Öffentliche Verwaltungen sind ein beliebtes Ziel für Cyberangreifer. Um das reibungslose Funktionieren der Gesellschaft und die Kontinuität der grundlegenden Dienstleistungen für die Bevölkerung zu gewährleisten, zwingt die neue EU-Richtlinie NIS2 sie dazu, die Risiken im Zusammenhang mit der IT-Sicherheit besser zu berücksichtigen und ihre Cyber-Resilienz zu stärken. Um den Zwang in eine Chance zu verwandeln, müssen sie einen Prozess der kontinuierlichen Verbesserung einleiten.
Angesichts der Entwicklung der Cyberbedrohungen verpflichtet die vom europäischen Gesetzgeber verabschiedete NIS2-Richtlinie Akteure, die als wesentlich für das Funktionieren der Gesellschaft angesehen werden, ihr Sicherheitsniveau zu erhöhen. Die neue Fassung dieser Richtlinie hat den Geltungsbereich der Vorschriften erheblich ausgeweitet, sodass mehr Strukturen verpflichtet sind, die besten Praktiken im Bereich der Cybersicherheit zu übernehmen. Insbesondere die Gemeindeverwaltungen sind direkt betroffen.
Gemeinden als bevorzugte Ziele
Seit der Invasion der Ukraine durch russische Truppen haben sich die Aktivitäten von Cyberkriminellen, die von staatlichen Mächten unterstützt werden, intensiviert“, sagt Aline Moyret, GRC Practice Manager bei DEEP. Die böswilligen Akteure zielen insbesondere auf Einrichtungen ab, die sensible Daten verwalten, deren Ressourcen begrenzt sind und die eine Tätigkeit ausüben, die für das reibungslose Funktionieren der Gesellschaft von entscheidender Bedeutung ist. Zu denjenigen, auf die diese Beschreibung zutrifft, gehören insbesondere Gemeindeverwaltungen.“
Die Risiken sind entsprechend groß. Das Abrufen von Katasterdaten ermöglicht es Angreifern beispielsweise, Profit zu generieren, da diese Informationen im Darknet gut bewertet werden können, aber auch, um Spannungen auf den Immobilienmärkten zu erzeugen. Vor einigen Monaten wurde die Stadt Marseille durch eine Ransomware lahmgelegt. Über einen ganzen Zeitraum hinweg waren mehrere wichtige Dienstleistungen für die Bevölkerung gestört.
Den reibungslosen Betrieb der Gesellschaft stören
Indem sie versuchen, den reibungslosen Ablauf der Aktivitäten der gemeinsamen Verwaltungen zu blockieren oder zu stören, versuchen die Angreifer vor allem, die Institutionen zu schädigen und Druckmittel auf die öffentlichen Behörden auszuüben. „Die Bedrohung ist in Luxemburg real, wie aus den Beobachtungen des National Cybersecuirty Competence Center (n3c.lu) hervorgeht. Seit mehreren Monaten ist ein Anstieg der Angriffe von Gruppen zu verzeichnen, die mit Russland oder Nordkorea in Verbindung stehen. Und öffentliche Verwaltungen erweisen sich als die am meisten ins Visier genommenen Einheiten“, fügt Aline Moyret hinzu.
Angesichts dieser Risiken sind öffentliche Verwaltungen und insbesondere Kommunen aufgrund der strengeren Vorschriften verpflichtet, die notwendigen Maßnahmen zu ergreifen, um Cyberangriffe abzuwehren und im Falle eines Vorfalls die Auswirkungen auf ihre Fähigkeit zur Erbringung von Dienstleistungen zu begrenzen. „Mit anderen Worten: Kommunale Akteure müssen versuchen, ihre Cyber-Resilienz zu stärken, indem sie sich auf mögliche Vorfälle vorbereiten und sicherstellen, dass sie in der Lage sind, ihre Kerngeschäfte weiterzuführen“, fügt die Expertin hinzu.
