Ziel von Hackern: Die öffentliche Verwaltung trainiert zur Verteidigung gegen Cyberfeinde

Alte Computergeräte (Router, Computer und sogar Mobiltelefone), selbst wenn ihre Software regelmäßig aktualisiert wird, sind ein leichtes Ziel für Hacker, die zunehmend Unternehmen, Regierungsinstitutionen, Banken und Infrastruktur weltweit angreifen. Microsoft stellte beispielsweise fest, dass die Berichte über Angriffe auf internetexponierte, schlecht gesicherte Betriebstechnologie (OT)-Geräte, die zur Überwachung, Verkehrsmanagement, Automatisierung, Industrie, Energie usw. verwendet werden, Ende 2023 zugenommen haben. Ende 2023 war OT-Ausrüstung in US-Wasserwerken Ziel mehrerer Angriffe von verschiedenen Akteuren aus dem Ausland.

Die Zahl der staatlich geförderten Cyberangriffe nimmt auch weltweit zu, insbesondere in Konfliktländern, aber auch in Friedenszeiten aufgrund von Spionage oder einfach zur Störung normaler Prozesse in der Wirtschaft und im öffentlichen Sektor sowie Erpressung, die finanziellen Schaden verursacht. Auch in Kroatien gab es einen Anstieg von Cyberangriffen, wo laut Polizeidaten im Jahr 2023 1.688 solcher Angriffe auf Computersysteme, Programme und Daten gemeldet wurden. Im Vergleich zu 2022 war die Zahl der gemeldeten Cyberangriffe im vergangenen Jahr um 9,61 % höher, und die Opfer erlitten Gesamtkosten von zehn Millionen Euro, zweieinhalb Millionen mehr als im Vorjahr.

Neu ist immer besser

Die neue, wachsende Art von Kriminalität – Cyberkriminalität – wurde unbeabsichtigt durch das Internet und die Digitalisierung ins Leben gerufen. Eine Möglichkeit, sich dagegen zu schützen, ist die ständige Erneuerung von Computergeräten und die Schulung der Mitarbeiter in Bezug auf Cybersicherheit und den Schutz vor Hackerangriffen. Beispielsweise arbeitet der kroatische öffentliche Sektor mit Computergeräten, die im Durchschnitt zwischen drei und fünf Jahren alt sind, deren Software regelmäßig aktualisiert wird, und die Geräte werden kontinuierlich je nach finanziellen Möglichkeiten erneuert. Die Computergeräte, die von den Mitarbeitern von APIS IT verwendet werden, werden alle vier bis fünf Jahre erneuert, abhängig von den Spezifikationen des Herstellers. Neben regelmäßigen Software-Updates, fortschrittlichen Sicherheitswerkzeugen und Zugangskontrollen werden eine Reihe anderer Maßnahmen ergriffen, um die Widerstandsfähigkeit gegen verschiedene Arten von Cyberangriffen aufrechtzuerhalten, wie z.B. Datensicherung und -wiederherstellung, regelmäßige Sicherheitsüberprüfungen und Tests, Schulungen der Mitarbeiter und Netzwerksegmentierung.

– Neben dem oben Genannten betonen wir die aktive Überwachung und Erkennung von Cyberbedrohungen in Echtzeit mithilfe des SIEM (Security Information and Event Management)-Systems, das Sicherheitsereignisse aus verschiedenen internen IT-Quellen sammelt und analysiert. Darüber hinaus investiert APIS IT kontinuierlich in die Anwendung internationaler Sicherheitsstandards (Zertifizierungen) wie ISO/IEC 27001, ISO 22301, ISO 20000, ISO 9001, ISO 14001, um einen umfassenden Schutz der Daten und IT-Systeme für interne und externe Nutzer unserer Dienstleistungen zu gewährleisten – so die Aussage von APIS IT.

Sicherheitszertifikate

Dieses Unternehmen erwirbt alle zwei Jahre neue offizielle Mobiltelefone, und alle Mitarbeiter, insbesondere diejenigen in sicherheitsrelevanten Positionen, erweitern kontinuierlich ihr Wissen durch Schulungen zu internen Sicherheitsrichtlinien und -verfahren, die innerhalb des Unternehmens (internes LMS) oder bei externen Seminaren und Konferenzen eingehalten werden müssen.

