Cyberangriffe: Wie Kommunen Hacker in die digitale Quarantäne schicken

Diesmal traf es die Kreisverwaltung des Rhein-Pfalz-Kreises. Kriminelle Hacker hatten am 11. November die IT der Kommune lahmgelegt und zahlreiche Daten kopiert. Schlimmste Befürchtungen wurden wahr: Die Daten wurden im Darknet hochgeladen, nachdem die Kreisverwaltung der Lösegeldforderung nicht nachgekommen war. Namen, Anschriften und Geburtsdaten von ukrainischen Geflüchteten, die in dem Landkreis untergebracht wurden, waren einsehbar. Die Website der Kreisverwaltung war zudem mehrere Tage nicht vollumfänglich erreichbar. Das ist kein Einzelfall, wie Cyberangriffe ablaufen. Im Oktober 2021 erbeuteten kriminelle Hacker Daten der Stadt Witten und veröffentlichten diese im Netz.

Vielen ist der schwere Angriff auf die Landkreisverwaltung Anhalt-Bitterfeld noch in Erinnerung. Die Bereitstellung öffentlicher Dienstleistungen war im Sommer 2021 nachhaltig eingeschränkt. Der Landkreis rief den Katastrophenfall aus. Auch nach Monaten war noch kein Regelbetrieb möglich. Für Kommunen und deren Bürgerinnen und Bürger haben solche Angriffe weitreichende Folgen – von der Einstellung von Sozialleistungen bis zum Leak ihrer persönlichen Daten.

Cyberangriffe: finanzieller Schaden durch Ransomware nimmt zu

Erpressungsangriffe – in der Fachsprache als Ransomware-Attacken bezeichnet – nehmen laut Bundeskriminalamt (BKA) immer mehr zu. Der jährliche Schaden durch Ransomware ist in den vergangenen Jahren gleichzeitig rasant gestiegen: auf ca. 24,3 Milliarden Euro in 2021 von 5,3 Milliarden Euro im Jahre 2019. Der durchschnittliche Schaden pro Attacke hat um 21 Prozent zugelegt. Kommunen fallen den Angriffen immer öfter zum Opfer, weil die IT-Strukturen in Städten und Gemeinden nicht selten veraltet und nicht ausreichend geschützt sind. Gleichzeitig liegen durch die Digitalisierung der Behörden immer mehr persönliche Daten auf den Servern ab.

Bei den Angreifern handele es sich um eine hoch professionelle und organisierte Gruppe, die aus Cyberangriffen ein regelrechtes Geschäftsmodell gemacht habe. Das Einfallstor ist das Internet. Diese versenden Links über Phishing-E-Mails, die vertrauenswürdig aussehen, deren Aktivierung jedoch einen Angriff initiiert. Mitarbeiterschulungen reichen als Schutz nicht mehr aus, da Phishing immer professioneller und authentischer wird. Eine Antivirensoftware ist auch keine Lösung, da sie nur Malware erkennt, die bereits bekannt ist. Bleibt der Weg, den Internetzugang vollständig einzuschränken. In Zeiten des Onlinezugangsgesetzes (OZG) und von digitalen Bürgerservices wäre das ein fataler Rückschritt.

So können sich Kommunen vor Ransomware schützen

Die gute Nachricht ist: Kommunen können sich vor Ransomware schützen und die Gefahr eines Angriffs minimieren. Folgende Maßnahmen wirken gegen Cyberangriffe:

• Sicherheitslücken schließen: Mit Programmkorrekturen – sogenannten Patches – lassen sich bekannte Fehler in Programmen ausbessern oder Sicherheitslücken schließen. Patches sollten regelmäßig und zeitnah auf alle Geräte im IT-Netzwerk eines Unternehmens aufgespielt werden. 
• Keine veralteten Systeme: Das Alter der Geräte spielt eine wichtige Rolle für die Netzwerksicherheit. Veraltete Systeme mit nicht mehr unterstützten Betriebssystemen – wie Windows XP – sollten keinesfalls in einem mit dem Internet verbundenen Netzwerk laufen.
• Vertrauensvolle Links nutzen: Anhänge oder Links, die nicht zweifelsfrei sicherer Herkunft sind, sollten auf keinen Fall geöffnet werden. Die Mitarbeitenden müssen entsprechend geschult werden.
• Verifizierte Download-Quellen: Mitarbeitende sollten niemals Programme aus dem Internet herunterladen, die nicht von verifizierten Stellen angeboten sind.
• Daten mit Backups sichern: Regelmäßige Backups auf externen Datenträgern sichern den Zugang zu unternehmenskritischen Daten.

Cyberangriffe durch IT-Sicherheitstechnologien abwehren

Zusätzlich gibt es sehr wirksame IT-Sicherheitstechnologien, mit denen sich Ransomware- und Cyberangriffe abwehren lassen. Der wichtigste Schutz ist die Absicherung des Internetzugangs. Am konsequentesten ist das durch eine Trennung von Internet und internem Netzwerk möglich – denn dann kann Schadsoftware nicht in das Basisbetriebssystem eindringen. Praktisch umsetzen lässt sich das mit einem virtuellen Browser: Die Nutzer arbeiten mit einer vom Betriebssystem separierten Maschine. Entscheidend ist es, dass es sich dabei um eine vollvirtualisierte Surfumgebung handelt. Dabei wird zusätzlich auf der Netzwerkebene der Zugang zum Internet vom Intranet getrennt. Ein solcher Browser ist zum Beispiel der „R&S Browser in the Box“ von Rohde & Schwarz Cybersecurity. Er schließt die Sicherheitslücke „Internet“ über eine „digitale“ Quarantäne für Hackerangriffe.

Diese Lösung ermöglicht eine konsequente Netzwerktrennung und schützt auch vor Angriffen via E-Mail-Anhängen oder bei Webkonferenzen mit Mikrofonnutzung und Webcam-Unterstützung. Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand. Kommt ein virtueller Browser zum Einsatz, haben Cyberkriminelle keine Chance.  (sg)

Über den Autor: Clemens A. Schulz ist Director Desktop Security bei Rohde & Schwarz Cybersecurity. 
Rohde & Schwarz Cybersecurity schützt digitale Informationen und Geschäftsprozesse von Unternehmen und öffentlichen Institutionen weltweit vor Cyberangriffen. Das Unternehmen bietet innovative Datensicherheits-Lösungen für Cloud-Umgebungen, erweiterte Sicherheit für Websites, Webanwendungen und Webservices sowie Netzwerkverschlüsselung und Endpoint-Sicherheit. Die vertrauenswürdigen Sicherheitslösungen werden nach dem Security-by-Design-Ansatz entwickelt und können Cyberangriffe proaktiv verhindern.

Lesen Sie auch: Ransomware-Angriffe: So können sich Unternehmen wirklich schützen