Donnerstag, 4. September 2025

InterviewAngriffe wird es immer geben

[10.07.2024] Öffentliche Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen und staatlich gelenkten Hackern. Kommune21 sprach mit regio-iT-Geschäftsführer Stefan Wolf, wie Städte und Gemeinden den Gefahren begegnen können.
Dr. Stefan Wolf

Dr. Stefan Wolf, regio-iT-Geschäftsführer

(Bildquelle: regio iT GmbH)

Herr Dr. Wolf, welche IT-Sicherheitsbedrohungen sehen Sie derzeit als die größten Herausforderungen für öffentliche Einrichtungen? Laut dem aktuellen Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik bleibt Ransomware die größte Herausforderung. Die Angriffsvektoren haben sich nicht wesentlich geändert: Phishing, das Ausnutzen von Schwachstellen und zunehmend die Nutzung von User-IDs aus Datenlecks. Diese Bedrohungen beschäftigen uns massiv. Hinzu kommt, dass Angreifer zunehmend KI-Tools einsetzen, um Angriffe mit einem hohen Automatisierungsgrad durchzuführen. Das bedeutet, dass wir noch stärker in die Erkennung und Reaktion auf Angriffe investieren müssen. regio iT hat ein Computer Emergency Response Team, KomCERT, ins Leben gerufen. Welche Aufgaben und Ziele hat das KomCERT? Das KomCERT wurde bereits 2017 gegründet, zunächst als Informationsdrehscheibe für unsere Kunden zu Bedrohungslagen und Sicherheitsvorfällen. In den vergangenen Jahren hat sich der Fokus verändert. Heute steht die Beratung im Vordergrund: Security Assessments, Beratung zu neuen Technologien und Unterstützung bei Sicherheitsvorfällen – von Phishing-Mails bis hin zu Vor-Ort-Einsätzen bei erfolgreichen Angriffen. Daneben bieten wir klassische Dienstleistungen wie den Warn- und Informationsdienst und die Vernetzung mit dem BundesCERT und den LandesCERT an. Stellen wir uns einen konkreten Fall vor. Ein IT-Verantwortlicher einer Kommune oder einer Schule stellt fest, dass alle Daten auf den Servern von unbekannten Angreifern verschlüsselt wurden. Was sind die ersten Schritte, die er unternehmen sollte? Die ersten Schritte hängen vom Status des Angriffs ab. Ist der Angriff noch im Gange, sollten Internet-Verbindungen und externe Zugänge sofort unterbrochen und die Systeme in einen sicheren Modus gebracht oder heruntergefahren werden. Ist der Angriff bereits erfolgt, muss eine gründliche forensische Analyse durchgeführt werden, um das Ausmaß und den Status des Angriffs festzustellen. Parallel dazu müssen die weiteren Schritte eingeleitet werden, wie etwa das Einberufen eines Krisenstabs und die Kommunikation nach innen und außen. Wie funktioniert die Koordination der Krisenkommunikation? Das ist ein sehr schwieriges Feld, weil die Betroffenen im ersten Moment unter Schock stehen und guter Rat teuer werden kann, wenn man ohne kompetenten Partner unterwegs ist. Die Krisenkommunikation muss nach innen und nach außen erfolgen. Wichtig ist eine Erstinformation der Betroffenen und der Öffentlichkeit sowie intern an die Mitarbeitenden. Diese kann zunächst rudimentär sein: Was ist passiert, wer ist direkt und indirekt betroffen, wie ist das Ausmaß des Schadens und welche nächsten Schritte sind geplant. „Für die Mehrzahl der Kommunen können wir das Sicherheitsniveau deutlich verbessern.“ Wie wichtig ist in solchen Fällen die Zusammenarbeit mit der Polizei? Wir empfehlen, sofort die Ermittlungsbehörden einzuschalten, da es sich bei Cyber-Angriffen um Straftaten handelt und die Polizei mit Rat und Tat zur Seite steht. Sie verfügt über Spezialeinheiten zur Cyber-Abwehr und für Verhandlungen mit Ransomware-Tätern. Die Ermittlungsbehörden, insbesondere in Nordrhein-Westfalen, sind gut vorbereitet und haben mittlerweile große Erfahrung und Kompetenz in diesem Bereich. Welche technischen Maßnahmen werden getroffen, um Daten nach einem Angriff zu retten? Zunächst muss eine forensische Analyse durchgeführt werden, um das Ausmaß des Schadens festzustellen. Es sollten mehrere forensische Werkzeuge mit einem Vier-Augen-Prinzip eingesetzt werden, um eine größtmögliche Sicherheit über den Schaden und die Wiederanlaufmöglichkeiten zu erhalten. Diese Analysen sind oft sehr langwierig und umfangreich. Was ist zu tun, um zum Normalbetrieb zurückzukehren? Die Rückkehr zum Regelbetrieb erfordert einen klaren Wiederanlaufplan. Es muss genau überlegt werden, in welcher Reihenfolge und mit welcher