21-7319.1

Wie steht es um die IT Cyber Security im Bezirk Wandsbek? Auskunftsersuchen vom 22.06.2023

Antwort zu Anfragen

Bera­tungs­reihen­folge
Gremium
TOP
25.09.2023
Hauptausschuss
Ö 6.6
14.09.2023
Bezirksversammlung Wandsbek
Ö 15.3
Sachverhalt

Immer häufiger finden Ransomware-Angriffe auf Behörden statt. Das Thema IT Security hat für Unternehmen mittlerweile einen zentralen Stellenwert eingenommen, die meisten Verantwortlichen haben die Gefahren, die von Hackerangriffen ausgehen, realisiert. Wie aber sieht es mit der IT-Sicherheitslage im Bezirk Wandsbek aus? Sowohl finanziell als auch vom Wissensstand her hinkt die Cyber Security der Städte in Deutschland häufig den Mindeststandards hinterher - mit der Folge, dass es Cyberkriminellen häufig zu leicht gemacht wird, erfolgreiche Ransomware-Angriffe auf Behörden durchzuführen.

In den letzten Jahren haben die Cyberangriffe auf staatliche Behörden drastisch zugenommen. Besondere Aufmerksamkeit hat der Vorfall im Landkreis Anhalt-Bitterfeld erregt. Anfang Juli 2021 rief die Kreisverwaltung den ersten Cyber-Katastrophenfall Deutschlands aus. Weite Teile der IT-Infrastruktur waren einem Ransomware-Angriff auf die Behörde zum Opfer gefallen. Ganze Server verschlüsselten die Cyberkriminellen. Dies führte dazu, dass Behörden wie die Kfz-Zulassungsstelle den Dienst einstellen mussten und auch Zahlungen im Bereich der Sozial- und Jugendhilfe ausfielen. Selbst Wochen nach dem Vorfall kämpfte die Verwaltung noch mit der Wiederherstellung der Systeme.

Jedoch ist dies beileibe kein Einzelfall. Zwischen 2014 und 2021 gab es über 100 Cyberangriffe auf Verwaltungen, Behörden und andere staatliche Einrichtungen in Deutschland. Dies geht aus Informationen der Innenministerien der Länder sowie der Bundesregierung hervor. Die Dunkelziffer liegt sogar noch höher, denn aus einigen Bundesländern wie Nordrhein-Westfalen, Hessen oder Berlin liegen gar keine Daten vor.

Es sind außerdem Fälle von Ransomware-Angriffen auf Behörden in Deutschland bekannt, bei denen die öffentlichen Einrichtungen den Erpressungen der Hacker nachgaben. So zahlte im Jahr 2019 das Staatstheater Stuttgart 15.000 Euro, um den Zugang zu den eigenen Daten zurückzuerhalten. So fließen auch Steuergelder in die Hände von Cyberkriminellen.

Zwar gibt es Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Cyber Security für Städte und andere öffentliche Einrichtungen, jedoch fehlen nach wie vor Kontrollorgane.

Bund und Länder gehen die aufgezeigten Punkte zur Absicherung ihrer IT-und Informationssicherheit aufgrund der steigenden Anzahl an Cyberangriffen jetzt verstärkt an. Die Landesregierung von Sachsen-Anhalt beispielsweise startete im Juli 2021 ein Investitionsprogramm, über das Kommunen finanzielle Mittel zur Erhöhung der Datensicherheit erhalten.

 

Ende Dezember 2022 erfolgte ein Cyberangriff auf die HAW Hamburg, der erfolgreich war: Es gelang, in das IT-System der Hochschule einzudringen. Seitdem stehen viele Dienste der Hochschule den Beschäftigten wie den Studierenden nicht mehr zur Verfügung. Betroffen sind unter anderem das zentrale Identitätsmanagement, das r die Anmeldung bei internen und externen Diensten benötigt wird, die gesamte Kommunikationsinfrastruktur der Hochschule, Prüfungsvorbereitungstools und andere für die Lehre wesentliche Dienste.

