15.12.2021 — Online-Redaktion Verlag Dashöfer. Quelle: PwC.
Witten, Schwerin, Wesel – das sind nur einige der Städte, deren Verwaltungen 2021 zum Ziel schlagkräftiger Cyberattacken wurden. Die Liste ließe sich lange fortführen, denn einer Umfrage von Zeit Online und dem Bayerischen Rundfunk zufolge hat es in den vergangenen sechs Jahren insgesamt mindestens 100 Ämter und Behörden getroffen. Wie gravierend die Folgen solcher Attacken ausfallen können, zeigt der wohl prominenteste Fall in diesem Jahr: Anhalt-Bitterfeld. Anfang Juli hatten Unbekannte die Daten der Verwaltung des Landkreises verschlüsselt und damit für Wochen die gesamte IT lahmgelegt.
Wie oft Ämter und Behörden diesem Worst-Case-Szenario nur knapp entgehen, zeigen aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI): Von Juni 2020 bis Mai 2021 hat die Behörde jeden Monat rund 44.000 E-Mails mit Schadprogrammen in den Regierungsnetzen abgefangen, bevor sie in den Postfächern der Mitarbeitenden landeten.
Aufgrund der komplexen Organisationsstrukturen und knappen Ressourcen in der öffentlichen Verwaltung kämpfen die Fachkräfte in den Behörden fortwährend unter erschwerten Rahmenbedingungen gegen diese Gefahren. Aus diesem Grund ist es von entscheidender Bedeutung, gewisse Grundlagen beim Schutz der IT-Infrastrukturen zu beherzigen. Die folgenden Tipps von André Glenzer, Experte für Cybersicherheit im öffentlichen Sektor bei PwC Deutschland, geben einen Überblick über die wichtigsten Maßnahmen, die zu einer sichereren IT in der öffentlichen Verwaltung beitragen.
Um alle sicherheitsrelevanten Parameter lückenlos abzustecken, ist es für Organisationen aus der öffentlichen Verwaltung wichtig, ein Managementsystem für die Informationssicherheit (ISMS) aufzustellen. Ein solches System definiert alle notwendigen Maßnahmen, Vorgaben und Hilfsmittel, um die Informationssicherheit innerhalb der Organisation zu garantieren – von der Genehmigung neuer Software bis zur Entsorgung von Datenträgern. Das ist unter anderem wichtig, um verpflichtende Standards für sämtliche Mitarbeitende durchzusetzen und etwaige Verstöße und die damit einhergehenden Sicherheitsrisiken frühzeitig zu erkennen. Für den öffentlichen Sektor bietet sich dazu der IT-Grundschutz an. Ein seit 1994 etablierter Standard, veröffentlicht und gepflegt vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Aktuell ist er in der Edition Kompendium 2021 erschienen.
Anknüpfend an das ISMS sind Behörden gut beraten, für Notfälle auch einen konkreten Cyber Incident Response Plan aufzustellen. Dabei handelt es sich um einen Leitfaden, der für den Fall eines Angriffs sämtliche Abläufe und Maßnahmen zur Begrenzung des Schadens definiert – darunter beispielsweise ein koordinierter Shutdown oder die Wiederherstellung der Systeme. Obwohl sich solche Notfallpläne je nach IT-Infrastruktur unterscheiden können, folgen sie in der Regel einem gängigen Muster. Wenn alle Notfallmaßnahmen richtig ineinandergreifen, gewinnen Behörden bei der Abwehr eines Angriffs wertvolle Zeit und können den drohenden Schaden deutlich eingrenzen. Wichtig ist, diesen Notfallplan regelmäßig zu üben und diese Übungen zu dokumentieren und auszuwerten.
Verschiedene Untersuchungen zeigen immer wieder, dass neben kriminellen Angreifenden auch die eigenen Angestellten ein Sicherheitsrisiko für die IT-Sicherheit darstellen können. Laut der Studie Digital Trust Insights 2022 erwarten 30 Prozent der Unternehmen sogar einen Anstieg des daraus resultierenden Risikos. Doch oft werden Mitarbeitende ohne böse Absicht zu einer Gefahr für die IT-Sicherheit. Raffinierte Phishing- oder Social-Engineering-Kampagnen, die Menschen manipulieren, sind für ungeschulte Personen beispielsweise nur schwer zu identifizieren. Daher ist es wichtig, die gesamte Belegschaft regelmäßig zu schulen und hinsichtlich der Bedrohungsszenarien auf den aktuellen Stand zu bringen. Auch hier sollten alle Schulungen entsprechend dokumentiert werden. IT-Sicherheitsverantwortliche sollten jederzeit in der Lage sein, die Frage zu beantworten, wie viele Mitarbeitende ihrer Institution im vergangenen Jahr erfolgreich geschult wurden.
