Die Emotet-Attacken auf das Kammergericht Berlin, die Stadt Frankfurt oder die Universität Gießen Ende 2019 zeigen, dass auch öffentliche Verwaltungen ein attraktives Ziel für Cyberkriminelle sind. Das Thema IT-Sicherheit spielt also eine zentrale Rolle. Die Stadt Hamm hat ein umfangreiches IT-Sicherheitskonzept realisiert und sich entschieden, in Notfällen die Experten von G DATA CyberDefense zu Rate zu ziehen. Im Interview erläutert Andreas Westermann, warum die Stadt Hamm externe Unterstützung in Anspruch nimmt und wie diese aussieht.
Herr Westermann, welche Rolle spielt die IT in der Stadt Hamm?
Die IT unterstützt die ca. 3.000 Mitarbeiter dabei, die vielfältigen Aufgaben der Kommune zu erfüllen. In der Kommunalverwaltung kümmern sich 22 Mitarbeiter um den IT-Betrieb sowie die Anwendungslandschaft. Diese ist mit 350 Applikationen sehr breit gefächert und deckt dabei die Anforderungen der unterschiedlichsten Fachbereiche ab – von der Feuerwehr über die Stadtbücherei bis hin zum Bürgerservice und Stadtreinigung. Eine besondere Herausforderung an die IT ergibt sich aus dem Datenschutz sowie weiteren gesetzlichen Vorgaben wie etwa dem eGov-Gesetz. Eine Folge davon: Unsere Anwendungen und die darin verarbeitenden Daten sind in Silos voneinander getrennt.
Welche Rolle spielt das Thema IT-Sicherheit dabei?
Mit der Verabschiedung des eGov-Gesetzes hat die Stadt Hamm die Digitalisierung des Behördenwesens auf den Weg gebracht. Dabei liegt unser Fokus zunächst auf Prozessen und Schnittstellen, um den Wunsch der Bürger nach einer digitalen Verwaltung mit Online-Services nachzukommen. Innerhalb des Transformationsprozesses nimmt das Thema IT-Sicherheit allerdings einen hohen Stellenwert ein. Schließlich müssen wir die persönlichen Daten unserer Bürger vor fremden Zugriffen schützen.
Die Cyberattacken auf Krankenhäuser, die im Februar 2016 die IT zahlreicher Kliniken zum Teil für mehrere Tage lahmgelegt hatten, haben uns verdeutlicht, dass es nicht mehr ausreicht, sich alleine auf Abwehrmaßnahmen zu konzentrieren. Daher haben wir das bestehende IT-Sicherheitskonzept um eine Frage erweitert: Was passiert, wenn es jemand geschafft hat, uns anzugreifen? Unter dieser Prämisse haben wir eine „Arbeitsgruppe Notfall“ ins Leben gerufen, um durchgängige Strukturen für IT-Störfälle aufzubauen. Ein wichtiger Baustein dabei: Eine Schutzbedarfsanalyse, um die Maßnahmen nach Dringlichkeit zu priorisieren.
Die Cyberattacken auf Krankenhäuser, die im Februar 2016 die IT zahlreicher Kliniken zum Teil für mehrere Tage lahmgelegt hatten, haben uns verdeutlicht, dass es nicht mehr ausreicht, sich alleine auf Abwehrmaßnahmen zu konzentrieren.
Welche Erkenntnisse hat diese Analyse geliefert?
Im Rahmen dieser Schutzbedarfsanalyse haben wir Prozesse und Vorgehensweisen für unterschiedlichste IT-Notfälle etabliert. Dabei haben wir großen Wert auf kurze Entscheidungswege gelegt, um handlungsfähig zu bleiben. Daher ist jeder IT-Mitarbeiter der AG Notfall berechtigt, den Notfallplan in Kraft zu setzen, sobald die notwendigen Kriterien erfüllt sind. Ein Teil des Notfallplans befasst sich auch mit der Zusammenarbeit mit IT-Fachbereichen aus den benachbarten Kommunen, damit wir mit mehr personellen Ressourcen schneller die Lage beherrschen können. Allerdings haben wir schnell gemerkt, dass die Unterstützung der benachbarten Kommunen auch ihre Grenzen hat: Insbesondere die Wiederherstellung im „Worst Case“, wie etwa ein weitreichender Systemausfall infolge eines Malware-Angriffs, lässt sich auf diesem Weg kaum bewerkstelligen, weil es denen schlicht und einfach am notwendigen internen Know-how fehlt.
Welche Konsequenz haben Sie gezogen?
Wir haben zunächst die IT-Experten der Fachhochschule Hamm und der Ruhr-Universität Bochum um Rat gefragt. Beide empfahlen uns eine Zusammenarbeit mit G DATA. Ein Grund dafür: Die Cyber-Defense-Spezialisten haben sich insbesondere bei der Abwehr und Bewältigung von Cyberangriffen einen Namen gemacht. Uns hat ihr Ansatz ebenfalls überzeugt: Um Unternehmen oder Behörden verteidigungsfähig aufzustellen, ist es neben der technischen Ertüchtigung der eingesetzten Systeme unbedingt notwendig, Mitarbeiter in das Sicherheitskonzept mitaufzunehmen.
Wir stehen in einem engen Austausch mit G DATA, um unsere Notfallpläne aktuell zu halten. Denn IT-Sicherheit ist kein abgeschlossener Prozess, sondern bedarf kontinuierlicher Anpassungen.
Wie sieht denn die Zusammenarbeit aus?
Zunächst haben wir einen Kick-Off-Workshop veranstaltet. Dabei haben wir gemeinsam die aktuelle Notfallstrategie sowie die Anforderungen an eine externe Unterstützung besprochen. Hier zeigten sich zwei Ansatzpunkte für eine Zusammenarbeit. Der erste Punkt: Professioneller Support beim Incident Response im Falle einer erfolgreichen Ransomware-Attacke. Dafür haben wir eine Rufbereitschaft vereinbart. Innerhalb eines festgelegten Zeitfensters kommen Mitarbeiter von G DATA CyberDefense nach Hamm und unterstützen vor Ort unsere Angestellten mit ihrem Fachwissen. Die Experten prüfen, wie die Malware ins Netzwerk eingedrungen ist und schließen bestehende Sicherheitslücken. Gleichzeitig helfen sie, den Schädling zu identifizieren, um weitere Details über das Angreifer-Vorgehen zu ermitteln und den Schaden zu begrenzen.
Zweitens unterstützen sie uns dabei, die Infrastruktur wiederherzustellen. Alle Systeme werden unmittelbar in ein separates Virtual Local Area Network (VLAN) verschoben, um eine weitere Ausbreitung zu unterbinden. Diese Systeme säubern die Spezialisten von G DATA und nutzen dafür maßgeschneiderte und eigens entwickelte Werkzeuge. Anschließend erfolgt ein Test mit dem G DATA PXE (Preboot Execution Environment)-Boot-Image (per Server bereitgestellt), ob die Säuberung erfolgreich war. Dieses Standardprodukt hat G DATA CyberDefense an die Bedürfnisse der Stadt Hamm angepasst und durch maßgeschneiderte Software in vorhandene Prozesse integriert. Das jetzt bereinigte System wird von dem VLAN zurück in das ursprüngliche Produktiv-Netz migriert. Wir erhalten die Ergebnisse übersichtlich in Tabellenform und sehen auf einen Blick, welche Rechner wieder arbeitsfähig sind und zurück in das Produktivnetz überführt werden können.
Wie fällt ihr Fazit der Zusammenarbeit aus?
Dank G DATA CyberDefense fühlen wir uns sehr gut auf eine Attacke vorbereitet. Zum Glück ist der Ernstfall aber noch nicht eingetreten. Wir stehen in einem engen Austausch mit G DATA, um unsere Notfallpläne aktuell zu halten. Denn IT-Sicherheit ist kein abgeschlossener Prozess, sondern bedarf kontinuierlicher Anpassungen. Schließlich schlafen die Angreifer nicht.