Herr Csizmadia, die jüngsten Ransomware-Attacken sind besonders tückisch. Warum?
Csizmadia: Weil sie extrem schwer zu erkennen sind. Die E-Mails kommen nämlich nicht mehr von Fremden, sondern immer öfter von Kollegen. Oder gleich vom Chef. Gerade in diesen Tagen haben auch wir intern solch eine E-Mail abgefangen. Dort wies angeblich unser Vorstand einen Mitarbeiter an, 35.000 Euro zu überweisen. Besonders gefährlich ist, dass diese E-Mails sich oft nahtlos in eine vorangegangene Mail-Konversation einfügen. Cyberkriminelle können sich nämlich in den E-Mail-Verkehr einhacken und Konversationen abfangen. Sie imitieren sogar intern gebräuchliche Signaturen.
Verstecken sich Trojaner nur in Anhängen?
Csizmadia: Nicht nur. Es sind natürlich größtenteils Anhänge – wie Bilddateien oder PDFs -, aber auch Links oder Word-Dateien mit Makros. Man sollte zum Beispiel stutzig werden, wenn Word-Dokumente im alten doc-Format ankommen, statt im docx-Format.
Stimmt es, dass vermehrt der öffentliche Dienst angegriffen wird? Und warum?
Csizmadia: Tatsächlich ist das so. Eine aktuelle Studie von VERIZON zeigt, dass es in den Jahren 2015 bis 2018 eine hundertprozentige Steigerungsquote von Angriffen im Public Sector gab, also eine Verdoppelung. Dabei wurden zu 68 Prozent interne Daten abgegriffen, zum Beispiel Finanzdaten. Und zu 22 Prozent persönliche Daten. Die Lage ist also besorgniserregend. Die Angriffe kamen zu einem Drittel über fingierte E-Mails interner Mitarbeiter. Tatsächlich werden nur etwas über die Hälfte der Cyberangriffe durch traditionelles Hacking ausgeübt. Ein Drittel geschieht mittlerweile durch Social Engineering, also durch Manipulation und Täuschung. Das Opfer glaubt, etwas Richtiges zu tun, indem es seine Daten preisgibt – etwa Passwörter oder Kontodaten. Sie fragen, warum neuerdings ausgerechnet öffentliche Verwaltungen attackiert werden? Ich glaube, der Aufmerksamkeitswert ist extrem hoch, wenn es sich um sensible Bürgerdaten handelt. Da hoffen Kriminelle auf schnelle Zahlung.
Wieso ist es so leicht für Cyberkriminelle, an E-Mail-Daten aus der öffentlichen Verwaltung zu gelangen?
Csizmadia: Sie stehen ja oft öffentlich auf der Website der Kommunalverwaltungen – das ist ja auch ein nützlicher Dienst am Bürger, wenn er weiß, an wen er sich wenden soll. Es werden auch diverse Suchmaschinen und Social-Media-Kanäle zur Informationsbeschaffung verwendet. Diese Lücke nutzen Kriminelle aus.
Wer sind die Täter überhaupt?
Csizmadia: Es sind meistens keine Einzelpersonen, die auf schnelles Geld aus sind. Hinter Ransomware-Attacken stecken größere Organisationen. Oft betreiben sie sogar eigene Rechenzentren. Vielleicht erinnern Sie sich: Am 27. September 2019 hat das Landeskriminalamt von Rheinland-Pfalz ein Rechenzentrum ausgehoben, das in einem alten Bunker in Traben-Trarbach an der Mosel betrieben wurde. Von hier wurden offenbar unter anderem auch Cyberangriffe gestartet. Man kann ja mittlerweile bei solchen kriminellen Rechenzentrumsbetreibern problemlos E-Mail-Trojaner oder SPAMs bestellen.
Was können Kommunen denn tun, um sich zu schützen?
Csizmadia: Hundertprozentige Sicherheit gibt es nicht. Cyberkriminelle finden immer wieder neue Schlupflöcher in der IT-Sicherheit. Aber Selbstverständlich ist die Sensibilisierung von Mitarbeitern das A und O. Und es hilft, wenn Soft- und Hardware immer auf dem neuesten Stand sind, wenn alle Sicherheits-Updates regelmäßig aufgespielt werden und wenn jeden Tag Back-Ups der Daten gemacht werden. So ist im Schadensfall der Datenverlust kleiner
Hier lesen Sie die Chronik einer echten Cyberattacke auf eine Kommune, die im Sommer 2019 stattfand.
Wenn das alles die Kapazitäten übersteigt, dann kann man als Kommune den kompletten IT-Betrieb auch outsourcen. Zum Beispiel ins Rechenzentrum der AKDB. Der Vorteil: Backup und Recovery übernimmt dann die AKDB. Ebenso den regelmäßigen Austausch von Hardware. Last but not least ist unser Rechenzentrum regelmäßigen strengsten Audits unterworfen. Es ist BSI-zertifiziert. Und wir führen natürlich auch interne Audits durch. Es wird nach Schwachstellen gesucht, Prozesse werden aktualisiert und sogar unsere System-Administratoren sind Überprüfungen unterworfen: Wer darf welche Operationen durchführen? Wer hat Zugang zu welchen Daten etc. Im Übrigen stellen wir gerade ein Informationssicherheitskonzept auf die Beine, das unsere Prozesse beschreibt. Bei Bedarf werden wir es interessierten Kommunen zur Verfügung stellen, damit sie sehen, wie umfassend wir uns um die Sicherheit ihrer Daten kümmern, wenn sie unsere Software und Rechenzentrumsleistungen nutzen. Obendrein haben wir die aktuelle Bedrohungslage sehr genau im Blick und arbeiten diesbezüglich auch eng mit dem Bayerischen Landesamt für Sicherheit in der Informationstechnologie (LSI) zusammen.
Herr Csizmadia, was tun, wenn es einen trotz aller Vorsichtmaßnahmen dann doch erwischt?
Csizmadia: Auf keinen Fall sollte man das Lösegeld zahlen! Damit öffnen wir den Cyberkriminellen Tür und Tor und nach einer Zahlung ist keinesfalls sichergestellt, dass man die Entschlüsselungs-Keys auch bekommt. Man sollte sofort bei der Polizei Anzeige erstatten. Und selbstverständlich sollten Kommunen sich rechtzeitig um ihr Informationssicherheitskonzept kümmern. Am 1. Januar 2020 soll es ja stehen!
