• IT-Karriere:
  • Services:

Behörden entscheiden sich immer wieder für Unsicherheit

"Ein IT-Projekt ist nicht fertig, wenn es funktioniert oder die Arbeit erleichtert", erklärt Lange. Dann gehe es weiter mit IT-Sicherheit und Datenschutz, die ein kontinuierlicher Prozess seien. "Da fehlt jedoch oft das Bewusstsein und das Geld", sagt Lange. Es fehle an Schulungen, an Personal, beispielsweise sei Personal für IT-Sicherheitstests oder Notfallmanagement oft nicht im Haus.

Stellenmarkt
  1. Forschungszentrum Jülich GmbH, Jülich bei Köln
  2. Stuttgarter Wohnungs- und Städtebaugesellschaft mbH, Stuttgart

Ein weiteres Problem sei das fehlende Bewusstsein auf allen Ebenen: Wenn der Oberarzt unbedingt die Patientendaten auf dem Tablet verwalten wolle, werde ihm das ermöglicht. So werde immer wieder die politische Entscheidung für Unsicherheit gefällt, denn letztlich definiere das unsicherste Gerät die Gesamtsicherheit, erklärt Lange.

Im Kammergericht hatten die Mitarbeiter zudem Daten auf USB-Sticks mit nach Hause genommen, um mit ihnen an ihren privaten Rechnern zu arbeiten. Aus einer Datenschutz- und Sicherheitsperspektive ein Desaster.

Zertifizierte Sicherheit

"Es fehlt an einer ganzheitlichen Sicherheitsstrategie", sagt Schäfers. Durch die föderale Struktur habe jede Kommune eine eigene IT-Infrastruktur und einen eigenen IT-Dienstleister. Festgelegte Standards gebe es erst ab 500.000 Betroffenen, dann handle es sich nach dem IT-Sicherheitsgesetz um kritische Infrastruktur (Kritis).

"Erst dann müssen Zertifizierungen erfüllt werden und muss dem Stand der Technik entsprochen werden", erklärt Schäfers. Letzteres sei allerdings Definitionssache und werde vom jeweiligen Branchenverband festgelegt, der häufig eher leicht erfüllbare Basisanforderung festlegt. Im Falle der Wasser- und Abwasserversorgung sei dies die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA). Die Sicherheit von kleinen Wasserwerken und Kläranlagen bleibt jedoch desaströs.

Meister in der "Paperwork Security", schlecht bei der Netzwerksicherheit

"Behörden sind vor allem gut in der Paperwork Security, beispielsweise im Rahmen von Business-Impact-Analysen", sagt Schäfers. Dabei würden Auswirkungen und Wahrscheinlichkeit eines Szenarios, beispielsweise eines Emotet-Angriffs, bewertet und anschließend ein Maßnahmenkatalog erstellt. Dokumentiere eine Behörde, dass sie einen Emotet-Angriff für unwahrscheinlich halte und daher keine Maßnahmen erlasse, habe sie die Anforderungen erfüllt und auch ein Prüfer sei zufrieden - die Frage sei ja abgehakt worden, erklärt Schäfers. Für reale Sicherheit sorge dies aber nicht.

Oft würden dafür zentrale Sicherheitsmechanismen in den lokalen Netzwerken von Behörden nicht umgesetzt, sagt Schäfers. Beispielsweise würden die Microsoft-Patchdays bei Servern im lokalen Netzwerk ignoriert. Da diese nicht mit dem Internet verbunden seien, würden sie als nicht gefährdet angesehen. Dabei übersehen die Admins, dass diese über andere Geräte im Netzwerk angreifbar sind, die wiederum eine Internetverbindung haben. Deutlich vereinfacht würden solche Angriffe zudem durch mangelnde Netzwerksegmentierung, erklärt Schäfers. So kann sich Emotet leicht von Rechner zu Rechner ausbreiten. Das Problem attestierte kürzlich ein Gutachten dem Berliner Kammergericht.

