Phishing, Ransomware und DDoS-Angriffe Notfallkoffer für IT-Sicherheit

Von Natalie Ziebolz

Mit der Digitalisierung aller Lebens- und Arbeitsbereiche wächst auch das Bedrohungspotenzial. Gerade Behörden und Kommunen bieten Hackern eine beliebte Angriffsfläche – nicht nur weil hier viele sensible Daten liegen, sondern auch weil erfolgreiche Angriffe auf Hochwertziele das Ansehen der Angreifer in der Szene erhöhen. Mit den richtigen Sicherheitsvorkehrungen können Institutionen das Risiko, selbst Opfer eines Cyberangriffs zu werden, jedoch verringern.

Anbieter zum Thema

Hochwertige Ziele sind – allein ihrem Namen nach – besonders gefährdet für Cyberattacken.Auch vor und nach dem Krieg. Ausreichend Schutzmaßnahmen sind daher essenziell.
Hochwertige Ziele sind – allein ihrem Namen nach – besonders gefährdet für Cyberattacken.Auch vor und nach dem Krieg. Ausreichend Schutzmaßnahmen sind daher essenziell.
(© Elnur – stock.adobe.com)

Aufgrund des Krieges in der Ukraine und den damit einhergehenden Meldungen über Cyberattacken verschiedener Hackergruppierungen wie Anonymous erlebt das Thema Cybersicherheit aktuell einen regelrechten Boom. Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ zeigt jedoch – nicht nur bei einschneidenden Ereignissen –, sollten sich Behörden, Kommunen und Kritische Infrastrukturen um ausreichende Schutzmaßnahmen kümmern. Immerhin wurden zwischen Juni 2020 und Mai 2021 etwa 74.000 bösartige Webseiten für Zugriffe aus der Bundesverwaltung gesperrt – 42 Prozent mehr als im vorangegangenen Berichtsjahr.

Darüber hinaus wurden pro Monat rund 44.000 eMails mit Schadprogrammen abgefangen und 14,8 Millionen Schadprogramm-Meldungen an die deutschen Netzbetreiber ausgespielt. Die Zahl der Schadprogramme ist dabei zeitweise rasant gestiegen. So wurde mit bis zu 553.000 neuen Varianten am Tag ein neuer Höchstwert erreicht. Eine Umfrage von Zeit Online und dem Bayrischen Rundfunk zeigt zudem, dass in den vergangenen sechs Jahren mindestens 100 Ämter und Behörden Ransomware-Attacken zum Opfer ausgesetzt waren – meist mit Erfolg.

Vermehrt Ransomware-Attacken auf Kommunen und Stadtverwaltungen

„Quantität und Qualität der Cyberangriffe steigen seit Jahren an, gerade auch durch Ransomware“, weiß auch Carsten Meywirth, Leiter der Abteilung Cybercrime des Bundeskriminalamtes (BKA). In der deutschen Wirtschaft sei laut Branchenstudien dadurch ein Schaden von über 24 Milliarden Euro entstanden.

„Seit Sommer letzten Jahres beobachten wir aber auch eine Häufung von erfolgreichen Cyberangriffen auf Kommunen und Stadtverwaltungen – obwohl sich diese Ziele grundsätzlich nicht erpressen lassen. Der Ransomware-Angriff auf den Landkreis Anhalt-Bitterfeld im Juli letzten Jahres zeigte sehr eindrucksvoll, wie nach einem schwerwiegenden Angriff wichtige Dienstleistungen teilweise über Wochen nur eingeschränkt zur Verfügung standen und die vollständige Wiederherstellung der behördlichen Arbeitsfähigkeit mehrere Monate andauerte.“

Grund für die steigende Bedrohung sei neben der voranschreitenden Digitalisierung und der Verlagerung der Kriminalität in den Cyberraum auch eine zunehmende Professionalisierung der Täter. „Während Cyberkriminelle früher ihre Taten alleine begingen, gibt es heute hochspezialisierte Dienstleister für einzelne Komponenten eines Cyberangriffs. Auf einem globalen Markt werden Dienstleistungen zur Begehung von Straftaten angeboten – und zwar digital, weitgehend anonym und mit hoher Kundenorientierung“, so Meywirth.

