Anfrage zur IT-Sicherheit

Jakob Mähler 11. Februar 2022

Gegenstand der Anfrage:

Erstmals hat am 09.07.2021 eine deutsche Kommune wegen eines Hackerangriffs den Katastrophenfall ausgerufen. Der Landkreis Anhalt-Bitterfeld (Sachsen-Anhalt) wurde durch einen Cyberangriff so weit lahmgelegt, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Offenbar wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat.

Die Rekonstruktion der Daten und die Wiederinbetriebnahme des IT-Netzes wird nach derzeitigem Stand bis April oder Mai 2022 dauern und ca. 2 Mio. € kosten. Nach Schätzungen können 80-90% der Daten aus den Datensicherungen rekonstruiert werden. 

 

  1. Ist der Main-Kinzig-Kreis über den Vorfall des Landkreises Anhalt-Bitterfeld informiert?

 

Die IT-Sicherheitsbeauftragten des Main-Kinzig-Kreises werden über Verteiler des BSI (Bundesamt für Sicherheit in der Informationstechnik) und des hessischen CERT (Cyber Competence Center) bei größeren Sicherheitsvorfällen direkt informiert, dies ist auch beim dem Vorfall am 05.07.2021 im Landkreis Anhalt-Bitterfeld geschehen.

 

  1. Wenn ja, welche Erkenntnisse hat der Main-Kinzig-Kreis daraus gezogen?

 

Die kritische Sicherheitslücke „Printnightmare“ über welche der Angriff stattgefunden hat, wurde am 02.07.2021 durch das BSI gemeldet. Es wurden entsprechende Sicherupdates eingespielt. Nach Bekanntwerden des Vorfalls wurden alle Systeme sicherheitshalber nochmals intensiv geprüft.

 

  1. Hat der Main-Kinzig-Kreis geprüft, ob die im Landkreis Anhalt-Bitterfeld genutzten Schwachstellen auch im System der Kreisverwaltung, den kreiseigenen Gesellschaften sowie der Schulen vorhanden sind?

 

Siehe Antwort 1a

 

Das Amt für Digitalisierung, IT und eGovernment betreut neben dem Landratsamt und allen Schulen, folgende kreiseigenen Gesellschaften: KCA (Kommunales Center für Arbeit), AQA Gemeinnützige Gesellschaft für Arbeit, Qualifizierung), Breitband GmbH und das ZKJF (Zentrum für Kinder-, -Jugend, -Familienhilfe)

 

Alle anderen kreiseigenen Gesellschaften werden nicht durch das Amt für Digitalisierung, IT und eGovernment und die IT-Sicherheitsbeauftragten betreut.

 

 

  1. Wenn nein, wieso wurde eine solche Prüfung nicht durchgeführt?
  2. Wenn nein, wann ist mit einer Durchführung dieser Prüfung zu rechnen?
  3. Was wird von Seiten der Kreisverwaltung unternommen, um die Chance eines erfolgreichen Hackerangriffes bzw. Cyberangriffes zu minimieren? Welche Maßnahmen werden angewendet?

 

Die Kreisverwaltung ist über das Amt für Digitalisierung, IT und eGovernment und die beiden IT-Sicherheitsbeauftragten im ständigen Austausch mit den landesweiten und bundesweiten zuständigen Behörden BSI und Hessen-CERT (wie in Antwort 1. schon beschrieben).

 

Es werden regelmäßige Audits und Prüfungen durchgeführt, beispielhaft sei das KDLZ-CS Projekt genannt, eine gemeinsame Sicherheitsoffensive des Hessischen Ministeriums des Innern und für Sport, der kommunalen Spitzenverbände und der ekom21 KGRZ, des größten kommunalen IT-Dienstleistungsunternehmens in Hessen, an welchem die Kreisverwaltung teilgenommen hat.

 

Im Rahmen dieses Projekts wurde eine Sicherheitsüberprüfung anhand des BSI-IT-Grundschutzes durchgeführt. Verbesserungen und Empfehlungen wurden durch einen Maßnahmenkatalog an die Kreisverwaltung zurückgespielt, um die IT-Sicherheit zu erhöhen.

 

Eine ausführlichere Erläuterung über die Arbeitsweise unserer IT-Sicherheitsbeauftragten finden sie auch in dem Podcast „MKK Ganz Nah“, eine Folge ist speziell dem Thema IT-Sicherheit und Datenschutz gewidmet.

 

Link: https://www.youtube.com/watch?v=ypx1MjUBPZ4

 

  1. Wie viel Geld wurde 2021 Seitens des Kreises
  2. für IT-Sicherheit

 

Das Design der IT-Systemarchitektur folgt dem Prinzip „Security by Design“, das bedeutet, das bedeutet, dass bei allen IT-Systemarchitekturen per se IT-Security als Designkomponente fest verankert ist. Somit ist eine explizite Herauslösung von dedizierten Kosten für IT Security nicht möglich.

 

 

  1. für Schulungen der Mitarbeitenden

ausgegeben?

 

Im Rahmen des in Antwort 3. angesprochenen KDLZ-CS Projektes wurden uns kostenfreie e-Learning-Plattformen zum Thema IT-Sicherheit bereitgestellt. Anderweite kostenpflichtige Schulungen wurden nicht beauftragt.

 

  1. Wie viel Geld für IT-Sicherheit wurde für das Jahr 2022 eingestellt?

 

 

Siehe Antwort 4a

 

  1. Wurde die IT-Sicherheit des Kreises durch eine unabhängige Stelle geprüft?

 

Ja, im Rahmen des KDLZ-CS Projektes, siehe Antwort 3.

 

  1. Wenn ja, wie war das Ergebnis?

 

Siehe Antwort 3.

 

  1. Wenn nein, wieso wurde bis jetzt eine solche Prüfung nicht durchgeführt?
  2. Wenn nein, wann ist eine solche Prüfung geplant?
  3. Besteht ein IT-Notfallplan
  4. Für die Kreisverwaltung?

 

Ein IT Notfallplan ist aktuell in der Umsetzung

 

  1. Für die kreiseigenen Gesellschaften?

 

Alle kreiseigenen Gesellschaften welche direkt über die interne IT der Kreisverwaltung betreut werden (siehe Antwort 2), werden ebenfalls teil dieses IT-Notfallsplan sein.

 

  1. Für die Schulen?

 

Schulen sind ebenfalls Teil des IT-Notfallplans

 

  1. Gibt der Main-Kinzig-Kreis auch den Kommunen Hilfestellung zum Schutz vor Cyberangriffen?

 

Dies ist bislang nicht geplant.

 

  1. Wenn ja, wie sehen diese Hilfestellungen aus?
  2. Wenn nein, ist geplant, Angebote für Kommunen einzurichten?

 

Dies ist bislang nicht geplant.