IT-Infrastruktur und IT-Security „Die Öffentliche Verwaltung muss funktionieren“

Autor Susanne Ehneß

97 Prozent der Organisationen weltweit sind laut Check Points „Security Report 2018“ nicht auf Cyber-Angriffe der fünften Generation (Gen V) vorbereitet. IT-Sicherheitsexperte Dirk Arendt erläutert im Gespräch, wie dramatisch die Situation im Public Sector tatsächlich ist.

Firmen zum Thema

Behörden müssen sich abschotten, um Ausfälle und damit einen Vertrauensverlust zu vermeiden
Behörden müssen sich abschotten, um Ausfälle und damit einen Vertrauensverlust zu vermeiden
(© johnbav-Mopic-visuelavue - stock.adobe.com [M] Büchner)

Der Security Report des Sicherheitsanbieters Check Point untersucht moderne Bedrohungen für verschiedene Branchen, darunter das Gesundheitswesen, die Fertigungsbranche und die Öffentliche Verwaltung. Parallel sind die IT-Infrastrukturen laut Check Point großteils veraltet. „Kein staatliches oder privates Unternehmen ist ­immun; Krankenhäuser, Stadtverwaltungen und globale Konzerne, sie alle sind gefährdet“, verdeutlicht Doug Cahill, Group Director und leitender Cybersicherheits-Analyst des Marktforschungsunternehmens Enterprise Strategy Group. 97 Prozent aller Organisationen seien nicht gerüstet, um Gen-V-Angriffe abzuwehren. Wir haben bei Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point, nachgefragt, was öffentliche Einrichtungen nun tun sollten.

Der Security-Bericht mahnt die veraltete Infrastruktur im ­Public Sector an. Ist es um die deutsche Behörden-IT tatsächlich so schlecht bestellt?

Arendt: Die Antwort lautet ja und nein. Wie so oft kommt es auf den Einzelfall an – und darauf, wie gut und schnell die Verantwortlichen in der Behörde auf einen Angriff oder Sicherheitsvorfall reagieren können. Sie müssen sich eine IT-Infrastruktur – und dazu gehört auch die vieler öffentlicher Einrichtungen – wie, sagen wir mal, „ein in die Jahre gekommenes Schlachtschiff“ vorstellen, das ­unzählige Lecks hat, die von der Mannschaft von Hand gestopft werden, sobald das Wasser eindringt. Zum Teil herrschte und herrscht immer noch eine gewisse Sorglosigkeit – WannaCry und ­andere Angriffe auf Regierungsnetze waren sicherlich Weckrufe! Erfolgreiche Angriffe in den USA zeigen aber auch: Es kann jeden treffen!

Wir dürfen nicht vergessen, welche Aufgabe Behörden und öffentliche Einrichtungen in Deutschland haben. Wir reden hier von Vertretungen des Staates. Wenn das Vertrauen in diese Institutionen durch Datenverlust oder den Ausfall von Bürgerservices untergraben wird. Wenn ein Produkt im Supermarkt für eine Woche nicht verfügbar ist, wiegt das unter Umständen weniger schwer, wenn aber der Bus eine Woche nicht fährt oder der Müll nicht abgeholt werden kann, der Strom oder das Wasser nicht verfügbar ist, dann sind die Auswirkungen sofort und überall spürbar.

Die gesamte Digitalisierung, der gesamte Fortschrittsglaube kann hier auf eine Probe gestellt werden, die mehr als nur negative Auswirkungen monetärer Art mit sich bringt.

Sie sind vielmehr politischer Natur. Es gilt, immer wieder festzuhalten: Dieses „Cyber“ ist ein Prozess, deshalb ist eine kontinuier­liche Weiterentwicklung der Sicherheitsarchitektur wichtig! Die Öffentliche Verwaltung beginnt nun mit Cloud-Projekten: Wir müssen sicherstellen, dass hier von Anfang an im Sinne der Security by Design an Sicherheit gedacht wird. Das gleiche gilt auch für die zahlreichen eAkten-Projekte seitens des Bundes und der Länder: ­Sicherheit spielt in den Ausschreibungen leider nur eine untergeordnete Rolle.

Auch wenn ich an das OZG denke, fallen mir viele Stellen ein, wo Sicherheit eine entscheidende Rolle für Akzeptanz beim Bürger spielen wird. Nur über eine angemessene Sicherheit gibt es auch das Vertrauen in die Digitalisierung! Wir müssen deshalb die „Schotten dicht machen“, damit die Schlachtschiffe nicht versinken.

Wie viele Cyber-Attacken gibt es pro Jahr auf öffentliche Einrichtungen in Deutschland, und welcher Art sind diese?

Arendt: Wir können keine Angaben zu den genauen Zahlen machen, allerdings beobachten wir ­einen signifikanten Anstieg an ­Angriffen. Tagtäglich finden zum Beispiel mehr als 12 Millionen ­Angriffe auf die ITK-Infrastruktur der Deutschen Telekom statt. Und wir können von Glück reden, dass noch nicht mehr passiert ist, wie jüngst in Atlanta. Mit der DSGVO wird die Öffentlichkeit sicherlich bald besser darüber Bescheid wissen, wer alles betroffen ist und mit welcher Art von Angriffen sich die öffentlichen Einrichtungen in Deutschland konfrontiert sehen.

Aus unserer Erfahrung versuchen Cyberkriminelle mit unterschiedlichen Methoden in den Besitz von Daten von Bürgern und Behörden zu kommen. Besonders auffällig ist jedoch, dass ähnlich wie in der Privatwirtschaft die Attacken ausgefeilter und fortschrittlicher werden, wir also eine zunehmende ­Professionalisierung bei den Methoden erkennen können.

Auf der nächsten Seite: Behörden im Fokus & Gen-V-Angriffe.

Sind Behörden, Krankenhäuser oder Schulen ähnlich stark betroffen wie Unternehmen aus der freien Wirtschaft?

Der Gesprächspartner: Dirk Arendt, Leiter Public Sector & Gov Relations bei Check Point Software Technologies
Der Gesprächspartner: Dirk Arendt, Leiter Public Sector & Gov Relations bei Check Point Software Technologies
(Bild: Check Point)

Arendt: Nach unserer Einschätzung ist der gesamte öffentliche Sektor nicht nur ähnlich, sondern sogar deutlich mehr von Cyber­attacken betroffen als die Privatwirtschaft. Einige der wichtigsten und erfolgreichsten Hackergruppen haben es besonders auf öffentliche Stellen abgesehen, weil diese aufgrund der eher veralteten und komplexen IT-Infrastruktur verwundbar sind – aber auch wegen der Sensibilität der Daten, denn hier werden viele personenbezogene Daten verarbeitet.

Die derzeitigen Kostenkalkulationen der Krankenhäuser sehen die „Abwehr“ von Cyberangriffen noch nicht so umfassend vor, sondern gehen oftmals vor allem von physischen Angriffen aus. Deshalb wird vor allem hier in entsprechende Anlagen und Installationen investiert. Die Ransomware-Infektionen des Krankenhauses in Neuss und vieler anderer im letzten Jahr waren deshalb ein Weckruf.

Allerdings stellt sich die Frage, ob die danach folgenden Investitionen wirklich nachhaltig angelegt sind und ob nach der Aufmerksamkeit für das Problem „Cyber“ auch entsprechende Maßnahmen getroffen werden, die solche Attacken künftig verhindern. Ob wir uns also darauf verlassen können, dass beim nächsten Angriff die ­Einrichtungen besser vorbereitet sein werden?

Leider hört es bei solchen Einrichtungen nicht auf, denn von Schulen und anderen öffentlichen Einrichtungen wollen wir lieber gar nicht erst reden, hier wäre einiges zu tun, um vor „Cyber“ geschützt zu sein.

Wie schätzen Sie die Bedrohung durch „Gen V“-Angriffe ein?

Arendt: Gen V ist ein Begriff, der die Entwicklung der Cyber-Attacken in den letzten zwei Jahrzehnten beschreibt. Jetzt sehen wir ­riesige Cyber-Angriffe, die sich schnell über Grenzen, Länder und sogar Kontinente ausbreiten und mehr Maschinen als je zuvor betreffen. Beispiele für Gen V-Angriffe sind WannaCry und NotPetya. Das Problem ist, dass wir immer mehr dieser Art von Angriffen sehen werden, da die Angreifer wissen, dass sie funktionieren werden. Bei unbekannten Schwachstellen in Betriebssystemen oder weit­verbreiteten Anwendungen ist es viel einfacher, einen erfolgreichen Angriff durchzuführen.

