Nicht nur Unternehmen, auch Kommunen geraten in letzter Zeit immer öfter in das Visier von Cyberkriminellen. Die Beispiele des Landkreises Anhalt-Bitterfeld, der Südwestfalen-IT und der Landeshauptstadt Potsdam belegen katastrophale Auswirkungen solcher Straftaten, deren exorbitante Kosten und nachhaltige Schäden. Aber diese Fälle liefern auch viele Erkenntnisse über die Methoden und das Vorgehen der Hacker, von denen andere Kommunen lernen können.
Verbreitete Methoden für Cyberangriffe
In den vergangenen Jahren zielten die Angriffe auf die Leistungsfähigkeit von IT-Infrastrukturen, welche außenwirksame Dienste (Internetauftritte und deren Anwendungen für Bürger) betreiben. Dabei wurden von unterschiedlichen Quellen aus dem weltweiten und nationalen Internet so große Mengen an Anfragen gestellt, dass die Server-Systeme ihren Dienst einstellten. Man bezeichnet diesen Zustand als „Denial of Service“ (DoS).
Eine weitere, sehr verbreitete Variante von Cyberangriffen sind manipulierte E-Mails von gefälschten Absendern. Diese zielen auf die Erlangung von Benutzernamen und Passwörtern ab. So werden Empfänger auf manipulierte Internetseiten umgeleitet, um die entsprechenden Daten dort einzugeben.
Immer mehr an Bedeutung gewinnen auch Massendatenabflüsse oder Komplettverschlüsselungen von kommunalen Daten. Hier sind ganze Hackergruppen mit erpresserischen Absichten aktiv geworden. Bekannt in diesem Zusammenhang sind Begriffe wie Ransomware oder Phishing.
Eintrittspunkte von Hackern
Somit können es nicht bekannte Schwachstellen in Internetauftritten, das Nutzerverhalten selbst, aber auch nicht ausreichend gesicherte IT-Anlagen und Anwendungenen sein, die Cyberangriffe begünstigen. Angreifer agieren zu jeder Tages- und Nachtzeit und versuchen, sich den Nutzeraktivitäten anzupassen. Sie nutzen dann das Grundrauschen des Netzwerkverkehrs aus, um nicht durch Anwendungs- und Netzwerkbetreuer entdeckt zu werden.
Gefährdet sind auch nachlässig und unsicher konfigurierte Außenschnittstellen, wie beispielsweise Fernwartungen oder virtuelle Netze für den Homeoffice-Betrieb. Nach wie vor gibt es Angriffe, bei denen die Täter Benutzernamen und Passwörter erraten. Solche Angriffe werden maschinell ausgeführt und könnten mit einfachen Maßnahmen wirksam unterbunden werden. Ebenso führt häufig das Vorhandensein nicht geschlossener, medienwirksamer Schwachstellen in Software und Betriebssystemen zum Erfolg von Angreifern.
Was tun im Ernstfall?
Notfallpläne in Kommunen sollte es nicht nur für elementare Ereignisse wie Feuer und Naturkatastrophen geben. Im Falle eines wahrnehmbaren Cyberangriffs, von ersten Schäden oder gar Erpressermeldungen sollten diese auch für IT-Notfälle vorhanden sein. Sie müssen wichtige Kontakte und eine Kommunikations- und Entscheiderstruktur beinhalten. Besonders wichtig ist es, kritische Fachverfahren und Prozesse dort zu definieren oder eventuelle Notprozesse zu hinterlegen.
Die einzelnen Sachgebiete sollten diese Abläufe in Übungen im Vorfeld auf ihre Funktionalität testen. Ebenso wichtig ist es, klar festzulegen, wer informiert werden muss. Nicht unerheblich können Kosten wie für die Neubeschaffung von Datenträgern, PC- oder Server-Technik sein. Auch hierfür muss es Vorgaben in den Notfallplanungen geben. Es kostet Nerven, Gerätschaften einfach auszuschalten, um sie dem Angreifer zu entziehen. Gut geschultes und trainiertes Personal in den Rechenzentren ist dabei entscheidend.
Aufklärung als Basis
Wichtig ist es, nach dem Angriff zu erfahren, zu welchem Zeitpunkt ein Angreifer Schadsoftware in die Systeme gebracht, Schutzmechanismen von Netzwerken ausgehebelt und nachhaltig geöffnet hat. Dies lässt sich mit Techniken der „Digitalen Forensik“ nachvollziehen. Spezialisten werten dann unter anderem Systemprotokolle aus und rekonstruieren daraus zeitliche Abfolgen und sichern Beweise zur Strafverfolgung. Manchmal können auch Werkzeuge der Angreifer, also Schadprogramme, analysiert und so transparent gemacht werden, um nachhaltige Folgen zu identifizieren. Ist der Eintrittszeitpunkt gründlich untersucht, kann mit der Wiederherstellung vertrauenswürdiger Datensicherungen begonnen werden.
Wer an die Einmaligkeit eines solchen Vorgangs glaubt, wird schnell zum Opfer künftiger Angriffe. Mit der Schadensbeseitigung muss also eine intensive Auseinandersetzung mit den Ursachen einhergehen. Bundesweit gibt es reichlich Möglichkeiten, von den Erfahrungen Betroffener und den ergriffenen Maßnahmen zu profitieren, IT-Systeme zu verstärken, sie regelmäßig zu testen oder zu auditieren und Notfallpläne zu schärfen.
Info
Der Gastbeitrag ist zuerst in der aktuellen Ausgabe 1/2024 von Der Neue Kämmerer erschienen. Hier gelangen Sie zum E-Paper und hier zur Newsletteranmeldung.
Autor
Tobias Kasch ist Manager, Frank Langer ist Senior Consultant bei der BDO Cyber Security GmbH.