Stehen Städte und Kommunen besonders im Fokus von Cyberkriminellen?
Kira Groß-Bölting: Kommunen sind eine leichte Beute für Cyberkriminelle. Ihre IT ist häufig schwach abgesichert. Ransomware-Gruppen gehen opportunistisch vor und greifen da an, wo es am leichtesten ist. Hier unterscheiden sich Cyberkriminelle nicht von normalen Einbrechern, die mit Vorliebe in Häuser oder Wohnungen mit einfachen oder fehlenden Schutzmaßnahmen einbrechen. Empathie oder „Schonung“ für öffentliche Einrichtungen sehen wir kaum noch.
Warum erkennen viele IT-Verantwortliche Cyberangriffe auf Städte und Kommunen zu spät?
Jan Leitzgen: Es fehlt an grundlegenden Sicherheitsmaßnahmen: klare Prozesse, Notfallpläne oder Security Awareness unter Mitarbeitenden. Wenn dann eine Phishing-Mail eintrifft oder ein veralteter Dienst offen zum Internet exponiert ist, haben Angreifergruppen leichtes Spiel. Viele Verwaltungen haben zudem kein durchgängiges Loggin- und Monitoring-Konzept. Ereignisse werden nur punktuell geloggt und wichtige Event-IDs fehlen. Damit sind frühe Warnzeichen deutlich schwerer zu erkennen. Dazu kommen schlechte Meldewege. Die Mitarbeitenden wissen im Zweifel nicht, was zu tun ist, wenn sie z. B. auf eine Phishing-Mail hereingefallen sind.
Kira Groß-Bölting: Viele IT-Teams sind oft dünn besetzt. Kommunen mit einem IT-Leiter und einem Auszubildenden sind leider immer noch der Normalfall. Bei so wenig Personal reicht es nur für das Nötigste im Tagesgeschäft. Wichtige Themen wie Prävention, Awareness Trainings und saubere Prozesse fallen oft unter den Tisch.
Was sind typische Angriffsmuster?
Jan Leitzgen: Klassische Einfallstore sind schwache Passwörter, nicht gepatchte Systeme sowie fehlende Zwei-Faktor-Authentifizierung bei VPN-Zugängen. Ein weiteres Sicherheitsrisiko, das sehr verbreitet ist: Nutzt ein IT-Admin ein und dasselbe Passwort für sein persönliches Profil und den Admin-Zugang, die dann auch nicht zusätzlich mit einer Zwei-Faktor-Authentifizierung abgesichert sind, können sich die Täter ungehindert im Netz bewegen, Daten ausleiten und Systeme verschlüsseln.
Kira Groß-Bölting: Wir begegnen immer wieder sehr laschen Passwort-Richtlinien. Beispielsweise die automatische Entsperrung erfolgt nach Zeit X, wenn mehrfach versucht wurde sich mit einem fehlerhaften Passwort anzumelden. Mit der Begründung: „Damit der Helpdesk weniger Tickets hat“. Das ist faktisch eine Einladung für Angreifergruppen. Wenn sie erst einmal im System sind, breiten sie sich lateral im Netzwerk aus. Schwache Passwörter stellen dann kein Hindernis dar.
Welche Fallstricke können bei der Aufarbeitung eines erfolgreichen Angriffs aufkommen?
Jan Leitzgen: Ohne Notfallkonzepte dauert schon die Aufklärung über die aktuelle Lage lange. Zusätzlich bricht die Kommunikation zwischen Außenstellen weg und die IT kämpft parallel mit Krisenkommunikation, Forensik und Wiederaufbau.
Kira Groß-Bölting: Viele unterschätzen die bestehenden Abhängigkeiten. Erst der Vorfall zeigt, welche Dienste miteinander verknüpft sind – vom Identitäts- und Zugriffsmanagement bis zu Fachverfahren. Wer seine Kritikalitäten nicht vorher bewertet hat, priorisiert unter Stress und verliert dabei wertvolle Zeit.
