Cyber-Angriffe:
Wie Kommunen sich schützen


[13.8.2020] Kommunen sind begehrte Ziele für Cyber-Angriffe. Kommune21 sprach mit Kriminaloberkommissar Andreas Arbogast vom Cybercrime Präventionsteam des LKA Nordrhein-Westfalen und Stefan Cink, E-Mail-Sicherheitsexperte beim Unternehmen Net at Work, über die Gründe und wie sich Verwaltungen schützen können.

Kriminaloberkommissar Andreas Arbogast vom Cybercrime Präventionsteam des LKA NRW: „Wir beobachten einen drastischen Anstieg an Angriffen auf öffentliche Einrichtungen.“
Herr Arbogast, Herr Cink, warum stehen Kommunen und andere öffentliche Einrichtungen besonders im Fokus von Cyber-Angriffen?

Arbogast: Im Grunde gibt es zwei Wege, wie Cyber-Angriffe in bare Münze umgesetzt werden können: Lösegeld erpressen oder Zugang zu wertvollen Informationen schaffen. Aus Sicht von Cyber-Kriminellen sind Kommunen in beiden Fällen interessante Ziele. Wichtige kommunale Verwaltungen können nicht tage- oder gar wochenlang blockiert sein, deshalb vermuten Angreifer, hier schnell Lösegeld einstreichen zu können – auch wenn es in Deutschland klare Verwaltungsvorschriften gibt, nicht auf solche Forderungen einzugehen. Kommunen verwalten außerdem in großem Umfang vertrauliche Informationen, die auf dem Schwarzmarkt Käufer finden können. Darüber hinaus ist das Hacken bekannter Verwaltungen mit einer entsprechend hohen medialen Aufmerksamkeit verbunden, was in Hacker-Kreisen als Reputationsgewinn verbucht wird.

Sehen Sie aktuell eine Steigerung der Bedrohungslage?

Arbogast: Wir beobachten einen drastischen Anstieg an Angriffen auf öffentliche Einrichtungen. In der aktuellen Corona-Krise sind Verwaltungen besonders gefordert, schnell viele neue Online-Lösungen zu finden. Damit steigt die Angriffsfläche. Auch alle Kommunikationskanäle brummen – insbesondere der Kontakt per E-Mail. Viele Mitarbeiter finden sich auf einmal im Homeoffice wieder. Die IT-Abteilungen stehen deshalb unter hoher Dauerlast. Zudem sind durch die Corona-Situation Mitarbeiter und Bürger abgelenkt und weniger aufmerksam in Bezug auf Cybercrime. Die Human Firewall ist quasi etwas löchriger. Aus Sicht der Angreifer ist das ein guter Zeitpunkt für gezielte Attacken auf die Kommunalverwaltung.

Was waren Ihrer Erfahrung nach die konkreten Angriffsmuster bei erfolgreichen Fällen?

Arbogast: E-Mail, E-Mails und noch mal E-Mails. Nach wie vor ist Ransomware zur Lösegelderpressung sehr verbreitet. Sie sucht in immer neuen Formen ihren Weg per E-Mail in die Verwaltung. Über Emotet-Angriffe wird versucht, Schad-Software gezielt einzuschleusen, um besonders vertrauliche Daten abzugreifen.

Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work: „Es ist grob fahrlässig, wenn Verwaltungen nicht standardmäßig verschlüsselte E-Mail-Kommunikation nutzen.“
Cink: Wir beobachten außerdem, dass die Angriffe mit Phishing-Mails oder auch durch Social Engineering mittlerweile qualitativ so gut sind, dass es für die Nutzer immer schwerer wird, einen Fake auch als solchen zu erkennen. Allein auf die Awareness der Nutzer zu setzen, ist aus unserer Sicht fahrlässig. Hier müssen Unternehmen und Verwaltungen umdenken und viel stärker auf das Prinzip einer echten E-Mail-Firewall setzen. Dabei wird stringent festgelegt, welche Kommunikation man zulässt, alles andere wird kategorisch abgelehnt. Durch selbstlernende Verfahren funktioniert das auch ohne großen Administrationsaufwand.

Arbogast: Das kann ich nur unterstützen. Rund 70 Prozent der Angriffe kommen echt oder gefaked über die Supply Chain, also vermeintlich bekannte Kommunikationspartner. Hier können Automatismen zur intensiven Prüfung der Senderreputation einen deutlichen Beitrag zum Schutz leisten.

„Wenn die große Mehrheit von Unternehmen, Verwaltungen und Bürgern verschlüsselte E-Mail-Kommunikation einsetzt, erreichen wir quasi Herdenimmunität.“

Warum tun sich Kommunen und andere öffentliche Einrichtungen teilweise schwer mit der E-Mail-Sicherheit?

Arbogast: Aus unserer Erfahrung ist die IT in öffentlichen Einrichtungen oft personell unterbesetzt. Zusammen mit dem Druck zur weiteren Digitalisierung ist die Last auf den IT-Abteilungen – auch schon vor der Corona-Krise – besonders hoch und man kann den Eindruck gewinnen, dass Sicherheitsaspekte dann nicht die Aufmerksamkeit bekommen, die sie eigentlich bräuchten.

