Cyber Security

Kommunen im Visier

30. Juni 2022, 7:30 Uhr | Autorin: Diana Künstler | Kommentar(e)
Menschen, Vielfalt
© higyou/123rf

Vom Landkreis Anhalt-Bitterfeld bis zur Landeshauptstadt Schwerin: Meldungen über Stellen der öffentlichen Verwaltung, die in das Visier von Cyberkriminellen geraten, häuften sich zuletzt. Tendenz steigend. Mehr über die Gründe und was Kommunen für die Prävention und Gefahrenabwehr tun können.

  • Cycrime in Deutschland: Wie ist der Status quo?
  • Was sind die beliebtesten Einfallstore?
  • Zeitleiste: Welche Angriffe auf Behörden gab es in den letzten fünf Jahren?
  • Wie groß ist das Bedrohungspotenzial für Behörden?
  • Warum ist die öffentliche Verwaltung ein attraktives Ziel für Cyberkriminelle?
  • Was versteht man unter Double Extortion?
  • Welche Maßnahmen können Behörden und Politik ergreifen?
  • Sollte das Kommunalwesen als Träger wichtiger Strukturen zukünftig als KRITIS (Kritische Infrastruktur) eingestuft werden?

Spionage, Sabotage und Erpressung sind längst nicht mehr nur im analogen Raum zu finden. Seit Jahren steigt die Intensität, mit der deutsche Unternehmen perfiden Cyberangriffen ausgesetzt sind. Die Pandemie hat dieser Entwicklung noch weiteren Antrieb verpasst; nicht zuletzt, weil sich durch die zunehmende Zahl an mit dem Firmennetzwerk verbundenen Systemen die Angriffsfläche vergrößert hat. Für das Jahr 2020 berichteten deutsche Unternehmen Bitkom-Erkenntnissen zufolge von 223,5 Milliarden Euro Schaden durch Datendiebstahl, Industriespionage und Sabotage1. Das sind 120,6 Milliarden Euro mehr als noch im Vorjahr. Insgesamt sind die Wachstumsraten der finanziellen Schäden seit 2015 von 7 auf 117 Prozent gestiegen.

Anbieter zum Thema

zu Matchmaker+
Christian Milde, Kaspersky
Christian Milde, Geschäftsführer Central Europe beim Sicherheitssoftware-Anbieter Kaspersky: „Im Jahr 2019 sind Cyberangriffe durch Ransomware, also Erpressungssoftware, auf Einrichtungen der öffentlichen Verwaltungen weltweit um 60 Prozent gegenüber dem Jahr zuvor gestiegen. Darüber hinaus waren rund 2 Prozent aller angegriffenen Einrichtungen kommunale Versorgungsunternehmen oder deren Auftragnehmer. Da auch im Öffentlichen Bereich ein Einsatz von Cloud-Infrastrukturen und ausgelagerten sowie digitalen Diensten zunimmt, werden Drittanbieter, die meist anfälliger für Hacks sind, immer häufiger von Cyberkriminellen als Eintrittstor in ein Netzwerk missbraucht.“
© Kaspersky

Auch Behörden sind vor dieser Entwicklung nicht gefeit, denn „Attacken richten sich nicht unbedingt nach Branchen oder Bereichen, sondern folgen bestimmten Trends“, stellt Christian Milde, Geschäftsführer Central Europe Kaspersky, fest. Ein Trend ist in dem Zusammenhang der vermehrte Einsatz von Ransomware. Der durch die Erpressungssoftware in Deutschland verursachte Schaden belief sich laut Bitkom für das Jahr 2020 auf 24,3 Milliarden Euro. Der „2021 Crypto Crime Report“ von Chainanalysis kommt zu dem Ergebnis, dass die Lösegeldforderungen seit 2020 weltweit um 311 Prozent zugenommen haben.

Ein weiterer Trend ist die zunehmende Professionalisierung cyberkrimineller Tätigkeiten. In den allerwenigsten Fällen handelt es sich um Einzeltäter; häufig agieren gut organisierte Gruppen, die sich des Ransomware-as-a-Service-Geschäftsmodells bedienen. Dabei organisieren sich Cyberkriminelle und bieten die Schadsoftware mitunter im Franchise-Modell an, was eine Vervielfachung der Angriffe zur Folge hat.