Ein echtes Bewusstsein
Für die kommunalen Akteure bedeuten diese neuen Anforderungen, dass sie sich in einen Übergangsprozess einschreiben müssen. „Die meisten Führungskräfte sind sich heute bewusst, was auf dem Spiel steht. Sie sind sich auch bewusst, dass sie Teil einer Wertschöpfungskette sind, in der das schwächste Element das Sicherheitsniveau des gesamten Ökosystems bestimmt“, fährt Aline Moyret fort. Sie verstehen, dass sie ihre Sicherheitshaltung verbessern müssen, beklagen aber einen Mangel an Mitteln, sowohl menschlich als auch finanziell. Dieser Mangel an Ressourcen, insbesondere in den Gemeindeverwaltungen, führt oft dazu, dass diese Herausforderungen nicht richtig verstanden werden.“
Stärkung jedes einzelnen Elements des europäischen Ökosystems
Mit NIS2 will der Gesetzgeber die Cybersicherheitskapazitäten eines breiten Ökosystems in der gesamten Europäischen Union stärken. Um dieses Ziel zu erreichen, muss jedes einzelne Element gestärkt werden, indem die Akteure aufgefordert werden, Risiken besser einzuschätzen und die notwendigen Maßnahmen zu ergreifen, um ihnen vorzubeugen. „Die Kontinuität der Aktivitäten, die für das reibungslose Funktionieren der Gesellschaft als Ganzes unerlässlich sind, muss gewährleistet werden, und zwar im Bewusstsein der zahlreichen Interdependenzen, die auf der Ebene der Akteure in der Europäischen Union bestehen“, erklärt Aline Moyret.
Neue Anforderungen
Um die Akteure auf diesen Weg zu verpflichten, stellt die Richtlinie eine Reihe von Anforderungen. „Beispielsweise können die Leitungsorgane im Falle eines Versagens haftbar gemacht werden. Diese müssen also über eine gute Kenntnis der Risiken verfügen und die notwendigen Maßnahmen ergreifen, um ihnen entgegenzuwirken“, erklärt Aline Moyret.
Die Vorschriften legen auch Mindestmaßnahmen für die Cybersicherheit fest, die umgesetzt werden müssen. Sie verpflichtet die Unternehmen außerdem, festgestellte Vorfälle nach festgelegten Modalitäten den Regulierungsbehörden zu melden.
Von den Risiken ausgehen, um sich besser vorzubereiten
„Um diesen neuen Anforderungen gerecht zu werden und ihre Widerstandsfähigkeit zu stärken, müssen sich die kommunalen Behörden also vorbereiten. Ich denke, es ist wichtig, diese Richtlinie als eine Chance zu sehen, als einen Hebel zur Verbesserung der Sicherheit im Dienste der gesamten Gesellschaft“, fügt die Expertin hinzu. Jede Verwaltung muss in diesem Zusammenhang also auf der Grundlage einer Risikoanalyse Sicherheitsstrategien und -richtlinien einführen. Dies erfordert ein gutes Verständnis der eigenen IT-Umgebung, die Fähigkeit, gemeinsam mit allen Teams zu ermitteln, was unbedingt geschützt werden muss, und die Festlegung von Maßnahmen, um den Schutz kritischer Daten zu optimieren. Darüber hinaus muss man seine Fähigkeit zur Bewältigung von Vorfällen stärken.“
Ein Ansatz zur kontinuierlichen Verbesserung
Auch wenn diese Vorschriften äußerst einschränkend erscheinen mögen, müssen sie die Akteure vor allem in einen Prozess der kontinuierlichen Verbesserung einbinden. Ein risikobasierter Ansatz, der den Kontext und die Schwachstellen berücksichtigt, ermöglicht es, Prioritäten zu setzen und den Sicherheitsbedarf besser zu erkennen, um möglichst effizient darauf reagieren zu können“, erklärt Aline Moyret. Es ermöglicht auch, Kontrollelemente einzurichten, um Vorfälle zu erkennen und zu wissen, was in seinem Umfeld passiert. Die andere große Herausforderung besteht darin, sich auf eine mögliche Krise vorzubereiten, indem man Übungen anbietet und bestimmte Szenarien antizipiert.“
Seit vielen Jahren begleitet die POST-Gruppe Akteure bei der Verwaltung ihrer Risiken und der Stärkung ihrer Sicherheit, indem sie Lösungen für die Kontinuität der Dienste und die Cyber-Resilienz anbietet. All dieses Fachwissen ist nun in DEEP vereint, um private und öffentliche Akteure zu begleiten und ihnen zu helfen, ihre Sicherheitslage kontinuierlich zu verbessern.
