Netzwerksicherheit im öffentlichen Sektor Öffentlich, aber nicht ­offen für Bedrohungen

Autor / Redakteur: Thorsten Henning* / Susanne Ehneß

Worauf es in Behörden und bei Infrastrukturbetreibern von Bund, Ländern und Kommunen in puncto Netzwerksicherheit ankommt, erläutert Thorsten Henning von Palo Alto Networks.

Firmen zum Thema

Personalmanagement und Buchhaltung benötigen besonderen Schutz vor Zero-Day-Bedrohungen und anderen Cybergefahren
Personalmanagement und Buchhaltung benötigen besonderen Schutz vor Zero-Day-Bedrohungen und anderen Cybergefahren
(Bild: ldprod_Fotolia.com)

Netzwerksicherheit wird in Firmen großgeschrieben, seitdem Cyberangreifer immer anspruchsvoller agieren und gezielter vorgehen. Auch der öffentliche Sektor bleibt nicht von Sicherheitsvorfällen verschont. Es gibt einen wachsenden Konsens darüber, dass Behörden und öffentliche Einrichtungen aller Größen zunehmend ins Visier der Cyberkriminellen geraten.

In staatlichen und kommunalen Behörden wächst bei den Verantwortlichen die Sorge über den Mangel an Transparenz, speziell was Zero-Day-Angriffe betrifft. Da ­immer mehr Dienste online abgewickelt werden, müssen die Behörden im gleichen Zuge verstärkt in Sicherheitsmaßnahmen investieren. So gilt es, die Daten der Bürger zu schützen und ihnen dennoch einen bequemen und zuverlässigen Zugang zu den Dienstleistungen anbieten zu können.

Die einzelnen Behörden, Einrichtungen und Versorger verfolgen derzeit verschiedene Projekte der IT-Modernisierung. Es zeichnen sich jedoch sechs Prioritäten ab. Die ersten drei dieser Prioritäten tauchen immer wieder in den Fachmedien auf:

  • sichere Cloud-Nutzung,
  • Absicherung von SaaS-Anwendungen und
  • Sicherheitsanalysen.

Die nächsten drei Punkte befinden sich derzeit noch unter dem allgemeinen Aufmerksamkeitsradar, sind aber mindestens genauso wichtig:

  • Schutz vor internen Sicherheitsvorfällen,
  • Absicherung von SCADA-Systemen und
  • Verhinderung von frakturiertem Outsourcing.

Sichere Cloud-Nutzung

Im Rahmen von Cloud-Strategien prüft der öffentliche Sektor, wie die Cloud stärker genutzt werden könnte, um für die Bürger bessere Dienste bereitzustellen und dabei auch noch Kosten zu sparen. Die Verlagerung von Backups, Speicherinfrastruktur, Websites und Anwendungen in die Cloud scheinen derzeit gängige Ansatzpunkte zu sein. Viele Städte be­gutachten Hybrid-Cloud-Architekturen. Allerdings bringen Cloud-Strategien neben bequemen Dienstleistungen eine Vielzahl von Sicherheitsfragen mit sich.

Während der Cloud-Anbieter die Verantwortung für die Sicherheit der Daten im Ruhezustand trägt und in der Regel auch bestmöglich dafür sorgt, sind die Daten bei der Übertragung oftmals gefährdet. Verschlüsselung ist eine Antwort, aber es gibt Bedenken, dass Verschlüsselung auch verwendet werden könnte, um Datenfilterung oder gezielte Sniffer-Angriffe zu verbergen. Daher ist ein guter Plan notwendig, wie Ver- und Entschlüsselung gehandhabt werden.

Lesen Sie auf der nächsten Seite weiter.

Absicherung von SaaS-Anwendungen

Thorsten Henning
Thorsten Henning
(Bild: Palo Alto Networks)

SaaS, also Software-as-a-Service, ist ein weiteres Trendthema. Staatliche und kommunale IT-Teams haben hier teilweise Sicherheitsbedenken. Der Grund: Sie haben keinen ausreichenden Einblick in geregelte Anwendungen wie Office 365 und noch weniger in nicht genehmigte SaaS-Anwendungen wie Dropbox, die von den Mitarbeitern aber häufig verwendet werden. Böswillige Insider könnten nicht genehmigte SaaS-Anwendungen auf einfache Weise nutzen, um sensible Daten herauszufiltern. Mitarbeiter, die von ausgefuchsten ­Cyberkriminellen getäuscht werden, könnten wiederum Cyberbedrohungen einschleusen. Tatsächlich finden die Sicherheitsspezialisten von Palo Alto Networks oft Malware in SaaS-Umgebungen.

SaaS ist ein wichtiger Schwerpunkt, aber es ist auch wichtig, weiterhin in Rechenzentren vorgehaltene Anwendungen nicht aus dem Auge zu verlieren. Spezielle Anwendungen, insbesondere Personalmanagement und Buchhaltung, benötigen besonderen Schutz vor Zero-Day-Bedrohungen und anderen Cybergefahren.

Viele kommerzielle Unternehmen greifen bereits auf virtuelle Segmentierung zurück, um die Daten in ihren Rechenzentren zu schützen. Bei den Behörden gibt es hier mitunter noch Nachholbedarf.

Sicherheitsanalysen

Die Netzwerke werden mit immer mehr Sicherheitsfunktionen aufgerüstet, die immer mehr Daten erzeugen. Diese Datenmengen sinnvoll zu nutzen, ist ein wichtiger Schwerpunkt in diesem Jahr. Viele Behörden sind in Netzwerksicherheitsgruppen zusammengeschlossen, um gemeinsam Analysen und Bedrohungsdaten zu nutzen oder Sicherheitsvorfälle zu managen. Dadurch soll ein einheitlich hohes Sicherheitsniveau erzielt werden.