Auch Dataport wurde Opfer einer Cyberattacke. Es hat bei 13 Mail-Adressen ein Sicherheitsproblem gegeben, darunter auch Email Adressen der Bürgerschaft.

Vorsorglich wurden daraufhin die Zugänge sämtlicher E-Mail-Postfächer aus dem Netz, also dem Browser, gesperrt. Die meisten Mitarbeiter hätten jedoch über Outlook weiter Zugang zu ihren Nachrichten gehabt.

 

Quellen:

https://www.secion.de/de/blog/blog-details/den-hackern-quasi-ausgeliefert-die-it-sicherheitslage-in-der-oeffentlichen-verwaltung-bleibt-mehr-als-kritisch

https://basic-tutorials.de/news/haw-hamburg-nach-cyberangriff-mit-grossen-problemen/

 

Vor diesem Hintergrund fragen wir die Verwaltung:

 

Dies vorausgeschickt beantwortet die Senatskanzlei (SK) die Fragen wie folgt:    01.08.2023

 

  1. inwieweit über die Bundesregierung Finanzmittel für die IT-Sicherheit abgerufen wurden

r Aus- und Fortbildung zum Thema IT-Sicherheit wurden Mittel beantragt. Weitere Finanzmittel stehen nach unseren Erkenntnissen nicht zur Verfügung und wurden daher nicht abgerufen.

 

  1. Sicherheitssysteme wie AntiViren oder AntiMalware Programme auf allen Servern sowie Notebooks und Desktoprechnern der Verwaltung bestehen und in Routineüberprüfungen Sicherheitsscans durchgeführt werden

r BASIS-Clients ist dies erfüllt, für SIS-Clients (Non-BASIS) und dezentral betriebene Fachverfahren liegt Entsprechendes in der Verantwortung der jeweils betreibenden Ämter und Behörden.

  1. Windows Updates auf allen Arbeitsplatzrechnern aktiviert sind und keine unsupportete Betriebssysteme oder Software mehr genutzt werden, insbesondere

-          Windows 8.1 oder älter

-          Windows Server 2012 oder älter (Support 2012 nur noch bis Oktober 2023)

-          Microsoft Office 2013 oder älter

-          Microsoft Outlook 2013 oder älter

 

Alle Clients im Bezirksamt Wandsbek nutzen das Betriebssystem Windows 10 und Microsoft Office 2019. Für das Verfahren PaulaGo gibt es für einige Endgeräte die genehmigte Ausnahme, im Zuge der laufenden Verfahrensmigration noch bis 31.07.2023 Microsoft Office 2013 zu nutzen.

 

  1. ausschließlich lizenzierte Software auf Arbeitsplatzrechnern installiert ist

r die zentralen Komponenten wird die Lizenzierung durch Dataport/SK sichergestellt. Für alle anderen Software-Komponenten müssen die Behörden die Lizenzierung sicherstellen.

 

 

 

  1. Das freie Gäste-WLAN ausreichend abgesichert ist und keine Verbindung vom Gäste WLAN zum zentralen System besteht

Daten aus dem Gäste-WLAN werden vom Accesspoint über einen CAPWAP Tunnel (Software-Protokoll zur Steuerung und Einrichtung von Basisstationen für drahtlose Computernetzwerke) zum Wireless Lan Controller und von dort über einen weiteren Tunnel zum Provider übertragen. Der Datenverkehr aus dem Gästenetz bleibt somit „eingesperrt“ in einem Tunnel, bis er zum Internet übertragen wird.

 

  1. Die Multifaktor-Authentifizierung (MFA) für sensible Anwendungen aktiviert sind. MFA ebenfalls für die VPN Verbindung aktiviert ist

Ja, beim VPN-Zugang über den Cisco AnyConnect-Client (Absicherung über Maschinenzertifikat). Für alle anderen Netzzugänge und die Absicherung von Fachverfahren erfolgt die Multifaktor-Authentifizierung nach Auftragslage.

