Image
fokusthema_it-sicherheit_krankenhaus.jpeg
Foto: Keeve
Moderne Krankenhäuser mit vernetzten Systemen benötigen einen robusten IT-Schutz.

IT-Sicherheit

Verwaltung im Fadenkreuz von IT-Angriffen

Bereits vor Corona gab es wiederholt Angriffe auf IT-Systeme von Verwaltungseinrichtungen. In den letzten zwei Jahren haben diese aber deutlich zugenommen.

Nicht nur die Wirtschaft hat sich in Pandemiezeiten überstürzt an die neuen Arbeitsbedingungen anpassen müssen, auch die Verwaltung ist von den Kontaktbeschränkungen in Büros betroffen, was die Gefahr von IT-Angriffen erhöht hat. Dementsprechend sind auch dort vielerorts zahlreiche Mitarbeiter ins Home-Office geschickt worden, ohne dass die IT-Sicherheitsstruktur den organisatorischen Maßnahmen immer hätte Schritt folgen können. So stellt das BKA in seinem Cybercrime Lagebild 2020 eine stetige Zunahme an Cybercrime-Fällen fest.

Beispielsweise haben die DDoS-Attacken, bei denen IT-Systeme mit Anfragen überlastet werden sollen, 2020 deutlich zugenommen, vor allem was hochvolumige – mit hohen Bandbreiten zwischen 30 und 50 Gigabyte/s – durchgeführte Angriffe betrifft. Durch die Verlagerung vieler Tätigkeiten ins Home-Office haben solche Attacken ein höheres Bedrohungs- und Schädigungspotenzial entfalten können.

Vielfältige IT-Angriffsformen auf breiter Ebene

Im vergangenen Jahr sind Unternehmen, Einrichtungen und Verwaltungen immer wieder Ziel von Cyberattacken gewesen, mit teils weitreichenden Folgen. Neben den DDoS-Angriffen, darunter auch eine auf eine Landesrundfunkanstalt, sind vor es vor allem die Ransomware-Angriffe, die besonderen Schaden verursachen. Hierbei werden Daten auf den Servern verschlüsselt, die dann erste gegen eine Zahlung eines Lösegelds in Kryptowährung wieder freigegeben werden – theoretisch. Solche Angriffe richteten sich in der Vergangenheit immer wieder gegen Einrichtungen des Gesundheitswesens, wie etwa gegen die Uniklinik Düsseldorf im September 2020 oder das Klinikum in Wolfenbüttel im Juli dieses Jahres.

Ebenfalls im Juli wurde zum ersten Mal in Deutschland wegen eines erfolgreichen Angriffs sogar der Cyber-Katastrophenfall ausgerufen. Der Landkreis Bitterfeld war Opfer einer Ransomware-Attacke geworden, bei der kritische System infiziert und Daten verschlüsselt worden waren. Dadurch musste der Verwaltungsbetrieb faktisch eingestellt werden, der Landkreis konnte damit auch etwa keine Sozial- und Unterhaltsleistungen mehr auszahlen. Um wieder in den Normalzustand zurückzukehren, muss jeder einzelne der mehr als 1.000 PCs und Laptops der Mitarbeiter komplett neu aufgesetzt werden. Andere Angriffe fanden zudem auf das Berliner Kammergericht, die Verwaltungen in Neustadt am Rübenberge oder Frankfurt am Main statt. Medienrecherchen zufolge hat es in den vergangenen sechs Jahren über 100 erfolgreiche Angriffe mit Ransom-Software auf Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen gegeben.

Image
fokusthema_it-sicherheit_umspannungswerk.jpeg
Foto: Ikar.us Kritis-Betreiber müssen genau prüfen, welche Komponenten bei Ihnen eingesetzt werden.

Mehr Digitalisierung in der Verwaltung – mehr Risiko ?

Der Druck auf die Kommunen und Einrichtungen der Öffentlichen Hand in Sachen IT-Sicherheit wird weiter zunehmen. Denn 2022 greift das bereits 2017 beschlossene Onlinezugangsgesetz (OZG), das Bund, Länder und Kommunen bis spätestens 2022 verpflichtet, ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten. Das betrifft unter anderem rund 11.000 Kommunen in Deutschland, deren IT-Infrastruktur auch bestimmten Sicherheitsstandards genügen muss. Die Herausforderung ist immens, denn es müssen ebenen-übergreifende Verknüpfungen für Daten etabliert werden, die teilweise beim Bund, den Ländern und den Kommunen liegen. Hier zeigt sich das Problem, dass zwar der Staat nicht zuletzt durch die Vorgaben des BSI seine Bundesbehörden in Sachen IT-Sicherheit umfassend in den Fokus gerückt hat, die entsprechenden Anforderungen für die Länder und Kommunen aber die Länder selbst treffen.