Kleinere Kommunen, die bislang keine Möglichkeit haben, sich zusammenzuschließen, können diese Funktionen an Managed Security Service Provider (MSSPs) auslagern. Die Auswertung von Bedrohungsdaten nimmt wertvolle Personalressourcen in Anspruch. So gelingt es nicht immer, alle Daten zu analysieren und letztlich alle Bedrohungen zu verhindern.

Ziel der Bedrohungsanalyse muss es sein, Angriffe auf das Netzwerk unmittelbar zu verhindern und nicht erst 24 bis 48 Stunden nach der Analyse einzugreifen. „Wenn wir Zero-Day-Angriffe analysieren, verhindern unsere Sensoren weitere Angriffe durch diese Malware­ innerhalb von fünf Minuten. Die Technologie dafür ist da. Genauso wichtig ist es, sie effektiv zu nutzen“, erklärt Josip Benkovic, Director für den Bereich Public Sector bei Palo Alto Networks.

Schutz vor internen Sicherheitsvorfällen

Über Angriffe von außen wird immer wieder in der Presse berichtet. Dabei ist es ein schlecht gehütetes Geheimnis, dass die meisten Sicherheitsvorfälle im öffentlichen Sektor auf Fehler und vorsätzlichen oder unbeabsichtigten Missbrauch von Informationen durch Mitarbeiter oder Auftragnehmer zurückgehen.

Laut dem letztjährigen Verizon Data Breach Investigations Report, Public Sector, hängen Aktionen seitens der Mitarbeiter mit einer Mehrheit (63 Prozent) der Sicherheitsvorfälle im öffentlichen Sektor direkt zusammen. Oft werden die Mitarbeiter durch böswillige, professionelle Phishing Attacken angegriffen und so Angriffe von innen heraus ermöglicht.

Lesen Sie auf der nächsten Seite weiter.

Eine Studie der britischen Regierung, der Information Security Breaches Survey von 2015, zeigt, dass dies kein behördenspezifisches Problem ist. Demnach hatten im letzten Jahr in Großbritannien 75 Prozent der großen Unternehmen (mit mehr als 500 Mitarbeitern) mit Sicherheits­lücken zu tun, die durch das Personal verursacht wurden. Zu einem ähnlichen Ergebnis für Deutschland kommt eine Studie des Branchenverbands Bitkom von 2014: So gaben 58 Prozent der betroffenen Unternehmen an, dass die Angriffe „vor Ort“ erfolgten und zum Beispiel gezielt Daten gestohlen oder Schadprogramme per USB-Stick eingeschleust wurden.

Absicherung von SCADA-Systemen

Sicherheitsteams in öffentlichen Infrastrukturen sind zu Recht besorgt über die Sicherheit ihrer ­SCADA-Systeme (Supervisory Control and Data Acquisition) und ICS-Umgebungen (Industrial Control Systems), die zur Prozesssteuerung und -überwachung eingesetzt werden. Die Zahl der Sensoren und der Grad der Interoperabilität ­zwischen IT und OT (Operational Technology; Betriebstechnik) nimmt zu.

Versorgungsunternehmen, Verkehrsüberwachungsdienste, Notfalldienste, der Schienenverkehr und andere Infrastrukturen betreiben operationelle Netze, die abgesichert werden müssen. Diese ­Netze laufen oft auf älteren Betriebssystemen, die nicht gepatcht werden können. Die virtuelle Segmentierung dieser Netze und der Einsatz von Anti-Exploit-Technologie auf den ungepatchten Systemen ist von entscheidender Bedeutung. Hierbei ist es sinnvoll, die Kommunikation und Zusammenarbeit zwischen IT- und OT-Teams zu verbessern. Hierzu können auch formelle Kommunikationspläne dienen, um das Verantwortungsgefühl für die Sicherheit der Netze in einem Betrieb zu fördern.

Frakturiertes Outsourcing verhindern

Wenn begrenzte Ressourcen vorhanden sind, ist es sinnvoll, Sicherheitsaufgaben an einen vertrauenswürdigen Anbieter auszulagern, mit der Betonung auf „einen“. Sicherheitsteams wird andernfalls die Arbeit unnötig schwer gemacht, wenn verschiedene Anbieter für einzelne Bereiche des Netzes aktiv sind. Es fehlen dann die nötige Transparenz und Kontrolle.

Frakturiertes Outsourcing verhindert es auch, von den Vorteilen der heutigen Sicherheitstechnik profitieren zu können. Moderne Sicherheitstechnik hilft, Netzwerke zu schützen, indem sie Erkenntnisse zwischen verschiedenen Sicherheitsfunktionen teilt. Dies ­verbessert die Reaktionsfähigkeit gegenüber Bedrohungen und ermöglicht es, Präventionsmaßnahmen schneller einzuleiten.

Fazit

„Auf Unternehmensumgebungen ausgerichtete Sicherheitsanbieter können auch im öffentlichen Sektor bei allen erforderlichen Schritten den IT-Verantwortlichen zur Seite stehen. Ich empfehle einen Zero-Trust-Ansatz im Netzwerk, um wichtige Geschäftsfunktionen auf sichere Weise bereitstellen zu können. So kann etwa der Zugriff auf bestimmte SaaS-Anwendungen auf bestimmte Benutzer oder Abteilungen begrenzt werden“, fasst Josip Benkovic zusammen.

„Mit einem soliden Sicherheitsfundament können Behörden, Versorger und Sozialeinrichtungen dann auch die Einführung von SaaS, mobilen Lösungen und sogar die Nutzung der öffentlichen Cloud angehen, um das Serviceangebot für die Bürger zu verbessern und die betriebliche Effizienz zu erhöhen.“

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

* Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks

(ID:44278579)