Priorität die Systeme wieder hochgefahren werden sollen. Dabei spielen technische Möglichkeiten wie abgeschottete Bereiche oder die Unterstützung durch Hard- und Software-Hersteller eine Rolle. Auch die Menge der wiederherzustellenden Daten hat einen großen Einfluss auf den Wiederanlaufprozess. Welche Schulungs- und Sensibilisierungsmaßnahmen können Sie empfehlen, um Angriffen vorzubeugen? Cybersecurity sollte in die Regelkommunikation jeder Organisation integriert werden, ähnlich wie Arbeitssicherheit und betriebliches Gesundheitsmanagement. Regelmäßige Awareness-Veranstaltungen für Mitarbeitende und technische Schulungen für IT-Mitarbeitende sind unerlässlich. Dazu gehört auch die regelmäßige Information über aktuelle Phishing-Kampagnen. Was raten Sie betroffenen Institutionen im Umgang mit Lösegeldforderungen? Im öffentlich-rechtlichen Bereich halte ich Lösegeldzahlungen für kaum vorstellbar. Im privatrechtlichen Bereich mag es Fälle geben, in denen die Abwägung zwischen Schaden und Lösegeld zu einer Zahlung führt. Wir empfehlen aber immer, die Ermittlungsbehörden einzubeziehen, da viele Lösegeldzahlungen nicht zu einer effektiven Entschlüsselung der Systeme führen. Welche Maßnahmen sollten öffentliche Einrichtungen ergreifen, um sich besser gegen Cyber-Angriffe zu schützen? Eine grundlegende Cyber-Hygiene ist notwendig: Passwort-Management, Sicherung externer Zugänge, regelmäßige Schwachstellen-Scans und aktuelles Patch-Management. Diese Maßnahmen können das Sicherheitsniveau deutlich erhöhen. Wie sieht ein gutes Back-up-Management aus, um Daten im Falle eines Angriffs zu schützen? Ein gutes Back-up-Management sollte dem 3-2-1-Prinzip folgen: drei Kopien auf zwei verschiedenen Medien, eine davon ausgelagert. Zusätzlich empfehle ich so genannte Cybervaults, das sind abgekoppelte Umgebungen, die Back-ups enthalten und nicht manipulierbar sind. Diese Back-up-Tresore sollten nur einem begrenzten Personenkreis zugänglich sein. Welche Technologien und Konzepte können zur Erhöhung der Cyber-Sicherheit beitragen? KI-basierte Lösungen wie Extended Detection and Response (XDR) sind bereits heute unverzichtbar. Sie helfen, Anomalien zu erkennen und automatisiert auf Angriffe zu reagieren. Auch Logfile-Analysen durch KI werden immer wichtiger, da Menschen diese komplexen Datenstrukturen nicht alleine bewältigen können. Wie können Kommunen von der Zusammenarbeit mit regio iT und dem KomCERT profitieren? Neben den Notfalldienstleistungen des KomCERT bieten wir eine Reihe von Präventions- und Detektionsprodukten an, die vor Ort eingesetzt werden können. KomCERT unterstützt auch bei individuellen Security Assessments und der Entwicklung von Notfallkonzepten. Unser großes Netzwerk bietet zusätzliche Unterstützung und Ressourcen. Cyber-Angriffe werden auch von staatlichen Hackern durchgeführt. Ist das eine neue Qualität der Bedrohung? Ja, staatlich gelenkte Angreifer sind oft sehr unauffällig und nutzen Techniken zur Spurenverwischung, die ihre Erkennung erschweren. Die Qualität der Angriffe hat zugenommen und es gibt eine Art Fresskette in der Internet-Kriminalität, bei der Schwachstellen mehrfach ausgenutzt werden. Die einzige Möglichkeit, dem entgegenzuwirken, besteht darin, die Reaktionszeit auf ein Minimum zu reduzieren und sich ernsthaft auf den Ernstfall vorzubereiten. Sehen Sie bei den Kommunen ein Bewusstsein für diese Gefahren, insbesondere für staatliche Cyber-Angriffe? Das Bewusstsein wird immer mehr geschärft. In politischen Ausschüssen und Veranstaltungen erleben wir immer wieder den Aha-Effekt. Polizei und Landespolizei informieren und sensibilisieren regelmäßig. Die Kommunen müssen schneller reagieren, denn sie sind Teil der Kritischen Infrastruktur und stehen zunehmend im Fokus der Angreifer. Es gab krasse Fälle, wo Gemeinden wochenlang lahmgelegt waren. Wie optimistisch sind Sie, dass sich solche Fälle nicht wiederholen? Angriffe wird es immer geben, denn die Intensität der Angriffe nimmt nicht ab. Aber ich bin optimistisch, dass wir mit den richtigen technischen Maßnahmen viele Angriffe erfolgreich abwehren oder schnell erkennen und reagieren können. Bei staatlich gelenkten Akteuren mit großen Ressourcen wird es schwieriger, aber für die Mehrzahl der Kommunen können wir das Sicherheitsniveau deutlich verbessern.

