IT-Sicherheit
Cyber Defense Center – IT-Sicherheit: Sachsen-Anhalt und Schleswig-Holstein wappnen Kommunen
Die Lage der IT-Sicherheit in Deutschland gilt angesichts zunehmender Bedrohungen als äußerst kritisch. Immer häufiger sind auch Kommunen betroffen, das haben zahlreiche Angriffe in jüngster Zeit bewiesen. Sachsen-Anhalt und Schleswig-Holstein haben mit Dataport eine Kooperation geschlossen, um Kommunen und Landkreise besser gegen Cyberangriffe zu wappnen. Thorsten Witte, Leiter des Cyber Defense Center bei Dataport, erklärt die Hintergründe.
Dataport hat zwei Multiländerverträge mit Schleswig-Holstein und Sachsen-Anhalt geschlossen, um die Cybersicherheit in Kommunen zu verbessern. Was ist Gegenstand dieser Vereinbarung?
Einerseits erweitern wir die bestehenden Leistungen des CERT Nord (Computer Emergency Response Team, Anmerkung der Redaktion). Das CERT Nord ist bei Dataport angesiedelt und erstellt ein Bild der aktuellen Sicherheitslage. Dazu gehören Informationen zu Bedrohungen, Sicherheitslücken und Schwachstellen in IT-Systemen. Das CERT Nord bewertet diese und gibt Handlungsempfehlungen. Bislang war diese Leistung rein auf die Landesverwaltungen unserer Trägerländer fokussiert und wird jetzt auf den kommunalen Bereich der Länder Schleswig-Holstein und Sachsen-Anhalt ausgeweitet. Kommunalverwaltungen erhalten künftig Meldungen und Empfehlungen vom CERT und werden fachkundig beraten. Andererseits ergänzen wir diese Leistung um einen Incident Response Service für Landes- und Kommunaleinrichtungen. Wird zum Beispiel eine Kommune angegriffen oder besteht der Verdacht einer Cyber-Attacke, können uns die betroffenen Einrichtungen kontaktieren, sodass wir bei Analyse und Abwehr des Sicherheitsvorfalls helfen können.
Wie kam es zu der Kooperation zwischen den beiden Bundesländern?
Als IT-Dienstleister für die öffentliche Verwaltung ist es unser Anspruch, die länderübergreifende Zusammenarbeit zwischen unseren Trägern aktiv zu fördern. Seit Anfang 2024 haben wir mit Sachsen-Anhalt einen entsprechenden Service erarbeitet. Als dann Schleswig-Holstein im Rahmen seiner Sicherheitsoffensive einen ähnlichen Bedarf hatte, haben wir die Chance genutzt, beide Länder zusammenzubringen. Kooperationen wie diese steigern den Mehrwert für alle Beteiligten.
Welche Vorteile ergeben sich dadurch?
Länder und Kommunen erhalten bei einem Sicherheitsvorfall – oder bei einem Verdacht darauf – schnell und unkompliziert fachspezifische Unterstützung. Bisher ist es oft so, dass zum Beispiel bei Cyber-Angriffen erst Vergaben durchgeführt und mitunter teure Dienstleister beauftragt werden müssen. Das führt nicht nur zu Verzögerungen, sondern im schlechtesten Fall auch zu einer Verschlimmerung der Lage, weil nicht rechtzeitig reagiert wird. Darüber hinaus profitieren unsere Träger durch die Zusammenarbeit, weil sie sich die Kosten für die Leistungen des CERT teilen können.
Was wäre ein beispielhaftes Szenario, bei dem der Incident Response Service ins Spiel kommt?
Ein Szenario wäre, dass eine öffentliche Einrichtung plötzlich ein seltsames Verhalten feststellt. Das kann sein, dass ein Webserver sehr langsam und stark ausgelastet ist. Oder dass ein Virenschutzprogramm Alarm schlägt. Oder man sieht, dass sich Nutzer-Accounts zu Zeiten anmelden, zu denen sonst niemand arbeitet. Solange die betroffene Einrichtung noch ans Internet angeschlossen ist, kann unser Incident Response Team Unterstützung bei der Analyse des Vorfalls leisten. Sollten wir feststellen, dass man aus der Ferne nichts mehr tun kann, übernimmt ein spezialisierter Dienstleister. Dieser ist innerhalb von 24 Stunden vor Ort.
Welche Anforderungen müssen diese Dienstleister erfüllen?
Zunächst muss der Dienstleister in der Lage sein, innerhalb von 24 Stunden am Ort des Geschehens zu sein. Dann sollte er deutschsprachige Kolleg*innen beschäftigen, damit betroffene Mitarbeiter*innen nicht in einer akuten Krisensituation auf Englisch kommunizieren müssen. Darüber hinaus muss die Firma als APT-Response-Dienstleister vom BSI qualifiziert worden sein. Diese Dienstleister bieten spezialisierte Hilfe beim Umgang mit sogenannten Advanced Persistent Threats. Damit sind gezielte, professionelle Angriffe mit großer Schadwirkung über einen längeren Zeitraum gemeint.
Haben Sie eine Vorstellung davon, wie oft der Incident Response Service in Anspruch genommen wird?
Bislang wurden etwa alle zwei Monate nennenswerte Bedrohungen gemeldet. Jetzt erweitern wir den Nutzerkreis erheblich und nehmen etwa 400 Einrichtungen neu an Bord. Da der Service zentral von den Ländern finanziert wird, kann ich mir vorstellen, dass die Kommunen das Angebot gut annehmen werden.
Vielen Dank für das Gespräch!
Diese Grafik zeigt alle Cyberangriffe auf Kommunen in den Jahren 2021 bis 2024. Für jedes Jahr gibt es einen grünen Kreis, in dem die angegriffenen Kommune und der Zeitpunkt des Angriffs aufgeführt sind. Die meisten Cyberangriffe auf Kommunen gab es demnach im Jahr 2023 mit fünf Angriffen.
