Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden
Die häufige Verwendung des Begriffs Zero Trust im Marketing führt zu einer Verunsicherung der Kunden. Wir erklären, was sich wirklich dahinter verbirgt.
Vor allem kleinere Kommunen haben oft nicht die Kapazitäten, um selbst für eine umfassende Absicherung ihrer IT zu sorgen. Erpresserische Angriffe auf kommunale Verwaltungen nehmen deshalb zu. Abhilfe verspricht eine neue Initiative des Bundesamtes für Sicherheit in der Informationstechnik.
Nach Privatanwendern und Unternehmen geraten nun auch zunehmend Kommunen ins Visier von Ransomware-Banden. So legte im Herbst 2023 ein Angriff auf einen Dienstleister die kommunale Verwaltung von mehr als 70 Städten und Gemeinden mit 1,7 Millionen Einwohnern lahm. Nachdem eine eingedrungene Schadsoftware entdeckt worden war, mussten die Mitarbeiter des Dienstleisters sämtliche Server in zwei Rechenzentren abschalten. Für die IT der Kommunen stellte das den größten anzunehmenden Unfall (GAU) dar. Wichtige Behördendienste wie die Beantragung von Ausweisdokumenten oder die Zulassung von Kraftfahrzeugen funktionierten nicht mehr.
Die mutmaßlich für den Angriff verantwortliche Cybercrime-Gang „Akira“ soll gleich mehrere Fehler des Dienstleisters ausgenutzt haben. So verwendete das Unternehmen Presseberichten zufolge nicht nur schwache Passwörter, sondern verzichtete auch auf eine moderne Multi-Faktor-Authentifizierung (MFA). Zudem wurde mindestens eine Cisco-Appliance, die als Firewall und VPN-Endpunkt diente, nicht gepatcht, obwohl ein Update des Herstellers längst bereitstand.
Mehr als 200 Kommunen in der Region wollen nun freiwillig ihre Cybersicherheit durchleuchten lassen, berichtet die Rheinische Post. „Während die kreisfreien Städte oft über große IT-Abteilungen verfügen und heute schon gut aufgestellt sind, wird es in kleinen, ländlichen Gemeinden schwierig, die entsprechenden Fachkräfte zu finden“, sagt Digitalisierungsministerin Ina Scharrenbach (CDU) in dem Artikel. Mit den Erkenntnissen aus den vom Land bezahlten Untersuchungen wolle man zunächst den Basisschutz verbessern, so die Politikerin.
Immerhin soll es den Erpressern im fraglichen Fall nicht gelungen sein, auf die Back-ups der Kommunen zuzugreifen. Außerdem teilte der Dienstleister mit, dass es keine Hinweise auf einen Datenabfluss gegeben habe. Der Erpressungsversuch sei also ins Leere gelaufen.
Stellt sich die Frage, wie es überhaupt so weit kommen konnte? Bereits vor einem Jahr bezeichnete Clemens Körner, Landrat des Rhein-Pfalz-Kreises, einen Cyberangriff auf die dortige Verwaltung als „Weckruf“. Doch noch hätten ihn nicht alle Kommunen gehört. Die Digitalisierung dürfe jedoch nicht zulasten der Sicherheit gehen.
Rund 750 Laptops mussten im Rhein-Pfalz-Kreis frisch aufgesetzt oder neu angeschafft werden, viele Dienste waren nicht erreichbar. Die Angreifer drangen vermutlich über einen im Homeoffice genutzten Computer in die Systeme ein. Etwa 100 GByte Daten sollen die Erpresser, die – soweit bekannt – zur Bande „Vice Society“ gehören, bereits im Darknet veröffentlicht haben.
Im Frühjahr 2023 startete das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA) zur Verbesserung der IT-Absicherung in deutschen Kommunen. WiBA soll den Einstieg in den aufwendigeren IT-Grundschutz erleichtern, mit dem gerade kleinere Kommunen oft überfordert sind. So räumte BSI-Vizepräsident Gerhard Schabhüser bei der Vorstellung von WiBA ein, dass „insbesondere für kleinere Kommunen die Umsetzung der IT-Grundschutz-Standards zu komplex“ sei.
Deshalb wolle man mit dem WiBA eine neue Einstiegsebene in den IT-Grundschutz anbieten. „Wir versorgen die kleineren Kommunen mit Checklisten, Prüffragen und Hilfsmitteln, mit denen sie die dringlichsten Maßnahmen selbst identifizieren und umsetzen können“, so Schabhüser. Das WiBA-Projekt decke 19 für die IT-Sicherheit relevante Bereiche ab. Dazu gehörten beispielsweise IT-Administration, Serversysteme, Bürosoftware, mobile Endgeräte, Arbeiten außerhalb der Institutionen (Homeoffice), Back-ups, Personal und Organisation sowie die Vorbereitung auf IT-Sicherheitsvorfälle.
Sind diese Aufgaben erledigt, haben die Kommunen damit ein Schutzniveau erreicht, das sie anschließend zum IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln können.
Auch Bernd Nüßlein, Vice President Sales & Marketing bei NCP, warnt im Interview mit connect professional vor den gravierenden Folgen von Angriffen auf Kommunen. Sie hätten oft einen großen Einfluss auf das tägliche Leben der Bürger. Daher sei es besonders problematisch, wenn kommunale Rechenzentren oder die lokalen Verwaltungen ins Visier von Hackern geraten.
NCP hat zudem eine Umfrage durchführen lassen, inwieweit sich die Kommunen bislang schon mit modernen Sicherheitskonzepten beschäftigt haben. Die Ergebnisse waren laut Nüßlein „erschreckend“. Nur wenige hatten bereits aktuelle Sicherheitsmaßnahmen umgesetzt. Vielen fehlte es dafür schlicht an Geld, Personal oder Fachkenntnissen. Eine Zwei-Faktor-Authentifizierung zum Beispiel hätten bisher nur wenige im Einsatz.
Immerhin ist das Zero-Trust-Konzept vielerorts bereits ein Thema in den Amtsstuben. So gaben in einer Studie von NCP und dem Beratungsunternehmen elfnullelf 80 Prozent der befragten deutschen Kommunen an, dass Zero Trust bereits eine wichtige Rolle für ihre IT-Sicherheit spielt. Allerdings setzen bisher nur elf Prozent der Befragten das Konzept bereits ein. Immerhin knapp 48 Prozent halten es für wahrscheinlich, dass ihre Kommune das Zero-Trust-Prinzip in den nächsten Jahren einführen wird.
40 Prozent der befragten Kommunen fehlen die personellen Kapazitäten, 25 Prozent mangelt es schlicht am Know-how, um Zero Trust in ihren IT-Umgebungen einzuführen. Nur eine einzige Kommune hatte bereits alle acht zentralen Komponenten von Zero Trust verankert.
Wenn Sie Unterstützung bei der Absicherung Ihrer kommunalen IT oder bei der Umsetzung des Zero-Trust-Konzeptes benötigen, stehen wir Ihnen gerne zur Verfügung.