IT-Sicherheit

Immer noch große Lücken im öffentlichen Sektor

| Autor / Redakteur: Carsten Maßloff* / Susanne Ehneß

Auf dem neuesten Stand

So banal es klingt, aber Betriebssysteme, Firewalls oder Virensoftware müssen immer auf dem neuesten Stand sein. Hierdurch kann die Sicherheit signifikant erhöht werden. Zugleich sehen wir die Entwicklung, dass die Zahl der Schadprogrammvarianten rasant steigt. Dies hat beispielsweise zur Folge, dass der klassische signaturbasierte Ansatz der Antivirensoftware immer weniger Schutz bietet, weil neue Varianten schneller erzeugt als erkannt werden.

Diese Programme funktionieren nach dem Blacklist-Prinzip – wer aber nicht auf der schwarzen Liste steht, wird auch nicht als Gefahr erkannt. Die Arbeit mit Positiv­listen, die sich auf Software oder Verzeichnisse konzentrieren, ist eine denkbare Alternative, die ebenfalls ihre Grenzen hat.

Programmierfehler ­ermöglichen Zugriff

Es muss aber nicht immer der „klassische“ Angriff sein, der über Schadprogramme jedweder Couleur initiiert wird. Ein ebenfalls beliebtes Ziel von Cyber-Kriminellen sind Internetpräsenzen und Kundenportale, wie sie inzwischen selbst von vielen kleinen Energieversorgern oder Stadtverwaltungen genutzt werden.

Die sich hier bietenden Sicherheitslücken basieren häufig auf Programmierfehlern. Bei den so genannten SQL-Injections geben die Angreifer Befehle in die Eingabefelder beispielsweise von Kundenportalen ein und erhalten so Zugriff auf die dahinterliegende SQL-Datenbank, sofern nicht entsprechende Absicherungen vorgenommen wurden.

So können beispielsweise große Datenmengen wie etwa Kundendaten und Passwörter entwendet und später im kriminellen Umfeld monetarisiert werden.

In den beschriebenen Fällen und Szenarien zeigt sich: Die klassischen Abwehrmaßnahmen wirken nur noch begrenzt, denn die Cyber-­Kriminellen verfügen über immer größeres Fachwissen und Ressourcen. Die „Branche“ professionalisiert sich sukzessive, und einzelne Akteure bieten ihre Dienstleistungen Organisationen an, die normalerweise nicht über die erforderlichen Fähigkeiten verfügen.

Angesichts dieser zunehmenden Bedrohung stellt sich eher die Frage, wann und nicht ob es zu einem Angriff kommt. Grundsätzlich gilt: Informationssicherheit muss als Gesamtkonzept verstanden werden, in das die Mitarbeiter integriert und für Gefahren sensibilisiert werden. Aber die Hausaufgaben müssen auch von technischer Seite erledigt werden. Nur mit den passenden technischen und organisatorischen Maßnahmen können die erkannten (und bewerteten) Risiken behandelt werden.

IT-Sicherheit ist ­Gesamtaufgabe

Den Grundstein dafür legt ein sogenanntes Informationssicherheitsmanagementsystem (kurz: ISMS). Denn Nutzer, die eine IT-Sicherheit gewährleisten wollen, brauchen systematische Prozesse. Ein ISMS hilft dabei, die Risiken zu erkennen, zu bewerten und die geeigneten Maßnahmen zu er­greifen.

Außerdem sollten Mitarbeiter regelmäßig geschult werden, denn Informationssicherheit zieht sich durch die gesamte Organisation.

Eine wirksame Methode zur Überprüfung der eigenen Infrastruktur sind Penetrationstests. Mit automatisierten Schwachstellen-­Scannern und manuellen Attacken prüfen dabei zertifizierte „ethische“ Hacker verschiedenste Angriffsszenarien. Die gefundenen Schwachstellen werden protokolliert und später in einem umfangreichen Bericht dargelegt.

Der Autor: Carsten Maßloff
Der Autor: Carsten Maßloff (Bild: © by Markus Jäger, 2014, www.jaegerfotografen.de)

Neben der Identifikation von Sicherheitslücken kann auch der Fremdzugriff auf die Systeme simuliert werden, um einen möglichen Schaden im Ernstfall ermessen zu können. Auf diesem Wege wird das Sicherheitsniveau einer Organisation realistisch bewertet und es können ganz konkrete Schutzmaßnahmen empfohlen werden.

In Dettelbach hat sich der Rauch einige Monate nach der Attacke wieder verzogen, die Computer laufen wieder weitgehend rund. Die Zahlung des Lösegeldes brachte übrigens nicht den gewünschten Effekt, Daten gingen durch Fehlfunktionen im bestehenden EDV-System sowie Fehlentscheidungen bei der Rücksicherung verloren. Immerhin: Dettelbach sollte als mahnendes Beispiel gesehen werden, die erforderlichen Maßnahmen im Bereich der IT-Sicherheit kurzfristig und mit Nachdruck umzusetzen.

Hacker-Angriffe auf Behörden und Ministerien

* Carsten Maßloff, Geschäftsführer des auf IT-Sicherheit spezialisierten Beratungsunternehmens Ceyoniq Consulting GmbH

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44500867 / System & Services)