Das betrifft auch kritische Infrastrukturen: „Die große Hebelwirkung begünstigt hohe Lösegeldforderungen. Und selbst wenn sich keine Lösegelder erpressen lassen, so erhöht ein öffentlichkeitswirksamer Erfolg die Reputation der Täter in der kriminellen Szene. Vermutlich war 2021 auch deshalb geprägt von Angriffen auf kritische Infrastrukturen, die öffentliche Verwaltung oder internationale Lieferketten.“

Weitere Gefahren

„Neben Ransomware-Attacken stellen Distributed-Denial-of-Service-Angriffe eine wesentliche Gefahr auch für Kommunen und öffentliche Einrichtungen dar“, so Meywirth. „Hierbei attackieren Cyberkriminelle mit sogenannten Bot-Netzen die Webpräsenzen oder Server mit massenhaft automatisierten Abfragen.“

Das Ziel der Cyberkriminellen sei es, die Online-Zugänge zu überlasten und in der Konsequenz die Kommunen für Bürger und Mitarbeiter digital unerreichbar zu machen. „Die Beweggründe der Cyberkriminellen sind hierbei vielfältig und reichen von der Schädigung der geschäftlichen Konkurrenz über politischen Antrieb bis hin zu rein monetären Interessen.“ Bei Letzterem sei es üblich, dass die Täter Zahlungen in Form von Bitcoins von den Opfern verlangen, bevor sie ihre großvolumigen DDoS-Attacken einstellen.

Gleichzeitig weißt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Zunahme von Phishing-Mails mit Bezug zum Ukraine-Krieg hin. Dabei gehe es vor allem um Vorschussbetrügereien – in Anlehnung an den Nigerianischen Prinzen –, „bei denen die Mail-Empfänger zum Beispiel gebeten werden, vermeintlichen Opfern des Krieges Geld für die Flucht zu überweisen“. Daneben gibt es auch klassisches Phishing, „das mit reißerischer Berichterstattung die Mail-Empfänger zum Klicken zum Beispiel auf einen Weiterlesen-Button verleiten soll“. „Auch Scam-Mails, die betrügerische Spendenaufrufe verbreiten, sind im Umlauf“, so das BSI.

Neue „Ghostwriter“-Angriffe

Eine besondere Rolle im Zusammenhang mit Phishing-Mails kommt der Hackergruppe „Ghostwriter“ und ihren Spear-Phishing-Mails zu. „Spear-Phishing ist eine Spezialform eines Phishing-Angriffs, bei dem nur ein kleiner Empfängerkreis attackiert wird – häufig sind dabei Führungskräfte oder Wissensträger auf Leistungsebene im Visier der Kriminellen“, erklärt das BSI. Im Fall von Ghostwriter haben es die Verantwortlichen vor allem auf Mandatsträger und Mandatsträgerinnen sowie andere politische Ziele abgesehen.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Bei einer ersten Angriffswelle im vergangenen Jahr seinen in diesem Zusammenhang Mails mit Links, die zu einer mit Schadsoftware präparierten Website führten, an die privaten eMail-Adressen der Politiker geschickt worden. „In einigen Fällen gelang es den Kriminellen die eMail-Konten zu kompromittieren“, räumt das BSI ein. Nun ist Ghostwriter wieder aktiv.

Das Bundesamt für Verfassungsschutz warnt daher: „Aufgrund erneuter, aktueller Angriffe von Ghostwriter im März 2022 gegen Personen in Deutschland ist besondere Vorsicht geboten. Derzeit werden private T-Online-Konten unter anderem von der Absenderadresse t-online.de@comcast.net angephisht.“ Erbeutete Daten können dann in sogenannten „Hack and Leak“-Operationen veröffentlicht oder manipuliert und für Desinformationskampagnen genutzt werden. Zudem bestehe die Möglichkeit, dass Nachrichtenportale kompromittiert und darüber Falschmeldungen verbreitet werden („Hack and Publish“-Operationen).

