Wie sich Öffentliche Verwaltungen vor modernen IT-Bedrohungen schützen Mit Software und Wissen gegen Cyberkriminalität

Autor / Redakteur: Holger Suhl* | Advertorial / Susanne Ehneß

Behörden besitzen das, was Cyberkriminelle gerne hätten: einen riesigen Pool personenbezogener Daten. Kein Wunder also, dass sich digitale Angriffe auf öffentliche Verwaltungen in jüngster Vergangenheit häufen. IT-Sicherheit ist wichtiger denn je. Doch worauf kommt es an?

Firmen zum Thema

Die Stufen von Kaspersky Endpoint Security for Business
Die Stufen von Kaspersky Endpoint Security for Business
(Bild: Kaspersky Lab)

Nicht nur für Unternehmen, sondern auch für den öffentlichen Sektor ist Cyberkriminalität zu einer ernsthaften Bedrohung geworden. Laut einer Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) von Juni bis September 2015 waren 58 Prozent der Unternehmen und Behörden in den vergangenen zwei Jahren Ziel von Cyberangriffen. In fast der Hälfte der Fälle waren die Angreifer erfolgreich. Die Attraktivität der Behörden liegt aus Sicht der Cyberkriminellen in der zu ergatternden „Beute“. Denn öffentliche Ämter verwalten schier unzählige persönliche Daten von Bürgern – darunter Ausweisnummern, Finanzdaten sowie die verschiedensten Urkunden und Dokumente.

Richtlinien und Gesetzesvorgaben im Bereich eGovernment haben ihren Teil dazu beigetragen, dass Bund, Länder und Kommunen schon seit einigen Jahren zunehmend ihre Arbeitsprozesse digitalisieren. Laut eGovernment-Gesetz sind sie verpflichtet, Maßnahmen zur elektronischen Kommunikation einzusetzen und auszubauen. Ziel der Vorschrift ist es, für Bürger die Interaktion mit der Verwaltung zu erleichtern. Außerdem soll dieser juristische Schritt Bund, Länder und Kommunen dabei unterstützen einfachere, nutzerfreundlichere und effizientere elektronische Verwaltungsdienste anzubieten.

Dunkle Machenschaften im Darknet

Doch die elektronische Verfügbarkeit von Informationen hat auch ihre Schattenseiten: Sie lockt Cyberkriminelle an, die personenbezogene Daten auf dem Schwarzmarkt zu Geld machen wollen. Im sogenannten „Darknet“, dem Paralleluniversum zum allseits bekannten und für jeden zugänglichen World Wide Web, können Verbrecher gestohlene Datensätze anonym anbieten und einen hohen Betrag dafür abkassieren.

Doch so weit müssen Cyberkriminelle oft gar nicht gehen. Schon allein die Erpressung einer Behörde mithilfe von Schadsoftware ist ein lohnenswertes Geschäft. So ging Anfang 2016 der explosionsartig angestiegene Einsatz von Erpressungstrojanern wie Locky oder CryptXXX durch die Medienlandschaft. Auch der öffentliche Sektor war betroffen. So wurden die Daten auf den Servern einer kleinen unterfränkischen Gemeinde durch einen Trojaner-Angriff verschlüsselt. Bei der Stadtverwaltung ging plötzlich nichts mehr.

Wie Erpressungssoftware funktioniert

Als Ransomware bezeichnet, ist diese Schadsoftware bei Cyberkriminellen so beliebt, weil sie einfach zu entwickeln ist und das dahinterstehende Geschäftsmodell äußerst lukrativ aufgebaut ist: Um eine öffentliche Verwaltungsstelle anzugreifen, genügt es, eMails mit infiziertem Anhang an die Angestellten zu versenden. Öffnet auch nur einer der Empfänger die angehängte Datei, wird die Verschlüsselungssoftware automatisch auf seinen Rechner heruntergeladen. Von dort kann sie sich wie ein Lauffeuer im Netzwerk verbreiten. Es werden dann sämtliche zentral auf dem Server gespeicherte Daten verschlüsselt. Folglich sind betroffene Behörden schnell bereit, für die Entschlüsselung hohe Lösegeldsummen zu zahlen. Bedrohungen durch Ransomware oder andere Malware-Varianten werden in den nächsten Jahren noch weiter zunehmen. Untersuchungen zeigen jedoch immer wieder, dass Öffentliche Verwaltungen noch deutliche Umsetzungsprobleme im Bereich IT- und Informationssicherheit aufweisen. Das betrifft sowohl technische Maßnahmen und Lösungen als auch die organisatorische, rechtliche und strategische Umsetzung des Themas.

Schutz vor Ransomware

Angesichts der Bedrohungslage kommt eine Behörde nicht mehr um ein umfassendes Konzept zum IT-Schutz herum. Bei der Wahl der Security Software gilt es, auf spezifische Technologien zu achten. So enthält Kaspersky Endpoint Security for Business eine Anti-Cryptor-Funktion zum Schutz vor Ransomware.

Die Sicherheitslösung von Kaspersky Lab beruht generell auf einem skalierbaren Konzept, bei dem mit zunehmender Stufenhöhe der Funktionsumfang steigt. Dadurch lässt sich der IT-Schutz ideal an die individuellen Bedürfnisse einer Verwaltung anpassen.

Die Einstiegsstufe Select ist neben zuverlässigen Anti-Malware-Technologien und Firewall auch mit einem Schutz für Mobilgeräte sowie zugehörigem Mobile Device Management (MDM) ausgestattet. Außerdem enthält sie einen Schutz für Datei-Server sowie Kontrolltools zur Verwaltung von Web, Geräten und Programmen.

Die zweite Stufe Advanced beinhaltet alle Funktionen aus Select; hinzukommen Datenverschlüsselung und Kaspersky Systems Management. Tools für das Vulnerability Monitoring und automatische Patching von Betriebssystemen zählen ebenfalls zum Funktionsumfang. Kaspersky Total Security for Business ist die umfangreichste Lösung mit zusätzlichen Technologien für den Schutz von Mail-Servern, Internet-Gateways und Collaboration-Servern.

Auf der nächsten Seite geht es weiter.

DDoS – Website leider außer Betrieb

Neben den anfangs beschriebenen Ransomware-Angriffen sind auch DDoS (Distributed Denial of Service)-Attacken zu einer omnipräsenten Gefahr für Behörden und Verwaltungen geworden. Mit dem Ziel, den Betrieb von Websites oder Datenbanken zu stören oder komplett lahmzulegen, übermitteln Cyberkriminelle mithilfe einer riesigen Anzahl von Bots gleichzeitige Anfragen an die angegriffene Ressource. Das Ergebnis: Die IT bricht zusammen und sämtliche Verwaltungsprozesse sind über längere Zeit blockiert.

Eine aktuelle Studie von Kaspersky Lab zeigt, dass sich im zweiten Quartal 2016 die Dauer von DDoS-Attacken verlängert hat. Während der Anteil der Angriffe, die bis zu vier Stunden dauerten, von 68 Prozent im ersten Quartal auf 60 Prozent im zweiten Quartal fiel, stieg das Aufkommen längerer Attacken signifikant an: Die längste DDoS-Attacke im zweiten Quartal hielt zwölf Tage an. Im Quartal zuvor kam der längste Angriff auf lediglich acht Tage.

Im Gegensatz zu Virenattacken, die in der Regel automatisch ablaufen, steckt hinter DDoS-Angriffen meist eine ausgiebige Recherche. Cyberkriminelle machen sich im Vorfeld mit ihrem Angriffsziel vertraut und analysieren dessen Schwachstellen in der Online-Präsenz. Dementsprechend wählen sie das passende Angriffswerkzeug aus, mit dem sie den größten Erfolg erzielen können. Auch während eines Angriffs nehmen Cyberkriminelle Einfluss, indem sie ständig ihre Taktik ändern und die verwendeten Schadprogramme anpassen.

