Anfrage
Angriffe auf IT-Systeme mit Ransomware nehmen immer mehr zu. Die Angreifenden professionalisieren ihr verbrecherisches Geschäft zusehends, profitieren dabei aber auch zu oft von Nachlässigkeit bei der Härtung und Aktualisierung der kritischen Systeme. Auch Verwaltungen sind davon betroffen:
- Am 18. Oktober 2021 berichtete die Stadt Witten, dass ihre IT von einem Ransomware-Angriff betroffen wurde und die Systeme heruntergefahren werden mussten. Der dortige Stab für außergewöhnliche Ereignisse tagte und leitete notwendige Maßnahmen ein. Die Stadtverwaltung ist derzeit weder telefonisch noch per E-Mail zu erreichen. Auch städtische Töchter wie der Stadtsportverband, das Kulturforum, die VHS und das Stadtmarketing sind betroffen.
- Ebenfalls am 18. Oktober meldeten die Stadt Schwerin und der Landkreis Ludwigslust-Parchim Angriffe, die auch die Ämter in Wismar, Greifswald und Stralsund betrafen. Ziel war hier das Datenverarbeitungszentrum Schwerin. Wichtige Dienstleistungen können aktuell, wenn überhaupt, nur offline erbracht werden. Der Angriff erfolgt offenbar über einen bekannten Angriffsvektor in Microsoft Exchange, für den längst Patches bereit gestellt wurden.
- Im Juli dieses Jahres wurde bereits nahezu die gesamte IT des Landkreises Anhalt-Bitterfeld zerstört. Jeder einzelne PC der Kreisverwaltung musste gelöscht und neu eingerichtet werden. Es wurde der Katastrophenfall ausgerufen und die Bundeswehr zur Hilfe gerufen. Nachdem der Landkreis nicht auf die Erpressung der Täter:innen eingegangen ist, sind Behördendaten durch sie im Internet veröffentlicht worden. Der Landkreis befindet sich laut Medienberichten auch jetzt noch, nach über drei Monaten, im Katastrophenmodus und hofft aktuell bis Ende des Jahres die Folgen des Ransomware-Angriffs überwunden zu haben.
Seit Jahren machen Security-Experten auf die Gefahr von Ransomware, Trojanern und Co. aufmerksam. Eine der Kernforderungen: Infrastrukturunternehmen müssten besondere Sorgfalt in der Umsetzung ihrer Sicherheitskonzepte walten lassen und entsprechende Maßnahmen verpflichtend dokumentieren. Dies kann und muss auch auf kommunale Verwaltungen übertragen werden.
Die Risiken durch Erpressung mit Ransomware werden größer, da sich die Strukturen hinter diesem kriminellen Geschäftsmodell immer weiter professionalisieren. Mit der Anfrage wollen wir sicher gehen, dass die Stadt Leverkusen für diese Gefahr gerüstet ist und herausfinden, ob und wie gegebenenfalls nachgesteuert werden muss.
Konkret fragen wir die Stadt Leverkusen:
- Wie sieht die Strategie der Stadt-IT zur Vermeidung bzw. Vorbeugung erfolgreicher Ransomware-Angriffe aus?
- Gibt es ein Notfallmanagement und Notfallpläne für den Fall eines erfolgreichen Angriffs auf die städtische IT?
- Inwiefern berücksichtigt die städtische Backup-Strategie die größer werdenden Gefahren durch Ransomware-Angriffe?
- Verwendet die Stadt Leverkusen ausschließlich Software und Hardware, die noch mit Sicherheitsupdates versorgt wird und bei der so gewährleistet ist, dass entdeckte Sicherheitslücken unverzüglich geschlossen werden? Falls nein: was sind die Gründe und gibt es in jedem Fall zumindest Pläne, um möglichst bald Abhilfe zu schaffen?
- Bestehen in der Stadtverwaltung oder bei der EVL Pläne, die für Zwecke der Stadtverwaltung eingesetzte Software auf andere, weniger anfällige Betriebssysteme umzustellen?
