Cybersecurity und Ransomware: Der Cyberangriff auf die Südwestfalen IT

Über Cyberangriffe, Ransomware und IT-Infrastruktur

Bald zwei Monate ist der Cyberangriff auf das Netzwerk des IT-Dienstleisters Südwestfalen-IT her. Die anhaltenden Auswirkungen sind bedeutsam, können doch einzelne Städte auch im Dezember ihre Haushaltspläne nicht abschließen. Laut Berichten des WDR ist die Stadt Siegen mit rund 800 PC-Arbeitsplätzen betroffen gewesen, die zeitweise gänzlich offline waren.

Was ist bei der Verwaltung von IT-Infrastrukturen zu beachten und wie weit erstrecken sich die Auswirkungen eines Cyberangriffes? Dieser Artikel thematisiert Cybersicherheit im Kontext von On-Premises- und Cloud-Infrastrukturen mit Optionen zur Prävention, um die Widerstandsfähigkeit gegenüber Ransomware zu steigern.

‍

Cyberangriff, Ransomware, DDos - was ist was?

Wundersames World Wide Web: Ebenso lang wie die Liste der Möglichkeiten ist das Register der potenziellen Gefahren. Diese zu beziffern und einzuordnen erfordert eine Basis an Begrifflichkeiten.

‍

DoS- und DDoS-Attacken

Denial-of-Service (DoS) und Distributed Denial-of-Service (DDoS) - derartige Attacken zielen darauf ab, Server oder Dienste außer Betrieb zu setzen. Mit Blick auf die jüngst erfolgte Attacke auf die Südwestfalen-IT ist eine Parallele erkennbar. Eine DoS-Attacke überlastet den anvisierten Server mit einer Vielzahl von Anfragen, um diesen schlussendlich zum Zusammenbruch zu bringen. Der Server einer Organisation ist anfälliger für DoS-Attacken, wenn Schwachstellen im Programm oder Betriebssystem existieren sowie fehlerhafte Implementierungen und Bugs. Es existieren unterschiedliche Formen von DoS-Attacken, wie Syn Flooding, Ping Flooding oder Mailbombing.

Bei einer DDoS-Attacke werden statt einzelnen Systemen (wie das Betriebssystem) eine hohe Anzahl von Systemen angegriffen. Erkennungsmerkmal einer DDoS-Attacke sind deutlich höhere Netzressourcen.

‍

Ransomware

Bei einer Ransomware-Attacke wird eine Organisation mittels eines Schadprogrammes (oder mehrerer) infiltriert. Das Ziel von Schadprogrammen wie Ransomware ist die vollkommene Blockade des Computersystems oder die Verschlüsselung von Nutzerdaten sowie Betriebsinformationen. Die Freigabe der Daten? Nur gegen Lösegeld. Besonders betroffen von Ransomware sind laut dem Bundesamt für Sicherheit und Informationstechnik Windows-Programme.

Und in Deutschland nutzen insbesondere öffentliche Institutionen wie Behörden diese. Laut einer Erhebung aus dem Jahr 2019 verwenden rund 69 % der Behörden Windows-Server und rund 96 % Windows-Dienste. Stetig stärker werdende Schadprogramme wie "Emotet" verdeutlichen die Dringlichkeit, Schwachstellen in der Informationsinfrastruktur zu benennen und massiver abzusichern. Seit dem 1. Dezember sind dem WDR zufolge E-Mails in den betroffenen Kommunen in NRW wieder möglich, ein genauer Zeitplan für die Widerherstellung des gesamten Systems jedoch noch unvorhersehbar.

‍

Ein Blick auf die Infrastrukturen: On-Premises und Cloud

Die Bereitstellungsform von IT-Ressourcen spaltet manche Gemüter und in diesem Fall Gemeinden.

On-Premises: Während ein Trend in Richtung Cloud-Nutzung zu beobachten ist, gibt es öffentliche Institutionen, darunter Jalios-Kunden aus NRW, die sich bewusst gegen die Cloud und für ein On-Premises-Modell entschieden haben. Die Option, an späterer Stelle in die Cloud zu wechseln, besteht zu jedem Zeitpunkt. Doch zum jetzigen Augenblick gilt besonders, dass die lokale Bereitstellung der IT-Ressourcen dazu in der Lage sein soll, weitgehend autonom mit dem internen Tagesgeschäft fortzufahren.