Darstellung in der Zeitleiste: Cyberangriffe auf öffentliche Stellen

 

Für 2022 haben Sicherheitsexperten von Kaspersky bereits entsprechende Vorhersagen über Angriffstrends für das. Hierbei zeigt sich, dass beispielsweise mobile Geräte und Mitarbeiter im Homeoffice verstärkt zum Ziel von Angreifern werden, da häufig das notwendige Cybersicherheitswissen sowie ein ausreichendes Schutz- und Patch-Niveau fehlen. „Was insbesondere auch Kommunen beachten sollten, die viel Linux einsetzen“, gibt Christian Milde zu bedenken. So hätten im vergangenen Jahr Cyberkriminelle so viele Dateien wie nie zuvor für das Betriebssystem Linux verbreitet – 57 Prozent mehr als 2020.

Armend Saliaj, Bechtle
Armend Saliaj, Business Development Manager Public Sector Security beim IT-Systemhaus Bechtle Logistik & Service: „Mit fortschreitender Digitalisierung wird außerdem die Angriffsfläche zunehmend größer. Öffentliche Organisationen bewegen sich demnach im Spannungsfeld einer steigenden Gefährdungslage bei gleichzeitigem Fachkräfte- und Ressourcenmangel. Solange das Denkmuster, dass die IT ausschließlich Kosten produziert, noch in den Köpfen verankert ist, ist dieser Gegensatz ein Risiko.“
© Bechtle

„Dass die Angreifer auf der anderen Seite immer raffinierter und gefährlicher werden, macht den Public Sector im Umkehrschluss immer verwundbarer“, bestätigt auch Jörg Schauff, Manager, Strategic Threat Advisory Group (EMEA) bei Crowdstrike. Allerdings dürfe man auch nicht außer Acht lassen, dass Angriffe mit Ransomware auf Kommunen, wie in Anhalt-Bitterfeld im Juli 2021 geschehen (siehe auch Zeitstrahl anbei), für die Täter kein lukratives Geschäft darstellen würden. Denn in Deutschland sei die Erfolgsaussicht, dass der öffentliche Dienst Lösegeld zahlen wird, sehr klein, da der Staat nicht mit Verbrechern verhandele. Des Weiteren würden Kommunen laut Schauff keine Cyberversicherung besitzen, sondern seien sogenannte Selbstversicherer. Das heißt, wo in der Industrie eine Cyberversicherung gegebenenfalls den Schaden durch gezahltes Lösegeld ersetzt, müsse der öffentliche Dienst aus der eigenen Kasse zahlen. „Ransomware-Attacken auf den öffentlichen Sektor dienen daher eher zur Verschleierung von gestohlen Daten, da diese für die Kriminellen wiederum einen Verkaufswert im Dark Web darstellen können“, konstatiert der Crowdstrike-Manager.   

Das Bundeskriminalamt reagierte zuletzt auf den „neuerlichen Anstieg krimineller Cyber-Aktivitäten in Form von Ransomware-Angriffen auf öffentliche Verwaltungen in Deutschland“, wie es auf seiner Webseite heißt, indem es im November 2021 eine Warnung mit entsprechenden Handlungsempfehlungen (siehe auch Infokasten auf der letzten Seite) aussprach. Neben finanziellen Schäden für die Wiederherstellung der technischen Infrastrukturen, könne – so das BKA – ein erfolgreicher Cyberangriff auf Städte und Gemeinden den Verlust und die Veröffentlichung sensibler Daten sowie eine auch längerfristige Einschränkung bei der Wahrnehmung wichtiger Dienstleistungen der öffentlichen Verwaltung zur Folge haben. Der Ransomware-Angriff auf den Landkreis Anhalt-Bitterfeld habe sehr konkret aufgezeigt, dass nach einem schwerwiegenden Angriff wichtige Dienstleistungen teilweise über Wochen nur eingeschränkt zur Verfügung stehen und die vollständige Wiederherstellung der behördlichen Arbeitsfähigkeit mehrere Monate andauern kann. Eine Entwicklung, die so vielleicht im Vorfeld hätte verhindert werden können. Davon ist Tim Berghoff, Security Evangelist bei G Data, überzeugt: „Wir haben gesehen, dass in Anhalt-Bitterfeld viele Entscheidungen durch die Erklärung des IT-Notstandes eine massive Beschleunigung erfahren haben. Das hätte nicht sein müssen, wären die richtigen Maßnahmen viel eher und mit weniger Bürokratie getroffen worden“, moniert er. Die bürokratisch gewachsenen Strukturen sind vor diesem Hintergrund sicherlich Ursache für viele Faktoren, die die Anfälligkeit deutscher Kommunen in Sachen Cyberangriffen erhöhen.

