als in Firmen das Bewusstsein“, meint Reinhard Haider, Amtsleiter im oberösterreichischen Kremsmünster. Foto: Shutterstock
Schwachstelle Mitarbeiter: Kein Bewusstsein für die Gefahr
Gerd Sarnitz vom Gemeinde-Informatikzentrum Kärnten bedauert, dass es keine Statistiken gibt, wie oft etwa Gemeindehomepages angegriffen werden, weil es keine zentrale Stelle gibt, die das erheben würde. Man kann also nicht sagen, wie groß die Bedrohungslage wirklich ist.
Es mangelt an Ressourcen und Know-how
Die Gefahr für Gemeinden ist ähnlich groß wie für Unternehmen. „Allerdings fehlt in Gemeinden oft noch mehr als in Firmen das Bewusstsein, meint Reinhard Haider, Amtsleiter im oberösterreichischen Kremsmünster. Er kann das anhand eines Beispiels erläutern: Das Bundeskanzleramt hat in Kooperation mit dem Gemeindebund, dem Städtebund, der Stadt Wien sowie dem A-SIT (Zentrum für sichere Informationstechnologie – Austria) und der FH Oberösterreich, Campus Hagenberg, im vergangenen Jahr eine CD-ROM entwickelt. Sie soll kleine und mittlere Gemeinden bei der Implementierung von Sicherheitsmaßnahmen unterstützen. Mitarbeiterinnen und Mitarbeitern der Gemeinden können auf einfache Weise prüfen, ob man in Punkto Sicherheit auf dem aktuellsten Stand ist. Außerdem können Risiken erkannt werden. Die CD wurde kostenlos an alle Bürgermeisterinnen und Bürgermeister verschickt. „Meine Gespräche mit Kollegen aus anderen Gemeinden zeigen mir immer wieder, dass die CD nur wenig genutzt wurde“, bedauert Haider. „Das ist ein Ressourcenproblem und auch eine Frage des fehlenden Know-hows. Dass die Bedrohung existiert, weiß jeder, aber solange nichts passiert, setzt sich kaum jemand damit auseinander.“
Thomas Löffler vom IT-Dienstleister „Thinktank“ vermutet, dass Gemeinden oft auch nicht genug Geld haben wie etwa ein mittleres Unternehmen, um in IT-Sicherheit zu investieren
Passwörter – leicht zu merken, schwer zu erraten
Das Problem wird dadurch etwas entschärft, dass die meisten Gemeinden einen IT-Dienstleister, wie etwa die Gemdats, haben, der sich um die Sicherheit der IT kümmert. Nachteil ist aber, dass sich in den Gemeindeämtern kein Problembewusstsein entwickelt, weil man meint, dass die EDV-Firmen alles erlegen. Denn die besten Sicherheitsupdates nutzen nichts, wenn Mitarbeiter absichtlich oder unabsichtlich, etwa durch Phisingsmails, Passwörter weitergeben.
Ein an und für sich erfreulicher Zustand kann aus Sicherheitssicht gefährlich werden. „Gerade in kleinen Gemeinden kennen die Leute, die am Gemeindeamt zusammenarbeiten einander meist sehr gut. Das führt dazu, dass etwa Passwörter weitegeben werden. Für jemanden, der sich mit IT-Sicherheit beschäftigt, ist das eine Horrorvorstellung“, sagt Thomas Löffler von „Thinktank“. Das gelte auch für das beliebte Aufschreiben von Paßwörtern auf Post-it’s.
Das Problem: Passwörter sollen immer komplexer werden, um nicht erraten werden zu können. Löffler: „Es gibt jährlich Rankings der meistgebrauchten Passwörter. Alle Kombinationen, die dort vorkommen, sollte man tunlichst vermeiden.“ Und da auch die Namen der Kinder oder des Familienhundes nicht gerade als sicher gelten, ist es kaum möglich, ein sicheres, aber dennoch merkbares Passwort zu finden. Gerd Sarnitz vom Gemeinde-Informatikzentrum Kärnten schläft deswegen vor, beispielsweise die jeweils ersten Buchstaben des Refrains des Lieblingsliedes zu kombinieren.
