IT-Sicherheit ist Chefsache
© panthermedia.de | Leo_Wolfert

61. Ausgabe, 2. Quartal 2016

IT-Sicherheit ist Chefsache – und wehe nicht!

Täglich werden mindestens fünf Bundesbehörden von Hackern angegriffen

Am 8. Februar ging in der Stadtverwaltung von Dettelbach kaum noch etwas. Schuld war ein sogenannter Erpressungstrojaner, der auf nur einem Rathausrechner im kleinen Städtchen bei Würzburg aktiviert wurde. Hineingekommen war er im Anhang einer E-Mail. Von einer Sekunde auf die andere waren die Daten auf den Servern der Stadt mit rund 7.000 Einwohnern verschlüsselt. Per Anzeige auf den Bildschirmen wurde ein Lösegeld gefordert, um den Rechner wieder benutzbar zu machen. Es ging um 1,3 Bitcoin, umgerechnet rund 490 Euro.

Die Stadtverwaltung zahlte. Danach konnte zwar ein Teil der Daten wiederhergestellt werden, trotzdem aber gab es einen weitreichenden Ausfall des EDV-Systems mit beachtlichen Datenverlusten. Der Fairness halber sei erwähnt, dass diese durch Fehlfunktionen im bestehenden EDV-System sowie Fehlentscheidungen bei der Rücksicherung entstanden sind.

Dettelbach ist längst kein Einzelfall mehr. Mit der Schadsoftware Tesla-Crypt in der Version 2.0 oder 3.0 wird schon länger erpresst – vergangenen Sommer etwa berichtete das Virenschutzunternehmen Kaspersky, wie Computerspieler unter dem Virus zu leiden haben – er verschlüsselt nämlich auch Spielstände. Auch in diesen Fällen wurde ein Lösegeld verlangt, in der Regel in Höhe von 500 Dollar. Zuletzt wurde bei Erpressungsviren neben Tesla-Crypt vermehrt der Trojaner Locky eingesetzt. So hatte Locky Mitte Februar binnen 24 Stunden rund 17.000 Rechner in Deutschland infiziert. Betroffen waren unter anderem die digitale Kommunikation des Klinikum Arnsberg in Nordrhein-Westfalen, das Neusser Lukaskrankenhaus in Nordrhein-Westfalen, Krankenhäuser in Mönchengladbach, Essen, Kleve und Köln. Sogar das nordrhein-westfälische Innenministerium war im vergangenen Dezember Opfer eines Ransomware-Virus (Erpressersoftware) geworden.

Es ist nicht mehr zu leugnen: Zielten Cyber-Angriffe viele Jahrzehnte primär auf private Unternehmen, zählen zunehmend auch Behörden und öffentliche Verwaltungen zu den Zielen. Nach Angaben des Bundesamts für Verfassungsschutz wurden 2014 pro Tag durchschnittlich fünf Cyber-
Angriffe auf die IT-Infrastruktur von Bundesbehörden registriert. 30 Jahre hatten wir Ruhe vor Computerviren. Man schrieb das Jahr 1984, als ein US-Wissenschafter in seiner Doktorarbeit die Machbarkeit eines funktionierenden Virus für das Betriebssystem Unix nachwies. Seitdem vermehren sie sich ungebremst. Waren es zunächst fehlgeleitete Freaks, die eher aus Langeweile Viren, Würmer und Trojaner erfanden, um öffentliche Aufmerksamkeit zu erzielen, so sind es heute Menschen und Organisationen mit finanziellen oder politischen Zielen.

„Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmäßig wechseln und solltest sie nicht mit Fremden tauschen.“

Technik-Blogger Chris Pirillo


Für besonders große Aufmerksamkeit sorgte der sogenannte Loveletter-Virus (2000), der sich weltweit explosionsartig verbreitete und Schäden in Milliardenhöhe verursachte. Spätestens als 2015 auch das vermeintlich sichere Netzwerk des Bundestages gehackt wurde, war klar, dass nichts im Cyberspace sicher ist. Auch Landtage stehen unter dem Dauerfeuer von Cyber-Attacken. Und die Berichte werden täglich beunruhigender. Obwohl die meisten Computernutzer wissen müssten, dass sie keinesfalls jeden Anhang einer Mail öffnen dürfen, selbst wenn dort „Rechnung“ oder „Gutschrift“,
„Millionenerbe“ oder eine schöne Frau steht,  klickt jeden Tag ein Naivling doch wieder an. Das Internet ist wahrlich nicht mehr taufrisch und doch müssen wir schon froh sein, wenn in den Verwaltungen nicht mehr mit Windows XP gearbeitet wird. Laut Dataport, dem zentralen IT-Dienstleister von fünf Bundesländern, sieht sich die Öffentliche Verwaltung vor allem mit folgenden Sicherheitsbedrohungen konfrontiert:

  • Risiken durch eine inadäquate Nutzung neuer Ansätze wie Cloud Computing und mobile Geräte;
  • Malware und Sicherheitslücken in Hard- und Software sowie
  • den Diebstahl digitaler Identitäten (Identity Theft).

Ein Risikofaktor im Zusammenhang mit dem Einsatz mobiler Geräte ist die Nutzung privater Systeme für betriebliche Belange (Bring Your Own Device, BYOD). Die Befürworter von BYOD führen Vorteile wie die höhere Effizienz und Zufriedenheit von Mitarbeitern ins Feld. Dem stehen Herausforderungen gegenüber, vor allem die strikte Trennung dienstlicher und privater Daten auf solchen Systemen.

