25.11.24 – von Ulf Dunkel –

Sehr geehrter Herr Landrat.

Die Gefährdung durch kriminelle Cyberangriffe nimmt stetig zu und erreicht immer neue Höchststände. Nach dem aktuellen IT-Sicherheitslagebericht des Bundes­amtes für Sicherheit in der Informationstechnik richten sich sog. Ransomware-Angriffe, bei denen Daten auf einem IT-System verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigegeben werden, vermehrt gegen Kommunen. Ebenfalls deutlich zugenommen haben sog. DDoS-Angriffe, mit denen die Server mit gefälschten Anfragen geflutet und so lahmgelegt werden.

Kommunale Verwaltungen und kommunale Einrichtungen gelten hinsichtlich der Cyber-Sicherheit der öffentlichen Verwaltung gemeinhin als die schwächsten Glieder, da sie angesichts einer angespannten Haushaltssituation und angesichts von Fachkräftemangel oft nicht im erforderliche Maße in der Lage seien, für ihre IT-Sicherheit zu sorgen.

Der Niedersächsische Landesrechnungshof hat in seinem am 14.11.2024 erschienenen Kommunalbericht 2024 die Ergebnisse der Prüfung der IT-Sicherheit bei 31 niedersächsischen Kommunen veröffentlicht: Dabei wurden bei knapp 90 % der untersuchten Kommunen fehlende Risikoanalysen, ein fehlendes Notfall­management und fehlende Notfallübungen festgestellt.

Vor diesem Hintergrund fragen wir die Kreisverwaltung:

1. Hat es bereits einen Cyberangriff auf die Kreisverwaltung oder auf eine Einrichtung des Landkreises gegeben? Wenn ja wann und was ist passiert? Wurde ggf. bereits Lösegeld aufgrund eines Ransomeware-Angriffs gezahlt?

2. Wer für die IT-Sicherheit im Landkreis Cloppenburg zuständig (eigenes Personal oder kommunales Rechenzentrum oder beides)? Welches Budget (extern) bzw. welches Arbeitsvolumen innerhalb der Kreisverwaltung steht dafür zur Verfügung?

3. Wie werden die Beschäftigten für das Thema IT-Sicherheit sensibilisiert? Gibt es regelmäßige Schulungen und/oder Informationssicherheitsleitlinien für die Beschäftigten?

4. Sind Vermögensschäden unseres Landkreises aufgrund von Cyberangriffen versichert? Wenn nein, warum nicht?

5. Gibt es in unserem Landkreis ein Notfallmanagement und Notfallübungen und wenn ja, wie oft haben diese bisher stattgefunden?

6. Wurde der vom Land seit etwa zwei Jahren angebotene kostenlose Cybersicherheits-Check für Kommunen bereits in Anspruch genommen und wenn nein, warum nicht? Wenn ja, mit welchem Ergebnis?

7. Welche Ressourcen (finanziell oder personell) wären nach Einschätzung der Verwaltung erforderlich, um das von den kommunalen Spitzenverbänden im November 2023 veröffentlichte IT-Grundschutzprofil für kommunale Verwaltungen zu gewährleisten?

Mit freundlichen Grüßen

Ulf Dunkel
GRÜNE-Fraktionsvorsitzender

Cloppenburg, 19. Dezember 2024

Anfrage - GRÜNE-Fraktion im Kreistag des Landkreises Cloppenburg

Cybersicherheit in der Kreisverwaltung

Sehr geehrte Damen und Herren,

die Anfrage der GRÜNE-Kreistagsfraktion lautet: (s.o.)

Die dazu gehörigen Fragen werden wie folgt beantwortet:

1. Hat es bereits einen Cyberangriff auf die Kreisverwaltung oder auf eine Einrichtung des Landkreises gegeben? Wenn ja wann und was ist passiert? Wurde ggf. bereits Lösegeld aufgrund eines Ransomeware-Angriffs gezahlt?

Im Kreishaus hat es noch keinen erfolgreichen Cyberangriff gegeben. Cyberattacken wurden bisher erfolgreich durch technische und organisatorische Maßnahmen abgewehrt. SPAM und unsichere E-Mails werden größtenteils durch den IT-Dienstleister (KDO) gefiltert.

Es hat jedoch im März 2022 einen Cyberangriff auf die Berufsbildende Schule Technik Cloppenburg gegeben. Dabei wurde die Schule mittels einer Ransomware komprimiert. Es wurde kein Lösegeld gezahlt und mithilfe von Backups konnten eine Vielzahl an Daten wiederhergestellt werden.

Auch in Zukunft sollte im Falle einer Kompromittierung von einer Lösegeldzahlung abgesehen werden, da nie sichergestellt werden kann, dass die Angreifer die Systeme tatsächlich wieder freischalten.

2. Wer für die IT-Sicherheit im Landkreis Cloppenburg zuständig (eigenes Personal oder kommunales Rechenzentrum oder beides)? Welches Budget (extern) bzw. welches Arbeitsvolumen innerhalb der Kreisverwaltung steht dafür zur Verfügung?

Der Landkreis Cloppenburg hat seit 2015 seinen IT-Sicherheitsbeauftragten über die KDO bestellt..
Daneben übernimmt ein Mitarbeiter der Kreisverwaltung (Herr Frye, Abteilungsleitung 10.2 EDV) die Aufgaben des IT-Sicherheitskoordinators.
Die Kosten belaufen sich auf jährlich rd. 20.200 Euro für die Leistung der KDO. Hinzu kommen die anteiligen Personalkosten des Mitarbeiters des Landkreises.

