Darum sind vor allem öffentliche Einrichtungen Ziel von Cyberangriffen
Eine Vielzahl an Cyberangriffen traf im Jahr 2019 öffentliche Einrichtungen und Behörden. Die Verwaltung der Stadt Frankfurt am Main, das Berliner Kammergericht und die Verwaltung von Neustadt am Rübenberge sind nur drei Beispiele, die zeigen, welche katastrophalen Konsequenzen ein Befall mit Schadsoftware für Behörden haben kann. In allen diesen Fällen war es der Banking-Trojaner Emotet — laut Bundesministerium für Sicherheit in der Informationstechnik (BSI) die derzeit gefährlichste Schadsoftware der Welt —, der diese Behörden lahmlegen konnte und dies teilweise immer noch tut.
Auch knapp sechs Monate nach dem Emotet-Befall ist das Berliner Kammergericht zum großen Teil offline. Neustadt am Rübenberge wurde ebenfalls schwer getroffen, denn als der Angriff im September 2019 im Rathaus der Stadt einschlug, konnten die Hacker einen Großteil der Dateien verschlüsseln. Die Verwaltungsarbeit kam praktisch zum Stillstand: Bauvorhaben, Eheschließungen und Auszahlungen von Elterngeld waren nicht mehr möglich.
Was macht öffentliche Einrichtungen so interessant für Cyberkriminelle?
Geld oder Leben
Mit der Verbreitung von Ransomware verfolgen die Hacker in den meisten Fällen ein Ziel: das Erpressen von Lösegeld. Öffentliche Einrichtungen sind hier besonders interessant, da von ihrem Funktionieren das Leben in Städten und Kommunen abhängt. In einigen Bereichen ist dies sogar wörtlich zu nehmen; denken wir nur an den Gesundheitssektor.
Gerade in Zeiten der Corona-Pandemie wird deutlich, wie unersetzbar medizinische Infrastrukturen sind — momentan hängen weltweit zahllose Leben davon ab, wie effektiv die jeweiligen Gesundheitssysteme arbeiten. Ein Befall von Verwaltungen mit Schadsoftware kann die Zusammenarbeit, den Informationsaustausch und die Organisation zum Erliegen bringen. Hinzu kommen die Folgen, die ein Befall von Krankenhäusern haben kann — das Klinikum Fürth ist hier nur ein Beispiel aus dem letzten Jahr.
Entsprechend gehen die Hacker von einer höheren Bereitschaft der Opfer aus, Lösegeld zu zahlen, um betroffene Systeme möglichst schnell wieder nutzen zu können. Und sie gehen dabei systematisch vor: Die Täter sehen sich häufig zunächst in den Netzwerken um und passen das Lösegeld individuell an Zahlungsfähigkeit und Sensibilität der vorgefundenen Daten und Systeme an.
Allerdings gibt es auf bundesstaatlicher und kommunaler Ebene in vielen Fällen gesetzliche Vorgaben oder Verwaltungsvorschriften, in denen das Zahlen von Lösegeld strikt untersagt wird. Man wolle den Erpressern nicht signalisieren, dass ihre Masche Erfolg haben könnte — ansonsten würde die Zahl der Erpressungsversuche nur steigen, so Helmut Dedy vom Deutschen Städtetag.
Im Fall von Neustadt am Rübenberge ist allerdings bis heute unklar, ob letztendlich Lösegeld geflossen ist.
Sensible Daten
Doch es geht nicht immer um Geld. Verfolgen die Cyberkriminellen keine finanziellen Ziele, so gibt es ein ganzes Spektrum an Motivationen: das Erregen von Aufmerksamkeit (um späteren Angriffen mehr Druck zu verleihen) oder politische Ziele (um Infrastrukturen zu stören) beispielsweise.
Nach Aussagen der Datenschutzbeauftragten von Bund und Ländern sind bei Angriffen im Jahr 2019 Behördendaten, Personal- oder Krankendaten oder andere sensible Informationen abgeflossen. Grundsätzlich „müsse davon ausgegangen werden, dass Angriffe zu einem Datenabfluss führen, wenn Hacker den Emotet-Trojaner als Einfallstor nutzen konnten“, so die Datenschutzbeauftragten.
Auch im Falle des Berliner Kammergerichts waren die Daten selbst scheinbar das Ziel der Hacker. Laut des forensischen Gutachtens war der Angriff „klar auf Datenabfluss eingerichtet“. Zwar ist unklar, ob die Gerichtsdokumente in die Hände der Kriminellen gelangen konnten, allerdings kann dies nicht ausgeschlossen werden.
Das Berliner Kammergericht hantiert mit einer Vielzahl an juristisch relevanten Daten: Klarnamen von Kronzeugen, Informationen zu laufenden Verfahren und andere Informationen, von denen finanzielle Strafen oder Gefängnisstrafen abhängen können. Und auch diese können viel Geld wert sein, wenn sie in die richtigen — beziehungsweise falschen — Hände geraten.
