Ob Angermünde, Anhalt-Bitterfeld, Ludwigslust, Neustadt am Rübenberge, Potsdam, Schwerin oder Witten, um nur einige Beispiele zu nennen – sowohl bei Städten als auch Kommunen wurden bereits Systeme gehackt. Die Folgen waren verschieden: Daten wurden verschlüsselt, E-Mails konnten nicht mehr versendet oder empfangen werden, die zuständigen Stellen für Sozialleistungen oder sogar die KFZ-Zulassungsstelle waren nicht mehr arbeitsfähig. Auch Lohn- und Gehaltszahlungen konnten nicht mehr ausgeführt werden. Kurz: Die Verwaltungen waren in großem Umfang lahmgelegt.
Die Ursache war in den meisten Fällen Ransomware. In einigen Fällen forderten die Täter Lösegeld in Höhe von 0,5 bis 1,2 Millionen Euro. Für die betroffenen Städte und Kommunen war jedoch klar, dass sie einer solchen Erpressung nicht nachgeben wollten. Die Folgen waren verheerend. So landeten beispielsweise 200 Megabyte hochsensibler Daten im Darknet. Eine offene Haftungsthematik war damit gegeben.
Zeit, zu handeln!
In der Informationssicherheit haben wir in den meisten Bereichen heute die „Alarmstufe ROT“. Denn: Mit nur zwei bis drei Mitarbeitern sind die Bereiche IT- Sicherheit und kommunale IT-Infrastruktur in der Regel personell zu schwach aufgestellt. Zudem reichen die finanziellen Mittel in diesen Aufgabenbereichen meist nicht aus, um gegen Angriffe wirklich ausreichend Vorsorge zu leisten. Und das in einer Zeit, in der die Abhängigkeit von der IT stetig zunimmt!
Dennoch müssen im Falle eines Angriffs, Antworten auf die nachfolgenden substanziellen Fragen gegeben werden können: Haben die Repräsentanten im Rahmen der technischen Möglichkeiten adäquate Vorsorge betrieben? Gibt es externe Versicherungsberater*innen und/oder Fachmakler*innen, die den Verwaltungsvorstand und die Bürgermeister*innen im Kontext des Organisationsverschuldens und der damit verbundenen Haftungsfragen aufklären?
Hohe Summen sind schnell erreicht
Bei einer gehackten Institution entstehen durch den Wiederaufbau der Verwaltung und die Folgekosten schnell hohe Beträge. Je nach Größe und Umfang des Datenverlustes in der Verwaltung und der möglichen Schädigungen Dritter können 1,5 bis 20 Millionen Euro erreicht werden.
Ist der Schaden eingetreten, gibt die DSGVO klare Abläufe unter Einhaltung bestimmter Zeiten vor: Mit Kenntnisnahmen muss innerhalb von 72 Stunden eine rechtskonforme Meldung an das BSI erfolgen. Forensiker und IT-Techniker müssen beauftragt werden, die Reputation der Kommune und insbesondere der Repräsentant*innen wieder hergestellt und vor allem die Haftungsfrage im Innenverhältnis der Stadt oder Kommune geklärt werden. Die Kosten und die Kommunikation mit Ämtern, dem Landrat, dem Bundesland, Sicherheitsbehörden, wie dem BSI, externen Dienstleistern wie Versicherungsberatern und Fachmarklern müssen geleistet und bezahlt werden. Das Sozial-, Gesundheits- und das Ordnungsamt müssen vom Netzwerk getrennt werden. Es ist zu klären, ob es zur finanziellen Schädigung Dritter kam oder nur zur Schädigung der Stadt oder Kommune. Fragen der Außen- und Innenhaftung werden beleuchtet. Wer haftet für die Sach- und entstandenen Finanzschäden? Gibt es Protokolle, die eine Aufgabenverteilung und Kontrolle vorsehen? Gibt es Zertifizierungen im Rahmen des BSI-Grundschutzes oder nach ISO Norm 27001? Zeigen Protokolle Defizite in der IT-Sicherheit auf und können Repräsentanten durch Umkehr der Beweislast die eigene Enthaftung belegen?
DSGVO kennen und beachten
Wenn Repräsentanten nicht Gefahr laufen wollen, im worst case unbegrenzt mit ihrem privaten Vermögen zu haften, sollten sie mit den Inhalten der DSGVO vertraut sein. Schulungen der Mitarbeiter, definierte Ablaufprotokolle und Vorsorgemaßnahmen helfen dabei genauso, wie individuell erstellte Notfallpläne. Neben verstärkt auftretenden Haftungsfragen innerhalb des Verwaltungsvorstandes, der gesamtschuldnerisch haftet, und der Bürgermeister*innen gilt es, im Rahmen der technischen Sicherheit, sowohl die technischen Möglichkeiten zu nutzen und im Kontext der Informationssicherheit mit nachhaltiger Managementleistung jegliches Organisationsverschulden zu vermeiden.
Foto: Hartmut Naujok, Grundschutzpraktiker des BSI und Fachberater für Cyberrisiken. Seminarhinweis: „Zertifizierungslehrgang – Zentrale Managementsysteme“, Cyberakademie Berlin, 25. – 29. Juli 2022
