Sicherheitsstrategien vor und nach einer Cyberattacke für Kommunen und Landkreise

Cybercrime, Cyber-Recovery, Cybersecurity – das sind einige Begriffe, die im Zusammenhang mit Cyberattacken in den letzten Jahren eine immer größere Bedeutung bekommen haben. Häufig können nur IT-Fachleute etwas mit diesen Begriffen anfangen.

Was sich aber viele vorstellen können, ist das Gefühl der Hilflosigkeit bei einer Cyberattacke. Das gilt auch für Kommunen und Landkreise. Was können Sie also tun, um sich nicht hilflos, sondern gestärkt und sicher in Bezug auf Ihre IT-Sicherheit zu fühlen?

In diesem Artikel möchten wir Ihnen diese und die folgenden Fragen beantworten:

• Wie können Sie sich vor einer Cyberattacke schützen?
• Wo speichern Sie am sichersten Ihre Daten?
• Wie kommen Sie zurück zu Ihren Dienstleistungen und Ihrem Betrieb?

Für alle diese Punkte gibt es Strategien und Werkzeuge, mit denen Sie Ihre IT-Sicherheit optimieren und sich vor einer Cyberattacke schützen können.

Wie groß ist die Gefahr einer Cyberattacke?

Mehr als die Hälfte aller Menschen auf der ganzen Welt gehen täglich mehrmals online. Ebenso, wie wenn sie ihr Auto in die Werkstatt bringen oder andere Dienstleistungen einkaufen, erfolgt dies meist mit einem großen Vertrauen in den Dienstleistungserbringer. Auch im Internet ist das oft der Fall. Da alles anonym abgewickelt werden kann, ist das Potenzial enorm das Vertrauen missbraucht wird. Sie können sich sicher sein: Wird eine Schwachstelle gefunden, wird sie ausgenutzt.

Statistisch lässt sich festhalten: Cyberattacken sind der neue Banküberfall. Ein anschauliches Beispiel hierfür ist dieser Vergleich: 2001 gab es noch 700 polizeilich erfasste Banküberfälle, 2020 waren es nur noch 58. Parallel zu dieser Entwicklung werden Cyberattacken ausgefeilter und finden immer häufiger auch in der näheren Umgebung statt. Während vor einigen Jahren solche eher seltenen Fälle ausschließlich durch die Presse bekannt waren, kommen zunehmend Angriffe im eigenen Umfeld vor.

Cyberattacken verursachen Schäden in Milliardenhöhe und immer häufiger werden auch behördliche Einrichtungen Opfer eines Angriffes. Dadurch fallen alltägliche Dienstleistungen aus, wie zum Beispiel:

• Verlängerung oder Ausstellung eines Passes
• Beantragung von Kindergeld
• An-, Ab- und Ummeldung von Wohnsitzen

Die Erholungszeit nach einem solchen Angriff, wie man es am Beispiel vom Landkreis Anhalt-Bitterfeld sieht, kann Monate oder sogar Jahre andauern.

Wie sieht das Geschäftsmodell hinter einer Cyberattacke aus?

Was man sich vielleicht unter dem Geschäftsmodell vorstellt, sind verdächtige Menschen in dunklen Industriehallen, die vor riesigen Monitoren und Rechnern sitzen und Tag und Nacht versuchen, in andere Systeme zu gelangen.

In der Realität sieht das anders aus. Das Hacker-Netzwerk ist immens und besteht sogar aus ganzen Unternehmen mit eigenen Büros. Teilweise bieten solche Unternehmen Cyberattacken auch als Dienstleistung an. Zudem zeichnen sie sich aus durch:

• Supply-Chain-Management (Prozess von der Bestellung oder Beauftragung einer Cyberattacke bis hin zur Bezahlung der Dienstleistung)
• Qualitätsmanagement
• Support-Hotline
• Arbeitszeiten von Montag bis Freitag von 8:00- 18:00 Uhr
• Geld-zurück-Garantie

Es bleibt demnach festzuhalten, dass die Cyberkriminalität mittlerweile eine hohe Professionalität in den Prozessen und Strukturen aufweist.

Schauen Sie sich jetzt die Highlights unserer letzten Veranstaltung im Re-Live an

IT-Sicherheit: Wie sich Kommunen und Landkreise gegen Cyberattacken schützen

Wie läuft eine Cyberattacke ab?

