Mittwoch, 20. November 2024

Cyber-KriminalitätEs kann jeden treffen

[17.03.2022] Cyber-Kriminalität verspricht große Gewinne, während das Risiko, entdeckt zu werden, gering ist. Im Interview spricht Thomas Stasch, Leiter des KomCERT der regio iT, über die aktuellen IT-Gefahren für Kommunen und wie sich diese davor schützen können.
Thomas Stasch

Thomas Stasch, Leiter des KomCERT der regio iT.

(Bildquelle: regio iT)

Herr Stasch, Cyber-Angriffe haben sich deutlich gehäuft. Entspricht das den Tatsachen oder werden einfach mehr IT-Sicherheitsvorfälle gemeldet?

Cyber-Kriminalität ist in der Tat stark angestiegen. Das zeigen auch die Statistiken der Ermittlungsbehörden. Die ‚dunkle Seite der Macht‘ entdeckt immer mehr Einnahmemöglichkeiten, und die Geldsummen sind ja ziemlich gigantisch. Cybercrime ‚lohnt sich‘ quasi und verspricht große Margen, während das Risiko, entdeckt zu werden, gering ist. Zudem gibt es sozusagen auch Verbrechen on demand: Kriminelle können sich Ransomware-Trojaner kaufen, mieten sich eine Infrastruktur im Hintergrund as-a-Service dazu, sind dann nur noch für die Verteilung zuständig und kassieren einen Teil des Lösegelds. Es wird immer einfacher.

Es gab immer die Tendenz, Sicherheitsvorfälle zu verschweigen und auszusitzen. Hat sich daran etwas geändert?

Das kommt vor allem auf die Beteiligten an. Uns wird tatsächlich manchmal nahegelegt, dass der Vorfall geheim bleiben muss. Das bringt aber wenig, denn wenn es herauskommt, sind der Ärger und Vertrauensverlust umso größer. Es ist besser, gleich offen zu kommunizieren.

Im vergangenen Jahr gab es massive Cyber-Angriffe mit immensen Schäden. Lohnen sich professionelle IT-Sicherheitsmaßnahmen überhaupt?

Es kann wirklich jeden treffen, egal ob BSI-zertifiziert nach ISO 27001 oder nicht. Die Frage lautet: Wie interessant ist man für Angreifer? Viele Cyber-Attacken sind immer noch Zufallstreffer. Grundsätzlich gibt es Angriffe auf IT-Schwachstellen über das Internet oder Phishing-Attacken per E-Mail. Hier ist allerdings eine Verschiebung zu beobachten. Vor zwei Jahren kamen 95 Prozent der Angriffe über E-Mail, jetzt sind es grob geschätzt noch 70 Prozent. Immer häufiger werden Sicherheitslücken aufgespürt, wie unlängst die Exchange-Schwachstelle oder Log4j. Wenn die Betreiber dann nicht schnell genug im Umgang mit dem Patch-Management sind, platzieren Angreifer eine Hintertür und planen in aller Ruhe den Cyber-Angriff, indem sie das System ausspionieren und sondieren, ob sich Aufwand und Nutzen lohnen. Eine große Rolle spielt allerdings, wie man im operativen Bereich bei der IT-Sicherheit aufgestellt ist. In der Industrie sind so genannte Security Operation Center (SOC) längst verbreitet, wo Leute sitzen, die nichts anderes tun, als nach dem Feind im Netz zu suchen – nach einer irgendwo schlummernden Software oder einem aktiven Angreifer.

Was macht eine Kommune attraktiv für einen Angreifer?

Attraktiv ist eine Kommune, wenn der Angreifer glaubt, Gewinn erzielen zu können. Denn wenn er es schafft, eine Kommune oder ein Unternehmen lahmzulegen, sodass sie nicht mehr handlungsfähig sind, steht häufig eine Lösegeldzahlung an. Während früher Daten von Angreifern verschlüsselt und eine Zahlung für den Schlüssel verlangt wurde, werden heute Daten häufig noch kopiert. Wenn die Opfer dann nicht für die Entschlüsselung zahlen wollen, drohen Angreifer mit der Veröffentlichung der Daten. Das ist kein schönes Szenario bei personengebundenen Daten in Kommunen.

„Cybercrime ‚lohnt sich‘ quasi und verspricht große Margen. Das Risiko, entdeckt zu werden, ist gering.“
Im Dezember vergangenen Jahres kam es zum Log4j-Vorfall. Wie verbreitet ist die Software in Kommunen?

Es gibt keinen großen Unterschied zwischen der kommunalen Welt und der Industrie. Jeder, der Java entwickelt und mit dem Logging von Informationen befasst war, hat in der Regel Log4j als eine der Standardbibliotheken eingebunden. Entsprechend groß war auch die Verbreitung. Wir haben allerdings bemerkt, dass häufig noch die Version 1.x im Einsatz war, und die war vom Vorfall nicht betroffen. Sich dann aber zurückzulehnen und zu glauben, alles wäre gut, unterschlägt die Tatsache, dass diese Version seit 2015 gar nicht mehr gepflegt wurde. Inzwischen gibt es Update-Patches für Log4j, man muss aber parallel die Software aktualisieren, welche die Bibliotheken verwenden.

Gerade im öffentlichen Sektor soll vermehrt Open Source Software eingesetzt werden. Ist deren professionelle Pflege in jedem Fall gewährleistet?