Kaspersky DDoS Protection bietet umfassenden Schutz vor DDoS-Angriffen. Mithilfe einer speziellen Sensorsoftware wird der Netzwerkdatenverkehr rund um die Uhr überwacht. Durch die fortlaufende Generierung von statistischen Werten und Verhaltensanalysedaten wird die Software mit der Zeit immer besser darin, selbst geringfügige Anomalien zu entdecken, welche für den Beginn eines DDoS-Angriffs charakteristisch sind.

Kommt es zum Ernstfall, erhält die betroffene Verwaltung einen Alarm und hat die Möglichkeit, ihren Netzwerkverkehr an ein Cleaning Center von Kaspersky Lab umzuleiten. Danach wird der „gesäuberte“ Datenverkehr wieder ins Netzwerk eingespeist.

Um das Erkennen und Abwehren von Cyberangriffen nicht nur der Security Software zu überlassen, stehen dem öffentlichen Sektor neue Möglichkeiten offen: Er kann die Expertise von Sicherheitsspezialisten (Threat Intelligence) in seine IT-Schutzstrategie mit einbeziehen. Kaspersky Lab verfügt über fast 20 Jahre Erfahrung auf Gebieten wie Bedrohungserkennung, Malware-Forschung, Reverse Engineering und digitale Forensik. Dieses Know-how über bestehende und neue Gefahren gibt Kaspersky Lab in IT-Sicherheitsschulungen an Behörden und Öffentliche Verwaltungen weiter und rüstet IT-Verantwortliche somit für die erfolgreiche Erkennung und Abwehr von Cyberbedrohungen.

Das Schulungsprogramm ist Teil der Security Intelligence Services, die darüber hinaus interessierten Behörden auch regelmäßige Informationen und Reports zur aktuellen Bedrohungslage bereitstellen. Eine weitere Angebotssparte sind dedizierte Expertenservices, bei denen Kaspersky-Spezialisten die IT-Sicherheitslücken einer Verwaltung identifizieren und bereits stattgefundene Sicherheitsvorfälle mittels digitaler Forensik und Malware-Analyse rekonstruieren.

IT-Sicherheit beginnt im Kopf

Zu einem schlüssigen Security-Konzept gehört es auch, Angestellte außerhalb der IT-Abteilung für Cybergefahren zu sensibilisieren. Das Problem bei traditionellen Weiterbildungen ist jedoch, dass sie oft zu „trocken“ aufbereitet sind. Folglich stoßen die übermittelten Inhalte nicht auf das nötige Interesse, verankern sich nicht im Kopf und werden in der Konsequenz im Alltag auch nicht gelebt. Kaspersky Lab wählt deshalb einen anderen Ansatz, bei dem das interaktive Lernen und die persönliche Erfahrung im Umgang mit Cyberkriminalität im Vordergrund stehen.

Verschiedene Präsenz- und Online-Kurse zur Cybersicherheit schulen auf spielerische Weise das Bewusstsein für die Gefahren aus dem Internet. So werden im Spiel Kaspersky Interactive Protection Simulation die Teilnehmer in ein virtuelles Szenario versetzt, das einen Cyberangriff simuliert. Sie müssen verschiedene IT-Strategien einsetzen und Lösungen finden, um die Konsequenzen der Attacke zu minimieren. Das Simulationsspiel wird in verschiedenen Kategorien angeboten – eine davon ist speziell auf eGovernment ausgerichtet.

Mehr zu den Lösungen und Services von Kaspersky Lab erfahren Sie auf der it-sa 2016. Tickets gibt es online bei Kaspersky Lab.

* Holger Suhl, General Manager DACH von Kaspersky Lab

(ID:44237204)