Viele Kommunen in Deutschland sind nach Ansicht von IT-Sicherheitsexperten Hackern hilflos ausgeliefert. „Gerade bei den Kommunen muss man davon ausgehen, dass sie sehr verletzlich sind“, sagte Dirk Arendt von Trend Micro Deutschland der F.A.S. So hatte beispielsweise eine Cyberattacke Anfang Juli die Verwaltung im Landkreis Anhalt-Bitterfeld lahmgelegt. Michael Waidner, der Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, sagte: „Wenn wir Infrastrukturen bei der öffentlichen Hand oder bei Unternehmen auf ihre IT-Sicherheit untersuchen, kommt eigentlich immer dabei heraus, dass es relativ viele Schwachstellen gibt. Bei den meisten Organisationen, die wir getestet haben, kann man als Angreifer erfolgreich sein. Angreifbarkeit gibt es überall.“

Alles, was digitalisiert sei, könne man rein theoretisch auch attackieren. So sei die Situation bei den im Bundestag vertretenen Parteien ähnlich wie bei den Kommunen. Die Angriffe, die in letzter Zeit stattgefunden hätten, so Waidner, seien fast alle Ransomware-Angriffe: „Da ging es ums Geldverdienen. Das ist größtenteils nicht einmal sehr gezielt. Dass es beispielsweise Bitterfeld getroffen hat, könnte auch einfach Zufall gewesen sein. Ich denke, die Angreifer haben jetzt nicht im Kopf, die Kommunen lahmzulegen und einen Day Zero zu verursachen.“

Die Angreifer agieren in ihrem Vorgehen immer professioneller. „Sie suchen sich eine bestimmte Anzahl von Opfern zu einem bestimmten Zeitraum aus. Es sind inzwischen Mechanismen, die man noch vor ein paar Jahren nur von nationalstaatlich gesteuerten Angriffen kannte“, sagte Andreas Rohr von der Deutschen Cyber-Sicherheitsorganisation. Manuel Atug, IT-Sicherheitsexperte des Chaos Computer Club, sprach von hochstrukturierter Bandenkriminalität. „Diese Kriminellen hatten um 2007, 2009 herum den Break-even-Point, dass sie mit Cybercrime mehr verdienen als mit Drogenhandel. Sie sind skrupellos und haben nur ein Ziel: den maximalen Profit erpressen.“ Es sei die moderne Form der Schutzgelderpressung.

Es wird Jahre dauern, eine Cyber-Resilienz aufzubauen

„Staat und Regierung haben diese Entwicklung verschlafen und dabei versagt, sich für den Cyberraum zu wappnen“, so Atug. „Das ist nichts, was wir in wenigen Wochen vergeigt haben, sondern da hat man sozusagen Jahrzehnte für gebraucht. Und nun wird man auch viele Jahre brauchen, eine Cyber-Resilienz, eine defensive Strategie aufzubauen. Damit hat die Regierung aber noch nicht einmal angefangen.“

Auch Oppositionspolitiker beklagten den schlechten Zustand der IT-Sicherheit in den Kommunen. Der digitalpolitische Sprecher der FDP-Bundestagsfraktion, Manuel Höferlin, kritisierte, dass Cybersicherheit bisher von der Bundesregierung „nicht großgeschrieben“ worden sei. „Daher mangelt es vor allem an Handreichungen an Kommunen, wie die IT-Sicherheit gesteigert werden kann.“ Im Moment sei man gegenüber kriminellen Hackern oder staatlichen Cyberangriffen „deutlich unterlegen“. Die netzpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg, sagte: „Ein sehr hoher Anteil der vielen tausend Kommunen in Deutschland ist anfällig für gefährliche und folgenschwere Angriffe auf ihre IT-Sicherheit.“ Die IT mancher Kommunen treibe „einem die Tränen in die Augen“.

Die Beauftragte der Bundesregierung für Digitalisierung, Dorothee Bär, sagte der F.A.S.: „Die IT-Sicherheitslage in Deutschland ist weiterhin angespannt, gerade die Bedrohung durch Ransomware ist derzeit sehr hoch.“ Die Bundesregierung befasse sich intensiv mit den Möglichkeiten der effektiven Bekämpfung. „Neben Aspekten der technischen IT-Sicherheit werden hierbei auch Überlegungen zur Stärkung repressiver Maßnahmen angestellt.“