Leichte Beute

Tim Berghoff, G Data
Tim Berghoff, Security Evangelist bei G Data, einem deutschen Software-Anbieter mit Schwerpunkt auf IT-Sicherheitslösungen: „Budgets sind ein beliebtes Streitthema, gerade für Kommunen und speziell für die IT. Aber: Höhere Budgets sind neben einer besseren Personalplanung nur ein Teil der Lösung, wenn auch ein wichtiger. Ein eigenes IT-Sicherheitsbudget ist in vielen Firmen bereits Teil der Planung, im Gegensatz zu anderen Konstellationen, in der IT-Sicherheit aus einem allgemeinen IT-Topf finanziert werden muss – zusammen mit anderen Anschaffungen, die nicht direkt etwas mit IT-Sicherheit zu tun haben. Wenn Sie mich nach einer Zahl fragen, dann beginnt meine Antwort mit „Es kommt drauf an…“. Eine Möglichkeit, die die Privatwirtschaft nutzt, ist, einen bestimmten Prozentsatz des Gewinns fest für IT-Sicherheit einzuplanen.“
© G Data

Das Bedrohungspotenzial für den öffentlichen Sektor ist demnach groß. Sind Kommunen aufgrund eines Cyberangriffs von heute auf morgen nicht arbeitsfähig, kann das erhebliche Risiken für Bürger-Services aber auch die Daten von BürgerInnen nach sich ziehen. Das ist es auch, worauf sich Cyberkriminelle bevorzugt konzentrieren, um möglichst viel Profit herauszuholen. In bewährter „Big Game Hunting“-Manier werden vor allem zahlungskräftige Opfer ausgelotet und genaue Grenzen für das Lösegeld festgesetzt. Beliebte Druckmittel der Kriminellen ist hierbei auch die „doppelte Erpressung“: Anstatt die gestohlenen Daten einfach nur zu verschlüsseln, exfiltriert „Double Extortion“-Ransomware diese zuerst. Sind die Opfer nicht bereit, das das geforderte Lösegeld zu zahlen, drohen die Angreifer damit, die Daten höchstwahrscheinlich zu zerstören, online preiszugegeben oder an den Meistbietenden zu verkaufen. Alle Backups und Datenwiederherstellungspläne werden plötzlich wertlos.

 „Kriminelle greifen in aller Regel dort an, wo sie leichtes Spiel haben“, ergänzt Tim Berghoff von G Data. Im Gegensatz zu großen Unternehmen aus dem Privatsektor, wie Banken oder Telekommunikationsanbieter, fehlt es Kommunen nicht selten an einem entsprechenden Budget für die IT-Sicherheit. „Verwaltungseinrichtungen aus dem öffentlichen Sektor verfügen gewöhnlich nur über kleine IT-Abteilungen mit wenigen Mitarbeitenden“, ergänzt Armend Saliaj, Business Development Manager Public Sector Security beim IT-Systemhaus Bechtle Logistik & Service. Die Überwachung rund um die Uhr sei in dieser Konstellation nur unzureichend möglich. Da passe es ins Bild, dass die Hacker für ihre Angriffe vorzugsweise die Nacht, Feiertage oder auch Wochenenden nutzen.

Martin Weiß, Sophos
Martin Weiß, Senior Sales Engineer Public beim Sicherheitssoftware-Anbieter Sophos: „Vor allem kleine Kommunen sollten sich verinnerlichen, dass das Thema Prävention und Gefahrenabwehr ein kontinuierlicher Prozess und keine Momentaufnahme ist. Das fängt zum Beispiel schon mit den MitarbeiterInnen in den Verwaltungen an. Der Faktor Mensch ist sehr oft die kritischste Säule in der konkreten Abwehr von Gefahren. Die Sensibilisierung, zum Beispiel nicht auf jeden Link in jeder E-Mail zu klicken, sollte ebenso ein Thema sein wie der ganzheitliche Schutz der Infrastruktur mit der modernsten Technologie gepaart mit Expertenunterstützung.“
© Sophos