Manuel Atug vom Chaos Computer Club vermutet jedoch auch noch einen anderen Grund für die Ghostwriter-Kampagne: „Ein Ziel von Ghostwriter ist offenbar in die Systeme einzubrechen, mitzulesen was geschrieben wird und dadurch Strategien und ähnliches zu erfahren. Es geht dabei also vor allem um Spionage. Und das diese aktuell genutzt wird ist sehr wahrscheinlich, da solche Informationen und Daten aktuell, aber auch außerhalb eines Krieges Gold wert sind.“

Auf der nächsten Seite erfahren Sie, wie sich Behörden, Kommunen und Kritische Infrastrukturen schützen können

ISMS aufstellen

Bereits im Jahr 2021 galt Ransomware als größte Bedrohung für die IT-Sicherheit von Unternehmen
Bereits im Jahr 2021 galt Ransomware als größte Bedrohung für die IT-Sicherheit von Unternehmen
(© Bitkom)

Natürlich sind weder Behörden noch kommunale Verwaltungen oder kritische Infrastrukturen entsprechenden Angriffen einfach ausgesetzt. Mit ausreichend Sicherheitsvorkehrungen kann das Risiko Opfer einer Cyberattacke zu werden deutlich reduziert werden.

So sollte ein Information Security Management System (ISMS) aufgestellt werden, innerhalb dessen Regeln, Prozesse und Tools definiert sind, mit denen die Informationssicherheit dauerhaft gesteuert, kontrolliert, sicherstellt und optimiert werden kann. Für den öffentlichen Sektor bietet sich hier der IT-Grundschutz des BSI an. Dieser setzt sich aus den BSI-Standards und dem IT-Grundschutzkompendium zusammen und erläutert neben technischen Aspekten auch solche, die Infrastruktur, Organisationen und Personal betreffen.

„Anwender können sich gezielt die IT-Grundschutz-Bausteine heraussuchen, die für ihre Sicherheitsfragen relevant sind“, so das BSI. Eine detaillierte Risikoanalyse ist dabei nicht von Nöten, denn es wird pauschal von einer Gefährdung ausgegangen. Stattdessen gibt es drei Schutzbedarfskategorien auf deren Basis entsprechende personelle, technische, organisatorische und infrastrukturelle Sicherheitsmaßnahmen auf dem IT-Grundschutz-Katalog ausgewählt werden. Bei erfolgreicher Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informations­sicherheits­management­systems (ISMS) erhalten Institutionen vom BSI das Zertifikat ISO/IEC 27001. Die Stufen 1 und 2 basieren dabei auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten Auditor.

Immer aufmerksam bleiben

Nicht außer Acht gelassen werden sollte jedoch auch der Risikofaktor Mensch. „Man kann so viel Awarness haben wie man möchte, irgendjemand wird auf den Link klicken. Vor allem bei gut gemachtem Social Engineering“, so Atug. Beim Social Engineering nutzen die Täter tief sitzende menschliche Dispositionen und Bedürfnisse – etwa den Wunsch zu helfen – aus. Im Fall des Spear-Phishings geht dem eMail-Versand meist sogar eine Recherche voraus, um die Kampagne auf die Zielgruppe zuzuschneiden.

„Beim CEO Fraud (CEO-Betrug) schließlich versuchen kriminelle Täter, Entscheidungsträger beziehungsweise für Zahlungsvorgänge befugte Mitarbeiter oder Mitarbeiterinnen in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen“, so das BSI. Daher ist die regelmäßige Schulung aller Mitarbeiter essentiell, um sie hinsichtlich der Bedrohungsszenarien auf den aktuellsten Stand zu bringen und die Wachsamkeit zu erhöhen. Hyperlinks und Anhänge sollten beispielsweise niemals vorschnell geöffnet und ungewöhnliche Anweisungen mit Skepsis betrachtet werden. Entsprechende Schulungen sollten dabei auch immer dokumentiert werden, so dass der IT-Beauftragte jederzeit weiß, welche und wie viele Mitarbeitenden diese im vergangenen Jahr absolviert haben.

Den Angreifern zuvorkommen

Darüber hinaus kann die Anfälligkeit eines Systems schon dadurch minimiert werden, dass Geräte, Betriebssysteme und Software immer auf dem aktuellen Stand sind und Sicherheitsupdates zügig eingespielt werden. Immerhin treten hier regelmäßig Schwachstellen auf. Mit einem durchgehenden Patch-Management ist sichergestellt, dass diese Lücken nicht lange bestehen und die Gerätesicherheit gewährleistet ist.