Ein Knackpunkt könnte sein, dass der Sektor „Staat und Verwaltung“ ebenso wie der Sektor „Medien und Kultur“ zwar unter die kritischen Infrastrukturen fallen, nicht aber unter die Kritis-Verordnung, in der die besonderen Vorgaben für die dort aufgeführten Sektoren geregelt sind. Es besteht daher die Gefahr, dass auf Landes und Kommunalebene Software zur Umsetzung der digitalen Verwaltungsleistungen entwickelt wird, ohne ausreichend den IT-Schutz zu beachten oder diesen erst in einem zweiten Schritt umzusetzen. Laut der Arbeitsgruppe AG Kritis sind zumindest bis Stand September 2020 solche IT-Sicherheits-Standards nicht vorgegeben worden. In Sachen IT-Sicherheit gehen manche Kommunen ohnehin verschiedene Wege, etwa durch die Auslagerung der Sicherheit an externe Dienstleister. So bietet etwa das BSI-zertifizierte kommunale IT-Dienstleistungsunternehmen Ekom21 verschiedene Services an, um hessische Kommunen beim IT-Schutz zu beraten und zu unterstützen.

„Die IT-Sicherheit ist gerade für Kommunen unserer Größenordnung nur sehr schwer mit eigenen Kräften sicherzustellen. Wir haben uns daher schon vor mehr als einem Jahrzehnt dazu entschieden, die komplette Datenverarbeitung durch den Hochtaunuskreis hosten zu lassen, der in diesem Zusammenhang auch den Bereich der IT-Sicherheit verantwortet. Nach Kündigung dieses Vertrages durch den Hochtaunuskreis wechseln wir nun zur Ekom21. Der erneute Aufbaue einer eigenen Datenverarbeitung stand dabei zu keinem Zeitpunkt zur Diskussion“, so Michael Guth, Leiter des Haupt- und Personalamtes der Stadt Usingen. Um Kommunen bei der IT-Sicherheit stärker zu interstützen, hat das BSI schon vor Jahren den IT-Grundschutz erstellt, der das Standardwerk, wenn es um systematische Informationssicherheit für Unternehmen, Behörden und Organisationen geht, darstellt. Gerade kleinere Kommunen können damit die eigene Informationssicherheit deutlich erhöhen.

Cyberattacken im Gesundheitswesen nehmen zu

Das Gesundheitswesen steht durch die Covid-19-Pandemie mehr denn je im Blick der Öffentlichkeit – und auch im Fokus von Cyberattacken.
Artikel lesen

Die Rolle des BSI wird weiter gestärkt

Mit dem zweiten IT-Sicherheitsgesetz hat das BSI nun noch weitergehende Rechte und Befugnisse erhalten. Insgesamt ist das BSI nun „die zentrale Meldestelle für die Zusammenarbeit der Bundesbehörden in Angelegenheiten der Sicherheit in der Informationstechnik“ (§ 4 Abs. 1 BSIG). Der IT-Schutz der Bundesverwaltung soll etwa durch weitere Prüf- und Kontrollbefugnisse des BSI und der Festlegung von Mindeststandards verbessert werden. Die Meldepflicht von sicherheitsrelevanten Ereignissen wird nun auch auf Unternehmen des öffentlichen Interesses, Rüstungsindustrie, Verschlusssachen-IT, Unternehmen mit hoher Wertschöpfung und besonderer volkswirtschaftlicher Bedeutung ausgeweitet.

Auch der Verbraucherschutz zählt nun zu den Aufgaben des BSI. Das BSI darf ferner von Telekommunikationsdienst-Anbietern die Herausgabe von Bestandsdaten verlangen und Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen anordnen. Kritis-Betreiber müssen nun zusätzlich nach der Änderung des BSI-Gesetzes „ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung“ (§ 8 Abs. 1a) umsetzen. Umgekehrt ist das BSI nun in § 7b ermächtigt, selbst aktiv nach Sicherheitslücken bei Bundesbehörden, Kritis-Betreibern und anderen, wichtigen Unternehmen, suchen. Hierzu darf das BSI „portscans“ durchführen, was letztlich so Kritiker darauf hinauslaufen würde, dass das BSI zumindest ansatzweise wie „Hacker“ arbeiten würde. Um Angriffsmethoden von Cyberkriminellen besser zu verstehen, sind auch Systeme und Verfahren erlaubt, „welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben“ (§ 7b Abs. 4).

Kritische Komponenten für kritische Infrastrukturen

Im BSI-Gesetz ist nun in § 9b der Einsatz kritischer Komponenten bei Kritis-Betreibern bestimmter Sektoren geregelt. Solche Komponenten sind nach § 2 Abs. 13 solche, „bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können“.

Die Komponenten unterliegen einer Prüfung und der Abgabe einer Garantieerklärung des Herstellers, aus der hervorgeht, dass der Einsatz einer kritischen Komponente nicht dazu geeignet ist, „insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.“ Bei der Prüfung wird auch berücksichtigt, ob der Hersteller unmittelbar oder mittelbar von einer Regierung, anderen stattlichen Stellen oder dem Militär kontrolliert wird. Verstößt ein Hersteller gegen die Auflagen oder gilt er oder seine Komponenten aufgrund von sicherheitstechnischen Mängeln als nicht vertrauenswürdig, kann das Bundesministerium des Innern den Einsatz untersagen. Dieser Paragraf ist von vielen Experten als eine „Lex Huawei“ interpretiert worden, um dem Unternehmen etwa beim Ausbau des 5G-Netzes in Deutschland aufgrund seiner mutmaßlichen Verbindungen zur chinesischen Regierung und dem Militär, besondere Hürden aufzuerlegen.

