IT-Sicherheit und Cybercrime beschäftigen kommunale Versorger
Für die Kommunalwirtschaft ist Cybersicherheit ein drängendes Thema: Sie gerät zunehmend ins Visier von Ransomware. Und der Gesetzgeber strafft die Leine.
Umspannwerk in Bremen
(Bild: heise online / anw)
Cybersicherheit ist für die kommunale Versorgungswirtschaft ein hochaktuelles Thema. Mit dem IT-Sicherheitsgesetz 2.0 kommen auf viele Versorger zusätzliche Pflichten zu. Auf der Jahrestagung des Verbands der Kommunalen Unternehmen (VKU), der am Montag in Berlin begonnen hat, wird noch ein anderes Problem der Branche deutlich: Sie gerät zunehmend in das Visier von Ransomware-Angriffen.
So wie die Mainzer Stadtwerke. Als im vergangenen Sommer deren IT-Dienstleister angegriffen wurde, waren schnelle Lösungen gefragt, berichtet Ole Zipfel, Leiter Digitalisierung der Mainzer Stadtwerke. Für solche Fälle gab es Kontakte beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und beim Landeskriminalamt (LKA). Aber es war Wochenende: "Dann wählt man die Nummer und landet auf dem Anrufbeantworter – weil es Sonntag ist."
Einfallstor E-Mail
Auch Wolfgang Behringer, der Werkleiter der Donau-Stadtwerke Dillingen-Lauingen, berichtet von einem Vorfall im Frühjahr des vergangenen Jahres: Zwar sei die Wasserversorgung nie gefährdet gewesen – aber die Aufwände zur Wiederherstellung der IT hätten doch bei etwa 250.000 Euro gelegen. Für einen kleinen Versorger eine Menge Geld – trotz des überschaubaren Schadens.
Ein eher üblicher Fall, meint Carsten Meywirth, Abteilungsleiter Cybercrime beim Bundeskriminalamt (BKA). Finanzielle Aspekte seien nach wie vor das dominante Motiv der Täter. Ein typisches Einfallstor seien nach wie vor E-Mails, auch wenn es auch ausgeklügeltere Angriffe gebe. Die stärkste Bedrohung sei Ransomware – in der Pandemie sei die Angriffsfläche durch Remote Work vergrößert worden und das werde nun genutzt.
Das Problem sei massiv angestiegen, seitdem Ransomware-Gruppierungen ihre Dienste auch als Dienstleistung für Dritte anböten ("Ransomware-as-a-Service"), sagt Meywirth. Wer auf die Forderungen reagiere, müsse damit rechnen, dass eine dauerhafte "Kundenbeziehung" entstehe: 40 Prozent der einmal erfolgreich Erpressten würden anschließend erneut heimgesucht. Seine Empfehlung daher: Nicht zahlen, sondern die Behörden kontaktieren. Alle Landeskriminalämter und das BKA hätten zentrale Ansprechstellen für solche Fälle eingerichtet.
Mehr Pflichten
Mit dem IT-Sicherheitsgesetz 2.0 kommen auch immer mehr Unternehmen in die Pflicht, Vorkehrungen nach Stand der Technik zu treffen. Die Haftung für die Umsetzung liegt dabei regelmäßig auf Geschäftsführerebene. Management-Versicherungen schließen aber Cyberschäden inzwischen regelmäßig aus, berichtet der auf Kommunen spezialisierte Dienstleister Clarity.
Ab Mai betreffen die erhöhten Pflichten etwa auch die Entsorger von Siedlungsabfall. Die Ausführungsverordnung zum Gesetz ("Kritis-VO") soll noch überarbeitet werden. Darin wird dann ausgeführt, welche Entsorger mit wie viel Tonnen Abfall darunterfallen – und welche ihrer Systeme damit erhöhten Anforderungen unterfallen. Dabei wird es nicht nur um IT-Systeme gehen, sondern auch die zunehmend vernetze Betriebstechnik.
In den kommenden zwei Jahren müssen die Entsorger den Katalog umsetzen, der mit der Kritis-VO auf sie zukommt. Und mit der Ende 2022 verabschiedeten Novelle der Netzwerk- und Informationssicherheitsrichtlinie der EU werden weitere Anbieter unter Sicherheitsvorgaben fallen, für die aber zuvor noch ein deutsches Umsetzungsgesetz kommen wird.
(vbr)