Stellungnahme
Zu 1.: Die IT-Infrastruktur der Stadt Leverkusen wird durch die Informationsverarbeitung Leverkusen GmbH (ivl) betrieben. Mit der ivl verfügt die Stadt über eine kompetente Partnerin in Sachen Informations- und IT-Sicherheit, deren Rechenzentrum und Infrastruktur nach den Voraussetzungen der ISO/IEC 27001:2013 zertifiziert wurden und demnach Erkennungs-, Vorbeugungs- und Wiederherstellungsmaßnahmen zum Schutz vor Schadsoftware umgesetzt hat. Im interkommunalen Vergleich stellt die gpaNRW deshalb fest, dass wenige Optimierungsmöglichkeiten für ein noch höheres IT-Sicherheitsniveau bestünden. Darüber hinaus werden die Mitarbeitenden der Stadt zunehmend hinsichtlich der Bedrohungen, die die mit dem Internet verbundene Aufgabenerfüllung mit sich bringt, sensibilisiert. Für weitere Informationen zur Sicherheitsarchitektur und einzelne technische Vorkehrungen steht die Geschäftsführung der ivl jederzeit für ein persönliches Gespräch zur Verfügung; von einer schriftlichen Darstellung muss aus strategischen Gründen jedoch abgesehen werden.
Zu 2.: Die ivl stellt eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicher. In der jüngeren Vergangenheit erfolgte in diesem Fall eine informelle Abstimmung zwischen Stadt und ivl. Ergänzend muss deshalb ein gemeinsamer Eskalationsprozess für den Fall eines schweren Sicherheitsvorfalls vereinbart werden. Ein formalisiertes Verfahren wurde angestoßen und soll bis zum Jahresende festgelegt werden.
Zu 3.: Die ivl fertigt und testet Sicherheitskopien von Informationen, Software und Systemabbildern. Darüber hinaus wurde ein Datensicherungskonzept erstellt und eine Datensicherungsvereinbarung geschlossen. Hiernach erfolgen mehrstufige, verteilte Datensicherungen, einschließlich einer täglichen Vollsicherung. Wie zuvor wird für spezifischere Informationen um einen persönlichen Austausch gebeten.
Zu 4.: Die Stadt nutzt eine Vielzahl von Fachanwendungen, die teilweise als Einzelanfertigung zur Verfügung gestellt wurden. In einigen wenigen Fällen werden diese Anwendungen nicht mehr umfassend gepflegt, ein Ersatz ist dann vorgesehen. Das Maß an Bedrohung, das hiermit einhergeht, ist jedoch begrenzt, da die entsprechende Software einen äußerst geringen Verbreitungsgrad hat.
Zu 5.: Um OpenSource-Software sicher zu betreiben, muss diese zuverlässig gewartet werden. Abhängig von der jeweiligen Open-Source-Community kann dies auch mit zusätzlichem Aufwand nicht durchgängig sichergestellt werden. Außer bei kleineren Anwendungen wird deshalb, insbesondere in den Bereichen Betriebssystem und Office, ausschließlich proprietäre Software eingesetzt, deren Sicherheit durch Wartungsverträge mit den Herstellern oder Software-Anbietern aufrechterhalten wird. Diese Hersteller betreiben Cyber-Security-Einheiten, die mit großem finanziellen und personellen Aufwand Sicherheitslücken identifizieren und zeitnah beheben. Darüber hinaus wäre eine Um-
stellung hinsichtlich der wichtigsten Anwendungen der Stadt mit massiven Änderungen verbunden, die die Stadt angesichts der ohnehin anstehenden disruptiven Anpassungen der Arbeitsabläufe nicht leisten kann.
Digitalisierung
Inhalte
Anfrage
Angriffe auf IT-Systeme mit Ransomware nehmen immer mehr zu. Die Angreifenden professionalisieren ihr verbrecherisches Geschäft zusehends, profitieren dabei aber auch zu oft von Nachlässigkeit bei der Härtung und Aktualisierung der kritischen Systeme. Auch Verwaltungen sind davon betroffen:
Seit Jahren machen Security-Experten auf die Gefahr von Ransomware, Trojanern und Co. aufmerksam. Eine der Kernforderungen: Infrastrukturunternehmen müssten besondere Sorgfalt in der Umsetzung ihrer Sicherheitskonzepte walten lassen und entsprechende Maßnahmen verpflichtend dokumentieren. Dies kann und muss auch auf kommunale Verwaltungen übertragen werden.
