Behörden stehen im Fokus von Cyberkriminellen
Fast die Hälfte der Behörden in Deutschland verzeichnete in den vergangenen zwei Jahren Fälle von digitaler Spionage, Sabotage oder Datendiebstahl. Gleichzeitig reicht die IT-Sicherheit in den meisten öffentlichen Einrichtungen nicht aus, denn die Schulungen der Mitarbeiter werden häufig vernachlässigt.
Fast die Hälfte der Behörden in Deutschland verzeichnete in den vergangenen zwei Jahren Fälle von digitaler Spionage, Sabotage oder Datendiebstahl. Gleichzeitig reicht die IT-Sicherheit in den meisten öffentlichen Einrichtungen nicht aus, denn die Schulungen der Mitarbeiter werden häufig vernachlässigt.
Häufigstes Delikt ist mit einem Anteil von 26 Prozent Social Engineering. Dabei geht es darum, Mitarbeiter zu manipulieren, um an bestimmte Informationen zu gelangen. Bei rund 23 Prozent der Behörden sind IT-Geräte wie Computer oder Smartphones mit sensiblen Daten gestohlen worden und bei rund 21 Prozent sind laut einer Studie des ITK-Verbands Bitkom die IT-Systeme sabotiert worden. Ein Fünftel der Befragten berichtet, dass sensible Dokumente entwendet wurden und bei jeder zehnten Behörde sind E-Mails ausgespäht oder Gespräche abgehört worden. »Behörden sind ein attraktives Angriffsziel für Cyberkriminelle und Geheimdienste«, sagt Susanne Dehmel, Geschäftsleiterin beim Bitkom. Neben politischen Informationen seien die Angreifer auch an wirtschaftlich verwertbaren Hinweisen interessiert. Das können zum Beispiel Daten zu Genehmigungs- oder Vergabeverfahren betreffen.
Für den Schutz ihrer Informationen würden alle befragten Behörden technische Maßnahmen der IT-Sicherheit einsetzen. Fast alle Einrichtungen, immerhin rund 94 Prozent, hätten laut der Studie Maßnahmen der organisatorischen IT-Sicherheit ergriffen, zum Beispiel Verhaltensrichtlinien oder Notfallpläne ausgearbeitet. In vier von fünf Ämtern gibt es physische Sicherheitsmaßnahmen, um zum Beispiel Gebäude und Einrichtungen zu schützen. Dagegen ergreifen jedoch nicht einmal ein Drittel Maßnahmen der personellen Sicherheit, zu denen unter anderem Schulungen der Mitarbeiter oder Sicherheitsüberprüfungen von Bewerbern gehören. »Die personelle Sicherheit wird häufig vernachlässigt. Dabei sind die eigenen Mitarbeiter die wichtigsten Garanten für den Schutz der Behörden«, so Dehmel. Die meisten Sicherheitsvorfälle würden, bewusst oder aus Unachtsamkeit, von aktuellen oder ehemaligen Beschäftigten verursacht werden.
Wie in der Privatwirtschaft sollen öffentliche Einrichtungen über einen guten Basisschutz bei der technischen Sicherung ihrer IT-Systeme verfügen. Laut Umfrage hätten alle befragten Behörden Virenscanner, Firewalls und einen Passwortschutz für die verwendeten Geräte. Immerhin rund 84 Prozent der öffentlichen Einrichtungen verschlüsseln ihre Netzwerkverbindungen und 59 Prozent verschlüsseln Daten auf Festplatten oder anderen Datenträgern. Dagegen setzen nur 26 Prozent auf eine Verschlüsselung ihres E-Mail-Verkehrs. Wie in der Privatwirtschaft würden laut Bitkom Behörden noch zu selten umfassende IT-Sicherheitsmaßnahmen einsetzen. Der Basisschutz mit Virenscannern und Firewalls reiche daher nicht mehr aus. So würden nur 37 Prozent spezielle Angriffserkennungssysteme für Attacken von außen, sogenannte Intrusion Detection, nutzen und 27 Prozent verfügen über eine Absicherung gegen Datenabfluss von innen, genannt Data Leakage Prevention. Diese Systeme dienen dazu, die Datenströme in einer Organisation zu analysieren und verdächtige Aktivitäten zu melden. Nur jede zehnte Behörde würde erweiterte Verfahren zur Benutzeridentifikation einsetzen, zum Beispiel eine Zwei-Faktor-Authentifizierung oder biometrische Merkmale.
