NET 10/2022

10 www.net-im-web.de 10/22 Zwang zur Digitalisierung Staatliche und kommunale Einrichtungen waren unter dem Einfluss der Corona-Pan- demie in den vergangenen Jahren zunehmend dazu gezwungen, rasch zu digitalisieren. So öffneten sie die IT-Systeme auch für den Remote-Zugriff und stellten Leistungen von Ämtern oder Behörden – soweit möglich – auch über digitale Services bereit. Diese zunächst ad-hoc angegangene Digitalisie- rung von Verwaltungsleistungen wird durch das Onlinezugangsgesetz (OZG) für Bund, Länder und Kommunen jedoch bis Ende 2022 verpflichtend – für einen Katalog von 575 Services, die die Digitalisierung weiter ankurbeln sollen. Zu den Initiativen gehört beispielsweise auch die digitale Bürgerakte, über die Eltern direkt den Antrag auf Eltern- geld stellen oder ihr Kind für einen Kinder- gartenplatz anmelden können. All dies macht die Verwaltung ef- fizienter, produktiver und sorgt – gerade im direkten Vergleich mit den langen Schlangen in Einwohnermeldeämtern oder Kfz-Zu- lassungsstellen – für eine deutlich bessere Akzeptanz auf Seiten der bislang wartenden Bürger. Mit Blick auf die IT-Sicherheit birgt die Digitalisierung allerdings auch erhebliche Risiken, wie eine Reihe von Vorfällen in den vergangenen Jahren gezeigt hat. Ob Ransom- ware, Phishing, oder Remote Code Executions (RCE): Immer wieder versuchen Angreifer mit identitätszentrierten Attacken gezielt privilegierte Identitäten zu kompromittieren, um sich anschließend im Netz auszubreiten und kritische Daten zu stehlen, Abläufe zu manipulieren oder Systeme zu blockieren und erst gegen Lösegeldzahlung wieder frei- zugeben. Einrichtungen aus dem Govern- ment-Bereich geraten mehr und mehr in den Fokus vonCyberangriffen. Diese treffen längst nicht mehr nur große Institutionen wie den Bundestag, der seit 2015 mehrfach Ziel von Angriffen war, sondern zunehmend auch die breiteMasse der öffentlichenVerwaltungsein- richtungen. So ergab eine Umfrage von Zeit Online und dem Bayerischen Rundfunk aus dem Jahr 2021, dass über alle Bundesländer hinweg seit 2015 mehr als hundert Behörden und öffentliche Einrichtungen mit Ransom- ware angegriffen und erpresst wurden und oft auch Lösegeld zahlten, um die Kontrolle über ihre Systeme zurückzuerlangen. Die Dunkelziffer liegt mit hoher Wahrschein- lichkeit noch deutlich darüber, denn nicht immer werden Angriffe überhaupt entdeckt oder kommuniziert. Ein großes Problem für Behörden ist darüber hinaus der ausgeprägte Mangel an qualifizierten IT-Fachkräften, die über alle Branchen hinweg händeringend ge- sucht werden. ImVergleich zu Unternehmen aus der freien Wirtschaft gelten staatliche oder kommunale Einrichtungen oft nicht als besonders attraktiv: Sie können weder mit hohen Gehältern noch mit besonderer Innovationskultur oder individuellen Ent- wicklungsmöglichkeiten punkten. Dies führt zu notorisch unterbesetzten IT-Teams und schwächt letztlich die Resilienz behördlicher IT-Systeme. Damit stellen sie für Angreifer ein vermeintlich einfaches und gleichzeitig attraktives Ziel dar. In Verbindung mit dem hohen Personalmangel läge es nahe, den eigenen IT- Stack zu verschlanken und auf die Nutzung von Cloud-Diensten oder Managed Services zu setzen. Diese verfügen über Best Practices für die Absicherung ihrer Systeme und über- nehmen im Falle potenzieller Vorfälle die Verantwortung – und im schlimmsten Fall die Wiederherstellung der IT-Systeme. Im Vergleich zu Unternehmen haben Kommu- nen allerdings tendenziell größere Vorbehalte gegenüber der Cloud-Nutzung, nicht zuletzt, weil sie als Kritis-regulierte Einrichtungen (Kritis – kritische Infrastrukturen) selbst die Kontrolle über ihre Daten und Systeme be- halten wollen undmüssen.Wer seine Systeme selbst betreibt, trägt allerdings auch allein die Verantwortung für deren Sicherheit – dies erhöht den Druck auf die IT-Abteilungen weiter. Wirksam gegen Ransomware Die Vertreter der am Security Day teilneh- menden Firmen aus dem Sicherheitsumfeld waren sich einig darüber, dass Maßnahmen gegen Ransomware-Angriffe mehr als nur nötig seien. Eine Maßnahme galt allen Teilnehmern gleichermaßen als wirkungs- voll und unter dem Blickwinkel knapper IT-Budgets durchaus effektiv: Die Mikro- segmentierung von Firmennetzen. Durch die Unterteilung des Netzes in viele kleine Segmente bleiben der einzelnen Client- Maschine nur kleine Ausschnitte, die sie sehen und zum Schreibzugriff öffnen kann. Dies bedeutet in der Praxis, dass auch nach der gelungenen Infektion einer solchen Maschine nicht das ganze Netz demZugriff der Ransomware offensteht. Der mögliche Schaden wird so auf ein kleineres Maß beschränkt. Unternehmen sollten eine ver- bindliche Richtlinie für die Kontrolle der Zugriffe und des Zugangs zu IT-Systemen, -Komponenten und -Datennetzen erstellen. Dabei empfiehlt es sich, Standardprofile zu benutzen, die dem Aufgabenbereich der je- weiligen Mitarbeiter entsprechen. Für jedes verwendete IT-System und jede Anwendung sollte eine schriftliche Zugriffsregelung vor- liegen. Privileged Access Management (PAM) unterstützt diesen Prozess und ist in der Regel nahtlos in das bestehende Identi- tätsmanagement integriert. Die entsprechende Richtlinie kann über definierte Zugriffsrechte und Rollen in der PAM-Lösung durchgesetzt werden. Gemeinsam gegen Cybercrime Einrichtungen aus dem Government-Bereich gera- ten mehr und mehr in den Fokus von Cyberangriffen