"Ein ähnliches Problem sind Backups, die kaum noch vom Netzwerk getrennt werden", sagt Schäfers. Doch wenn ein Rechner im Netzwerk an die Backups komme, könne auch die Ransomware auf die Backups zugreifen.

Emotet infiziert schnell weitere Systeme

Insbesondere der Angriffsvektor Mensch trage zu dem Erfolg von Emotet bei, erklärt Arntz. Erst wird ein Mitarbeiter per Social Engineering dazu gebracht, eine Microsoft-Office-Datei zu öffnen, die als Anhang oder Link in einer E-Mail an das potenzielle Opfer geschickt wird. Über Makros werden dann Powershell-Befehle ausgeführt, die die eigentliche Schadsoftware nachladen und installieren.

Emotet sammelt Informationen über den Rechner und das Netzwerk und versucht, sich weiter auszubreiten. Zudem wird die nächste Schadsoftware Trickbot nachgeladen, die es auf Zugangsdaten, beispielsweise zum Onlinebanking, abgesehen hat. Erst nach einer manuellen Sichtung der Informationen durch die Angreifer, was oft 72 Stunden dauern kann, wird eine Ransomware wie Ryuk nachgeladen, die damit beginnt, die befallenen Systeme zu verschlüsseln und ein für die befallene Organisation spezifisches Lösegeld zu fordern.

An all diesen Infektionsschritten kann eine Behörde oder ein Unternehmen ansetzen, um ihre Infrastruktur zu schützen. Die Gesprächspartner von Golem.de empfehlen verschiedene Herangehensweisen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Emotet: Unsere Behörde bleibt wegen Cyberangriffs leider geschlossenWie sich Behörden und Unternehmen vor Emotet schützen können 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Reklame: Hier geht es zu den aktuellen Blitzangeboten bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Apple Silicon im Test
    Was der M1-Chip (nicht) kann
  2. Gehaltsauswertung für Golem.de
    Was IT-Fachleute verdienen
  3. TheC64 Maxi im Test
    Moderner Retro-Computer für C64-Nostalgiker
  4. Astronomie
    Arecibo ist eingestürzt
  5. Alpha Fold
    Künstliche Intelligenz hat die Protein-Faltung gelöst
Anzeige
Top-Angebote
  1. (u. a. AMD Ryzen 7 5800X, Prozessor für 509€)
  2. (u. a. ZOTAC Gaming GeForce RTX 3060 Ti Twin Edge für 523,18€)
  3. (u. a. ZOTAC GAMING GEFORCE RTX 3060 TI TWIN EDGE 8GB GDDR6 für 411,56€)
  4. (u. a. PGA Tour 2K21 - Deluxe Edition [EU Key] für 26,99€, No Man's Sky für 14,99€)
Kommentarübersicht
Re: Marko <vs> Sicherheit
GodsBoss 11. Mär 2020

Also gerade wenn die einzig sinnvolle Variante ist, die Makros sofort und für immer...

Re: Makros: Bequemlichkeit ist aller Laster Anfang!
Tuxinator 09. Mär 2020

....ist natürlich von Anfang an Unfug erster Güte. MS ist nicht das am weitesten...

Re: Naja wenn man sich die Gehälter mal ansieht
.mojo 05. Mär 2020

Als einer der im tiefsten Sumpf der Behörden arbeitet: Es liegt nicht nur an der...

Re: Bin ich froh..
ul mi 05. Mär 2020

Du hast da höflicherweise das "wir wissen nicht, was das Makro macht, das hat der...

simpel ...
serra.avatar 05. Mär 2020

weil es bei Behörden und Firmen eben am meisten zu holen gibt Firmen bringen...

Folgen Sie uns
       
Cowboy 3 versus Vanmoof S3 - Test der Purismus-Pedelecs

Gibt es nur Platz für einen in dieser Stadt?

Cowboy 3 versus Vanmoof S3 - Test der Purismus-Pedelecs Video aufrufen
Star Wars
Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
NSA
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus
ÖPNV
Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /