Der Freistaat Bayern hat die Gefahr, die von Cyberkriminellen ausgeht, früh erkannt und mit dem Landesamt für Sicherheit in der Informationstechnik (LSI) als erstes Bundesland eine eigenständige Fachbehörde für IT-Sicherheit gegründet. Wir haben exklusiv mit deren Präsident Bernd Geisler gesprochen und ihn zur aktuellen Lage befragt und welche Unterstützung Kommunen erhalten.
„Mit einem zentralisierten Security Operations Center (SOC) können auch Phishing- und andere Cyberangriffe wesentlich effektiver abgewehrt werden, als das in den einzelnen Kommunen möglich wäre."
Herr Geisler, haben Sie konkrete Beispiele oder Statistiken darüber, wie häufig Phishing-Angriffe auf kommunale IT-Infrastrukturen verübt werden und welche Schäden bisher bzw. im letzten Jahr entstanden sind?
Phishing bleibt eine der häufigsten Angriffsmethoden auf kommunale IT-Infrastrukturen. Von über 500 Millionen eingehenden Mails im Bayerischen Behördennetz wurden im vergangenen Jahr rund 390 Millionen, das entspricht ca. 80 Prozent, aus verschiedenen Gründen durch die automatischen Schutzmaßnahmen bereits an den E-Mail Gateways blockiert. Einen großen Anteil dieser nicht zugestellten Mails machen Phishing sowie Spam-Mails aus. Die Abwehrmechanismen im Bayerischen Behördennetz sind vielschichtig, das bedeutet zum Beispiel, dass Links, die als schadhaft eingestuft werden, generell gesperrt sind, auch wenn eine dazugehörige Mail zugestellt werden sollte. Im Jahr 2024 führte das LSI in über 100 Fällen konkrete Analysen im Kontext Phishing durch und informierte auch gezielt betroffene Kommunen. Voraussetzung hierfür ist, dass die Kommune den E-Mail-Verkehr über das Bayerische Behördennetz leitet.
Gerade im kommunalen Umfeld ist die Dunkelziffer von erfolgreichen Phishing-Angriffen jedoch hoch, da viele Kommunen ihren E-Mail-Verkehr eben nicht über das Bayerische Behördennetz leiten und daher auch nicht von den Schutzmaßnahmen des LSI und dem IT-DLZ profitieren. Die Folgen erfolgreicher Phishing-Angriffe reichen von der unbefugten Nutzung von E-Mail-Konten bis zur vollständigen Netzübernahme und Verschlüsselung von Daten. Wo noch nicht geschehen, sind Kommunen daher gut beraten, ihren E-Mail-Verkehr nicht über den eigenen Internet-Breakout, sondern über das Bayerische Behördennetz zu leiten.
Welche speziellen Maßnahmen empfehlen Sie Kommunen, um sich effektiv gegen Phishing-Angriffe zu schützen?
Das LSI empfiehlt Kommunen eine Kombination aus Mitarbeitersensibilisierung und technischen Schutzmaßnahmen. Regelmäßige Schulungen, insbesondere auch Phishing-Simulationen, sind unerlässlich. Zudem sollten Informationssicherheitsbeauftragte (ISB) aktuelle Bedrohungen verfolgen und Filtermechanismen für E-Mails nutzen. Das Bayerische Behördennetz bietet daneben umfangreiche technische Schutzmechanismen. Bayerns Landkreise und kreisfreie Städte sind unmittelbar an das Bayerische Behördennetz angeschlossen und können von den Schutzmaßnahmen profitieren. Kreisangehörige Gemeinden können einen Anschluss durch ein so genanntes Kommunales Behördennetz über den jeweiligen Landkreis erhalten. Kommunale Behördennetze sind bereits in 65 der 71 bayerischen Landkreise existent oder derzeit in Aufbau oder Planung. Dennoch bleiben zusätzliche Maßnahmen innerhalb der Kommunen notwendig.
Welche Rolle spielt die Zusammenarbeit zwischen Kommunen und dem Landesamt für Sicherheit in der Informationstechnik bei der Bekämpfung von Phishing-Angriffen?
Eine enge Zusammenarbeit mit den Kommunen ist für das LSI von zentraler Bedeutung. Neben der allgemeinen Informationssicherheitsberatung und den eLearning-Kursen zur Mitarbeiter-Sensibilisierung bietet das LSI unter anderem mit dem Warn- und Informationsdienst (WID) hochaktuelle Updates zu einschlägigen Bedrohungen. Kommunen, die ihre E-Mails über das Bayerische Behördennetz empfangen, profitieren von den schon beschriebenen Schutzmechanismen. Darüber hinaus stellt das LSI Anleitungen zur eigenständigen Durchführung von Phishing-Simulationen bereit. Mitarbeiter können damit zum Beispiel die in den Sensibilisierungskursen erlernten Methoden zum Erkennen von Phishing-Mails gefahrlos anwenden. Nach dem Motto „Übung macht den Meister“, kann mit den 2024 durch das LSI entwickelten Table-Top-Übungen ein konkreter IT-Sicherheitsvorfall simuliert und in einer Kommune exemplarisch durchgespielt werden. Die Erkenntnisse daraus sind wertvolle Hinweise, in welchen Bereichen die IT-Sicherheit in der eigenen Kommune noch weiterentwickelt werden sollte. Werkzeuge, wie das Siegel „Kommunale IT-Sicherheit“, das IT-Notfallmanagement und die LSI IT-Resilienz runden das Beratungsangebot ab. Betonen möchte ich, dass alle Angebote des LSI für die Kommunen kostenfrei zur Verfügung gestellt werden.
Sie bieten den bayerischen Kommunen kostenlosen Zugang zur Malware Information Sharing Platform (MISP). Wie nehmen Kommunen das an und wie viele Kommunen nutzen diese Plattform bereits?
Zahlreiche Landkreise und Gemeinden nutzen bereits diese Möglichkeit, um hochaktuell Indikatoren zu möglichen Angriffen zu erhalten. Mit der MISP Plattform des LSI, welche bereits mehrere Millionen Indikatoren enthält, können die Informationssicherheitsbeauftragten der Kommunen zum Beispiel Blocklisten an ihren Sicherheitsinstanzen einspielen und automatisch aktualisieren. Dadurch werden schadhafte Links und Programme automatisch erkannt und blockiert.
Auf dem letzten IT-Leiter-Stammtisch von AKDB und LivingData haben IT-Leiter den Wunsch geäußert, dass der Freistaat Bayern zentralisiert ein Security Operations Center zur Verfügung stellt. Den meisten fehlen nämlich (personelle und finanzielle) Ressourcen. Wie finden Sie den Ansatz?
Zentralisierung und Professionalisierung - das ist aus unserer Sicht der Schlüssel für eine erfolgreiche Cyberabwehr. Mit einem zentralisierten Security Operations Center (SOC) können auch Phishing- und andere Cyberangriffe wesentlich effektiver abgewehrt werden, als das in den einzelnen Kommunen möglich wäre. Das LSI übernimmt mit seinem Lagezentrum auch Aufgaben eines SOC für die am Behördennetz angebundenen Einrichtungen. Alle bayerischen Kommunen können von diesen Diensten und den bereits bestehenden Schutzmechanismen innerhalb des Bayerischen Behördennetzes profitieren, wenn sie sich an ein kommunales Behördennetz anschließen. Den umfassendsten Schutz bieten Kommunale Behördennetze übrigens, wenn auf eigene Internetübergänge verzichtet wird. Das LSI baut seine Leistungen fortlaufend aus, derzeit läuft bereits ein Pilotprojekt zur Übermittlung von Protokolldaten von Kommunen an das Security Information and Event Management (SIEM) des LSI.
Ein Ausblick: Auf welche Art von Cyberangriffen müssen sich Kommunen in Zukunft vermehrt gefasst machen?
Die Qualität und Anzahl von Phishing-Angriffen werden durch den Einsatz von Künstlicher Intelligenz (KI) weiter steigen. Niederschwellig verfügbare Deepfake-Technologien ermöglichen es Angreifern, sich täuschend echt als andere Personen auszugeben – sei es in E-Mails, Videokonferenzen oder sogar Sprachanrufen. Schutzmaßnahmen müssen daher weiterentwickelt werden, um KI-generierte Angriffe zuverlässig erkennen zu können. Mit dieser Problematik befassen wir uns intensiv, u.a. auch im Rahmen der Forschungskooperation mit der OTH Amberg-Weiden (Forschungsprojekt HeCKI).
Neben einer zielgerichteten Schulung der eigenen Mitarbeiter und einem gesunden Misstrauen, sollten die bayerischen Kommunen, die bestehenden Schutzangebote aktiv nutzen, um die eigene IT-Sicherheit kontinuierlich zu verbessern. Die Bedrohungslage bleibt dynamisch – eine enge Zusammenarbeit zwischen Kommunen und dem LSI ist entscheidend, um Cyberkriminellen einen Schritt voraus zu sein.