Cloud: Generell erfolgt die Bereitstellung von Cloud-Diensten über das Internet und ein damit verbundenes Gerät. Wenn demnach die grundlegende IT-Infrastruktur sowie das Intranet mit dem Cloud-Dienst verbunden sind, steht Hackergruppen wie "Akira" im Falle von NRW die Tür zu den internen Daten offen. Aus diesem Grund müssen Cloud-Dienste besonders abgesichert sein. In vielen Fällen bringt die Bereitstellung von Infrastruktur in der Cloud einige Vorteile mit sich, jedoch ist die exponierteste Schwachstelle, speziell im Hinblick auf personenbezogene Daten, die weitreichende Auswirkung auf das gesamte Informationssystem. Wenn Server-Systeme demnach ohne die sogenannte Zwei-Faktor-Authentifizierung agieren, sind besonders diese prädestiniert für einen Angriff. Werden jedoch Zwei-Faktor-Authentifizierung und zeitbasierte Einmalkennwörter (TOTP) in Kombination genutzt, wie bei Jalios, können Sie Ihr System doppelt absichern.

‍

Lösungen und bewährte Praktiken

Kein Problem ohne potenzielle Lösung: In jedem Fall muss, unabhängig von der Branche und Unternehmensgröße, ein grundlegendes Verständnis für Sicherheitsbelange existieren. Doch wir haben noch mehr Ansätze, die Sie zur Absicherung Ihres Intranets verfolgen können:

‍

• Hybrider Cloud-Ansatz: Mit dem hybriden Ansatz kombinieren Sie das Beste der On-Premises- und Cloud-Infrastruktur. Durch die Integration beider Modelle können Organisationen von den Stärken der jeweiligen Lösung profitieren. Daten mit enormer Speicherkapazität können in der Cloud gehostet werden, während lokale Systeme den inkrementellen Bestandteil des Tagesgeschäftes verwalten.
• Notfallwiederherstellungspläne: Die Erstellung und repetitive Aktualisierung von Notfallwiederherstellungsplänen für das Intranet sind entscheidend. Diese Pläne sollten klare Schritte und Verantwortlichkeiten festlegen, um im Falle eines Angriffs schnell und effektiv reagieren zu können.
• Schulungen und Sensibilisierung: Schulungsprogramme für Mitarbeitende sind unerlässlich. Phishing-Mails und Schadprogramme verbessern sich zunehmend, deshalb können sensibilisierte Mitarbeitende dazu beitragen, Phishing-Angriffe zu erkennen und zu vermeiden.
• Sicherheitsaudits: Kontinuierliche Überprüfungen der Sicherheitsinfrastruktur, einschließlich Penetrationstests (Pentests) und Audits, sind wichtig, um Schwachstellen frühzeitig zu identifizieren und zu beheben. Simulierte Hackerangriffe ermöglichen Ihnen das erkennen von Sicherheitslücken, bevor es andere tun.
• Datenverschlüsselung und Zugriffssteuerung: Durch die Implementierung von Datenverschlüsselung und strikter Zugriffssteuerung können Organisationen gewährleisten, dass selbst bei einem erfolgreichen Angriff der Zugriff auf Daten erschwert oder unmöglich ist. Mit der Zwei-Faktor-Authentifizierung in Kombination mit den Einmalkennwörtern integrieren Sie eine Sicherheitsbarriere, die potenzielle Eindringlinge zusätzlich überwinden müssen.
• Software-Aktualisierung und Patches: Regelmäßige Aktualisierungen von Software und Anwendungen sind entscheidend, um Sicherheitslücken zu schließen. Bei dem sogenannten "Patch-Management" handelt es sich um die Überwachung der IT-Ressourcen, indem Updates angewendet werden, um Lücken zu schließen bzw. "zu flicken". Neben normalen Software-Updates ist Patching ein inkrementeller Bestandteil des Lifecycle-Managements von IT-Systemen.
• Faktor Mensch: Nehmen Sie Ihren Mitarbeitenden Verantwortung ab und reduzieren Sie in diesem Zuge menschliche Fehler. Mittels einer stringenten Rechte- und Zugriffsregelungen können Sie Daten und Bereiche im Intranet absichern und abschirmen: Indem nur Berechtigte und die Administration Zugriff auf kritische Informationen haben.

‍

Der Cyberangriff auf die Südwestfalen IT verdeutlicht die Notwendigkeit, die Sicherheitsinfrastruktur von Organisationen zu überdenken und zu stärken. Die Kombination von On-Premises- und Cloud-Infrastrukturen, ergänzt durch umfassende Sicherheitsmaßnahmen und Schulungen, kann die Widerstandsfähigkeit gegenüber Cyberbedrohungen erheblich verbessern. Unternehmen und Behörden müssen proaktiv handeln, um ihre Systeme zu schützen und sich auf mögliche Angriffe antizipativ vorzubereiten, um die Auswirkungen auf ihre Handlungsfähigkeit zu minimieren.

Mehr zu den Hosting- und Sicherheitsoptionen? In einer kostenlosen Demoversion können Sie Fragen stellen und sich die Vor- sowie Nachteile von der On-Premises- oder Cloud-Bereitstellung zeigen lassen.