Mehr als 16 Gigabyte Daten erbeuteten Hacker im Jahr 2015, als sie den Deutschen Bundestag angriffen. Es war die größte Cyberattacke auf das IT-Netzwerk des Bundes. Das komplette System musste zeitweise abgeschaltet werden. Auch 2016 und 2021 kam es zu Attacken auf die Systeme des Bundestages und die Computer von Abgeordneten. Spionageattacken wie diese machen allerdings nur den kleinsten Teil der Cyberangriffe auf staatliche Ziele aus.
Angriffe mehren sich vor allem auf lokaler und kommunaler Ebene. Im November 2023 wurden elf Kommunen im Kreis Neu-Ulm Opfer eines Angriffs auf ein gemeinsames Rechenzentrum. Nur einen Monat zuvor waren in Südwestfalen gleich 72 Kommunen auf einen Schlag betroffen. Hierbei geht es nicht um Staatsgeheimnisse, sondern darum, durch die Lahmlegung von IT-Systemen Geld zu erpressen. Insgesamt gab es im Jahr 2023 durchschnittlich zwei Ransomware-Angriffe auf Kommunalverwaltungen oder kommunale Betriebe pro Monat.
Warum aber ein Rathaus oder eine Kläranlage angreifen? Laut einem Bericht des Bundesamts für Sicherheit in der Informationstechnik folgen Cyberkriminelle zunehmend einem „rationalen Kosten-Nutzen-Kalkül“. Angegriffen wird nicht, wo am meisten Geld zu erwarten ist, sondern wo die Abwehrkräfte am geringsten sind. Viele Kommunen sind nach wie vor nicht ausreichend mit Ressourcen ausgestattet, Experten sind Mangelware. Ähnlich wie in kleinen Betrieben, spielt das Thema Cybersicherheit bei den meisten Kommunen bisher eine untergeordnete Rolle.
„Jeder kann einen besseren Umgang mit IT-Sicherheit lernen und jeder sollte das auch tun. Cybersecurity gehört auf alle Ebenen.“
„Cyberkriminalität ist eine Industrie geworden“, sagt Sudhir Ethiraj, Leiter des Cybersecurity Office bei TÜV SÜD. Deshalb sei es besonders wichtig, dass bestehendes IT-Personal zum Thema Cybersecurity geschult wird. Wo können IT-Fachkräfte ihre Cyberabwehrkräfte stärken? Kurse dafür bietet zum Beispiel die Charter of Trust an. Das Bündnis, zu dem neben TÜV SÜD Unternehmen wie Siemens, Bosch, Microsoft oder IBM gehören, hat sich zum Ziel gesetzt, die weltweite digitale Sicherheit zu stärken. Auf politischer Ebene und in der Bildung. Ein Investition in die notwendigen Kenntnisse ist für Kommunen der beste Weg sich gegen Cyberangriffe zu wappnen.
Ein Thema ist das aber nicht nur für IT-Abteilungen. „Jeder kann einen besseren Umgang mit IT-Sicherheit lernen und jeder sollte das auch tun. Cybersecurity gehört auf alle Ebenen“, sagt Sudhir Ethiraj. Denn selbst das beste System sei letztendlich nur so widerstandsfähig wie sein schwächstes Glied. Das sei in den meisten Fällen der Mensch.
„Die Fortbildungsmaßnahmen müssen allerdings auf die jeweiligen Bedürfnisse angepasst sein. Man kann nicht alle Mitarbeiter einer Organisation 20 Stunden in ein Klassenzimmer setzen. Es muss auch Kurse geben, die in 20 Minuten wichtige Basics vermitteln“, betont Ethiraj. Solche Kurse finden an der TÜV SÜD Akademie statt, die Fortbildungen in Cybersecurity für alle Kenntnislevel anbietet. Ein Basiskurs zu Cybersecurity für IT-Kräfte nach ISO-27001-Standard kann direkt bei TÜV SÜD gebucht werden.
Laut Ethiraj könne es „einhundertprozentige Sicherheit trotzdem nie geben. Je größer eine Organisation ist und je mehr unterschiedliche Software zum Einsatz kommt, desto mehr potenzielle Einfallstore gibt es für Cyberattacken.“ Entscheidend sei deshalb neben dem Schutz vor Attacken die sogenannte Cyber Resilience. Die Fähigkeit, so schnell und effektiv wie möglich auf einen stattfindenden Angriff zu reagieren.
In Zukunft soll künstliche Intelligenz dabei helfen, IT-Systeme rund um die Uhr zu überwachen und im Ernstfall sofort Gegenmaßnahmen einzuleiten. Auch für Kommunen und kleine Betriebe wäre das ein Weg, ihre Cybersecurity zu verbessern. Dafür muss aber garantiert sein, dass die eingesetzte KI selbst anhand sicherer Standards und ethischer Richtlinien entwickelt wurde.
Sudhir Ethiraj leitet das Cyber Security Office (CSO) von TÜV. Die zentrale Einheit koordiniert und bündelt alle Aktivitäten des Prüfdienstleisters rund um Cybersicherheit. Zuvor war Ethiraj Engineer und Consultant bei Cisco Systems. Außerdem leitet er die Taskforce „Security by Default” des Industriebündnisses Charter of Trust.