Warum sind öffentliche Einrichtungen so häufig Opfer von Cyberattacken?
Starre Strukturen, veraltete Technik
Schon gesunde, mittelständische Unternehmen haben oft Schwierigkeiten, ihre IT-Infrastrukturen auf dem neuesten Stand zu halten. Gerade der Bereich Cybersicherheit wird gerne vernachlässigt, da die Wichtigkeit eines Schutzes vor Cyberattacken nicht erkannt wird und Investitionen in ein wirksames Schutzkonzept gegen Cyberkriminalität nicht bewilligt werden.
Dies ist umso problematischer, als die eingesetzte Malware immer schneller weiterentwickelt wird und sich so immer neue Bedrohungen ergeben. Schnelles und flexibles Reagieren ist inzwischen eine Voraussetzung dafür, dass der Schutz vor Cyberangriffen gewährleistet werden kann. Öffentliche Einrichtungen sind hier besonders gefährdet, denn zu den genannten Problemen der fehlenden Budgetierung kommen bürokratische Hindernisse, die es unmöglich machen, Cyberattacken abzuwehren. Veraltete IT-Systeme und mangelhafte Sicherheitskonzepte führen dann zu Schwachstellen, die von Cyberkriminellen ausgenutzt werden können und den Erfolg solch folgenschwerer Angriffe möglich machen.
Beispiel Berliner Kammergericht
Das Gericht ließ seine Rechner nicht durch die ITDZ, den zentralen Dienstleister für die Informations- und Kommunikationstechnologie der Berliner Verwaltung, betreuen, denn die Justizbehörden der Länder arbeiten auf der Grundlage der föderalistischen Strukturen und des Prinzips der Gewaltenteilung auch im Bereich der IT-Sicherheit unabhängig. Das Kammergericht bestand auf der Nutzung eines eigenen Rechenzentrums. Ein Fehler, wie Kammergerichtspräsident Pickel inzwischen einräumt.
Zahlreiche Angriffsvektoren
Laut Definition dienen öffentliche Einrichtungen dem öffentlichen Interesse und werden den jeweiligen Einwohnern zugänglich gemacht — und das in steigendem Maße und gesetzlich verankert. Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz) verpflichtet beispielsweise „Bund, Länder und Kommunen, bis Ende 2022 ihre Verwaltungsleistungen über Verwaltungsportale auch digital anzubieten“.
Die wachsende Digitalisierung führt zu einer Vielzahl öffentlich zugänglicher Onlineangebote und gleichzeitig zu einer steigenden Zahl an Beschäftigten, die (sensible) Daten austauschen. So bietet sich den Cyberkriminellen eine immer größere Angriffsfläche: Mit der Menge an online verfügbaren Angeboten wächst auch die Menge potenzieller technischer Schwachstellen sowie die Gefahr menschlichen Versagens, vor allem, wenn die Mitarbeiter nicht genügend für Angriffe sensibilisiert werden.
Webinar mit Andreas Arbogast, Präventionsspezialist Cybercrime beim Landeskriminalamt NRW und Stefan Cink, Business Unit Manager NoSpamProxy.
Cyberangriffe auf öffentliche Einrichtungen abwehren
Auch das BSI unterstreicht die Wichtigkeit dieser Mitarbeitersensibilisierung, die ein sinnvoller erster Schritt auf dem Weg zu IT-Sicherheit ist. Allerdings sehen Emotet-E-Mails (und andere mit Schadsoftware verseuchte E-Mails) inzwischen sehr authentisch aus, so dass nur ein leistungsstarker Spamfilter wirklich Schutz vor Cyberattacken bietet.
Es ist gerade für öffentliche Einrichtungen höchste Zeit, Maßnahmen gegen Cyberangriffe zu ergreifen. Ein E-Mail Security Gateway ist hier Pflicht, denn nur so sind diese Einrichtungen sowie die Daten der Einwohner und Mitarbeiter auch vor den aktuellen Bedrohungen geschützt. Hier finden Sie weitere Infos zu E-Mail-Security für öffentliche Einrichtungen.
NoSpamProxy schützt bereits Bundesbehörden
Die allermeisten Viren nutzen E-Mails als Sprungbrett ins Unternehmen. NoSpamProxy schützt bereits zahlreiche öffentliche Einrichtungen — darunter auch zwei Bundesbehörden — durch eine Vielzahl an Sicherheitsfunktionen wie beispielsweise dem URL Safeguard, dem Sandbox Service oder dem umfangreichen Reputationsfilter. Emotet-Infektionen und Bedrohungen durch andere Malware werden so zuverlässig abgewehrt. NoSpamProxy wird ausschließlich in Deutschland entwickelt und trägt das Gütesiegel “IT Security Made in Germany” des TeleTrust-Verbands. Fordern Sie jetzt Ihre Testversion an!