Cink: Hinzu kommt, dass oft auch noch falsche Vorstellungen über den Einführungsaufwand vorherrschen. Nehmen wir als Beispiel die E-Mail-Verschlüsselung: Durch die Automatisierung der Zertifikatsverwaltung und der zentralen Einrichtung können wir heute die Verschlüsselung der Kommunikation selbst von tausenden Nutzern innerhalb weniger Tage umsetzen. Gleiches gilt für unsere modernen Anti-Spam- und Anti-Malware-Lösungen. Der Administrationsaufwand ist durch Automatisierung und selbstlernende Systeme nur gering und kann auf Wunsch als Managed Service komplett ausgelagert werden. Auch die Kosten sind überschaubar. Für den Gegenwert von drei Briefmarken kann ein Nutzer einen Monat lang sicher und verschlüsselt per E-Mail kommunizieren.

Wie verbreitet und wichtig ist die E-Mail-Verschlüsselung?

Cink: Ich will es einmal deutlich sagen: Es ist grob fahrlässig, wenn Verwaltungen nicht standardmäßig verschlüsselte E-Mail-Kommunikation nutzen – untereinander zwischen Verwaltungen, aber auch mit Bürgern und Unternehmen. Immer mehr Unternehmen und Bürger haben mittlerweile die Technik dafür eingeführt, und gute Mail-Security-Produkte bieten heute auch Methoden für eine verschlüsselte Kommunikation mit Teilnehmern, die selbst keine Verschlüsselungsinfrastruktur haben. Das gehört zum Grundschutz, den keine Kommune vernachlässigen darf.

Arbogast: Hier lässt sich ein schöner Vergleich zur aktuellen Lage ziehen: Wenn wir erreichen, dass die große Mehrheit an Unternehmen, Verwaltungen und Bürgern verschlüsselte und damit signierte E-Mail-Kommunikation einsetzt, dann erreichen wir quasi Herdenimmunität gegenüber Massen-Malware und Spam. Es lohnt sich dann schlichtweg für die Angreifer nicht mehr. Insofern ist Cyber-Sicherheit auch eine gesellschaftliche Aufgabe und die Verwaltung sollte hier mit gutem Beispiel vorangehen.

Interview: Bernd Hoeck, freier Journalist und IT-Experte

https://www.netatwork.de

Stichwörter: IT-Sicherheit, Ransomware, Net at Work, Cyber-Sicherheit

Bildquelle v.o.n.u.: privat, Net at Work

Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Datenschutz: 45 Jahre Bundesdatenschutzgesetz
[18.6.2021] Das Bundesdatenschutzgesetz ist 45 Jahre alt geworden. Seine aktuelle, die dritte Fassung ist von 2017. Derzeit wird das Gesetz für weitere Anpassungen evaluiert. Indes wurde die Website des BfDI vollständig überarbeitet und ergänzt. mehr...
BfDI Ulrich Kelber will die Bürger bestmöglich über den Datenschutz informieren.
Digital. Sicher. Souverän.: BMBF startet Forschungsprogramm
[11.6.2021] Das Bundeskabinett hat ein Forschungsprogramm zur IT-Sicherheit beschlossen. 350 Millionen Euro stehen dafür bereit. In einem ersten Schritt wurde die „Richtlinie zur Förderung von Forschungsvorhaben zum Thema IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen“ veröffentlicht. mehr...
Bundesforschungsministerin Anja Karliczek stellt das 350-Millionen-Euro-Rahmenprogramm zur IT-Sicherheitsforschung vor.
Initiative Sicherer Bürgerdialog: Webinar-Tag zu E-Mail-Verschlüsselung
[10.6.2021] Zum Webinar-Tag über die E-Mail-Verschlüsselung in öffentlichen Verwaltungen lädt am 17. Juni die Initiative Sicherer Bürgerdialog ein. Die kostenlose Veranstaltung adressiert den Auf- und Ausbau von Mail-Infrastrukturen, Verschlüsselungsverfahren sowie den Einsatz von Zertifikaten in Verwaltungen und Behörden. mehr...
BSI: IT-Sicherheitsgesetz 2.0 in Kraft
[2.6.2021] Das IT-Sicherheitsgesetz 2.0 ist im Bundesgesetzblatt verkündet und damit in Kraft getreten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält damit neue Kompetenzen. mehr...
Kontaktnachverfolgung: Nachbesserungsbedarf bei Luca
[10.5.2021] Mehrere Länder wollen die Luca-App einsetzen – daher nahmen die Datenschutzaufsichtsbehörden die Anwendung unter die Lupe. Das Fazit: eine grundsätzlich tragfähige Konzeption, die weiterer Schutzmaßnahmen bedarf. Die Behörden raten, auch Alternativen zu berücksichtigen. mehr...
Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 6/2021
Kommune21, Ausgabe 5/2021
Kommune21, Ausgabe 4/2021
Kommune21, Ausgabe 3/2021

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon IT-Logistics GmbH
04425 Taucha bei Leipzig
procilon IT-Logistics GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
Aktuelle Meldungen