Cyberangriffe zielen immer stärker auf Mitarbeiter

Mehr als 70 Prozent aller Cyberangriffe zielen auf die Mitarbeiter in Einrichtungen und Unternehmen ab, die oftmals zu wenig in IT-Sicherheit investieren.
Artikel lesen

Mehr Befugnisse – mehr Sicherheit?

Die Verabschiedung des Zweiten IT-Sicherheitsgesetzes war alles andere als konfliktfrei, sowohl innerhalb der politischen Parteien als auch in den Branchen und ihren Sachverständigen. In einer Anhörung des Ausschusses für Inneres und Heimat im März dieses Jahres gab es von verschiedenen Seiten einiges an Kritik. So scheint etwa fraglich, ob das BSI als Behörde geeignet sei, den „Stand der Technik“ zur Überprüfung im Auge zu behalten, gerade bei einem sich so schnell fortentwickelten Sektor wie der IT-Branche. Ebenso sehen viele Experten kritisch, dass das BSI Informationen zurückhalten kann, obwohl es seine vordringlichste Aufgabe ist, die Öffentlichkeit vor Sicherheitsrisiken zu warnen, was sogar in § 7 Abs. 2 steht, in Bezug auf Produkte und Hersteller. Auch die Tatsache, dass das BSI nun gleichsam Hackern mittels den „portscans“ nach Passwortlücken suchen kann, steht in einem Widerspruch zu seinen eigentlichen Aufgaben, mindestens aber zu § 202a StGB, Ausspähen von Daten. Insofern bleibt abzuwarten, inwieweit insbesondere die Macht des BSI ausreicht, als maßgebliche Behörde für Cybersicherheit in Deutschland, die IT-Sicherheit in der Verwaltung und der Wirtschaft nachhaltig zu stärken. Dies gilt vor allem für die erwähnte anstehende Umsetzung des Onlinezugangsgesetzes und den damit verbundenen Anforderungen an die IT-Sicherheit auf kommunaler Ebene. Dass die Bundesbehörden der besonderen Aufmerksamkeit bei der IT-Sicherheit bedürfen, ist sicherlich unumstritten, doch die sich häufenden Cyber-Angriffe auf kommunale Einrichtungen zeigen, wie verwundbar die unteren Ebenen der Verwaltungsarchitektur sind. Insofern wäre, wie von einigen Politkern gefordert, eine Pflichtmeldung an das BSI bei sicherheitskritischen Vorfällen oder Erpressungsversuchen mittels Ransom-Software ein wichtiger Schritt, um einen Überblick zu erhalten. Denn anders als Kritis-Einrichtungen unterliegt die untere Verwaltung nicht der Meldepflicht.

Image
fokusthema_it-sicherheit_ludwigshafen.jpeg
Foto: Rudolf Stricker Auch Stadtwerke geraten zunehmend ins Visier von Erpressungsversuchen durch Hacker. 
Image
mimecast_it-sicherheit_lieferketten.jpeg
Foto: Mimecast/Istockphoto

IT-Sicherheit

Logistik im Fadenkreuz von Cyberkriminellen

Mit dem Start der Impfkampagne gegen das Coronavirus wird die Logistikbranche 2021 noch mehr zu einem Ziel für Cyberattacken. Dabei nahm bereits 2020 die Zahl der Angriffe deutlich zu. Unternehmen sollten deshalb besonders aufmerksam sein und sich vorbereiten.

Image
kapinos_synagoge_kranz.jpeg
Foto: obs/MDR Mitteldeutscher Rundfunk/Marie-Kristin Landes

Öffentliche Sicherheit

Im Fadenkreuz von Attentätern: Jüdische Einrichtungen

Antisemitische Straftaten haben in den letzten Jahren zugenommen. Zum Schutz jüdischer Einrichtungen sind umfangreiche Sicherungsmaßnahmen notwendig.

Dr. Jason Staggs, Professor an der University of Tulsa im US-Bundesstaat Oklahoma.
Foto: Bernd Schöne

IT-Sicherheit

IT-Angriffe auf Infrastruktur der Industrie

Spezialisten für Angriffe auf Industrieanlagen waren auf IT-Konferenzen bisher seltene Gäste. Doch die IT-Defense 2019 befasste sich intensiv mit dem Thema Industriesteuerung.

Videoüberwachungssysteme sollen die Sicherheit von Objekten erhöhen. Dazu muss aber auch das Netzwerk selbst vor Risiken und IT-Angriffen geschützt werden.
Foto: Barox

IT-Sicherheit

So sichern Sie Videosysteme gegen IT-Angriffe

Videoüberwachungssysteme sollen die Sicherheit von Objekten erhöhen. Dazu muss aber auch das Netzwerk selbst vor Risiken und IT-Angriffen geschützt werden.