Behörden entscheiden sich immer wieder für Unsicherheit
"Ein IT-Projekt ist nicht fertig, wenn es funktioniert oder die Arbeit erleichtert", erklärt Lange. Dann gehe es weiter mit IT-Sicherheit und Datenschutz, die ein kontinuierlicher Prozess seien. "Da fehlt jedoch oft das Bewusstsein und das Geld", sagt Lange. Es fehle an Schulungen, an Personal, beispielsweise sei Personal für IT-Sicherheitstests oder Notfallmanagement oft nicht im Haus.
Ein weiteres Problem sei das fehlende Bewusstsein auf allen Ebenen: Wenn der Oberarzt unbedingt die Patientendaten auf dem Tablet verwalten wolle, werde ihm das ermöglicht. So werde immer wieder die politische Entscheidung für Unsicherheit gefällt, denn letztlich definiere das unsicherste Gerät die Gesamtsicherheit, erklärt Lange.
Im Kammergericht hatten die Mitarbeiter zudem Daten auf USB-Sticks mit nach Hause genommen, um mit ihnen an ihren privaten Rechnern zu arbeiten. Aus einer Datenschutz- und Sicherheitsperspektive ein Desaster.
Zertifizierte Sicherheit
"Es fehlt an einer ganzheitlichen Sicherheitsstrategie", sagt Schäfers. Durch die föderale Struktur habe jede Kommune eine eigene IT-Infrastruktur und einen eigenen IT-Dienstleister. Festgelegte Standards gebe es erst ab 500.000 Betroffenen, dann handle es sich nach dem IT-Sicherheitsgesetz um kritische Infrastruktur (Kritis).
"Erst dann müssen Zertifizierungen erfüllt werden und muss dem Stand der Technik entsprochen werden", erklärt Schäfers. Letzteres sei allerdings Definitionssache und werde vom jeweiligen Branchenverband festgelegt, der häufig eher leicht erfüllbare Basisanforderung festlegt. Im Falle der Wasser- und Abwasserversorgung sei dies die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA). Die Sicherheit von kleinen Wasserwerken und Kläranlagen bleibt jedoch desaströs.
Meister in der "Paperwork Security", schlecht bei der Netzwerksicherheit
"Behörden sind vor allem gut in der Paperwork Security, beispielsweise im Rahmen von Business-Impact-Analysen", sagt Schäfers. Dabei würden Auswirkungen und Wahrscheinlichkeit eines Szenarios, beispielsweise eines Emotet-Angriffs, bewertet und anschließend ein Maßnahmenkatalog erstellt. Dokumentiere eine Behörde, dass sie einen Emotet-Angriff für unwahrscheinlich halte und daher keine Maßnahmen erlasse, habe sie die Anforderungen erfüllt und auch ein Prüfer sei zufrieden - die Frage sei ja abgehakt worden, erklärt Schäfers. Für reale Sicherheit sorge dies aber nicht.
Oft würden dafür zentrale Sicherheitsmechanismen in den lokalen Netzwerken von Behörden nicht umgesetzt, sagt Schäfers. Beispielsweise würden die Microsoft-Patchdays bei Servern im lokalen Netzwerk ignoriert. Da diese nicht mit dem Internet verbunden seien, würden sie als nicht gefährdet angesehen. Dabei übersehen die Admins, dass diese über andere Geräte im Netzwerk angreifbar sind, die wiederum eine Internetverbindung haben. Deutlich vereinfacht würden solche Angriffe zudem durch mangelnde Netzwerksegmentierung, erklärt Schäfers. So kann sich Emotet leicht von Rechner zu Rechner ausbreiten. Das Problem attestierte kürzlich ein Gutachten dem Berliner Kammergericht.
"Ein ähnliches Problem sind Backups, die kaum noch vom Netzwerk getrennt werden", sagt Schäfers. Doch wenn ein Rechner im Netzwerk an die Backups komme, könne auch die Ransomware auf die Backups zugreifen.
Emotet infiziert schnell weitere Systeme
Insbesondere der Angriffsvektor Mensch trage zu dem Erfolg von Emotet bei, erklärt Arntz. Erst wird ein Mitarbeiter per Social Engineering dazu gebracht, eine Microsoft-Office-Datei zu öffnen, die als Anhang oder Link in einer E-Mail an das potenzielle Opfer geschickt wird. Über Makros werden dann Powershell-Befehle ausgeführt, die die eigentliche Schadsoftware nachladen und installieren.
Emotet sammelt Informationen über den Rechner und das Netzwerk und versucht, sich weiter auszubreiten. Zudem wird die nächste Schadsoftware Trickbot nachgeladen, die es auf Zugangsdaten, beispielsweise zum Onlinebanking, abgesehen hat. Erst nach einer manuellen Sichtung der Informationen durch die Angreifer, was oft 72 Stunden dauern kann, wird eine Ransomware wie Ryuk nachgeladen, die damit beginnt, die befallenen Systeme zu verschlüsseln und ein für die befallene Organisation spezifisches Lösegeld zu fordern.
An all diesen Infektionsschritten kann eine Behörde oder ein Unternehmen ansetzen, um ihre Infrastruktur zu schützen. Die Gesprächspartner von Golem.de empfehlen verschiedene Herangehensweisen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Emotet: Unsere Behörde bleibt wegen Cyberangriffs leider geschlossen | Wie sich Behörden und Unternehmen vor Emotet schützen können |
Also gerade wenn die einzig sinnvolle Variante ist, die Makros sofort und für immer...
....ist natürlich von Anfang an Unfug erster Güte. MS ist nicht das am weitesten...
Als einer der im tiefsten Sumpf der Behörden arbeitet: Es liegt nicht nur an der...
Du hast da höflicherweise das "wir wissen nicht, was das Makro macht, das hat der...