Digitale Quarantäne gegen Hacker

Cyberangriffe auf die öffentliche Verwaltung sind zum Alltag geworden. Diesmal traf es die Kreisverwaltung des Rhein-Pfalz-Kreises. Kriminelle Hacker hatten am 11. November die IT der Kommune lahmgelegt und zahlreiche Daten kopiert. Schlimmste Befürchtungen wurden wahr: Die Daten wurden im Darknet hochgeladen, nachdem die Kreisverwaltung der Lösegeldforderung nicht nachgekommen war. Namen, Anschriften und Geburtsdaten von ukrainischen Geflüchteten, die in dem Landkreis untergebracht wurden, waren einsehbar. Die Website der Kreisverwaltung war zudem mehrere Tage nicht vollumfänglich erreichbar. Das ist kein Einzelfall. Im Oktober 2021 erbeuteten kriminelle Hacker Daten der Stadt Witten und veröffentlichten diese im Netz.

Vielen ist der schwere Angriff auf die Landkreisverwaltung Anhalt-Bitterfeld noch in Erinnerung. Die Bereitstellung öffentlicher Dienstleistungen war im Sommer 2021 nachhaltig eingeschränkt. Der Landkreis rief den Katastrophenfall aus. Auch nach Monaten war noch kein Regelbetrieb möglich. Für Kommunen und deren Bürgerinnen und Bürger haben solche Angriffe weitreichende Folgen – von der Einstellung von Sozialleistungen bis zum Leak ihrer persönlichen Daten.

Kommunen fallen Angriffen immer öfter zum Opfer

Erpressungsangriffe – in der Fachsprache als Ransomware-Attacken bezeichnet – nehmen laut Bundeskriminalamt (BKA) immer mehr zu. Der jährliche Schaden durch Ransomware ist in den vergangenen Jahren gleichzeitig rasant gestiegen: auf ca. 24,3 Mrd. Euro in 2021 von 5,3 Mrd. Euro im Jahre 2019. Der durchschnittliche Schaden pro Attacke hat um 21 Prozent zugelegt. Kommunen fallen den Angriffen immer öfter zum Opfer, weil die IT-Strukturen in Städten und Gemeinden nicht selten veraltet und nicht ausreichend geschützt sind. Gleichzeitig liegen durch die Digitalisierung der Behörden immer mehr persönliche Daten auf den Servern ab.

Bei den Angreifern handele es sich um eine hoch professionelle und organisierte Gruppe, die aus Cyberangriffen ein regelrechtes Geschäftsmodell gemacht habe. Das Einfallstor ist das Internet. Links werden über Phishing-E-Mails versendet, die vertrauenswürdig aussehen, deren Aktivierung jedoch einen Angriff initiiert. Mitarbeiterschulungen reichen als Schutz nicht mehr aus, da Phishing immer professioneller und authentischer wird. Eine Antivirensoftware ist auch keine Lösung, da sie nur Malware erkennt, die bereits bekannt ist. Bleibt der Weg, den Internetzugang vollständig einzuschränken. In Zeiten des Onlinezugangsgesetzes (OZG) und von digitalen Bürgerservices wäre das ein fataler Rückschritt.

Die gute Nachricht ist: Kommunen können sich vor Ransomware schützen bzw. die Gefahr eines Angriffs minimieren. Und zwar mit folgenden Maßnahmen:

• Sicherheitslücken schließen: Mit Programmkorrekturen – sogenannten Patches – lassen sich bekannte Fehler in Programmen ausbessern oder Sicherheitslücken schließen. Patches sollten regelmäßig und zeitnah auf alle Geräte im IT-Netzwerk eines Unternehmens aufgespielt werden.
• Keine veralteten Systeme: Das Alter der Geräte spielt eine wichtige Rolle für die Netzwerksicherheit. Veraltete Systeme mit nicht mehr unterstützten Betriebssystemen – wie Windows XP – sollten keinesfalls in einem mit dem Internet verbundenen Netzwerk laufen.
• Vertrauensvolle Links nutzen: Anhänge oder Links, die nicht zweifelsfrei sicherer Herkunft sind, sollten auf keinen Fall geöffnet werden. Die Mitarbeitenden müssen entsprechend geschult werden.
• Verifizierte Download-Quellen: Mitarbeitende sollten niemals Programme aus dem Internet herunterladen, die nicht von verifizierten Stellen angeboten sind.
• Daten mit Backups sichern: Regelmäßige Backups auf externen Datenträgern sichern den Zugang zu unternehmenskritischen Daten.

Trennung von Internet und internem Netzwerk

Zusätzlich gibt es sehr wirksame IT-Sicherheitstechnologien, mit denen sich Ransomware-Angriffe abwehren lassen. Der wichtigste Schutz ist die Absicherung des Internetzugangs. Am konsequentesten ist das durch eine Trennung von Internet und internem Netzwerk möglich – denn dann kann Schadsoftware nicht in das Basisbetriebssystem eindringen. Praktisch umsetzen lässt sich das mit einem virtuellen Browser: Die Nutzer arbeiten mit einer vom Betriebssystem separierten Maschine. Entscheidend ist es, dass es sich dabei um eine vollvirtualisierte Surfumgebung handelt. Dabei wird zusätzlich auf der Netzwerkebene der Zugang zum Internet vom Intranet getrennt. Ein solcher Browser ist der „R&S®Browser in the Box“ von Rohde & Schwarz Cybersecurity. Er schließt die Sicherheitslücke „Internet“ über eine „digitale“ Quarantäne für Hackerangriffe:

Diese Lösung ermöglicht eine konsequente Netzwerktrennung und schützt auch vor Angriffen via E-Mail-Anhängen oder bei Webkonferenzen mit Mikrofonnutzung und Webcam-Unterstützung. Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand.