Cybersecurity: Wie wird die Verwaltung sicherer?
Die Gefahr, Opfer eines Cyberangriffs zu werden, steigt. Auf Gemeindeverwaltungen liegen viele sensitive Informationen – über das Know-how, wie man diese vor unerlaubten Zugriffen schützen kann, verfügen aber nur die wenigsten. Das Kommunalmagazin hat bei Experten aus verschiedenen Bereichen nachgefragt, was Gemeinden tun sollen, damit die Daten sicherer werden.
«Notfallorganisation auf Vordermann bringen»
Ernst Menet ist Dozent für Projekt- und Changemanagement an der Berner Fachhochschule (BFH).
Wie schützen sich Gemeinden am besten vor Cyberbedrohungen?
Reduziert man den Begriff «Cyberbedrohungen» auf Bedrohungen der IT durch eine Organisation von aussen, dann halten sich, wie eine nicht-repräsentative Umfrage ergeben hat, die Gemeinden auf der präventiven Seite in der Regel an das, was in der Branche unter guten Praktiken verstanden wird. Dies umfasst etwa Virenschutz oder Filtersoftware, welche oft orthogonal, also mit unterschiedlichen Produkten, eingesetzt werden, so dass sie gegenseitig Schwächen kompensieren. Firewalls, Datensicherungen sowie regelmässige Aktualisierung der Software sind auf den Gemeinden ebenfalls sehr verbreitet. Vereinzelt werden auch E-Mails verschlüsselt gesendet.
Unterschiedlich gut umgesetzt, aber im Allgemeinen auch auf gutem Wege, sind weitere präventive Massnahmen wie das Abonnieren von einschlägigen Newslettern und die Konsultation von spezialisierten
Organisationen, etwa Melani, diversen Computer Emergency Response Teams (Cert) oder der Hersteller von Cyber-Security-Software. Auch die Sensibilisierung der Mitarbeitenden ist auf gutem Weg.
Weniger klar ist, welche organisatorischen Massnahmen die Gemeinden getroffen haben, falls ein Problem akut auftreten sollte. Haben sie Notfallpläne? Können sie im Ernstfall rasch genug informieren und zielsicher reagieren? Es liegt auf der Hand, dass grössere Gemeinden generell mehr unternehmen als kleine Gemeinden, wohl weil jene oft über mehr Ressourcen verfügen und für Angreifer «interessanter» sind.
Wo herrscht bei den Gemeinden punkto Cybersecurity Nachholbedarf?
Nachholbedarf verorten wir in diversen Bereichen, teilweise wiederum abhängig von Grösse und Finanzkraft der Gemeinden. Eine alte, aber nach wie vor zutreffende Weisheit besagt, dass sich das grösste Sicherheitsrisiko zwischen Tastatur und Stuhllehne befindet. Bedrohungen sind zwar jederzeit und überall vorhanden, bis es aber zum Unfall oder gar zur Katastrophe kommt, braucht es meist einen menschlichen «Trigger-Finger», wie das Öffnen eines verseuchten Mail-Anhangs oder das Anklicken eines unbekannten Links. Deshalb bleibt die fortlaufende Sensibilisierung der Benutzer von vorrangiger Bedeutung. Vielfach bieten Hersteller wertvolle Ausbildungen an, nur zu oft hat man aber «leider keine Zeit für solche Nebensächlichkeiten».
Es sind Fälle bekannt, bei denen die Gemeinden die Sicherheitsverantwortung exklusiv an ihren Outsourcing-Dienstleister überbinden, nach dem Motto «wir bezahlen ja dafür». Das genügt klar nicht, man kann den Endbenutzer oder Kunden nicht aus der Pflicht entlassen. Mit periodischen Sicherheitsaudits durch externe Fachexperten, inklusive Überprüfung von Verträgen und deren Umsetzung durch Dienstleister, könnten Schwachstellen im Sicherungsdispositiv entdeckt und behoben werden. Kleinere Gemeinden könnten sich zusammentun und gemeinsam für stärkere Sicherheitsstrukturen und Kostenvorteile sorgen.
Und wie bereits erwähnt: die Notfallorganisation überprüfen und auf Vordermann bringen ist zentral.
«Technische Massnahmen alleine genügen nicht»
Max Klaus ist stellvertretender Leiter von Melani, der Melde- und Analysestelle Informationssicherung des Bundes.
Wie schützen sich Gemeinden am besten vor Cyberbedrohungen?
Unabhängig von der Branche sollten überall die gängigsten Sicherheitsmassnahmen umgesetzt sein. Dies gilt selbstverständlich auch für Gemeinden. Die technischen Massnahmen alleine – etwa Virenschutz, Firewall, Datensicherung oder Updates – genügen nicht. Sie müssen unbedingt durch passende organisatorische Massnahmen wie einen Notfallplan für den allfälligen Ausfall der IT-Infrastruktur und einen Plan zur Krisenkommunikation ergänzt werden.
Wichtig ist ebenfalls, die geschäftskritischen Systeme zu kennen und diese entsprechend zu schützen: Setzt eine Gemeinde beispielsweise stark auf Online-Dienstleistungen, sollten diese Systeme besonders gut geschützt sein. Im Gegensatz dazu können Systeme, die nicht businesskritisch sind, betreffend Schutz etwas weniger prioritär behandelt werden.
Wo herrscht bei den Gemeinden punkto Cybersecurity Nachholbedarf?
Das lässt sich nicht generell beantworten, weil die Gemeinden unterschiedlich gross sind und oft individuelle Massnahmen treffen. Städte und grössere Gemeinden betreiben ihre IT oft selber und verfügen über entsprechendes Knowhow. Kleinere Gemeinden tun sich hier bedeutend schwerer, auch weil häufig das Geld für den sicheren Betrieb der IT-Infrastruktur fehlt.
Zahlreiche Gemeinden haben ihre IT an externe Dienstleister ausgegliedert, bei denen das Know-how vorhanden ist. Wichtig ist hier, dass die entsprechenden Verträge klar verfasst sind. Wir kennen Einzelfälle, in denen aufgrund von Missverständnissen mit dem IT-Dienstleister beispielsweise keine Datensicherung durchgeführt worden ist.
Für alle Gemeinden und Unternehmen sollte zudem die Sensibilisierung der Mitarbeitenden hohe Priorität geniessen: Oft wird das schwächste Glied angegriffen, und das ist in den meisten Fällen der Mensch. So sollte man beispielsweise nie ein Lösegeld zahlen, wenn man Opfer eines DDOS-Angriffs oder eines Kryptotrojaners geworden ist.
«Auf mehr als eine Sicherheitstechnologie vertrauen»
Daniel Schmutz ist Regional Marketing Manager Schweiz und Österreich bei Trend Micro, einem weltweit tätigen Anbieter im Bereich IT-Sicherheit.
Wie schützen sich Gemeinden am besten vor Cyberbedrohungen?
IT-Sicherheitsverantwortliche stehen vor einer Reihe von Herausforderungen durch zunehmend ausgefeiltere Bedrohungen,riskanteres Nutzerverhalten und immer komplexere IT-Systeme. Um Angreifern einen Schritt voraus zu sein, ist es wichtig, auf mehr als nur eine einzige Sicherheitstechnologie zu vertrauen. Idealerweise kommt ein generationenübergreifender Schutz zum Einsatz, der bewährte Techniken zur Erkennung von bekannten und unbekannten Bedrohungen mit neuen fortschrittlichen Schutztechniken, etwa maschinellem Lernen, kombiniert.
Diese Systeme sollten über eine zentrale Managementfunktion verfügen, damit sie mit möglichst geringem Aufwand verwaltet werden können. Ein besonderer Fokus sollte neben dem Endpunkt-Schutz auf der E-Mail-Sicherheit liegen, da im Bereich der Kommunen noch immer die meisten Angriffe auf diesem Weg erfolgen.
Wo herrscht bei den Gemeinden punkto Cybersecurity Nachholbedarf?
Die Erfahrung zeigt, dass hier nur selten dediziertes Personal für die Betreuung von Sicherheitslösungen zur Verfügung steht. Es werden deshalb häufig Suiten-Lösungen gekauft, die «Out of the Box», also in Grundeinstellung, laufen. Die Hersteller haben sich darauf eingestellt und bieten solche Lösungen an.
