Gerd Altmann/pixelio.de Wenn alle Computer lahmgelegt sind, dann ist es bereits zu spät. Eine hundertprozentige Sicherheit des IT-Systems gegen Cyberangriffe gibt es zwar nicht. Mit diesen Maßnahmen minimieren Sie aber das Risiko, Opfer einer Attacke aus dem Internet zu werden.
Die Digitalisierung wird in nahezu allen Lebensbereichen als große Chance angesehen. Österreich belegt laut Index für die digitale Wirtschaft und Gesellschaft (DESI) 2022 unter den 27 EU-Mitgliedstaaten inzwischen den zehnten Platz. Das große Ziel ist es, Österreich bis zum Jahr 2025 in der Digitalisierung weltweit unter die Top fünf zu bringen. Wie gut ist das Land aber aufgestellt, wenn es um den Schutz vor Cyberangriffen geht?
Bei all den Vorteilen, die der digitale Wandel ohne Zweifel zu bieten hat, werden die Nachteile wie etwa die zunehmende Cyberkriminalität gerne verdrängt oder verschwiegen. Laut dem Cybercrime-Bericht für das Jahr 2021 stieg die Internetkriminalität gegenüber dem Vorjahr um fast 30 Prozent an. 46.000 Fälle wurden in Österreich angezeigt – die Dunkelziffer ist allerdings viel höher. Ein Grund für das Schweigen ist, dass der Schutz vor Cyberangriffen im Vorfeld oft nachlässig gehandhabt wurde. Nicht selten wird in Unternehmen und Institutionen geradezu leichtsinnig mit der Internetnutzung umgegangen. Ein mangelhafter Virenschutz, unsichere Passwörter oder ein fahrlässiger Umgang mit sensiblen Daten können schnell zu einer Attacke mit möglichen Lösegeldforderungen führen. Und wer möchte dann schon zugeben, dass im eigenen Unternehmen oder im Gemeindeamt in puncto Cyberschutz viel zu wenig getan wurde?
Digitalisierung als Chance und Risiko
Ob mehr Bürgernähe oder eine bessere Tourismusförderung: Die Digitalisierung bietet Gemeinden viele neue Möglichkeiten. Wird aber die öffentliche Verwaltung das Ziel von Cyberangriffen, kann dies verheerende Folgen haben. Diese reichen vom Datenverlust, dem Ausfall von Systemen oder haftpflichtrechtlichen Ansprüchen bis hin zu einem Verlust der Reputation. Fakt ist, dass es keinen hundertprozentigen Schutz vor Hackerangriffen gibt. Wer aber alles getan hat, um sich dagegen zu schützen, hat sich letztendlich auch nichts vorzuwerfen. Sie sehen also, wie wichtig es für Sie als Bürgermeisterin oder Bürgermeister ist, sich in puncto Cyberkriminalität umfassend zu informieren, vorbeugend zu agieren und Ihre Mitarbeiter für das Thema zu sensibilisieren. In Folge können Sie relevante Vorfälle mit gutem Gewissen der Polizei melden und somit aktiv zur Bekämpfung der Cyberkriminalität beitragen.
1) Virenschutz
In der virtuellen Welt ist es fast wie im echten Leben: Überall können Viren, Würmer, Trojaner und sonstige Kreaturen lauern. Um die Gemeinde effektiv vor Cyberangriffen schützen zu können, sind sowohl technische als auch organisatorische Maßnahmen vonnöten. Einige können von Gemeindemitarbeitern selbst umgesetzt werden, andere gehören in die Hände von internen oder externen IT-Experten. Zu den wichtigsten technischen Maßnahmen zählt eine gute Sicherheitsausstattung für jeden einzelnen Gemeinde-Computer. Entscheidend dabei ist, dass vor der ersten Nutzung des Internets ein Antivirenprogramm und eine Firewall installiert werden. Doch die Auswahl an Virenschutzprogrammen ist groß – welches ist das richtige? Hier sollte auch bedacht werden, dass sogar Antivirenprogramme selbst Einfallstore für Hackerangriffe sein können. Wählen Sie darum unbedingt ein vertrauenswürdiges Produkt, das beispielsweise von Computer-Fachzeitschriften oder von der Stiftung Warentest empfohlen wird.
2) Sicherheitsupdates
Das beste Antivirenprogramm bringt wenig, wenn es nicht auf dem neuesten Stand gehalten wird. Daher ist es essenziell, dass das Antivirenprogramm – wie im Übrigen auch das Betriebssystem und der Internet-Browser – regelmäßig bzw. umgehend aktualisiert wird. Der Zweck dieser sogenannten Updates ist es unter anderem, Sicherheitslücken zu schließen. Ein täglicher und vollständiger Systemscan wird empfohlen. Da Schadsoftware vermehrt über externe Daten-träger wie etwa CDs oder USB-Sticks verbreitet wird, sollten auch diese vor der Nutzung unbedingt auf Viren geprüft werden. Bedenken Sie als Bürgermeisterin bzw. Bürgermeister außerdem, dass auch das Content Management System (CMS), also das Webseiten-Verwaltungssystem des Webauftritts Ihrer Gemeinde, stets auf dem neuesten Stand sein muss.