Nach unseren Forschungsergebnissen und Quellen sind 97 Prozent der von uns untersuchten ­Unternehmen nicht auf Gen-V-­Angriffe vorbereitet. Viele Unternehmen arbeiten noch an Sicherheitsmaßnahmen zur Abwehr von Gen-II- und -III-Angriffen. Diese Maßnahmen zielen auf den Schutz von Netzwerken und Anwendungen ab – sie greifen dadurch aber deutlich zu kurz.

Wenn wir uns die Analogie mit den Schiffen wieder vorstellen: Viele Besatzungen sichern den Bug und das Heck vor Leckagen ab, verlassen sich aber auf der Oberfläche darauf, dass ja keine hohen Wellen das Wasser von oben in das Schiff hineintragen und können dann nur noch verzweifelt versuchen, das Wasser mit manuellen Mitteln aus dem Schiff zu schütten, während eine Welle nach der anderen immer mehr Wasser in den Bauch des Schiffes spült.

Oft wird die Stadtverwaltung ­Dettelbach ins Spiel gebracht, dabei hatten wir bereits Vorfälle im Bundestag , in Ministerien und ­sogar in Landtagen. Noch einmal: Es kann jeden treffen und es wird jeden treffen, der nicht vorbereitet ist.

Auf der nächsten Seite: Tipps für Behörden.

Was können Sie dem Public Sector – auch bei schmalem Budget – als erste, wichtige Maßnahme empfehlen, um besser gewappnet zu sein?

Arendt: Zunächst sollten öffentliche Stellen ihre bisherige Sicherheitsarchitektur überdenken, ­ausgiebig testen und auf eine Multi-Layer-Architektur umstellen. Der mehrstufige Ansatz und die bessere Segmentierung des Netzwerks in kritische und weniger kritische Bereiche ist ein erster wichtiger Schritt.

Für einen besseren Schutz vor Angriffen bedarf es außerdem fortschrittlicher Technologien zum Filtern von eMail-Anhängen auf verdächtige Attachments. Organisatorische Maßnahmen und ein Plan für den Notfall also zum Beispiel bei einer Ransomware-Infektion zur Aufrechterhaltung von grundlegenden Services ist außerdem eine lohnende Investition, die nicht viel kosten muss.

Wichtig ist, das Grundvertrauen in die Digitalisierung zu stärken und Bürgern und Mitarbeitern mehr Sicherheit zu bieten, ohne dass die Nutzererfahrung leiden muss. Wir brauchen Security by Design und Security by Default bei gleichzeitiger Usability. Lösungen, die sicher sind, aber nicht genutzt werden, weil sie die Handhabung der digitalen Services verkomplizieren, werden scheitern und das Gegenteil bewirken.

Dies sollte das oberste Auswahlkriterium für die Ausschreibung neuer Systeme und Lösungen sein, die natürlich auch die IT-Abteilungen unterstützen sollen, die Anforderungen der DSGVO zu ­erfüllen.

Und zu guter Letzt gehören natürlich auch die Mitarbeiter auf allen Ebenen geschult. Sensibilisierung ist wichtig – aber wir müssen gleichzeitig die Angst vor Fehlern nehmen. Security Awareness sollte immer eine positive Verstärkung sein, niemals Drohung.

Die Kommunikation intern wie extern – auch im Krisenfall – ist ­unglaublich wichtig! Was darf und muss ich als Behörde preisgeben – Stichwort DSGVO –, was spielt den Angreifern in die Hände? In jedem Fall muss es ein abgestimmtes Vorgehen geben, einen Notfallplan, an dem sich alle involvierten Abteilungen halten.

Natürlich müssen bei einem Sicher­heitsvorfall auch externe Spezialisten und die Ermittlungsbehörden mit auf das Schiff eingeladen werden.

Gemeinsam nach Leckagen und Schwachpunkten zu suchen ist das A und O – nach und vor einem „Cyber“-Vorfall.

Die Öffentliche Verwaltung in Deutschland ist die erste Anlaufstation für den Bürger, sie muss „funktionieren“, sie muss Service leisten, teilweise rund um die Uhr, ein Ausfall geht einher mit einem massiven Vertrauensverlust in die Möglichkeiten des Staates, seine Bürger zu versorgen und zu beschützen. In Zeiten der Digitalisierung heißt das umso mehr, dass dieses „Cyber“ in jeder Strategie der Anker sein muss; nur dann kann das Schiff auf See und an der Küste sicher segeln und „Flagge zeigen“.

Link zur Studie

Den kompletten „Security Report 2018“ können Sie online hier anfordern.

(ID:45380549)