Das Problem dabei ist, dass die IT-Sicherheit eines der dynamischsten Aufgabenfelder überhaupt darstellt. Kerntechnologien ändern sich alle zwei bis drei Jahre und müssen dann mittels neuer Versionen oder Aktualisierungen nachjustiert werden. Darin unterscheidet sich die Branche fundamental von Anwendersoftware, die oft über Jahre hinweg unverändert eingesetzt werden kann. Gerade bei Kunden, die keine speziellen Ressourcen haben, um hier ständig «am Ball» zu bleiben, besteht deshalb ein grosses Risiko, einen Entwicklungsschritt zu übersehen und damit das System verwundbar zu machen. So war bei der Ransomware-Welle im Jahr 2016 das Hauptproblem nicht, dass nicht die richtige Technologie, nämlich verhaltensbasierte Abwehr, zur Verfügung stand. Vielmehr wurde diese von Unternehmen und Behörden aus verschiedenen Gründen nicht eingesetzt.
Der Einsatz der richtigen Software ist für Gemeinden deshalb von ebenso grosser Bedeutung wie die Möglichkeit, sich von Sicherheitsfachleuten über die neuesten Entwicklungen in Kenntnis setzen zu lassen. Wir empfehlen Gemeinden deshalb, die Leistungen eines Service-Partners in Anspruch zu nehmen, der nicht nur die Lizenzen für solche Software verkauft, sondern auch die Optimierung und Wartung der Sicherheitslösung als Service anbietet.
«Zunehmender Bedarf an Angriffsabwehr»
Urs Rufer ist Geschäftsführer der «terreActive AG», einem Schweizer Anbieter für IT-Sicherheitslösungen.
Wie schützen sich Gemeinden am besten vor Cyberbedrohungen?
Durch den Austausch mit unseren Kunden stellen wir fest, dass das Verwaltungspersonal durch die vielen Erstkontakte mit Einwohnern besonders exponiert für Social-Engineering-Attacken ist. Bei diesen Attacken wird die «menschliche Sicherheitslücke» von Kriminellen ausgenützt, um den Mitarbeiter zur Preisgabe sensibler Informationen zu bewegen. Der Angreifer sendet täuschend echt aussehende E-Mails von angeblichen Einwohnern und gelangt so beispielsweise an Passwörter. Oder er lässt das Personal durch Klick auf einen betrügerischen Link oder Dateianhang ein Virusprogramm gleich selber ausführen. Deshalb erachten wir das Thema «Awareness» der Mitarbeitenden als zentral. Schulungen sind hier der erste Schritt um beispielsweise betrügerischen E-Mails keine Chance zu geben.
Ergänzend können Massnahmen im Bereich Phishing ergriffen werden, indem Angriffe simuliert und das Verhalten der Mitarbeitenden getestet wird. All dies ergänzt die klassischen Schutzmassnahmen wie Firewall, E-Mail und Webschutz. Wichtig ist zudem ein solider Malware-Schutz und eine funktionierende und getestete Backup- und Restore-Lösung. Beides hilft, Schaden zu vermeiden respektive diesen klein zu halten. Wenn sich eine Gemeinde einen Überblick über die Wirksamkeit der Massnahmen verschaffen möchte oder ihr Risikoprofil hinsichtlich Cybersecurity kennen will, liefert eine Sicherheitsuntersuchung in Form eines Audits gute Erkenntnisse.
Wo herrscht bei den Gemeinden punkto Cybersecurity Nachholbedarf?
Bei grösseren Gemeinden und Städten sehen wir zunehmenden Bedarf in derErkennung und Abwehr von Angriffen. Eine Security-Monitoring-Lösung erkennt Angriffe laufend und alarmiert spezialisiertes Personal zur Behebung des Vorfalls. Die Alarme werden aus Logs der Sicherheitskomponenten automatisch generiert und mit Informationen aus Threat-Intelligence-Feeds angereichert, um den Vorfall zu bestätigen und Sofortmassnahmen wie die Isolation des Systems und die Beweissicherung der Daten einzuleiten. Müssen Gemeinden Compliance-Richtlinien erfüllen, etwa um die Nachvollziehbarkeitvon Vorfällen sowie die Reaktionen darauf belegen zu können, hilft das Security- Monitoring-Reporting bei der Beweissicherung der Daten.
Nachholbedarf besteht demnach auch in Security Operation Centern (SOC), in denen diese Arbeiten erbracht werden. Hat eine Gemeinde nicht genügend Ressourcen, ein solches selber aufzubauen, ist die Zusammenarbeit mit einem externen SOC-Service möglich, um die IT-Sicherheit zu gewährleisten. So lassen sich teilweise Fixkosten sparen und man kommt schneller ans Ziel, da nicht erst interne Ressourcen aufgebaut werden müssen.