• IT-Karriere:
  • Services:

Behörden entscheiden sich immer wieder für Unsicherheit

"Ein IT-Projekt ist nicht fertig, wenn es funktioniert oder die Arbeit erleichtert", erklärt Lange. Dann gehe es weiter mit IT-Sicherheit und Datenschutz, die ein kontinuierlicher Prozess seien. "Da fehlt jedoch oft das Bewusstsein und das Geld", sagt Lange. Es fehle an Schulungen, an Personal, beispielsweise sei Personal für IT-Sicherheitstests oder Notfallmanagement oft nicht im Haus.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. RSG Group GmbH, Berlin

Ein weiteres Problem sei das fehlende Bewusstsein auf allen Ebenen: Wenn der Oberarzt unbedingt die Patientendaten auf dem Tablet verwalten wolle, werde ihm das ermöglicht. So werde immer wieder die politische Entscheidung für Unsicherheit gefällt, denn letztlich definiere das unsicherste Gerät die Gesamtsicherheit, erklärt Lange.

Im Kammergericht hatten die Mitarbeiter zudem Daten auf USB-Sticks mit nach Hause genommen, um mit ihnen an ihren privaten Rechnern zu arbeiten. Aus einer Datenschutz- und Sicherheitsperspektive ein Desaster.

Zertifizierte Sicherheit

"Es fehlt an einer ganzheitlichen Sicherheitsstrategie", sagt Schäfers. Durch die föderale Struktur habe jede Kommune eine eigene IT-Infrastruktur und einen eigenen IT-Dienstleister. Festgelegte Standards gebe es erst ab 500.000 Betroffenen, dann handle es sich nach dem IT-Sicherheitsgesetz um kritische Infrastruktur (Kritis).

"Erst dann müssen Zertifizierungen erfüllt werden und muss dem Stand der Technik entsprochen werden", erklärt Schäfers. Letzteres sei allerdings Definitionssache und werde vom jeweiligen Branchenverband festgelegt, der häufig eher leicht erfüllbare Basisanforderung festlegt. Im Falle der Wasser- und Abwasserversorgung sei dies die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA). Die Sicherheit von kleinen Wasserwerken und Kläranlagen bleibt jedoch desaströs.

Meister in der "Paperwork Security", schlecht bei der Netzwerksicherheit

"Behörden sind vor allem gut in der Paperwork Security, beispielsweise im Rahmen von Business-Impact-Analysen", sagt Schäfers. Dabei würden Auswirkungen und Wahrscheinlichkeit eines Szenarios, beispielsweise eines Emotet-Angriffs, bewertet und anschließend ein Maßnahmenkatalog erstellt. Dokumentiere eine Behörde, dass sie einen Emotet-Angriff für unwahrscheinlich halte und daher keine Maßnahmen erlasse, habe sie die Anforderungen erfüllt und auch ein Prüfer sei zufrieden - die Frage sei ja abgehakt worden, erklärt Schäfers. Für reale Sicherheit sorge dies aber nicht.

Oft würden dafür zentrale Sicherheitsmechanismen in den lokalen Netzwerken von Behörden nicht umgesetzt, sagt Schäfers. Beispielsweise würden die Microsoft-Patchdays bei Servern im lokalen Netzwerk ignoriert. Da diese nicht mit dem Internet verbunden seien, würden sie als nicht gefährdet angesehen. Dabei übersehen die Admins, dass diese über andere Geräte im Netzwerk angreifbar sind, die wiederum eine Internetverbindung haben. Deutlich vereinfacht würden solche Angriffe zudem durch mangelnde Netzwerksegmentierung, erklärt Schäfers. So kann sich Emotet leicht von Rechner zu Rechner ausbreiten. Das Problem attestierte kürzlich ein Gutachten dem Berliner Kammergericht.

"Ein ähnliches Problem sind Backups, die kaum noch vom Netzwerk getrennt werden", sagt Schäfers. Doch wenn ein Rechner im Netzwerk an die Backups komme, könne auch die Ransomware auf die Backups zugreifen.

Emotet infiziert schnell weitere Systeme

Insbesondere der Angriffsvektor Mensch trage zu dem Erfolg von Emotet bei, erklärt Arntz. Erst wird ein Mitarbeiter per Social Engineering dazu gebracht, eine Microsoft-Office-Datei zu öffnen, die als Anhang oder Link in einer E-Mail an das potenzielle Opfer geschickt wird. Über Makros werden dann Powershell-Befehle ausgeführt, die die eigentliche Schadsoftware nachladen und installieren.

Emotet sammelt Informationen über den Rechner und das Netzwerk und versucht, sich weiter auszubreiten. Zudem wird die nächste Schadsoftware Trickbot nachgeladen, die es auf Zugangsdaten, beispielsweise zum Onlinebanking, abgesehen hat. Erst nach einer manuellen Sichtung der Informationen durch die Angreifer, was oft 72 Stunden dauern kann, wird eine Ransomware wie Ryuk nachgeladen, die damit beginnt, die befallenen Systeme zu verschlüsseln und ein für die befallene Organisation spezifisches Lösegeld zu fordern.

An all diesen Infektionsschritten kann eine Behörde oder ein Unternehmen ansetzen, um ihre Infrastruktur zu schützen. Die Gesprächspartner von Golem.de empfehlen verschiedene Herangehensweisen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Emotet: Unsere Behörde bleibt wegen Cyberangriffs leider geschlossenWie sich Behörden und Unternehmen vor Emotet schützen können 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. 229,90€ (Vergleichspreis 254€)
  2. 39,99€ (Release: 25. Juni)
  3. 699€ (Vergleichspreis 844€)

GodsBoss 11. Mär 2020

Also gerade wenn die einzig sinnvolle Variante ist, die Makros sofort und für immer...

Tuxinator 09. Mär 2020

....ist natürlich von Anfang an Unfug erster Güte. MS ist nicht das am weitesten...

.mojo 05. Mär 2020

Als einer der im tiefsten Sumpf der Behörden arbeitet: Es liegt nicht nur an der...

ul mi 05. Mär 2020

Du hast da höflicherweise das "wir wissen nicht, was das Makro macht, das hat der...

serra.avatar 05. Mär 2020

weil es bei Behörden und Firmen eben am meisten zu holen gibt Firmen bringen...


Folgen Sie uns
       


Die Evolution des Microsoft Flugsimulator (1982-2020)

Die Entwicklung des Flugsimulator zeigt die beeindruckenden Fortschritte der Spielegrafik in den letzten Jahrzehnten.

Die Evolution des Microsoft Flugsimulator (1982-2020) Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  2. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben
  3. Datenschutz Rechtsanwaltskanzlei zählt 160.000 DSGVO-Verstöße

Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

    •  /