Die Schwachstelle, die wir beim Open-Source-Produkt Log4j beobachtet haben, kann genauso bei jedem kommerziellen Produkt auftreten. Das ist ja auch kürzlich bei der Schwachstelle in Exchange geschehen. Microsoft reagiert dann natürlich sehr schnell mit Patches. Aber auch bei Log4j ist die Schwach­stelle schnell angegangen worden.

Wie müssen Kommunen ihre IT-Infrastrukturen schützen?

Kommunen müssen in der Lage sein, ein vernünftiges Patch-Management zu betreiben. Sie müssen die entsprechenden Sicherheitsexperten im Haus haben oder sich das Know-how extern einkaufen. Eine Situation wie mit Log4j wird eine kleine Kommune selbst kaum bewerten können. Wichtig ist, seine Systeme im Griff zu haben und genau zu wissen, was man selbst betreibt. Indem wir uns mit anderen Diensten koppeln, in die Cloud gehen, die städtische Infrastruktur digitalisieren und Sensorennetze für die Smart City aufbauen, werden wir immer vernetzter. Solche Netze müssen sauber von den inneren Netzen getrennt werden. Zudem müssen sich Kommunen Gedanken darüber machen, wie sie die Infrastruktur überwachen wollen.

Können kleinere Kommunen das überhaupt leisten und worauf müssen sie sich einstellen?

Darauf, dass sie irgendwann einen Sicherheitsvorfall haben. Das Problem ist, dass Kommunen nicht überall den Druck haben, Informationssicherheit umzusetzen. Das ist Ländersache und je nach Bundesland unterschiedlich. Es gibt Länder, die das per Gesetz festschreiben, und andere, die sich wegen des Konnexitätsprinzips an eine Gesetzgebung nicht herantrauen. Denn dann müssten sie dafür bezahlen. Aber wenn einmal die Einwohnermeldedaten geraubt wurden, müssen Kommunen sich fragen, wie sie vor ihren Bürgern dastehen. Das ist ein schmerzhafter Lernprozess. Besser wäre es, wenn die Regierung zu der Einsicht gelänge, dass man Kommunen hinsichtlich der IT-Sicherheit mehr in die Pflicht nehmen muss. Angesichts der dort vorgehaltenen kritischen Daten stellt sich ohnehin die Frage, ob sie nicht eine Einstufung als kritische Infrastruktur verdienen und damit auch dem Zwang ausgesetzt wären, gewisse Sicherheitsmaßnahmen umzusetzen.

Interview: Helmut Merschmann




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Modern eingerichteter Sitzungssaal mit weißen Tischen und Wänden.

Märkischer Kreis: Neue IT-Projekte im Fokus

[20.11.2024] Grünes Licht für die Haushaltsansätze im Bereich Digitalisierung und IT gab der Ausschuss für Digitalisierung und E-Government. Geplant sind Investitionen in IT-Sicherheit, Netzwerkinfrastruktur und den weiteren Ausbau digitaler Services. mehr...

Claudia Plattner (l.), Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), und Bundesinnenministerin Nancy Faeser präsentieren den Bericht zur Lage der IT-Sicherheit in Deutschland.

BSI: Bericht zur Lage der IT-Sicherheit

[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...

LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten

[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...

Innenminister Roman Poseck eröffnete den Cybersicherheitsgipfel im Regierungspräsidium Darmstadt vor mehr als 100 Vertreterinnen und Vertretern südhessischer Kommunen.

Hessen: Höhere Cybersicherheit

[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...

Illustration: Stilisierter aufgeklappter Laptop mit Piratenfahne über dem Display, einen Ransomware-Angriff symbolisierend.

SIT: Ein Jahr nach dem Ransomware-Angriff

[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...

Screenshot eines pixeligen Bildschirms. Zu sehen ist auf dunklem Grund die hellblaue Schrift "Security", eine Mauszeigerhand zeigt darauf.

Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen

[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...

bericht

Lösungen: Cybersicherheit stärken

[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...

Zwei Versionen der Videokonferenzlösung Zoom haben ein IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik erhalten.

BSI: IT-Sicherheitskennzeichen für Zoom

[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...

Die Panelteilnehmenden des Vitako-Empfangs.
bericht

IT-Sicherheit: Feuerwehr und Firewall

[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...

Bayerns Finanz- und Heimatminister Albert Füracker (2.v.r.) übergibt das LSI-Siegel „Kommunale IT-Sicherheit“ an die Stadt Schwandorf.

Schwandorf: Siegel für IT-Sicherheit

[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...

Mirco Pinske

Interview: Wertvolle Lehren gezogen

[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...

In München kümmert sich jetzt eine eigene Hauptabteilung um die IT-Sicherheit.

München: Hauptabteilung für IT-Sicherheit

[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...

ITEBO: OpenR@thaus-Vorfall aufgearbeitet

[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...

Zentralisierte Daten zur Auswirkung der Crowdstrike-/Azure-Panne auf Kommunalverwaltungen liegen dem BSI nicht vor. Einzelne Kommunen melden Ausfälle in geringem Maß.

Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen

[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...

Dr. Stefan Wolf

Interview: Angriffe wird es immer geben

[10.07.2024] Öffentliche Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen und staatlich gelenkten Hackern. Kommune21 sprach mit regio-iT-Geschäftsführer Stefan Wolf, wie Städte und Gemeinden den Gefahren begegnen können. mehr...