Behörden entscheiden sich immer wieder für Unsicherheit

"Ein IT-Projekt ist nicht fertig, wenn es funktioniert oder die Arbeit erleichtert", erklärt Lange. Dann gehe es weiter mit IT-Sicherheit und Datenschutz, die ein kontinuierlicher Prozess seien. "Da fehlt jedoch oft das Bewusstsein und das Geld", sagt Lange. Es fehle an Schulungen, an Personal, beispielsweise sei Personal für IT-Sicherheitstests oder Notfallmanagement oft nicht im Haus.

Stellenmarkt
  1. IT Manager Robotics Process Automation und Workflow Management (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Digitalisierungskoordinatorin / Digitalisierungskoordinator
    Regierungspräsidium Darmstadt, Darmstadt
Detailsuche

Ein weiteres Problem sei das fehlende Bewusstsein auf allen Ebenen: Wenn der Oberarzt unbedingt die Patientendaten auf dem Tablet verwalten wolle, werde ihm das ermöglicht. So werde immer wieder die politische Entscheidung für Unsicherheit gefällt, denn letztlich definiere das unsicherste Gerät die Gesamtsicherheit, erklärt Lange.

Im Kammergericht hatten die Mitarbeiter zudem Daten auf USB-Sticks mit nach Hause genommen, um mit ihnen an ihren privaten Rechnern zu arbeiten. Aus einer Datenschutz- und Sicherheitsperspektive ein Desaster.

Zertifizierte Sicherheit

"Es fehlt an einer ganzheitlichen Sicherheitsstrategie", sagt Schäfers. Durch die föderale Struktur habe jede Kommune eine eigene IT-Infrastruktur und einen eigenen IT-Dienstleister. Festgelegte Standards gebe es erst ab 500.000 Betroffenen, dann handle es sich nach dem IT-Sicherheitsgesetz um kritische Infrastruktur (Kritis).

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

"Erst dann müssen Zertifizierungen erfüllt werden und muss dem Stand der Technik entsprochen werden", erklärt Schäfers. Letzteres sei allerdings Definitionssache und werde vom jeweiligen Branchenverband festgelegt, der häufig eher leicht erfüllbare Basisanforderung festlegt. Im Falle der Wasser- und Abwasserversorgung sei dies die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA). Die Sicherheit von kleinen Wasserwerken und Kläranlagen bleibt jedoch desaströs.

Meister in der "Paperwork Security", schlecht bei der Netzwerksicherheit

"Behörden sind vor allem gut in der Paperwork Security, beispielsweise im Rahmen von Business-Impact-Analysen", sagt Schäfers. Dabei würden Auswirkungen und Wahrscheinlichkeit eines Szenarios, beispielsweise eines Emotet-Angriffs, bewertet und anschließend ein Maßnahmenkatalog erstellt. Dokumentiere eine Behörde, dass sie einen Emotet-Angriff für unwahrscheinlich halte und daher keine Maßnahmen erlasse, habe sie die Anforderungen erfüllt und auch ein Prüfer sei zufrieden - die Frage sei ja abgehakt worden, erklärt Schäfers. Für reale Sicherheit sorge dies aber nicht.

Oft würden dafür zentrale Sicherheitsmechanismen in den lokalen Netzwerken von Behörden nicht umgesetzt, sagt Schäfers. Beispielsweise würden die Microsoft-Patchdays bei Servern im lokalen Netzwerk ignoriert. Da diese nicht mit dem Internet verbunden seien, würden sie als nicht gefährdet angesehen. Dabei übersehen die Admins, dass diese über andere Geräte im Netzwerk angreifbar sind, die wiederum eine Internetverbindung haben. Deutlich vereinfacht würden solche Angriffe zudem durch mangelnde Netzwerksegmentierung, erklärt Schäfers. So kann sich Emotet leicht von Rechner zu Rechner ausbreiten. Das Problem attestierte kürzlich ein Gutachten dem Berliner Kammergericht.

