IT-Sicherheit:
Bewerbung oder Attacke?


[7.6.2017] Eine von rund 100 an eine öffentliche Institution geschickten E-Mails enthält Schad-Software. Ein unerwartetes Einfallstor für solche Cyber-Attacken sind vermeintliche Bewerbungen. Schutz bieten hier Bewerbungsportale oder der Einsatz zertifizierter Software.

Ransomware befällt Rechner über E-Mail-Anhänge. Der Cyber-Angriff mit der Erpressungssoftware WannaCry zeigt einmal mehr: Die Lage ist dramatisch. Laut dem aktuellen Report des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland werden täglich rund 380.000 neue Schadprogrammvarianten gesichtet. Allein bis August 2016 waren insgesamt mehr als 560 Millionen verschiedene Schadprogrammvarianten bekannt. Laut dem Report gehören E-Mail-Anhänge sowie die von Anwendern unbemerkte Infektion des eigenen Systems durch den Besuch von Web-Seiten (Drive-by-Downloads) zu den häufigsten Infektionswegen eines Systems.
Ransomware, also Software, die Rechner vorwiegend über E-Mail-Anhänge befällt und die gesamten Daten einer Organisation verschlüsselt oder den Zugang sperrt, ist ein beliebter Weg für Cyber-Attacken. Erst wenn die Betroffenen infizierter Computer einen bestimmten Betrag bezahlt haben, wird der Zugang wieder freigegeben oder die Daten entschlüsselt. Im vergangenen Jahr war insbesondere Deutschland von einer massiven Welle von Ransomware-Infektionen betroffen. Ein bekanntes kommunales Opfer war Dettelbach. Die kleine unterfränkische Stadt bei Würzburg zahlte Lösegeld, um die durch die Schad-Software Tesla-Crypt verschlüsselten Rechner der Verwaltung wieder benutzbar zu machen.

Bewerbungen öffnen Zugang

Ein unerwartetes Einfallstor für solche Cyber-Attacken sind vermeintliche Bewerbungen. Maik Morgenstern, Technischer Leiter und einer der Geschäftsführer des Magdeburger IT-Security Instituts AV-Test, hat knapp 1,2 Millionen bösartige E-Mails mit Ransomware-Anhang untersucht. „Von diesen hatten 83 deutsche E-Mails laut Betreff einen Bezug zu Bewerbungen“, konstatiert Morgenstern. „Man kann also festhalten, dass Malware und zur Zeit insbesondere Ransomware über gefälschte Bewerbungsschreiben verteilt wird. Ob sich die Situation in Behörden deutlich unterscheidet, können wir anhand dieser Zahlen nicht ersehen. Denkbar ist aber, dass gerade öffentliche Einrichtungen zielgerichteter mit passenden Themen wie es Bewerbungen sein könnten, angegriffen werden.“
Dass insbesondere der öffentliche Sektor Ziel von Ransomware-Attacken ist, bestätigen die großen Antiviren-Software-Hersteller. Laut dem ISTR Government Report für Deutschland von Symantec enthält eine von 105 an eine öffentliche Institution geschickte E-Mail Schad-Software, mit der Kommunen oder öffentliche Einrichtungen attackiert werden.
Ebenso wichtig wie die Datensicherheit ist der Datenschutz. Bei Nichteinhaltung der einschlägigen Datenschutzbestimmungen des Bundesdatenschutzgesetzes (BDSG) oder der neuen EU-Datenschutzgrund-Verordnung (DGSVO, sie tritt ab Mai 2018 in Kraft) drohen hohe Strafen, die auch Kommunen treffen können. Laut Datenschutzberater Andreas Bethke sind öffentliche Organisationen zwar flächendeckend gut über die aktuelle Gesetzeslage und Sicherheitsmöglichkeiten informiert. In der Umsetzung hinken sie seiner Ansicht nach aber hinterher. „Insbesondere in der pragmatischen Umsetzung von Schutzmaßnahmen sehe ich momentan noch eine Herausforderung für öffentliche Einrichtungen. Mangelndes Know-how aus der Praxis verleitet zu einer Leichtgläubigkeit in die Technik. Aber genau das führt – bezogen auf die Anforderungen an den Datenschutz – schnell in eine Sackgasse.“ Bethke empfiehlt den Betroffenen, sich schnellstmöglich mit dem Thema auseinanderzusetzen.

