Reul zu Hackerangriffen: "Wir haben das Thema nicht ernst genug genommen"
Stand: 19.02.2023, 12:00 Uhr
Seit dem Angriffskrieg gegen die Ukraine gibt es mehr Hackerangriffe auf öffentliche Einrichtungen in NRW, so Innenminister Herbert Reul (CDU). Allein im Dezember sind 1,5 Millionen gefährliche Mails in der Landesverwaltung identifiziert worden.
Von Martina Koch & Per Quast
René Rehme ist Webentwickler, in seiner Freizeit Hacker. Er hat sich angeschaut, wo Behörden anfällig und wie leicht ihre Systeme zu umgehen sind. Glücklicherweise ist er einer der guten Hacker, der die Betroffenen auf die Schwachstellen hinweist.
Bei seiner Suche findet er mit zum Teil simpelsten Mitteln schnell Unmengen an sensiblen Daten: Ausweise, Gesundheitsdaten, vertrauliche Schreiben von Kommunen und Bezirksregierung inklusive Kontoverbindungen von Bürgern. Sie wurden in E-Mail Anhängen der Behörden verschickt oder waren im Intranet zu finden. Zugriff darauf bekam Rehme häufig mit einfachen Standartpasswörtern. "Dass es bei den Kommunen geklappt hat, hat mich sehr erstaunt und auch fassungslos zurückgelassen." Dass man so leicht an vertrauliche Daten der Bürger komme, sei erschreckend, so der IT-Spezialist.
Tausende Hackerangriffe täglich
Für öffentliche Einrichtungen wird Online-Kriminalität zunehmend zum Problem. 70 Prozent aller Mails an die Landesverwaltung im Dezember letzten Jahres wurden als gefährlich eingestuft und abgewiesen, so das zuständige Ministerium für Digitalisierung in NRW.
Auch die IT-Systeme der Kommunen sind jeden Tag Cyberangriffen ausgesetzt. Zum Glück seien die bislang kaum erfolgreich, sagt Andreas Wohland vom Städte-und Gemeindebund NRW. Aber man sei in einem ständigen Wettbewerb um kommunale IT-Sicherheit, weil die Angreifer immer neue Wege und Mittel finden. Und bei der Masse der Angriffe werde es früher oder später eben auch zu erfolgreichen Angriffen kommen, so Wohland.
Zunehmende Digitalisierung erhöht Gefahr
Kommunen sind inzwischen gesetzlich verpflichtet, alle Leistungen für Bürgerinnen und Bürger auch online anzubieten. Die zunehmende digitale Vernetzung schafft mehr Datenverbund und damit auch neue Angriffspunkte.
In Witten mussten 2021 wegen des Ausfalls der IT nach einem Hackerangriff alle Prozesse mit Stift, Papier und Telefon erledigt werden. Unzählige Bürgeranliegen verzögerten sich um Tage und Wochen. Für den Krisenfall bietet das Land den Kommunen jetzt mobile Einsatzteams an. Aber die seien personell erst im Aufbau, so der Städte-und Gemeindebund. Das müsste schneller gehen.
Wettbewerb um IT-Fachkräfte
In den Kommunen fehlen IT-Sicherheitsexperten. Das sei ein generelles Problem in öffentlichen Stellen, meint Innenminister Herbert Reul. Die Fachleute würden in die Privatwirtschaft gehen, weil dort besser bezahlt wird. Der Staat sei da objektiv im Nachteil.
Bei der Polizei bilde man deshalb jetzt selbst Leute aus. Aber auch technologisch habe das Land Nachholbedarf beim Schutz kritischer Infrastruktur. Reul räumt ein: "Wir haben Verbesserungspotenzial, weil wir alle das Thema nicht ernst genug genommen haben."
Selbstverpflichtung für Leitstellen von Polizei und Feuerwehr
In NRW sind die gesetzlichen Sicherheitsvorgaben für die Privatwirtschaft strenger als für staatliche Stellen. Das Digitalministerium hält eine Selbstverpflichtung bisher für ausreichend. Jede Kommune ist also selber für die eigene Cybersicherheit verantwortlich.
Dem Leiter der Feuerwehr in Aachen, Andreas Bierfert, ist noch kein erfolgreicher Hackerangriff auf eine Leitstelle bekannt. In Aachen werden die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) umgesetzt. Bierfert würde es begrüßen, wenn das Land die Vorgaben auch für staatliche Stellen machen würde. Dadurch würde man auch die, die sich noch nicht so intensiv mit dem Thema befasst haben, auf einen gewissen Standard verpflichten.
Manches auch banal
Mehr Aufmerksamkeit für das Thema auch in den Kommunen ist dringend notwendig, meint René Rehme. Neben den großen Fragen der IT-Sicherheit zeigen seine Recherchen, wie banal die Sicherheitslücken sein können: Zu einfache Passwörter, falsche Konfiguration und fehlendes Verständnis seien die häufigsten Probleme. "Welche Daten liegen vielleicht offen auf einem Server rum, weil man sie vergessen hat zu löschen oder welche Verzeichnisse sind vielleicht offen abrufbar? Ganz simple Checks, die eigentlich völlig normal sind, wurden eben von Kommunen und Städten sehr oft einfach nicht gemacht."
Das WDR Fernsehen berichtet am 19. Februar in Westpol über dieses Thema.