Dennoch, bei Systemen, die regelmäßig erweitert und ausgebaut werden, können immer wieder neue Schwachstellen und Sicherheitslücken entstehen, die nicht sofort erkannt oder durch Updates behoben werden können. Daher bietet sich der Einsatz von Schwachstellenscannern an, die Anwendungen und Netzwerke automatisiert überprüfen. Da diese bei komplexen Sicherheitslücken jedoch an ihre Grenzen stoßen, ist darüber hinaus auch die Zusammenarbeit mit sogenannten Penetration Testern möglich. Diese versuchen, äquivalent zu den Hackern, in die Systeme einzudringen. Gelingt dies, können die Angriffswege gezielt abgesichert werden. Wichtig ist dabei allerdings, dass entsprechende Tests regelmäßig wiederholt werden, denn Cyber-Sicherheit ist ein Prozess, der im Endeffekt niemals abgeschlossen ist.

Resilienz erhöhen

Doch es gibt noch einiges mehr, dass Behörden und Institutionen machen können, um allgemein widerstandsfähiger zu werden: Das beginnt bereits bei der Passwortvergabe. Passwörter sollten Buchstaben, Zahlen und Sonderzeichen kombinieren und nicht für mehrere Zugänge genutzt werden. Um dennoch den Überblick über diese zu behalten, bietet sich ein Passwort-Manager an – der Zettel in der Schreibtischschublade ist nicht sicher! Noch besser ist natürlich eine Zwei- oder Multifaktor-Authentifizierung.

Darüber hinaus sollten den Mitarbeitenden nur die nötigsten Zugangsrechte gewährt werden, die sie für ihre Arbeit benötigen. So haben sie zu möglichst wenigen sensiblen Teilen des Unternehmensnetzwerks Zugriff – und damit auch der Cyberkriminelle, falls er beispielsweise an die Passwörter gelangt. Gleichzeitig sollten die Endgeräte, die auf das Netzwerk zugreifen wollen, kontrolliert werden. Dadurch kann nicht nur sichergestellt werden, dass diese auch wirklich die benötigten Berechtigungen haben, sondern gleichzeitig auch, dass sie nicht kompromittiert wurden.

Durch regelmäßige Analyse der Log-Daten können zudem Muster aufgedeckt werden, die früh auf Sicherheitsverletzungen hinweisen. So können die Lücken geschlossen werden bevor der Ernstfall eintritt.

Den Notfall planen

Falls es doch zu einem Sicherheitsvorfall kommt, sollte unverzüglich Strafanzeige bei der Polizei erstattet werden. „Das BKA und die Länderpolizeien haben hierfür zentrale Ansprechstellen, sogenannte ZACs, eingerichtet, die Betroffenen vor und im Schadensfall schnell und kompetent weiterhelfen“, erklärt Meywirth. „Für Angriffe auf Bundeseinrichtungen und Kritische Infrastrukturen haben wir beim BKA darüber hinaus eine Quick-Reaction-Force eingerichtet. Hier steht rund um die Uhr ein Team von IT-Spezialistinnen und Spezialisten sowie Polizeikräfte bereit, um im Schadensfall direkt die Strafverfolgung aufzunehmen und zu beraten.“

Dieses Vorgehen sollte auch in einem Cyber Incident Response Plan festgehalten werden, einem Leitfaden, der für den Fall des Angriffs, die Maßnahmen zur Begrenzung des Schadens definiert. Daneben sollen in diesem Notfallplan auch die notwendigen technischen Schritte, die eingeleitet werden müssen, definiert, sowie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen festgehalten werden. Auch rechtliche Aspekte wie Meldepflichten bei Datenschutzverletzungen müssen berücksichtigt werden. Des Weiteren gehört eine vorbereitete Krisenkommunikation dazu, um Kunden, Partner, Bürger schnellstmöglich zu informieren. Greifen diese Notfallmaßnahmen richtig ineinandergreifen, gewinnen Behörden bei der Abwehr eines Angriffs wertvolle Zeit und können den drohenden Schaden deutlich eingrenzen. Damit dies im Ernstfall auch klappt, ist es jedoch wichtig, den Notfallplan auch regelmäßig zu üben, die Übungen zu dokumentieren und auszuwerten.

Im Falle eines Ransomware-Angriffs sind zudem Backups unerlässlich. Dadurch sind Daten, die von Angreifern verschlüsselt oder gelöscht werden nicht unwiderruflich verloren. Entscheidend ist dabei jedoch, dass die Backup-Daten an einem separaten Standort archiviert werden, zu dem die Netzwerk-Verbindung nach der Übertragung wieder gekappt werden kann.

(ID:48105479)