3) Datensicherung
Unter einer Datensicherung (Back-up) versteht man das Kopieren von Daten auf ein externes Speichermedium. Sollte es zu einem Datenverlust kommen, können die Daten dann problemlos wiederhergestellt werden. Der Wiederherstellungsvorgang wird als Restore bezeichnet. In Gemeinden ist es besonders wichtig, dass eine Strategie definiert wird, durch die die regelmäßige Datensicherung geregelt und konsequent eingehalten wird. Es gilt zu klären, wie viele Tage Datenverlust verkraftet werden können. Eine zusätzliche Kopie des Back-ups sollte getrennt (offline) und außer Haus (off-site) gelagert werden. Es ist zu empfehlen, dass Sie als Bürgermeisterin oder Bürgermeister bzw. Ihre Stellvertreter das Einspielen von Back-ups üben, damit Sie im Ernstfall mit dem Prozess vertraut sind. Die Vorgängerversionen des Back-ups sollten über mehrere Monate aufbewahrt werden.
4) Wer ist wofür verantwortlich?
Neben den bereits erwähnten technischen Sicherheitsmaßnahmen kommt es auf die Organisation an. Da stellt sich zunächst die Frage, wer nun eigentlich wofür verantwortlich ist. Sie als Bürgermeisterin oder Bürgermeister sind in der Position zu bestimmen, wer in Ihrer Verwaltung welche Aufgaben im Zusammenhang mit der IT- Sicherheit übernehmen soll. Wenn tatsächlich ein Notfall eintritt, ist es definitiv zu spät, um einen Krisenplan zu erstellen. Darum sollten die Rollenverteilung, die Verantwortungsbereiche und die jeweiligen Kompetenzen schnellstmöglich geklärt werden. Sollte tatsächlich der Worst Case eintreten, weiß jeder, was zu tun ist. Im Optimalfall ziehen alle an einem Strang. Eine Vorabstrategie für den Fall einer Notsituation ist unbedingt notwendig, um den Schaden so gering wie möglich zu halten.
5) E-Mails
In den Gemeindeämtern ist der E-Mail-Verkehr sehr hoch. Da heißt es achtzugeben, denn per E-Mail können Schädlinge perfekt großflächig verschickt werden. Dadurch können Opfer gezielt ausgespäht werden. Es werden dabei allen voran Informationen gesammelt, die gegen die Gemeinde verwendet werden können. Cyber-kriminalität verfolgt in erster Linie einen finanziellen Schaden des Geschädigten und es geht um einen Vertrauensverlust der Betroffenen. Die Vorgehensweise der Kriminellen im Netz ist denkbar einfach. So gelangen häufig elektronische Schädlinge durch angeblich getarnte Bewerbungen oder Rechnungen auf die Computer der Kommunen. Die elektronischen Schädlinge können umgangen werden, indem auf den Gemeindeämtern der Empfang von gefährlichen E-Mail-Anhängen blockiert wird. Die Kommunikationswege sollten klar definiert werden. Zudem sollte man bei verdächtigen Vorkommnissen sofort Meldung machen. Der Umgang mit Anhängen sollte auf kommunaler Ebene generell sparsam erfolgen. Mit PDF-Dokumenten ist man weitgehend auf der sicheren Seite. Mit den Bürgerinnen und Bürgern sollte stets achtsam kommuniziert werden.
6) Passwörter
Gemeindemitarbeiter sollten bei jedem digitalen Vorgang sichere Passwörter verwenden. Passwörter nur für eine Anwendung zu nutzen, ist ein wesentlicher Punkt, um die notwendige Sicherheit zu gewährleisten. Auch das regelmäßige Ändern von Passwörtern macht Sinn. Ein Passwort sollte bestenfalls aus kleinen und großen Buchstaben sowie aus Sonderzeichen und Zahlen bestehen und eine Mindestlänge von zwölf Zeichen haben. Unbedingt vermeiden sollten Gemeindemitarbeiter das Verwenden von Passwörtern für eine Mehrfachverwendung. Könnte das Passwort einem Dritten bekannt sein, so sollte es geändert werden. Das gilt auch dann, wenn ein Mitarbeiter der Gemeinde in Pension geht oder aus anderen Gründen die kommunalen Hallen verlässt. Ein Passwort ist im Idealfall stets zufällig generiert und es sollte sich idealerweise nie auf persönliche Informationen wie das Geburtsdatum oder Namen beziehen.