Interview: Alexander Schaeff

Dr. Wolf, StefanDr. Stefan Wolf ist seit Oktober 2022 Geschäftsführer des kommunalen IT-Dienstleisters regio iT mit Sitz in Aachen. Der Betriebswirtschaftler und Wirtschaftsinformatiker Wolf war über viele Jahre in unterschiedlichen Führungsfunktionen im Bereich der Informationstechnologie tätig, zuletzt als Geschäftsführer der Informationsverarbeitung Leverkusen GmbH (ivl).



Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Ein Rettungsschwimmring liegt auf einer Computertastatur.

ITEBO: Cloudbasierter Notfallarbeitsplatz

[01.09.2025] Kommunen können nun einen Notfallarbeitsplatz bei IT-Dienstleister ITEBO einrichten. Sollte die Verwaltung einmal von einem Cyberangriff betroffen sein, kann sie über die cloudbasierte Lösung innerhalb kurzer Zeit ihre Erreichbarkeit wiederherstellen. mehr...

Datenschutz: Know-how für die KI-Planungsphase

[29.08.2025] Der Beauftragte für den Datenschutz des Landes Niedersachsen führt regelmäßig Schulungen zu aktuellen Datenschutzthemen durch. Neu im Programm ist eine Fortbildung über den KI-Einsatz in der öffentlichen Verwaltung. mehr...

Logo des 7. CyberSicherheitsForums

CyberSicherheitsForum 2025: Global denken, vor Ort handeln

[28.08.2025] Wie sicher sind wir in der Welt vernetzt? Was können wir global mitnehmen, um unsere digitale Welt hier vor Ort sicherer zu machen? Diese und weitere Fragen können mit Expertinnen und Experten im November beim siebten CyberSicherheitsForum in Stuttgart diskutiert werden. mehr...

Mehrere Personen stehen nebeneinander in einem Raum, zwei davon halten ein Dokument in den Händen.

Würzburg: Siegel bescheinigt IT-Sicherheit

[26.08.2025] Würzburg ist vom Bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) mit dem Siegel Kommunale IT-Sicherheit ausgezeichnet worden. Es bescheinigt der Stadtverwaltung, dass sie angemessene Maßnahmen zur IT-Sicherheit umgesetzt hat. mehr...

Verschwommen im Hintergrund die Nahaufnahme eines Laptops, über dessen Tastatur eine leuchtende digitale Vorhängeschloss-Schnittstelle schwebt.

V-PKI-Zertifikate: Neues Antragsportal der SIT

[25.08.2025] Als nachgeordnete Zertifzierungsstelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt die Südwestfalen-IT Zertifikate zur Absicherung der digitalen Kommunikationswege und -Plattformen von öffentlichen Verwaltung aus. Das entsprechende Antragsportal hat die SIT nun einem Relaunch unterzogen. mehr...

Das Bundeskabinett an einem langgestreckten ovalen Holztisch während einer Sitzung.

Bundesregierung: NIS2-Richtlinie beschlossen

[31.07.2025] Das Kabinett hat den Gesetzentwurf zur Umsetzung der NIS2-Richtlinie beschlossen. Damit gelten künftig für deutlich mehr Unternehmen als bisher gesetzliche Pflichten zur Stärkung der Cybersicherheit, zudem erhält das BSI neue Befugnisse für Aufsicht und Unterstützung. mehr...