Wenn Mittel wie Phishing oder Social Engineering nicht greifen, suchen sich Kriminelle gerne andernorts eine Hintertür, um an die Daten von Ämtern und Behörden zu gelangen. Sogar Stellenausschreibungen können potenziellen Angreifenden Hinweise auf leichte Ziele geben. Sucht eine Einrichtung beispielsweise nach Administratoren mit Kenntnissen für veraltete Systeme wie Windows 7 oder Windows Server 2008 R2, können Kriminelle davon ausgehen, dass die IT-Infrastruktur vor Ort nicht auf dem neuesten Stand und verwundbar ist. Daher ist es wichtig, den Angreifenden zuvorzukommen. Das kann in der Regel auf zwei Wegen geschehen. Zunächst einmal besteht die Möglichkeit, Anwendungen und Netzwerke mit einem Schwachstellenscanner automatisiert auf Sicherheitslücken zu überprüfen. Weil ein automatisiertes System bei der Erkennung von komplexen Sicherheitslücken irgendwann an seine Grenzen stößt, sind für tiefgreifendere Analysen aber auch externe Expert:innen erforderlich – sogenannte Penetration Tester. Diese nehmen die Perspektive der Angreifenden ein und versuchen, in die Systeme der Klient:innen einzudringen. Gelingt dies, können die Auftraggeber:innen den verwendeten Angriffspfad gezielt absichern. Hier ist zu berücksichtigen, dass Sicherheit ein Prozess ist. Einmalige Schwachstellen-Scans oder Penetrationstests werden in der Regel wirkungslos verpuffen. Es gilt also, diese langfristig zu planen und in Abhängigkeit der ermittelten Schutzbedarfe entsprechend häufig zu wiederholen.
Aktuell hat es die Schwachstelle Log4Shell wieder einmal verdeutlicht: Wer sich ausschließlich auf einen Perimeterschutz verlässt, ist verloren. Vereinfacht ausgedrückt: Behördliche Informationssicherheitsbeauftragte sollten sich ihre IT wie eine Burg vorstellen. Den Großteil der Zeit über schützt der Burggraben in Form von Firewalls und ähnlichen Sicherheitsmaßnahmen sie zuverlässig vor Gefahren. Aber ab und zu wird die Zugbrücke heruntergelassen: weil zum Beispiel Wartungsarbeiten stattfinden, eine Person versehentlich den falschen Port in der Firewall freischaltet oder Schwachstellen wie Log4Shell den Schutz aushebeln. In so einem Moment können Angreifende das Innere der Burg betreten, in die Systeme eindringen. Darüber hinaus ist die Daten-Festung nicht nur für direkte Eindringlinge interessant. Billionen von Schadprogrammen scannen permanent das Internet auf öffentlich erreichbare Schwachstellen. In derselben Sekunde, in der eine Schwachstelle vorhanden ist, kann diese bereits durch automatisierte Angriffe ausgenutzt werden. Daher ist es innerhalb des Risikomanagements wichtig, IT-Systeme und Anwendungen grundsätzlich so zu behandeln, als wären diese jederzeit frei über das Internet erreichbar. Sich auf vermeintlich sichere, geschlossene Netze zu verlassen, ist keine Option. In der IT-Infrastruktur lassen sich z. B. durch ein SIEM oder durch weitere Verschlüsselungsmaßnahmen in Datenbanken oder Filesystemen zusätzliche Schutzmaßnahmen realisieren. Schlussendlich können ein stringentes Patchmanagement und zunächst vermeintlich überflüssige Penetrationstests auch innerhalb der geschlossenen Netze das Sicherheitsniveau entsprechend erhöhen. All diese Maßnahmen in Kombination können die Auswirkungen neuer Schwachstellen wie beispielsweise Log4Shell deutlich mindern.
Bild: Andrea Piacquadio (Pexels, Pexels Lizenz)
X
