IT-Sicherheit in Behörden Zwischen Verfolgungswahn und Fahrlässigkeit

Redakteur: Manfred Klein

Live und unzensiert präsentiert die Kongressmesse Moderner Staat das Thema IT-Sicherheit. Der Profi-Hacker und Experte für IT-Forensik Mark Semmler zeigt in Berlin anhand von Live-Demonstrationen, welchen aktuellen Angriffen und Gefahren die IT-Infrastrukturen von Behörden ausgesetzt sind.

Firmen zum Thema

IT-Sicherheitsexperte Mark Semmler stellt vielen Behörden ein schlechtes Zeugnis in Sachen IT-Sicherheit aus. Die Live-Hacking-Veranstaltung auf der Messe Modernen Staat soll das Bewusstsein für die Gefahren schärfen
IT-Sicherheitsexperte Mark Semmler stellt vielen Behörden ein schlechtes Zeugnis in Sachen IT-Sicherheit aus. Die Live-Hacking-Veranstaltung auf der Messe Modernen Staat soll das Bewusstsein für die Gefahren schärfen
( Archiv: Vogel Business Media )

Die IT-Systeme werden nicht nur zunehmend komplexer, auch die Gefahren von Angriffen auf die elektronischen Infrastrukturen steigen. Welche aktuellen Angriffe drohen? Wie sehen die effektivsten Sicherheitsmaßnahmen aus? Im Kongressprogramm von Moderner Staat hinterfragt Mark Semmler die Antworten des Gesetzgebers kritisch und zeigt Lösungsmöglichkeiten auf.

Herr Semmler, wie reagieren Ihre Zuschauer, wenn Sie vor deren Augen Ihre IT-Systeme knacken?

Semmler: Die Reaktionen sind ganz unterschiedlich. Ungläubiges Staunen („Ich hat ja schon immer mal etwas darüber gehört – aber dass es so einfach ist, habe ich nicht erwartet.“), echte Betroffenheit („Das gibt es doch gar nicht!“) bis zu mittelschweren Panik-Attacken („Moment, ich muss mal mit meinem Administrator telefonieren – das System haben wir nämlich auch!“).

Der Lagebericht des BSI belegt, dass es ein unverändert hohes Bedrohungsniveau gibt. Wie ist es um die IT-Sicherheit von Behörden bestellt?

Semmler: Die Situation muss man differenziert betrachten – pauschale Antworten sind aufgrund der Vielfalt, die sich hinter dem Begriff „die Behörden“ verbirgt, nicht möglich: Es gibt Behörden, die ihre IT-Infrastruktur im Griff haben. Diese gehören aber, auf die große Masse gesehen, leider einer absoluten Minderheit an. Bei den meisten Behörden – egal auf welcher Ebene – wird die Informationssicherheit nach unserer Erfahrung mit Füßen getreten oder bestenfalls als notwendiges Übel angesehen. Wir haben nicht wenige Behörden erlebt – darunter auch Behörden und Organisationen mit Sicherheitsaufgaben (BOS) – bei denen Informationssicherheit ein reines Lippenbekenntnis ist.

Nächste Seite: Massive Sicherheitslücken auch in Öffentlichen Verwaltungen

Wo lauern die größten Gefahren und wo sind die größten Schwachstellen?

Semmler: Auch hier ist eine generelle Aussage schwierig bis unmöglich, weil jede Behörde – abhängig von ihren Mitarbeitern, ihrer Struktur und ihren Aufgaben – ganz eigenen Gefährdungen ausgesetzt ist. Technisch gesehen liegen die größten Gefährdungen im ungeschützten Datenaustausch mit einer Vielzahl von unbekannten Teilnehmern. Die größte Gefahr stellt dabei aber nicht die Informationstechnologie selbst, sondern vor allem der unkritische und planlose Umgang mit ihr dar. Das beginnt mit dem Herunterladen und Ausführen jedes als „nützlich“ oder „lustig“ angepriesenen Programms durch die Benutzer und endet mit dem Transport von vertraulichen Daten auf USB-Sticks oder unverschlüsselten Laptops. Der Mensch ist der Risikofaktor Nr. 1 – und das wird bei aktuellen Bestrebungen zur Verbesserung der Informationssicherheit in aller Regel schlichtweg ignoriert.

Können Sie Beispiele nennen, bei denen Angriffe auf die IT erheblichen Schaden angerichtet haben?

Semmler: Aus unserer Praxis könnte ich natürlich ganz konkrete Beispiele nennen – ich werde dies aber nicht tun. Meine Firma sichert jedem Kunden Vertraulichkeit zu und daran halten wir uns. Wenn man aber die Presse aufmerksam liest, dann kann man einen guten Eindruck gewinnen, was und wie viel in Sachen Informationssicherheit schief läuft. So hat sich die hochgefährliche Schadsoftware Conficker in vielen Behörden Anfang dieses Jahres rasant verbreitet und existiert selbst heute noch in nicht wenigen Verwaltungen.

Geld für die Aufrüstung der IT-Sicherheit in den Behörden steht im Rahmen des zweiten Konjunkturpakets zur Verfügung. Wie sollte dass Geld am sinnvollsten angelegt werden?

Semmler: Dazu kann ich nichts sagen, da ich die Bedürfnisse der einzelnen Behörden nicht kenne. Ich kann aber eine generelle Empfehlung geben: Eine IT-Infrastruktur sollte immer darauf ausgerichtet werden, dass sie einfach, einheitlich und kostengünstig betrieben werden kann. Die größten Kosten entstehen beim Betrieb der Infrastruktur und nicht bei ihrer Anschaffung.

Um den Bogen zur Informationssicherheit zu spannen: Einfache und übersichtliche Strukturen lassen sich auch sicherer betreiben. Informationssicherheit ist nicht gleichbedeutend mit hohen Investitionen in Hard- und Software, vielmehr kann man vielen Gefährdungen durch kostengünstige oder sogar kostenneutrale Maßnahmen wirkungsvoll begegnen. Wichtig ist dabei, dass einigermaßen strukturiert vorgegangen wird. Und das beginnt mit einer Analyse (Wovor habe ich Angst, wovor möchte ich mich schützen?), erstreckt sich über saubere Vorgaben für die Benutzer eines Netzwerks (Was ist verboten, was ist erlaubt?) und endet bei einer regelmäßigen Überprüfung der Sicherheitsmaßnahmen.

Artikelfiles und Artikellinks

(ID:2041489)