– Wir fördern den Erwerb relevanter Sicherheitszertifikate wie CISSP, CISM und CEH und befürworten die Prinzipien der sicheren Programmierung, d.h. die Implementierung von Sicherheitsmaßnahmen im Entwicklungszyklus (DevSecOps). Darüber hinaus führen wir kontinuierlich Kampagnen durch, um über verschiedene Arten von Malware zu informieren und die Mitarbeiter zu warnen, wie sie Phishing und alle anderen Formen von Social Engineering erkennen und darauf reagieren können. Die Teilnahme an großen internationalen Cyber-Übungen wie ‚NATO Cyber Coalition 2023‘ oder ‚Cyber Europe 2024‘ ist besonders vorteilhaft für unsere Sicherheitsexperten, wo sie bemerkenswerte Erfolge erzielen – so die Aussage von APIS IT.

Im Finanzministerium sind die Computer, die von den Mitarbeitern verwendet werden, im Durchschnitt drei Jahre alt, und sie aktualisieren regelmäßig die Betriebssysteme zur Sicherheit. Die Mitarbeiter werden entsprechend den Anforderungen der von ihnen ausgeführten Arbeiten geschult, ebenso wie bei der Änderung offizieller Mobiltelefone.

Regelmäßige Schwachstellentests

Das durchschnittliche Alter der Computergeräte im Innenministerium (MUP) beträgt etwa fünf Jahre. Sie werden jedes Jahr erneuert, abhängig von den finanziellen Mitteln, den Bedürfnissen der einzelnen Abteilungen und der Gewährleistung, dass die ältesten Geräte zuerst erneuert werden.

– Um die Widerstandsfähigkeit unseres Informationssystems gegenüber zunehmend ausgeklügelten Bedrohungen zu erhöhen, führen wir kontinuierlich Schwachstellentests und Überprüfungen des Betriebs des Informationssystems durch. Dies geschieht durch interne Ressourcen innerhalb des öffentlichen Sektors sowie durch Verträge mit externen Auftragnehmern. Nach der Feststellung bestimmter Schwachstellen wird ein Prozess zu deren Beseitigung gemäß den erhaltenen Empfehlungen durchgeführt – so die Aussage von MUP.

Das Ministerium erwirbt mobile Geräte auf der Grundlage eines Rahmenvertrags zwischen Betreibern und dem Zentralen Staatlichen Amt für zentrale öffentliche Beschaffung und in Ausnahmefällen durch öffentliche Ausschreibungen, je nach Bedarf der Polizeidienste und der Zivilschutzdienste. Gleichzeitig wird die Schulung der Mitarbeiter in Bezug auf Cybersicherheit durchgeführt, indem das Bewusstsein für Informationssicherheit gefördert wird, indem das Bewusstsein der Mitarbeiter für die Bedeutung der Einhaltung sicherheitsbetrieblichen Verfahren im IT-System und das Erkennen von Bedrohungen mit rechtzeitiger Meldung an die relevanten organisatorischen Einheiten geschärft wird.

Bildung, Tests, Simulationen

– Die Schulung erfolgt in erster Linie intern durch E-Klassenräume oder die Teilnahme an Vorträgen und Seminaren, die von anderen Einrichtungen organisiert werden. Die Mitarbeiter des Innenministeriums nehmen kontinuierlich an Cyber-Übungen teil, die stark zur Stärkung der Cybersicherheit beitragen, um die Fähigkeit zu entwickeln, auf Cyberbedrohungen und -risiken im nationalen Cyberraum zu reagieren – so die Aussage von MUP.

Das Ministerium konzentriert sich auf die Prävention und Bekämpfung von Cyberkriminalität, während gleichzeitig das Bewusstsein der Bürger für die Gefahren und Risiken des Internets und mögliche Möglichkeiten, sich in der virtuellen Welt zu schützen, geschärft wird. Auf seiner Website und seinem YouTube-Kanal veröffentlicht das Ministerium Warnungen vor verschiedenen Arten von Computerbetrug und nützliche Informationen, wie man sich im Rahmen der Kampagne ‚Web Hero‘ im Projekt ‚Stärkung der Kapazitäten der Polizei zur Bekämpfung von Cyberkriminalität‘ schützen kann, das MUP im Rahmen des Nationalen Wiederaufbau- und Resilienzplans 2021 – 2026 umsetzt und finanziert. In Kroatien verfügt die Post über tragbare und Desktop-Computer, die bis zu fünf und acht Jahre alt sind, und jedes Jahr wird der älteste Teil der Ausrüstung durch neue ersetzt. Dieses Staatsunternehmen wechselt auch alle zwei Jahre seine offiziellen Mobiltelefone.