Eine Cyberattacke läuft sehr strukturiert ab, denn häufig sind die Angreifer absolute Profis. Das bedeutet allerdings: Die Opfer haben es in dem Fall mit einer arbeitsteilig organisierten, hochprofessionellen Organisation zu tun.

Nachfolgend werden die gängigen strategischen Schritte für die Durchführung eines Cyberangriffs aufgelistet:

Zuerst erfolgt der initiale Angriff, die sogenannte “Low-Level-Attacke”. In der Regel ist diese nicht speziell gegen den Leidtragenden gerichtet, sondern es wird einfach versucht, irgendwo durchzukommen, um die Schadsoftware einzuspielen. Dies kann über folgende Wege passieren:

• Über E-Mail Anhänge, die vom Nutzer fälschlicherweise geöffnet werden.
• Über Office-Programme: Word, Excel und Powerpoint. Hier kommt die Schadsoftware über aktive Inhalte
• Passwörter werden erraten.
• Zugänge werden vorab ausgespäht und genutzt.

-> Erstes IT-System wird übernommen
-> Ausspähen des nächsten IT-Systems
-> Attacke gegen Domain
-> Sabotage von Sicherheitseinrichtungen
-> Ausspähen des Datenbestandes
-> Verschlüsseln des Datenbestandes

Was passiert nach einer Cyberattacke?

Nach einer Cyberattacke wissen die Opfer meist nicht, welche Schritte sie unternehmen müssen. Nur gegen die Zahlung eines bestimmten Betrages bekommen Sie Ihre Daten zurück. Natürlich können Sie versuchen zu verhandeln und den Preis zu drücken. Doch letztendlich sind Sie auf Ihre Daten angewiesen und müssen zahlen, was verlangt wird.

Dabei stellt der Lösegeld-Schaden das geringste Problem dar. Die Summe für das Lösegeld macht meist nur circa 10 % des Gesamtschadens aus. Die Betriebsunterbrechung und die Kosten zur Wiederherstellung der Daten bilden den größten Teil des Gesamtschadens. Im Falle einer Zahlung folgt unmittelbar die Freigabe zur Entschlüsselung der Daten.

Aus strafrechtlichen Gründen ist trotz niedriger Erfolgswahrscheinlichkeit eine offizielle Meldung des Vorfalls dringend erforderlich. Die Chancen, die Täter einer Cyberattacke zu finden, sind trotzdem sehr gering.

Anknüpfend an die Entschlüsselung der Daten folgt die erneute Inbetriebnahme, idealerweise mithilfe eines Anlaufplanes, einem sogenannten Desaster-Recovery.
Neben den materiellen Schäden ist außerdem eine tiefgreifende Verunsicherung zu erwarten. Diese betrifft nicht nur die Geschäftsführung und IT-Abteilung die gesamte Organisation mit allen Mitarbeitenden.

Sicherheitsstrategie gegen Cyberattacken

Am besten geschützt vor einer Cyberattacke sind Sie mit einer ganzheitlichen Strategie: der Cyber-Resilience. Sie umfasst die Cyber-Sicherheitsstandards, die allgemeinen Richtlinien, die Mitarbeiter, die Geschäftsprozesse sowie moderne Technologielösungen.

Die Cyber-Resilience besteht aus den folgenden Maßnahmen:

Einrichtung eines “Security Operation Center”

Bei der IT-Sicherheit, insbesondere im Bereich der Cyber-Resilience, ist professionelle Expertise gefragt. Daher empfiehlt es sich, eine Störungs-Management-Vereinbarung abzuschließen. Entweder mit einem Managed Detection und Response (MDR) Service-Anbieter oder mit einem Drittanbieter.
Ein MDR-Service-Anbieter wie Dell Technologies unterstützt Sie zum Beispiel:

• Beim ausfindig machen und erkennen der eigenen Schwächen,
• bei der Einführung von Präventivmaßnahmen,
• beim Aufbau von Erkennungsfunktionen.