"Ein ähnliches Problem sind Backups, die kaum noch vom Netzwerk getrennt werden", sagt Schäfers. Doch wenn ein Rechner im Netzwerk an die Backups komme, könne auch die Ransomware auf die Backups zugreifen.

Emotet infiziert schnell weitere Systeme

Insbesondere der Angriffsvektor Mensch trage zu dem Erfolg von Emotet bei, erklärt Arntz. Erst wird ein Mitarbeiter per Social Engineering dazu gebracht, eine Microsoft-Office-Datei zu öffnen, die als Anhang oder Link in einer E-Mail an das potenzielle Opfer geschickt wird. Über Makros werden dann Powershell-Befehle ausgeführt, die die eigentliche Schadsoftware nachladen und installieren.

Emotet sammelt Informationen über den Rechner und das Netzwerk und versucht, sich weiter auszubreiten. Zudem wird die nächste Schadsoftware Trickbot nachgeladen, die es auf Zugangsdaten, beispielsweise zum Onlinebanking, abgesehen hat. Erst nach einer manuellen Sichtung der Informationen durch die Angreifer, was oft 72 Stunden dauern kann, wird eine Ransomware wie Ryuk nachgeladen, die damit beginnt, die befallenen Systeme zu verschlüsseln und ein für die befallene Organisation spezifisches Lösegeld zu fordern.

An all diesen Infektionsschritten kann eine Behörde oder ein Unternehmen ansetzen, um ihre Infrastruktur zu schützen. Die Gesprächspartner von Golem.de empfehlen verschiedene Herangehensweisen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Emotet: Unsere Behörde bleibt wegen Cyberangriffs leider geschlossenWie sich Behörden und Unternehmen vor Emotet schützen können 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Intel NUC 11 im Test
Mit dem Tiger ins Homeoffice

Die modularen Mini-PCs von Intel sind kompakt und leistungsfähig, die NUCs verfügen zudem über viele Anschlüsse. Wir haben zwei neue NUC 11 getestet.
Ein Test von Mike Wobker

Intel NUC 11 im Test: Mit dem Tiger ins Homeoffice
Artikel
  1. Tesla Model Y als Taxi: Elektrischer Taxidienst Revel scheitert in New York
    Tesla Model Y als Taxi
    Elektrischer Taxidienst Revel scheitert in New York

    Weil eine Behörde eine Ausnahmeregelung für Elektroautos kassiert hat, kann ein Startup keine Tesla-Taxis in New York betreiben.

  2. App: Betrüger nutzen Lidl Pay aus
    App
    Betrüger nutzen Lidl Pay aus

    Mit Lidl Pay kann man einfach per App zahlen - offenbar werden die angegebenen Kontodaten für das Lastschriftverfahren aber nicht ausreichend geprüft.

  3. Google: Sicherheitspatch macht ältere Youtube-Videos unerreichbar
    Google
    Sicherheitspatch macht ältere Youtube-Videos unerreichbar

    Google wird ältere ungelistete Youtube-Videos mit aktuellem Link Sharing ausstatten. Links werden ungültig. Inhaltsersteller können handeln.

GodsBoss 11. Mär 2020

Also gerade wenn die einzig sinnvolle Variante ist, die Makros sofort und für immer...

Tuxinator 09. Mär 2020

....ist natürlich von Anfang an Unfug erster Güte. MS ist nicht das am weitesten...

.mojo 05. Mär 2020

Als einer der im tiefsten Sumpf der Behörden arbeitet: Es liegt nicht nur an der...

ul mi 05. Mär 2020

Du hast da höflicherweise das "wir wissen nicht, was das Makro macht, das hat der...

serra.avatar 05. Mär 2020

weil es bei Behörden und Firmen eben am meisten zu holen gibt Firmen bringen...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • 6 Blu-rays für 30€ [Werbung]
    •  /