Security Operations Center: Kommunen fordern Unterstützung

Sie ereignen sich meistens am Wochenende oder am Freitagnachmittag: Cyberangriffe auf Kommunen. Sie sind mittlerweile so ausgeklügelt und werden mit KI-Unterstützung ausgeführt, dass man viel zu spät merkt, dass die Zugänge zur IT kompromittiert wurden. So schilderten es die circa zwanzig IT-Leiter, die am 30. Januar wieder zum virtuellen IT-Leiter-Stammtisch zusammenkamen. Für Fragen zur IT-Security stand neben Johannes Hupfauf von der LivingData auch Patrick Antoun von der Leitwerk AG zur Verfügung. Die Leitwerk AG ist im Bereich Cybersecurity und Managed Services ein Business-Partner der LivingData.

Der Grund für den Zeitpunkt der Attacken liegt auf der Hand: Ein 24/7-Monitoring ist am Wochenende kaum möglich. Es ist arbeitsrechtlich schwer vertretbar und personell oft nicht zu bewerkstelligen. Man bräuchte ein Drei-Schicht-Modell.

Die Attacken ähneln sich: Der Angreifer verschafft sich im Vorfeld über eine Phishing-Attacke Zugang zur Active Directory und übernimmt die Admin-Rechte. Typischerweise wird die Tape-Sicherung überschrieben, das NAS und die Daten verschlüsselt. Dann werden die Daten aller Server ebenfalls verschlüsselt, gefolgt von den Devices.  Da bleibt oft nur eins: Den Netzstecker ziehen, den Behördenchef, die Datenschutzbehörde und die Polizei informieren, den Zugang zum Behördennetz und zum AKDB-Rechenzentrum kappen. Sind die Daten unwiederbringlich verloren, so muss man hoffen, dass die Backups immer pünktlich ausgeführt wurden, sonst droht das, was kürzlich einer Hochschule passiert ist: Sie musste streckenweise zurück zu Papier und Stift, so schilderte es Patrick Antoun.

Um die Resilienz der eigenen IT zu testen, führen viele Kommunen in Abständen Penetrationstests durch. Es gibt eine Vielzahl an Tools: vom automatisierten Werkzeug wie etwa Open-Source-Software über Schwachstellenscans bis hin zu Penetrationstests, die von Menschen ausgeführt werden. Die Ergebnisse sind oft überraschend: So musste ein Großteil der anwesenden IT-Experten feststellen, dass ihre IT ausgerechnet an den Stellen unsicher war, wo sie das Gegenteil vermuteten. Einige Teilnehmende beklagten, dass automatisierte, von Software ausgeführte Penetrationstest oft Schwachstellen übersehen.

Eine gewisse Unterstützung beim Monitoring bietet das LSI den bayerischen Kommunen mit dem kostenlosen Zugang zu seiner kommunalen Instanz der Malware Information Sharing Platform (MISP) über das Behördennetz an. Mit dieser Plattform können Informationen zu den Verteilungswegen und Auswirkungen von schadhaften Programmen, sogenannte Indicators of Compromise (IoCs), abgerufen werden. Das MISP kann entweder über eine eigene kommunale MISP-Instanz an die des LSI eingebunden werden oder per Schnittstelle an die Firewall bzw. Sandbox der jeweiligen Kommune. Das Einbinden der MISP wird bei Bedarf auch von externen Dienstleistern wie der LivingData durchgeführt.

Aber das ist nur ein Baustein der Sicherheitsstrategie bayerischer Kommunen. Darüber hinaus sind sich alle IT-Leiter einig, dass ein Security Operation Center essenziell wichtig ist. Das ist eine zentrale organisatorische Einheit, in der alle sicherheitsrelevanten Services im IT-Umfeld von Organisationen oder Unternehmen vor internen und externen Gefahren geschützt werden. Dazu gehören Hard- und Software, Personal und Prozesse. Dabei wünschen sich IT-Leiter vom SOC nicht nur ein umfassendes Monitoring, sondern ganz praktische Unterstützung, wenn tatsächlich eine Schwachstelle, eine Anomalie oder ein Angriff erkannt wurde.

Das Problem: Die wenigsten haben ein eigenes SOC. Das wäre zu arbeitsintensiv, und das Personal in Kommunen ist bekanntlich knapp. Selbst größere Kommunen können dies personell kaum stemmen. Das SOC kann zwar auch von externen Dienstleistern bezogen werden. Als SOC as a Service. Doch das ist wiederum teuer. Spezialisten wie die LivingData bieten deswegen abgestufte Services: vom reinen Monitoring über Alarmierung inklusive Maßnahmenkatalog bis hin zum Einsatzteam vor Ort, um kommunale IT-Mitarbeitende maximal zu entlasten.

Gegen Ende des Online-Events wurden viele Stimmen laut, die sich vom Freistaat eine zentralisierte SOC-Standard-Infrastruktur wünschen, denn, so einer der Teilnehmer, die Regeln und Prozesse in Kommunen seien ja überall die gleichen. Es sei doch sinnlos, dass sich jedes Landratsamt um ein SOC kümmern soll. Das, so die IT-Leiter, sei ein klarer Appell an die Zukunftskommission Digitales Bayern 5.0. Ziel und Aufgabe der Zukunftskommission ist das Erarbeiten von Maßnahmen, um bayerische Kommunalverwaltungen flächendeckend zu volldigitalen Ämtern auszubauen und den kommunalen IT-Betrieb wirtschaftlicher, effizienter und sicherer zu machen. Die Ergebnisse werden im Frühjahr 2025 präsentiert. An der Zukunftskommission beteiligt sind diverse bayerische Ministerien zusammen mit den kommunalen Spitzenverbänden.