– Die Stärkung der Widerstandsfähigkeit gegen Hackerangriffe in der kroatischen Post umfasst technische, organisatorische und bildungsbezogene Maßnahmen. Wir aktualisieren regelmäßig die Software mit den neuesten Sicherheitspatches und verwenden die Multi-Faktor-Authentifizierung (MFA), um ein zusätzliches Sicherheitsniveau beim Zugriff auf Systeme und Anwendungen zu gewährleisten. Wir schulen auch die Mitarbeiter über Sicherheitsbedrohungen, implementieren Regeln und Verfahren zum Schutz von Informationssystemen und führen regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch, um potenzielle Schwächen rechtzeitig zu identifizieren und zu beseitigen – so die Aussage der kroatischen Post. Der Fokus auf digitales Geschäft stellt die Cybersicherheit an die Spitze der Prioritäten der kroatischen Post, die regelmäßig die Mitarbeiter schult, wie sie sich gegen potenzielle Cyberangriffe schützen und diese erkennen können. Dazu gehört die Schulung zu Phishing-E-Mails, Social Engineering, sicheren Passwörtern und dem richtigen Umgang mit IT-Geräten.

– Wir führen auch regelmäßige Tests der Mitarbeiter zur Erkennung von Phishing-E-Mails und anderen Arten von Cyberbedrohungen durch. Die Tests umfassen Simulationen realer Angriffe, bei denen die Mitarbeiter gefälschte Phishing-E-Mails erhalten, und ihre Reaktionen werden überwacht. Die Ergebnisse der Tests werden genutzt, um die Schulung weiter zu verbessern und das Bewusstsein für Sicherheitsbedrohungen zu erhöhen – so die Aussage der kroatischen Post.

Updates und Patches

Die Erneuerung der Computergeräte bei der Kroatischen Finanzdienstleistungsaufsichtsbehörde (Hanfa) erfolgt regelmäßig und hängt von der Abnutzung und der Unterstützung des Herstellers ab. Das Gleiche gilt für offizielle Mobiltelefone, und alle Geräte werden über öffentliche Beschaffungen beschafft. Darüber hinaus führt Hanfa regelmäßig Schulungen, Warnungen und andere Aktivitäten durch, um das Bewusstsein und die Fähigkeit der Mitarbeiter zu schärfen, bösartige Nachrichten und potenzielle Cyberangriffe zu erkennen und zu vermeiden. Auch Schulungen zu Krisenverfahren werden durchgeführt.

– Wir modernisieren IT-Programme und -Geräte durch regelmäßige Software- und Betriebssystemupdates, verwenden zuverlässige Antivirus- und Antimalware-Lösungen und implementieren die Multi-Faktor-Authentifizierung – so die Aussage von Hanfa. Um Cyberangriffe auf Institutionen, Unternehmen und Infrastruktur zu verhindern, ist es laut Leon Juranić, einem Cybersicherheitsexperten, notwendig, die Software aller technischen Geräte regelmäßig mit den neuesten Sicherheitspatches und Versionen zu aktualisieren.

Einige Wunden sind unheilbar

– Auf diese Weise wird die Möglichkeit, technische Geräte mit bereits bekannten Schwachstellen zu kompromittieren, beseitigt, und Updates enthalten oft allgemeine Verbesserungen der Software-Sicherheit. Es spielt keine Rolle, ob es sich um einen Computer, Server, Smartphone, Router oder Smart-Thermostat handelt. Technische Geräte wie Computer, Smartphones und ähnliche können im Allgemeinen bis zum EOL (End Of Life) verwendet werden, d.h. solange der Hersteller die jeweilige Version des Geräts, d.h. die Software darauf, vollständig nicht mehr unterstützt. Obwohl die Verwendung der neuesten Version von Software auf Computern die Sicherheit verbessert, ist es wichtig zu beachten, dass es sogenannte Zero-Day-Schwachstellen gibt, d.h. Schwachstellen, von denen der Software- oder Hardwarehersteller nichts weiß und die er nicht patchen kann.

Solche Schwachstellen sind heute auf grauen und schwarzen Märkten sehr gefragt, werden von spezialisierten Unternehmen oder einzelnen Hackern entdeckt und dann oft an Regierungen, Geheimdienste usw. verkauft. Dagegen gibt es keinen Schutz. Selbst die neueste Ausrüstung und Software mit den neuesten Patches schützt nicht vor Zero-Day-Schwachstellen. Beispielsweise können die Preise für Zero-Day-, Zero-Click-Schwachstellen, d.h. Exploits, die keine Benutzerinteraktion mit dem Hacker erfordern, mehrere Millionen Dollar pro Schwachstelle oder Programm, das sie ausnutzt, erreichen – erklärt Juranić. Seiner Meinung nach sollte jeder Mitarbeiter eines Unternehmens, das seine Sicherheit schätzt, mindestens eine grundlegende Schulung zu Cyberbedrohungen durchlaufen, um über die Grundlagen der Cybersicherheit informiert zu sein und mit den häufigsten Techniken und Methoden von Hackerangriffen vertraut zu sein.