Sicherheitsbehörden schätzen die Wahrscheinlichkeit politisch motivierter Cyberangriffe auf öffentliche IT-Infrastrukturen seit Beginn des russischen Angriffskriegs gegen die Ukraine als stark gestiegen ein. Wir sehen uns mit einer neuen Bedrohungslage konfrontiert, die insbesondere durch gestiegene Risiken in der Informationssicherheit geprägt ist. Virtuelle Angriffe sind wegen des geringen Vorbereitungs- und Durchführungsaufwands sowie der schwierigen Nachvollziehbarkeit ein bevorzugtes Mittel der Auseinandersetzung geworden. Damit hat sich das Tempo des Wettrennens zwischen Cyberangreifern und Cyberabwehr- Spezialisten erneut verschärft.
Informationssicherheit
Stärkung der Cyberabwehr
Durch die breite mediale Abdeckung sind die DDoS-Angriffe (Distributed Denial of Service) weithin bekannt. Diese zielen auf eine Überlastung der anvisierten IT-Infrastruktur ab, die beispielsweise durch massenhafte Aufrufe einer Webseite aus dem Internet verursacht wird. Die Überlastung führt dazu, dass die Webseite de facto für ernsthafte Nutzerinnen und Nutzer nicht mehr erreichbar ist und im schlimmsten Fall sogar das gesamte IT-System ausfällt. Da die Angriffe unter anderem über Anonymisierungsnetzwerke verschleiert werden, ist eine Rückverfolgung zum Verursacher nahezu unmöglich. Für Situationen wie diese setzt die HZD komplexe und hochperformante Spezialfilterlösungen ein. Diese identifizieren willkürliche Massenanfragen schon zu Beginn des Angriffs und verhindern, dass sie auf die anvisierte Webseite weitergeleitet werden.
Angriffsziel öffentliche Verwaltung
Die zunehmende Anzahl an Internetangeboten von Verwaltungseinrichtungen zieht inzwischen auch das Interesse staatlich gelenkter Angreifergruppierungen auf sich, die parallel zu den kriminell motivierten Hackern auf den Plan treten. Etwaige Schwachstellen werden ausgenutzt, um den Betrieb zu stören oder sogar nachhaltig zu schädigen. Mit diplomatischen Konflikten ist bei diesen Aktionen kaum zu rechnen, da sich Cyberattacken nur in den seltensten Fällen eindeutig einer staatlichen Stelle zuordnen lassen. Die öffentliche Verwaltung muss sich dieser Bedrohung entgegenstellen – mit geeigneten Maßnahmen zur Wahrung der Informationssicherheit, die zur Aufrechterhaltung der IT-gestützten Staats- und Regierungsfunktionen unabdingbar sind.
Die HZD als zentraler IT-Dienstleister der hessischen Landesverwaltung beobachtet die Entwicklung der Lage besonders kritisch und begegnet Veränderungen im Cyberangriffsbild mit immer ausgefeilteren Maßnahmen. Dabei reicht das Handlungsfeld zur Cyberabwehr von der Prävention über die Detektion bis zur Reaktion auf konkrete Bedrohungen. Erklärtes Ziel ist dabei, die Geschäftsprozesse und die IT-Infrastruktur so weiterzuentwickeln, dass Angriffsversuche direkt ins Leere laufen.
Aktionsfelder zur Abwehr
Um potenzielle Sicherheitslücken von IT-Komponenten bereits vor Produktionsstart zu schließen, werden proaktive Penetrationstests und Schwachstellenscans zur Verifikation der Wirksamkeit ergriffener Sicherheitsmaßnahmen genutzt. Darüber hinaus werden von den Sicherheitsteams der HZD sogenannte „Härtungen“ der IT-Systeme vorgenommen, um besser gegen Angriffe gerüstet zu sein.