7) Umgang mit Informationen und schützenswerten Daten
Zunächst gilt es, eine Daten- und Informationsinventur durchzuführen. In Folge wird alles definiert, was als besonders schützenswert eingestuft wird, und ein Schutzkonzept erstellt. Wichtig ist außerdem, die geltenden Datenschutzbestimmungen im Auge zu behalten. Bedenken Sie als Bürgermeisterin oder Bürgermeister unbedingt mit Bedacht, welche Informationen auf der eigenen Webseite oder in sozialen Medien offengelegt werden. Denn Cyberkriminelle nehmen diese vor Angriffen oft besonders gut unter die Lupe. Jene Gemeindemitarbeiter, die für die Finanzgeschäfte zuständig sind und Zugriff auf das Online-Banking haben, sollten niemals auf der Webseite aufgeführt sein. Vertrauliche Daten und Infos sollten nicht via Telefon oder E-Mail weitergegeben werden, sondern stets verschlüsselt oder mit Briefpost an Externe versendet werden. Auch bei der Verwendung von Clouddiensten ist Vorsicht geboten, da diese von etlichen Programmen genutzt werden. Es gilt abzuklären, welche Daten lokal und welche in der Cloud gespeichert werden sollen. Sensible Daten sollten nie unverschlüsselt in einer Cloud abgelegt werden.
8) Online-Banking
Inzwischen nutzen in Österreich rund 73 Prozent der Menschen Online-Banking – im Jahr 2012 waren es noch 45 Prozent. Dieser Trend hat natürlich auch vor den Gemeinden nicht halt gemacht. Online-Banking ist praktisch und spart Zeit, sollte aber mit besonderer Achtsamkeit erfolgen. So ist es etwa ratsam, dass für Zahlungen ein separater Computer verwendet wird, auf dem weder im Internet gesurft wird noch E-Mails empfangen werden. Online-Zahlungen sollten in einem abgegrenzten Bereich (Sand-boxing) oder in einem besonders geschützten virtualisierten System durchgeführt werden. Sie als Bürgermeisterin oder Bürgermeister stehen in der Verantwortung, alle Prozesse abzuklären, die den Zahlungsverkehr betreffen. Geben Sie Ihren Mitarbeitern zu verstehen, dass die abgesprochenen Prozesse in jedem Fall einzuhalten sind. Es kann auch eine Kollektivunterschrift oder/und das Vier-Augen-Prinzip zum Tragen kommen. Das bedeutet, dass Überweisungen zusätzlich von einem anderen Zahlungsberechtigten auf der Gemeinde gesichtet werden. Wenn Sie mehr über mögliche Sicherheitsmaßnahmen erfahren möchten, ist die Hausbank der richtige Ansprechpartner.
9) Mitarbeiter sensibilisieren
Der Schutz vor Cyberangriffen kann nur dann gewährleistet werden, wenn dem ganzen Gemeindekader klar gemacht wird, dass er in der Pflicht steht. Bürgermeisterinnen und Bürgermeister sollten alles dafür tun, dass ihre Mitarbeiter für die Thematik Cyberkriminalität sensibilisiert werden. Jene Mitarbeiter, die im administrativen Bereich die Hauptverantwortung tragen, kommen zunehmend mit der IT-Sicherheit in Berührung. Diesbezügliche Schulungen gelten als besonders gute Investition. Die Kosten und der Aufwand können drastisch reduziert werden, wenn Gemeinden sich in puncto Organisation zusammenschließen und gemeinsam agieren.
10) Social Engineering
Unter Social Engineering werden diverse Maßnahmen verstanden, die Cyberkriminelle nutzen, um an vertrauliche Informationen zu gelangen. Dazu gehören zum Beispiel das Phishing (fingierte E-Mails) oder USB-Drops (infizierte USB-Sticks). Oft wird es den Tätern aus Unachtsamkeit besonders leicht gemacht, ihren Plan in die Tat umzusetzen. Der erste Schritt ist immer das Ausforschen von Informationen. Oft gelingt es den Kriminellen, an Informationen zu gelangen, indem sie Anrufe mit gefälschter Identität tätigen oder den Geschäftsbereich direkt unter die Lupe nehmen. Gemeindemitarbeiter sollten darüber aufgeklärt werden, wo sich diese relevanten Informationen überall befinden können. Denn nicht nur der Computer, sondern auch Mülleimer bzw. Mülltonnen gelten in Täterkreisen als besonders reichhaltige Quellen. Diese Methode der Informationsbeschaffung wird als Dumpster Diving bezeichnet. Schnell landen CDs, DVDs, Post-its oder ausgedruckte Seiten mit firmeninternen Infos im Müll. Aus diesem Grund sind Datenträger und Papierdokumente vor der Entsorgung unbedingt fachgerecht durch entsprechende mechanische Verfahren zu
– S. MÜLLER (Quelle: Bürgermeisterzeitung)
Michael-Fleischmann/Fotolia.com
Sivag