-rlp. Die Verantwortung für die Umsetzung der vorbeugenden Handlungsempfehlungen des Warn- und Informationsdiensts verbleibt jeweils in den Kommunalverwaltungen. Bei Eintreten von IT-Sicherheitsvorfällen, die auch Auswirkungen auf andere Verwaltungen oder die landesweite IT-Infrastruktur haben können, übernimmt die kommunale Kopfstelle die Koordination der reaktiven Maßnahmen in enger Abstimmung mit den lokalen Ansprechpartnern und, falls erforderlich, dem CERT-rlp.
Ab dem 01.04.2018 soll die zweite Stufe des CERT-Kommunal umgesetzt werden. Darin soll eine zentrale Fachverfahrensdatenbank aufgebaut werden, in der die wichtigsten kommunalen Fachverfahren sowie deren technische Betriebsparameter erfasst und dokumentiert sind. Die Fachverfahrenshersteller sollen Fortentwicklungen und Änderungen an diese Datenbank melden. Zu allen Fachverfahren soll festgehalten werden, welche Kommunen das jeweilige Verfahren einsetzen. Zeigt sich eine Schwachstelle bei einem verwendeten Softwarebaustein in einem dieser Fachverfahren, dann werden die betroffenen Kommunen präventiv informiert, damit sie sich kurzfristig Softwareaktualisierungen nachziehen können. Des Weiteren soll untersucht werden, ob durch die Einrichtung von Sensoren im Kommunalnetz Rheinland-Pfalz die Informationssicherheit in der kommunalen Familie erhöht werden kann.

Das CERT-rlp betreibt bereits heute im LDI am zentralen Internet-Übergang derartige Sensoren. Sie analysieren den Datenverkehr und bemerken Auffälligkeiten in der Kommunikation. Wird von innen der Kontakt zu einer infizierten Webseite hergestellt (z.B. wenn ein bereits infiziertes System versucht, Schadsoftware über einen Virenserver nachzuladen), unterrichtet die Software sofort die betroffene Verwaltungseinheit. Bereits in den letzten Monaten hat der LDI Kommunen, die über diesen Internet-Übergang arbeiten, über Infekte auf den eigenen Systemen unterrichtet.

Die Vorstände der kommunalen Spitzenverbände sehen in der Sicherstellung der Informationssicherheit in den Kommunen eine Priorität. Sie empfehlen die Errichtung eines CERT-Kommunal durch die KommWis. Zudem empfehlen die Vorstände allen Mitgliedskommunen, in ihren Verwaltungen ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen und die notwendigen Ressourcen und Personal dafür einzuplanen. Dazu ist auch die Ernennung eines Informationssicherheitsbeauftragten (ISB) sinnvoll und notwendig. Zur Unterstützung beim Aufbau eines ISMS bietet die KommWis im Rahmen des Projektes „Informationssicherheit bei den Kommunalverwaltungen in Rheinland-Pfalz“ einen Baukasten mit Arbeitsmitteln für die Umsetzung an (z.B. Musterdienstanweisungen, Unterlagen für die Mitarbeitersensibilisierung usw.). Dieser Baukasten kann kostenfrei von allen Mitgliedern genutzt werden.

Herbert Benz, KommWis, Gesellschaft für Kommunikation und Wissenstransfer mbH
Margot Heimfahrth, KommWis, Gesellschaft für Kommunikation und Wissenstransfer mbH

Wir nutzen Cookies, um Ihre Online-Erfahrung zu verbessern und um Ihnen Inhalte und Angebote vorzustellen, die Ihren Interessen entsprechen. Indem Sie unsere Homepage nutzen, akzeptieren Sie die Verwendung von Cookies. Weitere Informationen zu Datenschutz und Cookies können Sie unserer Datenschutzerklärung entnehmen.
ok