Welche konkreten Auswirkungen hat das auf Verwaltung sowie Bürgerinnen und Bürger?
Jan Leitzgen: Wenn Cyberkriminelle Daten und Systeme verschlüsselt haben, kommt der Geschäftsbetrieb zum Erliegen. Bürgerbüros, Ausweisstellen, Kfz-Zulassungen – nichts funktioniert mehr. Sozialleistungen werden nicht ausgezahlt und die Kommunikation zwischen Fachbereichen bricht ab. Was analog abfangbar ist, hängt am Reifegrad der Vorbereitung ab. Aber ohne vorher definierte Notfall-Prozesse geht wenig.
Kira Groß-Bölting: Wer keine Notfallpläne und keinen Überblick über die Systemlandschaft hat, ist hilflos und verliert wertvolle Zeit. Dabei sind die ersten Stunden besonders wichtig, um etwa einen Notbetrieb vorzubereiten. Dafür muss aber definiert sein, welche Systeme dafür priorisiert benötigt werden. Besonders kritisch ist es, wenn keine klare Kommunikationsstrategie existiert. Ohne einen Notfallplan geraten viele Verwaltungen in einen Panikmodus, den wir den „Headless Chicken Mode“ nennen.
Wie lange dauert es aus eurer Erfahrung, bis eine betroffene Kommune wieder arbeitsfähig ist?
Kira Groß-Bölting: In den ersten Tagen befinden sich IT und Krisenstab im Ausnahmezustand – 12-Stunden-Tage, auch am Wochenende. Bis sukzessive ein stabiler Notbetrieb steht, vergehen in der Regel vier bis sechs Wochen. Erst dann ist eine geregelte Kommunikation wieder möglich und wichtige Verwaltungsleistungen sind wieder abrufbar. Idealerweise sind Identitätsmanagement und Netzwerkbasis dann gehärtet, kritische Fachverfahren eingeschränkt nutzbar. Der Fokus unserer Arbeit liegt im schnellen Wiederanlauf und dem Verhindern von Reinfektionen.
Wann ist der Normalbetrieb wiederhergestellt?
Kira Groß-Bölting: Mit externer Unterstützung schaffen Kommunen den Normalbetrieb nach sechs bis neun Monaten. Dann sind zentrale Projekte umgesetzt und der Notbetrieb abgelöst. Das ist aus unserer Sicht aber noch lange kein Endzustand, sondern eine spürbar gehärtete Basis, auf die weiter aufgebaut werden muss.
JanLeitzgen: „Normalbetrieb“ heißt nicht: Alles ist jetzt sicher. Es bedeutet, dass die ausgenutzten Schwachstellen geschlossen wurden – meist mit überschaubaren Ressourcen. Eine langfristige Steigerung des IT-Sicherheitsniveaus erfordert mehr Budget, mehr Zeit und vor allem mehr Personal. Und genau daran hapert es leider. Hinzu kommt, dass vergaberechtliche Prozesse auf kommunaler Ebene die Verbesserung der IT-Sicherheit zusätzlich bremsen.
Was können Kommunen sofort tun, um ihre IT-Sicherheit zu verbessern – auch mit knappen Mitteln?
Jan Leitzgen: Erstens: Sichtbarkeit schaffen. Ohne Monitoring bleiben verdächtige Aktivitäten unsichtbar. Wer weiß schon, was im eigenen Netzwerk passiert? Tools wie XDR (Extended Detection and Response) oder ein Security Operation Center (SOC) können eine große Hilfe sein – vor allem, wenn externe Dienstleister mit an Bord sind.
Zweitens: Die Reaktionsfähigkeit erhöhen. Ein Notfallplan, also eine Handlungsanleitung für den Ernstfall, hilft enorm. Es muss nicht perfekt sein, aber realistisch: Wer macht was, wenn jemand auf einen Phishing-Link klickt? Welche Accounts müssen sofort gesperrt werden? Wer informiert wen? Und das Wichtigste: Wer darf welche Entscheidungen treffen?
Drittens: Passwörter und Perimeter prüfen. Exponierte Dienste sollten zwingend mit einer Zwei-Faktor-Authentifizierung abgesichert sein. Schwache Passwörter gehören abgeschafft – auch wenn das unbequem ist. Es geht hier nicht um „gängeln“, sondern um das digitale Überleben.
Kira Groß-Bölting: Ergänzend: Passwort-Richtlinien mit Vorgaben der Länge und Komplexität verbindlich einführen und privilegierte Konten besonders schützen. Normale Tätigkeiten wie z. B. E-Mails abrufen müssen nicht mit administrativen Berechtigungen erfolgen. Und nicht zuletzt sollte jeder Login einer Person zugeordnet sein – so bleiben Änderungen nachvollziehbar, was mit einem Login, den sich mehrere Personen teilen, nicht gegeben wäre. Zudem sollten externe Zugänge mit einem automatischen Lock-Out versehen sein, der die Anmeldung nach einer definierten Anzahl von Fehlversuchen (falschen Passworteingaben) für eine gewisse Zeit blockiert. Das sind günstige, sofort wirksame Stellschrauben.
Was ratet Ihr Kommunen, die wenig Personal haben und trotzdem etwas bewegen wollen?
Kira Groß-Bölting: Priorisieren und Auslagern ist mein Rat. Mit einem verlässlichen Dienstleister und dem passenden Angebot wie etwa Managed Extended Detection and Response, ein gemanagtes SOC oder Incident-Response-Retainern gewinnen kommunale Organisationen 24/7-Detektion, Forensik-Know-how und Entlastung im Wiederanlauf. Parallel schaffen sie intern Klarheit: Was ist kritisch? Welche Services müssen zuerst laufen? Im Anschluss müssen sie diese Maßnahmen in eine realistische Roadmap gießen. Dabei empfehle ich lieber drei robuste Schritte als zehn halbfertige.
Jan Leitzgen: Sie sollten sich Hilfe holen und mit dem Machbaren anfangen. Es geht nicht darum, morgen alles perfekt zu machen. Es geht darum, den ersten Schritt zu gehen. Wer seine größten Schwachstellen kennt und einen Plan hat, bewegt sich vom reaktiven Krisenmodus hin zur souveränen Sicherheitskultur. Und ja, auch das geht im öffentlichen Sektor. Starten sollten die Verantwortlichen mit einem Infrastruktur-Assessment: Inventarisieren, Abhängigkeiten verstehen und Quick-Wins heben. Das bringt Ordnung in „gewachsene“ Umgebungen und liefert die Grundlage für Segmentierung, Patch-Priorisierung und saubere Prozesse.
Kira Groß-Bölting begleitet Unternehmen, Behörden und Organisationen durch akute Cyberattacken. Seit 2016 verstärkte sie das Team von G DATA Advanced Analytics GmbH. Seit 2022 bringt sie als stellvertretende Teamleitung im G DATA CSIRT (Computer Security Incident Response Team) sowie als Incident Managerin, Expertise und pragmatische Lösungen in jedes Projekt ein. Ihr Fokus: Krisen effektiv bewältigen, Handlungsfähigkeit wiederherstellen und nachhaltig Cyber-Resilienz stärken.
Jan Leitzgen ist IT-Security Consultant bei der G DATA Advanced Analytics GmbH. Seit 2024 arbeitet er im Unternehmen, nachdem er zuvor knapp 10 Jahre lang als IT-Administrator im Krankenhaus tätig war. Nun besteht sein Aufgabenbereich darin, Unternehmen dabei zu unterstützen ihre IT-Sicherheitsstrukturen zu optimieren, um auf mögliche Cyberangriffe reagieren zu können. Dabei spielt der Aufbau technischer und organisatorischer Grundlagen eine zentrale Rolle, um im Falle eines solchen Szenarios eine effektive forensische Analyse sicherstellen zu können. Parallel dazu studiert er seit 2023 berufsbegleitend Cybersecurity Management.
