17. November 2023: Die IT-Infrastruktur der Großen Kreisstadt Mössingen in Baden-Württemberg sieht sich einem Cyber-Angriff ausgesetzt. Doch die Gemeinde reagiert schnell und kann das Schlimmste abwenden. So kann es gehen: Heute gilt das damalige Krisenmanagement der Mössinger Verwaltung als Best Practice.
Kleinere Kommunen rechnen häufig nicht damit, dass auch sie als Ziel für Hacker attraktiv sein könnten. Doch tatschlich hatten es Cyber-Kriminelle auf die Daten von mehr als zwanzigtausend Mössinger Bürgerinnen und Bürgern abgesehen. Als deutlich wurde, dass die IT-Infrastruktur Mössingens von einem Angriff betroffen war, wurde schnell gehandelt.
Der Krisenstab setzte sich aus Michael Bulander, dem Oberbürgermeister der Stadt Mössingen, der IT-Leitung, der Datenschutzbeauftragten und den Mitarbeitenden der Öffentlichkeitsarbeit zusammen. Unverzüglich wurde die IT der Verwaltung vom Internet getrennt und sowohl interne als auch externe Mitwirkende und Betroffene verständigt. „Bei einem Cyberangriff zählt oft jede Minute, um größeren Schaden und eine Ausweitung des Angriffs zu verhindern. Daher raten wir Betroffenen immer, sich so schnell wie möglich zu melden“, betonte Anika Sturm, Vorfallsmanagerin der Cyber-Sicherheitsagentur Baden-Württemberg.
Krisenstab und Kommunikation funktionieren
So wussten die Cybersicherheitsagentur Baden-Württemberg (CSBW), das Landeskriminalamt Baden-Württemberg (LKA BW), das Polizeipräsidium Reutlingen (PP RT), der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), das Cyber Security Incident Response Team (CSIRT) des kommunalen IT-Dienstleisters Komm.ONE, der IT-Dienstleister der Stadt sowie die Mitarbeitenden in Kürze über den Angriff Bescheid. „Der Austausch in der Kommunikationsrunde war uns vom ersten Tag des Cyberangriffs eine große Hilfe bei der Bewältigung“, erzählte Nicole Siller, die Pressesprecherin der Stadt Mössingen.
Abschalten und Neuaufbau
Laut Komm.ONE konnte vor allem durch das sofortige Herunterfahren der Netzwerk- und Internetkomponenten Schlimmeres verhindert werden. Schlussendlich habe man sich gemeinsam mit den Cyber-Sicherheitsfachleuten der Behörden aus Sicherheitsgründen dazu entschieden die gesamte IT-Infrastruktur der Mössinger Verwaltung vollständig neu aufzusetzen. „Sicher, schnell und effektiv hat unser Cyber Security Incident Response Team im 24/7-Einsatz in Zusammenarbeit mit allen Fachabteilungen den Wiederaufbau der Mössinger Verwaltung unterstützt,“ erläuterte Mark Schimmer, CSIRT-Leiter der Komm.ONE.
Insgesamt habe der Cyber-Angriff ausschließlich zu einem kurzen Ausfall der Verwaltungsdienste geführt. Zudem sei es laut Komm.ONE ein erfreulicher Nebeneffekt, dass durch den Angriff ein Lernprozess stattgefunden habe, der die Resilienz der Mössinger Verwaltung und die Sicherheit ihrer IT-Systeme weiter gestärt habe. „Uns war immer bewusst, dass es keine hundertprozentige Sicherheit gibt. Die Frage ist nicht ob, sondern wann ein Hacker-Angriff kommt. Deshalb haben wir uns auf eine Cyber-Attacke vorbereitet,“ fasste Michael Bulander zusammen.