Für die IT-Sicherheit an den Schulen in Trägerschaft des Landkreises Cloppenburg sind die Mitarbeiter des Medienzentrums des Landkreises Cloppenburg zuständig. Hauptverantwortlicher für die IT-Sicherheit der kreiseigenen Schulen ist die neue fachliche Leitung im Medienzentrum, Herrn Schulz.

Da das Thema IT-Sicherheit nur eines von vielen Arbeitspakten der Mitarbeitenden des Medienzentrums sowie der externen Supportdienstleister ist, kann ein konkretes Budget (intern/extern) sowie Arbeitsvolumen zum derzeitigen Zeitpunkt nicht genau ermittelt werden.

3. Wie werden die Beschäftigten für das Thema IT-Sicherheit sensibilisiert? Gibt es regelmäßige Schulungen und/oder Informationssicherheitsleitlinien für die Beschäftigten?

Es gibt eine Dienstanweisung DA-IT, die für alle Mitarbeitenden gilt. Daneben werden im Intranet Merkblätter zu verschiedenen Themen des Datenschutzes vorgehalten. Auch wird im Intranet regelmäßig auf verdächtige Aktionen oder SPAM-E-Mails hingewiesen.
In der Vergangenheit wurde eine E-Learning-Tool „Training Informationssicherheit und Datenschutz“ zunächst auf freiwilliger Basis eingesetzt. Zwischenzeitlich ist das Thema IT-Sicherheit in einem verpflichtenden Unterweisungsprogramm mit verschiedensten Themenbereichen implementiert. Zurzeit sind folgende Module verpflichtend: „Verhaltensregeln zur IT-Sicherheit“, „Bildschirmarbeitsplätze“ und „Datenschutz“. Die Module werden regelmäßig aktualisiert, ersetzt und geändert.
Die Einführung verpflichtender Sicherheitspraktiken, wie z. B. Multi-Faktor-Authentifizierung (MFA) oder regelmäßige Passwortänderungen, sorgt zusätzlich dafür, dass IT-Sicherheit im Alltag der Mitarbeitenden verankert wird.

Gleichzeitig werden die Mitarbeitenden regelmäßig gewarnt, sollte es wieder vermehrt zu verdächtigen E-Mails etc kommen.

4. Sind Vermögensschäden unseres Landkreises aufgrund von Cyberangriffen versichert? Wenn nein, warum nicht?

Bisher gibt es keine Versicherung. Es gab eine Anfrage einer Versicherung, aber die Vorermittlungen zur Prämienermittlungen waren zu umfangreich, um ein Angebot zu erhalten. Zudem gehört die EDV-Technik nicht dem Landkreis sondern der KDO, so dass der Landkreis zumindest keine materiellen Schäden absichern muss. Bisher gibt es auch für den Bereich der kreiseigenen Schulen keine entsprechende Versicherung, weil die Kosten bisher nicht im Verhältnis zu einem zu erwartenden Angriff bzw. dann erforderlichen Nutzen standen.

5. Gibt es in unserem Landkreis ein Notfallmanagement und Notfallübungen und wenn ja, wie oft haben diese bisher stattgefunden?

Die KDO hat Notfallpläne für ihre eingesetzte KDO-Technik. Darüber hinaus besteht kein Notfallmanagement. Notfallübungen gibt es bisher nur im Bereich Katastrophenschutz und es werden regelmäßig Notstromprüfungen durchgeführt. Auch der Umgang mit Blackouts größeren Ausmaßes sowie dem Ausfall der Telekommunikation ist immer der Teil der Übungen des Katastrophenschutzstabes.

6. Wurde der vom Land seit etwa zwei Jahren angebotene kostenlose Cybersicherheits-Check für Kommunen bereits in Anspruch genommen und wenn nein, warum nicht? Wenn ja, mit welchem Ergebnis?

Die gesamte EDV-Dienstleistung für den Landkreis wird von der KDO wahrgenommen. Daher ist es nicht zielführend, wenn der Landkreis gesonderte Sicherheits-Checks durchführt. Die KDO ist jedoch ISO-Zertifiziert und führt ihre eigenen Checks durch. Das Medienzentrum hat über einen externen Dienstleister ein IT-Sicherheitskonzept erstellen lassen und es in diesem Jahr vorgestellt. Der Service des Landes konnte nicht in Anspruch genommen werden.

7. Welche Ressourcen (finanziell oder personell) wären nach Einschätzung der Verwaltung erforderlich, um das von den kommunalen Spitzenverbänden im November 2023 veröffentlichte IT-Grundschutzprofil für kommunale Verwaltungen zu gewährleisten?

Zurzeit wird das o.g. Grundschutzprofil „Basisabsicherung Kommunalverwaltung“ gemeinsam mit dem Informationssicherheitsbeauftragten bearbeitet. Die Ergebnisse werden im ISMS-Tool „verince.PRO“ der Fa. SerNet dokumentiert. Die personellen und finanziellen Ressourcen sind nach Abschluss der Arbeiten und der Bewertung der noch offenen Sicherheitsanforderungen ersichtlich. Da ein sehr großer Anteil der Sicherheitsanforderungen im Verantwortungsbereich der KDO liegt, ist zurzeit nicht mit erheblichen zusätzlichen Ressourcen (finanziell oder personell) für den Landkreis zu rechnen.

Im Bereich des Medienzentrums und der kreiseigenen Schulen ist die Erweiterung des Sicherheitskonzeptes eine Aufgabe für die kommenden Jahre neben den weiteren Aufgaben. Für eine schneller erreichte Verbesserung im Bereich IT-Sicherheit wäre mehr Personal notwendig.

Ich hoffe, Ihre Fragen beantwortet zu haben und verbleibe

mit freundlichen Grüßen

Johann Wimberg