Die Risiken durch Erpressung mit Ransomware werden größer, da sich die Strukturen hinter diesem kriminellen Geschäftsmodell immer weiter professionalisieren. Mit der Anfrage wollen wir sicher gehen, dass die Stadt Leverkusen für diese Gefahr gerüstet ist und herausfinden, ob und wie gegebenenfalls nachgesteuert werden muss.
Konkret fragen wir die Stadt Leverkusen:
Stellungnahme
Zu 1.: Die IT-Infrastruktur der Stadt Leverkusen wird durch die Informationsverarbeitung Leverkusen GmbH (ivl) betrieben. Mit der ivl verfügt die Stadt über eine kompetente Partnerin in Sachen Informations- und IT-Sicherheit, deren Rechenzentrum und Infrastruktur nach den Voraussetzungen der ISO/IEC 27001:2013 zertifiziert wurden und demnach Erkennungs-, Vorbeugungs- und Wiederherstellungsmaßnahmen zum Schutz vor Schadsoftware umgesetzt hat. Im interkommunalen Vergleich stellt die gpaNRW deshalb fest, dass wenige Optimierungsmöglichkeiten für ein noch höheres IT-Sicherheitsniveau bestünden. Darüber hinaus werden die Mitarbeitenden der Stadt zunehmend hinsichtlich der Bedrohungen, die die mit dem Internet verbundene Aufgabenerfüllung mit sich bringt, sensibilisiert. Für weitere Informationen zur Sicherheitsarchitektur und einzelne technische Vorkehrungen steht die Geschäftsführung der ivl jederzeit für ein persönliches Gespräch zur Verfügung; von einer schriftlichen Darstellung muss aus strategischen Gründen jedoch abgesehen werden.
Zu 2.: Die ivl stellt eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicher. In der jüngeren Vergangenheit erfolgte in diesem Fall eine informelle Abstimmung zwischen Stadt und ivl. Ergänzend muss deshalb ein gemeinsamer Eskalationsprozess für den Fall eines schweren Sicherheitsvorfalls vereinbart werden. Ein formalisiertes Verfahren wurde angestoßen und soll bis zum Jahresende festgelegt werden.
Zu 3.: Die ivl fertigt und testet Sicherheitskopien von Informationen, Software und Systemabbildern. Darüber hinaus wurde ein Datensicherungskonzept erstellt und eine Datensicherungsvereinbarung geschlossen. Hiernach erfolgen mehrstufige, verteilte Datensicherungen, einschließlich einer täglichen Vollsicherung. Wie zuvor wird für spezifischere Informationen um einen persönlichen Austausch gebeten.
Zu 4.: Die Stadt nutzt eine Vielzahl von Fachanwendungen, die teilweise als Einzelanfertigung zur Verfügung gestellt wurden. In einigen wenigen Fällen werden diese Anwendungen nicht mehr umfassend gepflegt, ein Ersatz ist dann vorgesehen. Das Maß an Bedrohung, das hiermit einhergeht, ist jedoch begrenzt, da die entsprechende Software einen äußerst geringen Verbreitungsgrad hat.
Zu 5.: Um OpenSource-Software sicher zu betreiben, muss diese zuverlässig gewartet werden. Abhängig von der jeweiligen Open-Source-Community kann dies auch mit zusätzlichem Aufwand nicht durchgängig sichergestellt werden. Außer bei kleineren Anwendungen wird deshalb, insbesondere in den Bereichen Betriebssystem und Office, ausschließlich proprietäre Software eingesetzt, deren Sicherheit durch Wartungsverträge mit den Herstellern oder Software-Anbietern aufrechterhalten wird. Diese Hersteller betreiben Cyber-Security-Einheiten, die mit großem finanziellen und personellen Aufwand Sicherheitslücken identifizieren und zeitnah beheben. Darüber hinaus wäre eine Um-
stellung hinsichtlich der wichtigsten Anwendungen der Stadt mit massiven Änderungen verbunden, die die Stadt angesichts der ohnehin anstehenden disruptiven Anpassungen der Arbeitsabläufe nicht leisten kann.
Digitalisierung