Zum Aufspüren möglicher Bedrohungen setzt man auf den Umstand, dass Cyberattacken stets auch Spuren in den IT-Systemen hinterlassen. Durch Kombination von komplexen zeitlichen und logischen Korrelationen kann es gelingen, Angriffsversuche von den regulären Systemaktivitäten zu unterscheiden. Daraus lassen sich gegebenenfalls Abwehrmaßnahmen ableiten, welche die bereits getroffenen Vorkehrungen wirkungsvoll ergänzen.
Bislang ist die hessische Landesverwaltung – dank der bereits etablierten Strukturen – von schweren Angriffen verschont geblieben. Für den Fall der Fälle hat die HZD ein umfassendes IT-Notfallmanagement aufgesetzt, zu dem neben Akutmaßnahmen zum Eindämmen von Schäden auch Wiederherstellungspläne gehören. Im Fokus dieser Maßnahmen steht – neben der Wahrung der Integrität und Vertraulichkeit von Daten und Systemen – die Verfügbarkeit der IT-Dienste. Ziel ist es, Einschränkungen und Ausfälle zu vermeiden oder zumindest den Zeitraum der Beeinträchtigung zu minimieren.
Sichere IT-Architekturen
Idealerweise schafft eine automatisierte Angriffserkennung mit einer darauffolgenden „Selbstheilung“ resiliente IT-Infrastrukturen, die auch gravierenden Cyberangriffen trotzen kann. Für die Etablierung solcher neuen sicherheitsorientierten IT-Architekturen sind Investitionen in fortschrittliche Sicherheitstechniken und ein grundlegender Umbau ganzer IT-Infrastrukturen erforderlich. In der HZD werden dazu unterschiedlichste Informationssicherheitsmaßnahmen auf den Prüfstand gestellt und immer neue Abwehrtechniken erarbeitet. Ein wesentlicher Faktor für das Gelingen der erweiterten Abwehrstrategie ist die Schaffung von geeigneten Rahmenbedingungen durch die für das Thema Cybersicherheit zuständigen Ministerien. Dazu gehört neben der Bereitstellung der finanziellen Mittel und der Festlegung landesweit gültiger Vorgaben zum benötigten Sicherheitsniveau auch weitere Ausbildungs- und Qualifizierungsangebote für Cyberabwehr- Spezialistinnen und -Spezialisten. Ihren eigenen Nachwuchs hat die HZD schon seit einigen Jahren am Start – unter anderem mit den dual Studierenden, die sich an der Hochschule Darmstadt für Informatik mit Schwerpunkt IT-Sicherheit eingeschrieben haben.
Faktor „Mensch“ im Fokus
Flankierend zur technischen Aufrüstung führt die HZD breit angelegte personelle Maßnahmen wie Awareness-Schulungen durch, damit möglichst alle Mitarbeitenden Cyberangriffe erkennen und durch besonnenes Handeln verhindern können. Besonderes Augenmerk gilt dabei dem Umgang mit Kommunikationsmedien, die zum täglichen Austausch von Informationen genutzt werden. Fast jeder kennt aus dem privaten Umfeld die Vielzahl von Spam-Mails, die uns über PC, Tablet oder Smartphone erreichen – vermeintliche Bankmitteilungen, gefälschte Statusreports von Paketzustellungen oder unerlaubte Aufforderungen zur Verifikation von Nutzerdaten für Verkaufsplattformen und Social-Media-Dienste. Vor diesem Hintergrund sind viele Nutzerinnen und Nutzer anotgedrungen bereits Profis geworden. Leider werden die Verfasser von Nachrichten mit Schadprogrammen im Dateianhang immer professioneller, wodurch Angriffe immer schwieriger zu erkennen sind. Hier setzen zielgruppenspezifische Awareness-Maßnahmen an, die die neuesten Entwicklungen bei der skrupellosen Ausnutzung unserer grundsätzlichen Hilfsbereitschaft aufgreifen.
Autor des Beitrags
Dr. Arno Domack
Leiter Informationssicherheitsmanagement