Martin Weiß, Senior Sales Engineer Public bei Sophos, sieht daneben den Stand der Technik beziehungsweise die übergeordnete Security-Strategie der Kommunen als Hauptproblem an: Viele Angriffe könnten mit „traditionellen Verfahren" nur schwer oder gar nicht gestoppt werden. Auch erfolge oftmals nur eine Reaktion auf einen Sicherheitsvorfall, anstatt proaktiv die Sicherheit des Netzwerkes zu überprüfen. „IT-Sicherheit ist keine Momentaufnahme, sie ist ein Prozess, der gelebt werden muss. Das reine Sammeln von Log Files reicht nicht. Besser ist es, sich der Gefahr zu stellen – idealerweise mit der optimalen Unterstützung von Experten“, rät Weiß. „In IT-Landschaften öffentlicher Organisationen werden üblicherweise die Technologien vieler unterschiedlicher Hersteller genutzt. In solch heterogenen Umgebungen gibt es keine einheitlichen Sicherheitsstrukturen und IT-Standards – die Angreifenden haben damit leichtes Spiel“, ergänzt Bechtle-Manager Saliaj. Oft fehle es zudem an Ressourcen, um Mitarbeitende in Themen wie Informationssicherheit, Datenschutz und IT-Notfallplanung zu schulen und zu sensibilisieren.

Vor dem Hintergrund der zunehmenden Digitalisierung des öffentlichen Sektors sieht Tim Berghoff von G Data zudem einen grundlegenden Denkfehler der Akteure: „Vielfach wird der Begriff missverstanden und Verwaltungen versuchen, alte analoge Prozesse eins zu eins ins Digitale zu übertragen. Das funktioniert einfach nicht.“ Das Ergebnis sei eine unüberschaubare digitale Kleinstaaterei, in der jede Verwaltung eine Ansammlung einzelner Insellösungen einsetzt, die untereinander nicht ohne Weiteres kompatibel sind. „Digitalisierung ist einfach vielerorts nicht zu Ende gedacht. Wenn dann noch Zuständigkeiten nicht geklärt sind – oder es Streitigkeiten darüber entstehen – dann sind Sicherheitsvorfälle vorprogrammiert. Digitalisierung bedeutet weit mehr als ‚Wir sind auch per E-Mail erreichbar‘. Sie erschöpft sich nicht darin, dass BürgerInnen über das Internet Verwaltungsdienste erreichen können“, so Berghoff.

Die doppelte Erpressung
Bei der „Double Extortion“ verfolgen die Kriminellen einen zweistufigen Angriffsplan:
Anstatt die gestohlenen Daten einfach nur zu verschlüsseln, exfiltriert „Double Extortion“-Ransomware diese zuerst. Nach der Verschlüsselung drohen die Angreifer damit, die Daten zu veröffentlichen, sofern kein Lösegeld gezahlt wird. Sind die Opfer nicht bereit, das das geforderte Lösegeld zu zahlen, drohen die Angreifer damit, die Daten höchstwahrscheinlich zu zerstören, online preiszugegeben oder an den Meistbietenden zu verkaufen. Ende 2019 zog diese Methode im Falle der Maze-Ransomware als erster hochkarätiger Fall doppelter Erpressung Aufmerksamkeit auf sich. Seitdem wird sie von unzähligen Angreifern in der Praxis eingesetzt. Das Perfide: Viele Unternehmen fühlen sich vor doppelter Erpressung geschützt, weil sie ihre Daten gesichert haben und wiederherstellen können. Doch das trügt. Sicherlich lassen sich die Daten oft zu einem Großteil wiederherstellen. Allerdings gibt es nie eine Garantie dafür, dass die Zahlung dazu führt, dass die Daten an betroffene Unternehmen freigegeben werden. Plötzlich werden alle Backups und Datenwiederherstellungspläne wertlos. Unabhängig davon, ob Unternehmen ihre Daten aus Backups wiederherstellen können oder nicht, zirkulieren Ihre „nicht zurückgegebenen“ Daten oder Dokumente – klassifiziert, geschützt oder sogar mit personenbezogenen Daten – im schlimmsten Fall auf dem Schwarzmarkt und bringen das Unternehmen, seine Kunden und Partner in Gefahr und gefährdet gegebenenfalls Anleger.

  1. Kommunen im Visier
  2. Zusammen stärker

Das könnte Sie auch interessieren

Verwandte Artikel

G Data Software AG, Kaspersky Lab GmbH, Bechtle AG

Matchmaker+