Modernisierung der IT-Sicherheit 

Eine einfache Firewall reicht im Gegenzug zu früheren Jahrzehnten nicht mehr aus. Heute müssen Arbeitsaufträge (in der Fachsprache: Workloads) und IT-Endgeräte abgesichert werden. Dies erfolgt in 3 Schritten:

• Risiken identifizieren (Sichtbarkeit herstellen, Schwachstellen erkennen, Konfiguration überwachen)
• Prävention (Härtung der Systeme, Ausführung von Schadsoftware verhindern, Einschränkung der Systemtools)
• Detect & Respond (Früherkennung eines Angriffes, Unternehmensweite Suche nach Angriffsmustern, effektive Reaktionsmöglichkeiten)

Hier geht’s zum On-Demand-Webcast: Security Strategien vor und während der Cyberattacken

Security Strategien vor und während der Cyberattacken

Richtiger Schutz Ihrer Daten

In den ersten beiden Punkten der Strategie Cyber-Resilience ging es um Sicherheitssysteme für Ihre IT-Endgeräte, für Applikationen und Cloudspeicher. Diese Schritte sind elementar, da sie eine Barriere bilden, die die Angreifer zuerst durchbrechen müssen, bevor sie zum eigentlichen Kern, dem Datenspeicher, kommen.
Deshalb geht es im dritten Punkt nun darum, wie Sie Ihre eigentlichen Daten sichern, damit Hacker mit einer Cyberattacke keinen Zugriff auf sie haben.

Der einzige wirkliche Schutz ist, die Daten vollkommen vom Netz zu trennen.

Bei der Speicherung von Daten wird unterschieden zwischen:

• Backup-Daten
• Produktive Daten

Lösung für Backup-Daten: Cyber Vault

In einer Cyber Vault werden die Daten vollständig vom Netzwerk getrennt und in einer sogenannten “Darkside” gespeichert. Sollte eine Cyberattacke stattfinden, sind Ihre Daten hier sicher. Zudem haben Sie nach einer Attacke die Möglichkeit, auf Ihre geschützten Daten zuzugreifen und Ihre Einrichtung wieder schneller In Betrieb zu nehmen. Die “Darkside” ist sozusagen die Rettung in letzter Sekunde.

Diese 4 Eigenschaften sind wichtig für eine gute Cyber Vault:

• Isolation – Physische & logische Trennung der Daten
• Unveränderbarkeit – Integrität der Daten sicherstellen
• Intelligenz – Bedrohungserkennung und Überwachung der Inhalte der Daten
• Wiederherstellung – schnelles Wiederherstellen der Daten nach Ausfall des Rechenzentrums

Lösung für produktive Daten: Ransomware Defender

Grundsätzlich werden Backup-Daten ausschließlich abgelegt und am Ablageort nicht mehr verwendet. Produktive Daten sind im Gegenzug Daten, auf die täglich zugegriffen wird, mit diesen Daten wird gearbeitet.
Auch hier gibt es eine sogenannte Cyber Vault. Für produktive Daten heißt die Lösung: Ransomware Defender.
Der Ransomware Defender überwacht die Datenströme und reagiert sofort. Angriffe werden live gestoppt. Solang jedoch kein Angriff stattfindet, werden die Daten mit einer intelligenten Air Gap auf die Cyber Vault übertragen. Erst wenn ein Angriff registriert wird, wird das Speichern der Daten gestoppt.

Wie sinnvoll ist eine Versicherung gegen Cyberattacken?

Im Allgemeinen können Versicherungen sinnvoll sein, insofern Sie die Obliegenheitspflichten beachten, die der Versicherungsschutz voraussetzt. Sind alle Kriterien erfüllt, ist die Hilfe durch die Versicherung zu großen Teilen gewährleistet, was unter anderem Verhandlungen um Lösegeld sowie den Wiederaufbau des Betriebs umfasst.

Sie sollten sich die Obliegenheitspflichten genau durchlesen: Was müssen Sie alles erfüllen, um den Schutz nicht zu verlieren? Im Fall eines Falles hilft die Versicherung im großen Umfang mit. Sie haben dafür eigene Abteilungen, die sich kümmern, dass das Unternehmen wieder ins Laufen kommt. Manche Versicherungen haben sogar eigene Verhandler und springen auch bei der Lösegeldzahlung ein.

Sie sollten sich trotz der Sinnhaftigkeit eines Versicherungsabschlusses allerdings bewusst sein, dass auch die Versicherungen ihre Bedingungen an die veränderten Ausmaße angepasst haben: Sie zwingen damit die Kunden und auch die Systemhäuser strukturiert etwas für Informationssicherheit zu tun, damit die Versicherer nur die Restrisiken tragen müssen und nicht die grobe Fahrlässigkeit.

Teilen: