Dienstag, 23. Januar 2018

Hacker bedrohen Kommunen Warum auch Bürgerämter Penetration Tests brauchen

Hackerangriff: Öffentliche Ämter sind oft lukrative Ziele
Getty Images
Hackerangriff: Öffentliche Ämter sind oft lukrative Ziele

Hacker zielen nicht nur auf Unternehmen und Konzerne - auch bei öffentlichen Ämtern lassen sich sensible und lukrative Daten abgreifen. Für die Kommunen ist es ein Rennen gegen die Zeit, sagt Mathias Oberndörfer, Partner bei KPMG. Der öffentliche Dienst braucht mehr IT-Experten, die Angriffe simulieren und abwehren können.

mm.de: Hackerangriffe auf Unternehmen häufen sich. Sind diese überhaupt ein Thema für Kommunen?

Mathias Oberndörfer: Auf jeden Fall und sie nehmen immer mehr zu. Behörden und Kommunen sind attraktive Ziele für Angreifer, außerdem nutzen viele Verwaltungen veraltete Systeme, deren Sicherheitseinrichtungen sich mit oft aushebeln lassen. Das Ergebnis: Angreifer können Zugang zu geheimen und sehr sensiblen Informationen erhalten, die in den richtigen Händen auch viel Geld wert sein können. Eine weitere Gefahr liegt in Angriffen durch Viren, die Festplatten verschlüsseln, um Zahlungen zu erpressen oder einfach nur Schaden anzurichten.

mm.de: Aber wen erwischt es tatsächlich?

Oberndörfer: Schauen Sie sich beispielsweise den Fall von Rheine in Westfalen an. Dort legte eine Schadsoftware die Verwaltung im vergangenen Jahr teilweise tagelang lahm. Man sieht: Insbesondere in Zeiten der Digitalisierung der Verwaltung ist ein starkes Sicherheitsmanagement ein Muss - auch und vor allem für die öffentliche Verwaltung.

mm.de: Wie können sich Kommunen vor Cyber-Angriffen schützen?

Die Angriffsmöglichkeiten von Hackern entwickeln sich stetig weiter. Kommunen müssen darauf reagieren und ihre Sicherheitsstrategien entsprechend anpassen. Denn was gestern noch "state of the art" war, ist heute vielleicht schon veraltet. So reicht es nicht mehr, Eindringlinge mittels Firewalls, Virenscannern und starken Passwörtern draußen halten zu wollen. Stattdessen hat in den vergangenen Jahren auch die Erkennung von erfolgreichen Angriffen stark an Bedeutung gewonnen.

mm.de: Wie funktioniert diese Früherkennung?

Oberndörfer: Dazu schlagen Angriffserkennungssysteme etwa bei untypischen Nutzerverhalten Alarm. Zum Beispiel, wenn der Account eines Mitarbeiters sensible Daten herunterlädt, obwohl die Person nachweislich im Feierabend oder im Urlaub ist. Das kann ein Zeichen dafür sein, dass sich ein Hacker der Login-Daten bemächtigt hat. Ohne so ein System würde der Datendiebstahl wahrscheinlich lange Zeit unentdeckt bleiben.

mm.de: Die Früherkennung eines Angriffs ist das eine. Doch wie lassen sich Attacken auch erfolgreich abwehren?

Oberndörfer: Wichtig ist, erst einmal zu klären, welche Daten in Kommunen oder Behörden die "Kronjuwelen" sind. Sprich: Woran wären Hacker und Datendiebe besonders interessiert? Denn nicht alle Daten sind gleich wichtig. Der Verlust mancher mag für Unannehmlichkeiten sorgen - der Diebstahl anderer Informationen kann ruinös sein. Wenn das klar ist, können Experten die Angriffsrisiken der bestehenden Systeme abschätzen und Empfehlungen für effektive Schutzlösungen abgeben. Ein wichtiges Element dabei ist die professionelle Simulation von Hackerangriffen - sogenannte Penetration Tests. Werden auf diese Weise Schwachstellen aufgedeckt, müssen sie natürlich direkt geschlossen werden. Wir empfehlen dringend, solche Sicherheitsanalysen regelmäßig durchzuführen. Schließlich gilt: Die Frage ist nicht, ob Hacker eine Kommune oder Behörde angreifen, sondern wann. Wenn man dann auch noch das richtige Verhalten nach einem Angriff im Rahmen eines Krisenmanagements geübt hat, hat man schon recht viel getan.

mm.de: Wird die Gefahr denn auf Kommunen-, Länder- und Bundesebene erkannt?

Oberndörfer: Dass das Thema Cyber-Sicherheit und -Angriffe hohe Priorität hat, zeigt ja schon die Schaffung von ZITiS, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich. Dort sollen sich IT-Experten als Dienstleister für die Sicherheitsbehörden intensiv und zielgerichtet mit digitaler Forensik, Gefahren- und Spionageabwehr im Internet und anderen relevanten Themen auseinandersetzen. Ein grundlegendes Verständnis für die Problematik ist also da. Allerdings fehlt insgesamt der nötige Nachwuchs. Städte, Kommunen, Länder und der Bund suchen händeringend nach IT-Experten, die sich mit Sicherheitsthemen auskennen, und befinden sich dabei natürlich im Wettbewerb mit der Privatwirtschaft, die oftmals besser bezahlt. Sogar die Bundeswehr wirbt um fähige Mitarbeiter. Für den Cyber-Kampf ist da noch Luft nach oben.

Was muss sich noch verändern?

Oberndörfer: Erstens muss das Verständnis für die Gefahr von Cyber-Angriffen auf allen Ebenen der Verwaltung verankert werden - von den Entscheidern bis zu den Sachbearbeitern und Praktikanten. Denn Cyber-Security geht alle an, das darf kein Randthema sein. Zweitens muss das Nachwuchsproblem dringend gelöst werden. Es braucht bessere Antworten auf die Frage: Warum sollte ein gut ausgebildeter IT-Experte mit Sicherheitserfahrung ausgerechnet in den Staatsdienst gehen, wenn ihm in der freien Wirtschaft bedeutend höhere Gehälter und flexiblere Entwicklungschancen winken? Vorstellbar wären auch Innovationspartnerschaften mit Wirtschaftsunternehmen, um Lösungen für konkrete Probleme zu finden.

Mathias Oberndörfer ist Managing Partner und Bereichsvorstand Öffentlicher Sektor bei der KPMG AG Wirtschaftsprüfungsgesellschaft. Zu seinen Kernthemen zählt das Vertrags-, Vergabe- und Haushaltsrecht, die Absicherung und Finanzierung öffentlicher Aufgaben sowie die Beratung von Gebietskörperschaften und Beteiligungsunternehmen.

© manager magazin 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der manager magazin Verlagsgesellschaft mbH