 

  1. Mitarbeiter aller Ämter regelmäßig in Schulungen zum Thema Cyber Security sensibilisiert werden

Die Freie und Hansestadt Hamburg führt seit mehreren Jahren zum Thema erfolgreich organisierte Sensibilisierungs- und Awareness-Kampagnen für alle Ämter durch. Dafür wurde ein modulares Baukastensystem mit unterschiedlichen Veranstaltungs- und Onlineformaten, Phishing-Kampagnen sowie Informationsmaterialien entwickelt, welches bedarfsgerecht auf die Anforderungen der einzelnen Organisationseinheiten zugeschnitten werden kann.

 

  1. Backup von allen sensiblen Daten bestehen und diese nicht ebenfalls offline zur Verfügung stehen

Alle zentralen Fachverfahren und Netzlaufwerke und servergespeicherten Profile werden gesichert.

Offline stehen auch einige Daten auf Endgeräten zur Verfügung:

 OST-Dateien und Outlook Adressbücher

 Offlinekopien von Netzlaufwerken, sofern die Anwendenden sich diese offline zur Verfügung stellen. Dies kann selbstständig durchgeführt werden.

 Cache-Dateien von Fachverfahren mit Offlinefähigkeit.

Was die Anwendenden auf ihren Desktops und lokalen Laufwerken ablegen, wird auftragsgemäß nicht zentral gesichert.

Als zusätzlicher Schutz bei Diebstahl existiert die Bitlockerverschlüsselung.

 

  1. Kundendaten, die in den Ämtern aufgenommen werden, ausreichend geschützt sind. Ebenfalls zu prüfen wäre der Schutz der Daten, die von Mitarbeitern oder Mitgliedern der politischen Parteien in den Systemen gespeichert sind

 Dies ist immer gewährleistet, wenn BASIS-Clients eingesetzt werden und

 ein grundschutzkonformer Infrastruktur- und Verfahrensbetrieb bei Dataport über die SSLA beauftragt wurde.

In beiden Fällen kann Dataport die Auswahl und Umsetzung der Sicherheitsmaßnahmen nach dem Stand der Technik über das Sicherheitskonzept nachweisen.

In allen anderen Fällen liegt die Verantwortung für den ausreichenden Schutz bei den verantwortlichen Stellen.

 

  1. Ob Links in E-Mails nicht automatisch aktiviert sind bzw. mit einem entsprechenden

Warnung ausgestattet sind

 

Die Links in den E-Mails werden auftragsgemäß auf den Exchange Server bzw. während des  Mailroutings nicht deaktiviert. Es wird auch keine Warnung angezeigt. Die Links werden aber durch mehrere Virenschutzprodukte überprüft, und bei Verdacht zusätzlich automatisiert in einer Sandbox-Umgebung (besonders geschützte Testumgebung) getestet. Sollten hier Auffälligkeiten erkennbar sein, wird die gesamte E-Mail in Quarantäne gesetzt und der Empfänger hierüber informiert.

 

  1. Ob ein Sicherheitskonzept inkl. technische und organisatorische Maßnahmen für die IT-Infrastruktur vorliegt, diese regelmäßig aktualisiert wird und auch bei den Mitarbeitende bekannt ist,

 

r die beauftragten zentralen Infrastrukturen, Fachverfahren sowie BASIS-Clients liegen entsprechend der Beauftragung bei Dataport Sicherheitskonzepte vor.

 

  1. Ob regelmäßig Bedrohungsanalysen ausgeführt werden und entsprechende Maßnahmen umgesetzt werden  

 

Ja, entsprechende Analysen werden regelmäßig durchgeführt und Maßnahmen umgesetzt.

 

 

Anhänge

keine Anlage/n