Bewerberportal erhöht Sicherheit

Die Installation aufwendiger Schutzmechanismen und Anti-Schad-Software ist heute unerlässlich. Den Bewerbungsprozess aber können auch einfache Maßnahmen sicherer und nicht zuletzt effizienter gestalten. Eine Lösung kann beispielsweise der Einsatz einer Bewerberportal-Lösung sein. Sie erschwert aufgrund ihres Aufbaus Missbrauch und Angriffsversuche. Dazu trägt bei, dass die Bewerberdaten über strukturierte Bildschirmmasken eingegeben und angehängte Dokumente über unterschiedliche Routinen nach relevanten Schadanteilen geprüft werden, bevor sie ins System übernommen und geöffnet werden. Wer ganz sicher gehen will, kann seine Organisation zusätzlich über externe Dienstleister prüfen und auf die Einhaltung der einschlägigen Datenschutzbestimmungen zertifizieren lassen. Derlei Zertifizierungen und Audits führen nicht nur private Anbieter durch. Auch staatliche Organisationen wie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) oder der Landesbeauftragte für Datenschutz und Informationsfreiheit in Mecklenburg-Vorpommern bieten entsprechende Untersuchungsverfahren an.
Weitere Vorteile ergeben sich durch den Einsatz datenschutzzertifizierter Software. Nach ausführlichen Audits bieten die erwähnten Organisationen auch hierfür Zertifizierungen an. Beispielsweise hat der brandenburgische, auf kommunale Personal-Management-Software spezialisierte Anbieter GfOP sein Produkt KOMMBOSS als erste Personal-Management-Software überhaupt bereits vor mehreren Jahren vom ULD zertifizieren lassen. Der Vorteil für Anwender: Für die regelmäßige Re-Zertifizierung bereits zertifizierter Software muss der jeweilige Software-Anbieter sorgen.
Die Gefahr, dass Cyber-Kriminelle sich den Fachkräftemangel im öffentlichen Dienst zunutze machen, um im Huckepack von Bewerbungen in öffentliche Institutionen einzubrechen, wächst mit jedem Tag. Für Kommunen haben deshalb sowohl die Sicherheit, in unserem Beispiel des Bewerbungsprozesses, als auch der Schutz vor Missbrauch höchste Priorität. Einen vollständigen Schutz wird es zwar nie geben, aber durch entsprechende Sicherheitsmaßnahmen muss die Latte für Angreifer so hoch wie möglich gelegt werden. Das Risikopotenzial ist zu groß, als dass Kommunen auf derlei Maßnahmen verzichten könnten.

Ulli Pesch ist freier Autor in Kirchheim-Heimstetten.

http://www.gfop.de
Dieser Beitrag ist in der Juni-Ausgabe von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, GfOP, Ransomware, Bewerber-Management

Bildquelle: Jaruwan photo/Fotolia.com

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
ECOS Technology: VS-NfD-konforme Videokonferenzen
[14.7.2022] Der IT-Security-Spezialist ECOS Technology hat eine vielseitige und besonders sichere Videokonferenz-Lösung entwickelt, die nun auch vom BSI zugelassen wurde. Ein Boot-Stick erlaubt den Einsatz bis zum Geheimhaltungsgrad VS-NfD. Auch der Betrieb On-Premises ist möglich. mehr...
Mithilfe eines Boot-Sticks kann das BSI-zertifizierte Videoconferencing-Tool von ECOS Technology bis zum Geheimhaltungsgrad VS-NfD genutzt werden.
Cyber-Agentur: Forschung für den Schutz von KRITIS
[30.6.2022] Die Cyber-Agentur startet ihr bislang größtes, europaweites Ausschreibungsverfahren: 30 Millionen Euro sollen für Forschung zum Schutz kritischer Systeme in Deutschland vergeben werden. Genutzt wird die vorkommerzielle Auftragsvergabe zur Beschaffung von Forschungsleistungen. mehr...
Studie: E-Mail-Sicherheit per Cloud
[28.6.2022] Eine vom Software-Haus Net at Work beauftragte Studie über die E-Mail-Sicherheit im öffentlichen Sektor zeigt, dass viele Verwaltungen hierfür keine eigenen Ressourcen haben. Maßgeschneiderte Cloud-Lösungen – mit engmaschigem Support – können Abhilfe schaffen. mehr...
Kommunen: Neues IT-Grundschutzprofil
[27.6.2022] In Version 3.0 steht nun das IT-Grundschutzprofil für die Basis-Absicherung von Kommunalverwaltungen zur Verfügung. Insbesondere kleinere und mittlere Kommunen können von der Blaupause profitieren. mehr...
Sachsen: Datenschutzbericht 2021 vorgelegt
[20.6.2022] Die neue Sächsische Datenschutzbeauftrage Juliane Hunderte hat den Datenschutzbericht 2021 vorgelegt. Wie schon im Vorjahr war ein hoher Beratungsbedarf und – infolge der zunehmenden Digitalisierung – ein Anstieg bei gemeldeten Datenpannen zu beobachten. mehr...
Sachsens Datenschutzbeauftragte Juliane Hunderte hat ihren Tätigkeitsbericht für das Jahr 2021 vorgestellt.
Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 08/2022
Kommune21, Ausgabe 07/2022
Kommune21, Ausgabe 06/2022
Kommune21, Ausgabe 05/2022

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
GISA GmbH
06112 Halle (Saale)
GISA GmbH
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
Aktuelle Meldungen