Drei Personen stehen in einem Raum nebeneinander und halten gemeinsam ein großes Dokument in die Kamera.

Monheim am Rhein: TÜV bestätigt IT-Sicherheit

[23.07.2025] Das Informationssicherheits-Managementsystem der Stadt Monheim und ihrer Bahnen ist erneut mit dem Prüfsiegel ISO/IEC 27001:2022 zertifiziert worden. Das von TÜV Rheinland ausgestellte Zertifikat bescheinigt, dass sicherheitsrelevante Prozesse dokumentiert, geprüft und kontinuierlich verbessert werden. mehr...

Eine Reihe von roten und blauen Bauklötzen oder Dominosteinen, die blauen Steine sind im Begriff, umzufallen.

Dataport: Red Team für Cybersicherheit

[10.07.2025] Dataport setzt künftig auf Red Teaming – umfassende Angriffssimulationen, welche die IT-Sicherheitsmechanismen realistisch auf die Probe stellen. Der IT-Dienstleister will damit das eigene Sicherheitsniveau und die Sicherheit der Kunden und Trägerländer erhöhen. mehr...

Blick ins Auditorium Fachveranstaltung "Cyberangriffe auf Kommunen"

Fachtagung: Auf Cyberangriffe vorbereitet

[30.06.2025] Über 160 Teilnehmende aus saarländischen Städten, Gemeinden und Landkreisen tauschten sich auf der Fachveranstaltung „Cyberangriffe auf Kommunen“ über die akute Bedrohung durch Cyberkriminalität und praxistaugliche Schutzmaßnahmen aus. mehr...

Symbolbild IT-Sicherheit: Leicht unscharfes, kontrastarmes Foto eines überladenen schreibtischs mit Brille, Tablet, Kaffeetasse und Papieren, darübergelegt Icon eines Vorhängeschlosses und Platinen-ähnliche Muster.

LSI Bayern: Neues Sicherheitssiegel für Kommunen

[11.06.2025] Das LSI Bayern hat Version 4.0 des IT-Sicherheits-Siegels für Kommunen veröffentlicht. Neu sind Vorgaben zu KI, mobiler Sicherheit und Online-Backups. Der ergänzende Baustein IT-Resilienz hilft Kommunen bei der systematischen Selbsteinschätzung. mehr...

Kreis Regensburg: 17 Kommunen erhalten Siegel für IT-Sicherheit

[10.06.2025] 17 Kommunen im Zweckverband Realsteuerstelle Regensburg sind jetzt vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) mit dem Siegel „Kommunale IT-Sicherheit“ ausgezeichnet worden. mehr...

Print-Ausgabe des CSBW-Jahresberichts 2024, die schräg auf einer grauen Oberfläche liegt.

Baden-Württemberg: Jahresbericht zur Cybersicherheit 2024

[22.05.2025] Die CSBW hat 2024 rund 30 Prozent mehr IT-Sicherheitsvorfälle bearbeitet. Kommunen wurden ähnlich häufig unterstützt wie im Vorjahr, neue Präventionsangebote, Notfallübungen und ein Schwachstellenscan richten sich teils gezielt an sie. mehr...

Datenschutz: Hilfestellung für Behörden

[12.05.2025] In der kommunalen Praxis gibt es beim Thema Datenschutz noch immer Rechtsunsicherheiten. Die Konferenz der Datenschutzaufsichtsbehörden von Bund und Ländern hat eine Orientierungshilfe für Behörden erarbeitet, die (EfA-)Onlinedienste betreiben oder nutzen. mehr...

Marktgemeinde Röhrnbach mit LSI-Siegel ausgezeichnet

Röhrnbach: Siegel für IT-Sicherheit

[06.05.2025] Die niederbayerische Marktgemeinde Röhrnbach hat für nachhaltige IT-Sicherheit gesorgt und ist dafür vom Landesamt für Sicherheit in der Informationstechnik (LSI) ausgezeichnet worden. mehr...

Die IT-Notfallausrüstung ausgepackt auf dem Transportkoffer.

CSBW: Schnell handlungsfähig im IT-Notfall

[22.04.2025] Ohne funktionierende IT-Ausstattung ist die Bewältigung eines Cyberangriffs kaum zu schaffen. Um die Handlungs- und technische Kommunikationsfähigkeit von Verwaltungen zu sichern, bietet die Cybersicherheitsagentur Baden-Württemberg (CSBW) nun eine mobile IT-Notfall-Ausrüstung an. mehr...