Cyberattacken auf Gemeinden nehmen zu

Cyberattacken auf Gemeinden nehmen zu

Gemeinden müssen gegen Cyberattacken aufrüsten.

In der Nacht vom 30. Mai 2021 drangen Hacker in ein geschütztes Computersystem der Waadtländer Gemeinde Rolle ein. Cyberattacken auf Gemeinden haben unlängst stark zugenommen. Gemäss einer Umfrage in Deutschland wurden bereits mehr als 100 Kommunen angegriffen. In der Schweiz wurden die vergangenen Wochen diverse Angriffe bekannt – es muss davon ausgegangen werden, dass es neben den bekannten Angriffen auf Mosnang, Rolle, Bad Zurzach, Montreux, St. Gallen, etc. eine Dunkelziffer gibt.

Der Gemeinde Rolle (VD) wurden eine Unmenge an Daten gestohlen und im Darknet veröffentlicht. Vermutlich konnten die Kriminellen während längerer Zeit auf einen Server der Gemeinde zugreifen und haben lange unbemerkt Daten abgezogen. Denn erst 2 Wochen später hatte die Gemeinde Strafanzeige eingereicht und Mitte August wurde die Öffentlichkeit durch das Online-Magazin watson.ch informiert.

Wie die Angreifer vorgegangen sind, ist nachwievor nicht abschliessend bekannt. In der Regel beschaffen sich Hacker jeweils über Phishing-Operationen Login-Daten. Phishing ist ein Social Engineering, bei dem versucht wird, die Zielpersonen zur Freigabe sensibler und wertvoller Informationen zu bewegen. Die Angriffe erwecken in der Regel die Aufmerksamkeit des Benutzers über eine Nachricht (bspw. E-Mail), die mit einem Appell an die Emotionen eine bestimmte Reaktion hervorrufen soll.

Sichtbare Fehler nur ein Symptom?

Ob die Systeme einer Gemeinde sicher sind, lässt sich in keinster Weise mit einem Blick von aussen sagen. Allerdings gibt es Indikatoren, die zeigen, ob eine Gemeinde oder Firma einige Grundlagen beherrscht. Eine solche ist beispielsweise der Einsatz eines SSL Zertifikats auf der Website. Eine kurze Analyse der 80 Luzerner Gemeinden zeigt, dass 18 17 16 13 (= > 20% 15 %) keine Website mit SSL Zertifikat betreiben. [Bemerkung (November 2021): Auf unseren Hinweis hin haben einige Gemeinden ein SSL Zertifikat installiert. Wir vermuten, dass man keinen Untersuch gemacht hat und somit die Sache nicht wirklich verbessert wurde. Schade…]

Leider zeigt sich in der Privatwirtschaft ein ähnliches Bild. SSL steht für „Secure Sockets Layer“ und ist die Technologie welche den Schutz sensibler Daten, die zwischen zwei Systemen übertragen werden, garantiert. Dies können sensible oder persönliche Daten wie beispielsweise Kreditkartennummern oder Namen und Adressen beinhalten. Fehlt ein SSL Zertifikat wäre das so, als würden Sie all Ihre persönlichen Daten (Adresse, Geburtsdatum, Kreditkarten-Nummer, PIN für die Kreditkarte, etc.) auf eine offene Postkarte schreiben und diese in der örtlichen Poststelle aufhängen. Doch auch Websites mit SSL Zertifikat sind nicht automatisch auf der sicheren Seite!Cyberattacken und Manipulationsversuche beschränken sich nicht nur auf den Augenblick der Datenübertragung. Der SSL-Proxy verschlüsselt die Daten, während sie vom Besucher-Browser übertragen werden. Nachdem der Proxy die Daten dann aber auf die Zielwebsite weitergeleitet hat, greift der SSL-Schutz nicht mehr. Das bedeutet, dass der weitere Datenschutz dem Websitebetreiber selbst obliegt – zum Beispiel durch eine entsprechende Firewall.

„Dass aber der Kauf eines SSL/TLS Zertifikats der erste Schritt in Sachen Website Sicherheit und Datenschutz  ist, sollte unterdessen jedem klar sein.“

Die Zeitung «Le Temps» beruft sich auf einen Cybersecurity-Experten der die frei zugänglichen Datensätze der Gemeinde Rolle (VD) durchforstet hat und bestätigt, dass sehr sensible Daten entwendet wurden, bspw.:

  • mehrere Kredit- und Debitkarten von Einwohnern
  • Bankdaten und Fotos von Ausweispapieren
  • Links, Benutzernamen und Passwörter für diverse Webdienste

Auch wenn die Sicherheitsvorkehrungen vom IT-Dienstleister der Gemeinde Rolle als ausreichend bezeichnet wurden, ein Restrisiko besteht immer: Doch IT Sicherheit darf sich nicht auf Systeme beschränken. Der Mensch ist dabei meist die grösste Schwachstelle und so reicht es bereits, wenn man vergisst das SSL Zertifikat der Website zu erneuern oder einen unbekannten USB-Stick aus Neugierde mal am PC einsteckt. In einer Zeit, wo viele Angestellte Zuhause arbeiten, gilt es dem Faktor Mensch noch mehr Beachtung zu schenken.

Zum Thema SSL haben wir uns in diesem Beitrag geäussert: https://www.digitalrat.ch/ssl-zertifikat/

Wie sich Gemeinden schützen können

Leider ist es nur eine Frage der Zeit bis ihre Firma oder Gemeinde gehackt wird… Entsprechend gibt es auch keinen 100% Schutz. Aber es gilt sich auf diesen Fall vorzubereiten, denn Sie werden in die Pfahlbauer-Zeit zurück geschickt!

Nebst den technischen Massnahmen, sollten auch organisatorische Massnahmen ergriffen werden. Diese müssen unserer Meinung nach im Zentrum Ihrer Bemühungen stehen. Schliesslich haben viele Gemeinden und Firmen die IT Abteilung stark reduziert und sind abhängig von externen Partner. Diesen auf Augenhöhe zu begegnen ist eine andere Herausforderung. In diesem Blogbeitrag möchten wir aus dem Artikel der Kantonspolizei Bern und dem Sicherheitsverbund Schweiz zitieren.

• Regeln Sie die Verantwortlichkeiten und Schnittstellen.

• Suchen Sie sich externe Unterstützung und Sparringpartner.

• Halten Sie eine aktuelle Kontaktliste ausgedruckt zur Seite. Inkl. internen und externen Stellen.

• Regeln Sie den Umgang mit Informationen und schützenswerten Daten.

• Schulen Sie Ihre Mitarbeitenden und Gemeinderatsmitglieder regelmässig, speziell auch im Umgang mit E-Mails.

• Verwenden Sie sichere Passwörter (mind. 12 Zeichen, Zahlen wie auch Sonderzeichen) in Kombination mit einer Zwei-Faktoren-Authentifizierung und pro Dienst ein anderes Passwort. (Hinweis: https://www.digitalrat.ch/cybersecurity-passwort-aendern/)

• Verwenden Sie für Zahlungen einen separaten Computer, auf welchem Sie nicht im Internet surfen und keine E-Mails empfangen. Sprechen Sie mit Ihrem IT-Dienstleister über die Möglichkeit, Ihre Onlinezahlungen in einem von den restlichen Anwendungen abgegrenzten Bereich (Sandboxing) oder in einem dezidierten, besonders geschützten, virtualisierten System zu tätigen. Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten verwaltungsintern klar geregelt sein, zum Beispiel mit dem Vier-Augen-Prinzip und der Kollektivunterschrift.

• Erstellen Sie (mit Hilfe einer externen Partei) ein Krisen- sowie ein Kommunikationskonzept.

• Definieren Sie einen Prozess, der die regelmässige Datensicherung regelt. Lagern Sie eine zusätzliche Kopie Ihres Back-ups getrennt (offline) und ausser Haus (offsite) aus.

• Implementieren Sie Antivirensoftware zur Erkennung und Vermeidung einer Infektion durch Schadsoftware, und halten Sie Ihre Systeme auf dem aktuellsten Stand.

• Sensible Daten dürfen nie unverschlüsselt in der Cloud abgelegt werden. Verwenden Sie möglichst einen Schweizer Cloud-Anbieter.

• Aktivieren Sie spezielle Regeln für Firewalls und geografische Zugriffseinschränkungen (zum Beispiel Zugriffe nur aus der Schweiz).

• Sprechen Sie aktiv und regelmässig mit Ihren Mitarbeitern über Cyberattacken und Prävention.

Quelle/Empfehlungen zum Schutz vor Cyberrisiken in Gemeinden aus PDF Dokument plus Ergänzungen und Präszisierungen durch Digitalrat.

Kevin D. Klak

Kevin unterstützt Ihr Unternehmen im Spannungsfeld der Digitalisierung. Sei es als unabhängiger Beirat für Geschäftsleitung und Verwaltungsrat oder ad Interim in der Umsetzung von strategischen Projekten.