Also: Trotz pausenloser Bedrohungen für die Datensicherheit ist in vielen Verwaltungen das Thema nur sehr spärlich präsent. Obwohl es zur Unterstützung von Politik und Verwaltungen im Grunde das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt. In seinem IT-Grundschutzkatalog lautet die wichtigste aller Empfehlungen: Sicherheit ist Chefsache.  Dabei sollte der Chef nicht nur an Hacker-Angriffe oder Viren denken, die sich via Internet binnen Sekunden bis in die hintersten Winkel der Erde verbreiten. Die ganz alltäglichen Hürden sind oft viel schwerer zu meistern, bei denen es darum geht, die Systeme kontinuierlich sicher, verfügbar und performant zu halten. Gefahr droht auch von innen, zumal die internen Verursacher durch Leichtfertigkeit oder Vorsatz deutlich risikoreicher sind als der Hacker aus Übersee.

„Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch werden.“

Robert Mueller, Direktor des FBI, 2012

Extrem wichtig ist es, umgehend organisatorische und technische Maßnahmen zu ergreifen und umzusetzen, die den Schutzbedarf von Informationen und Systemen berücksichtigen. Zudem ist ein Konzept für den Fall erforderlich, dass Systeme verloren gehen. Und: Dienstliche und private Daten müssen voneinander getrennt werden. Technisch lässt sich die Trennung privater und dienstlicher Daten auf allen Geräten durchaus lösen.

Wer verstanden hat, dass sowohl die Arbeitsfähigkeit als auch das Leistungsvermögen einer Behörde durch IT- und TK-Systeme bestimmt werden, der weiß, dass ein IT-Ausfall zu irreparablen Schäden führen kann. Zum Glück gehören heutzutage wenigstens einige Empfehlungen zu den Selbstverständlichkeiten in den Rathäusern: Datensicherung, Virenschutz und Firewall, geeignete Zugangs- und Zugriffsrechte sowie die Schaffung eines Sicherheitsbewusstseins beim Personal.

Doch gerade Letzteres setzt zwingend voraus, dass die Mitarbeiter spüren, dass Sicherheit als Chefsache eben ernst genommen und nicht als notwendiges Übel betrachtet wird.Es ist sicher löblich, aber auch höchst gefährlich, wenn man mal eben flugs auf einen Virenbefall reagiert, indem man das neueste Virus-Update einspielt.  Wer als Chef sicher gehen will, der muss Sicherheitsmaßnahmen wie andere strategische Aufgaben auch als Prozess begreifen und nie aus dem Auge verlieren. Zu leicht wiegen sich Verantwortliche mit einmaligen Maßnahmen in trügerischer Sicherheit. Zentraler Bestandteil ist die Sicherheit des Gesamtsystems, damit Informationen und Anwendungen ständig verfügbar sind und Risiken vermeidbar werden. Das Stichwort heißt proaktives Management der IT-Umgebung. Infrastruktur-Systeme tragen dafür Sorge, dass Transaktionen und Informationen im Unternehmen sicher und performant auf skalierbaren und natürlich auch jederzeit verfügbaren Systemen bereitgestellt werden. Das Risiko von System-ausfällen lässt sich so weitestgehend minimieren. Geeignete Systeme passen sich den Zugriffsanforderungen an und wachsen mit, vorausgesetzt sie sind von Anfang an dafür ausgelegt.

Lebensversicherung für IT-Systeme

Sicherheitssysteme lassen sich durchaus mit dem Abschließen einer Versicherung vergleichen. Soll der geregelte Geschäftsablauf gesichert werden, lohnt sich diese Investition. Es sollte nicht am falschen Ende gespart werden. Nach dem Vorsorge-Prinzip gewährleisten Sicherheitssysteme im Falle eines Ausfalls die schnelle Behebung, so dass der Anwender gar nichts von einem möglichen Defekt bemerkt. Wenn ein System seinen Dienst verweigert oder seine Funktionen gestört sind, führt dies  zweifelsohne zu Kostensteigerungen bzw. Produktivitätsrückgängen. Die Aufgaben, mit denen sich Sicherheitsexperten im Unternehmen beschäftigen, sind daher breit gefächert. sie reichen von der vorsorgenden Planung von Sicherheitskomponenten und Infrastruktur-Maßnahmen, über die Schwachstellen- und Performance-Analyse bis zum kontinuierlichen Monitoring. Technische und organisatorische Maßnahmen zielen auf einen geregelten Betrieb der IT-Systeme wie Web-, Applikations- oder Mail-Server und Anwendungen wie die Kundendatenbank, das ERP-System oder die Warenwirtschaft. Zunächst bedarf es der Entwicklung einer unternehmensspezifischen Systematik: Welche Anwendung darf wie lange ausfallen? Welche Gefährdungspotenziale entstehen dabei in der internen sowie externen Transaktionsverarbeitung? Welche Kosten verursacht ein Ausfall? Welche Informationen bzw. Prozesse müssen vor Wettbewerbern oder gar Saboteuren geschützt werden? Einfache Schemata über einen längeren Zeitraum geführt, schaffen die notwendige Transparenz für eine klare Strategie.

„Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.“

Sicherheitsexperte Gene Spafford

Der Teufel steckt im Detail. Gerne wird „IT-Sicherheit“ mit der Einführung von Viren-Scanner und Firewall-Lösung verwechselt. Vielleicht liegt es auch daran, dass der „I love you Virus“ spannender ist als hochverfügbare IT-Systeme. Der Teufel steckt jedoch gerade hier im Detail. Ein geplantes Vorgehen ist notwendig, um alle Schwachpunkte aufzuzeigen und geeignete Lösungsmöglichkeiten zu entwickeln. Wer den Blick über den Tellerrand wagt, proaktiv vorsorgt und sich nicht nur mit offensichtlichen Sicherheitslücken beschäftigt, ist im Ernstfall schnell wieder aus dem Schneider – oder kommt erst gar nicht in Bedrängnis.

Autor: juj