IT-Sicherheit
So schützen sich Behörden vor Cyber-Kriminellen
KOMMUNAL: Herr Professor Meinel, ein Fall, der für Aufsehen sorgte: Betrüger kopierten die Webseite des Wirtschaftsministeriums in Nordrhein-Westfalen und haben damit Corona-Hilfen an Solo-Selbstständige und Kleinstunternehmer abgegriffen. Wie können Behörden solche Angriffe verhindern?
Christoph Meinel: In dem konkreten Fall waren die Behörden nicht selbst involviert. Cyberkriminelle haben sich Daten von Unternehmen besorgt und dann in deren Namen Corona-Nothilfe beantragt und auch erhalten. Eigentlich sollte das Geld ja auf dem Konto Selbständigen und Kleinstunternehmer landen. Die waren aber mit sogenannten „Phishing-Mails“ von den Betrügern auf die angebliche, aber gefälschte Website der Behörden gelotst worden und gaben dort ihre Daten ein. Die Betrüger haben mit diesen Daten und ihren Kontonummern dann die Nothilfe bei der richtigen Website beantragt.
Ihr Rat?
Auch in anderen Fällen gelingt es den Betrügern, auf diese Weise sensible persönliche Daten, wie Passworte zu ergaunern. Wichtig ist daher der Tipp für den Bürger: Gehe stets direkt auf die Webseite der Behörde, benutze dabei keine Suchdienste im Browser. Und: Klicke keine Links oder Anhänge in Mails von Fremden an.
Was kann die Behörde selbst tun?
Sie muss sofort misstrauisch werden, wenn der Antragsteller merkwürdige Kontonummern im Ausland angibt.
Die Corona-Krise wird der Digitalisierung einen längst fälligen Schub verpassen. Worauf müssen Kommunen achten?
Dieser Schub ist dringend notwendig. Die Corona-Krise zeigt Jedem, dass es heute ohne Digitalisierung nicht mehr geht. Da Deutschland in diesem Bereich schlecht aufgestellt ist, besteht nun die Gefahr, dass bei den hastig aufgebauten digitalen Infrastrukturen und Diensten der Behörden oft zu wenig auf Sicherheit geachtet wird. Schon kleinste Fehler und Schwachstellen verhelfen Cyberkriminellen dazu, in das Behördennetzwerk einbrechen zu können. Deshalb ist ein professioneller IT-Dienstleister enorm wichtig, es muss nicht der teuerste sein, er muss nur gründlich arbeiten.
Womöglich bremst die Behörden und Mitarbeiter auch die Angst vor Sicherheitslücken.
Hundertprozentigen Schutz gibt es nicht, es gibt aber inzwischen viele gut erprobte Methoden und Systeme, um Sicherheit herzustellen und zu garantieren. Über Verschlüsselungen ist Homeoffice auch in der öffentlichen Verwaltung möglich, aber ohne Verschlüsselung fahrlässig. Eine sogenannte VPN-Verbindung bringt diese Sicherheit.
Wie gehen Kriminelle denn vor, wenn sie Behörden schädigen wollen?
Ein Angriffspunkt ist das System aufseiten der Mitarbeiter im Home-Office. Die sollten in keinem Fall ihre privaten Rechner für sicherheitsrelevanten Aufgaben nutzen. Kriminelle könnten dort Schadenssoftware installiert haben. Der zweite Angriffspunkt ist der Transportweg der Daten zum Netzwerk der Behörde. Hier muss eine verschlüsselnde VPN-Verbindung genutzt werden Der dritte Angriffspunkt ist das IT-System der Behörde oder des Unternehmens. Daten, die von den Bürgern auf einer Website eingegeben werden, müssen geprüft werden, bevor sie in einer Datenbank abgelegt werden. Ansonsten könnte Angriffe erfolgreich die Datenbank beschädigen. Auch können Kriminelle ganze Behörden lahmlegen, indem sie zum Beispiel so viele Anfragen stellen, dass das System zusammenbricht.
Cyberangriffe zielen auch auf andere Bereiche der kritischen Infrastruktur. So legte Ende 2018 eine Schadsoftware über eine E-Mail mit Anhang 450 Computer des Klinikums Fürstenfeldbruck lahm.
Leider gab es weitere solche Fälle. Kriminelle brechen in Netzwerke ein, machen die Daten durch Verschlüsselung unbrauchbar und fordern danach Lösegeld zur Wiederherstellung. Die Kriminalitätsexperten und auch wir empfehlen, nicht zu bezahlen. Stattdessen sollte Unternehmen und Behörden dafür sorgen, dass für alle Daten regelmäßig ein Backup erstellt werden. Gelingt es Angreifern Daten unbrauchbar zu machen, können die nach einer Systemreinigung aus dem Backup wieder eingespielt werden. Ob Wasserwerke, Strom- oder Gaswerke – wenn es Verbrechern gelingt, in die digitalen Netze einzudringen, können sie großen Schaden anrichten. Deshalb muss dort ein besonderer Schutz herrschen. Dies ist vielfach noch nicht ausreichend der Fall.
Ihre Prognose?
Die IT-Systeme werden wachsen immer weiter und kleine Fehler aus den Anfangsjahren können dann große Probleme bereiten.
Also muss mehr in die digitale Sicherheit investiert werden?
Ein eindeutiges Ja.
Wie wichtig ist die Weiterbildung der Mitarbeiter?
Ohne Weiterbildung geht es nicht, insbesondere im Bereich der IT. Sie ist heutzutage keine Frage des Geldes. Es gibt viele Angebote, die gar nicht teuer sind, oder sogar kostenlos. Das Hasso-Plattner-Institut zum Beispiel baut sein Angebot kostenloser Onlinekurse zu Informationstechnologie- und Innovations-Themen kontinuierlich aus. So bieten wir auf unserer Internet-Plattform open.hpi.de ab 5. Mai einen kostenlosen Präventionskurs zum „Tatort Internet“ an
