Newsletter-Artikel vom 6.12.2024
1. Was sind Ihre Aufgaben als IT-Sicherheitsbeauftragter?
Als Informationssicherheitsbeauftragter ist meine Hauptaufgabe die Stadtverwaltung Remscheid vor Schaden zu bewahren. Hierzu gehören Schäden durch Diebstahl, Erpressung oder auch Vertrauensverlust der Bürgerinnen und Bürger, die uns ihre Daten anvertrauen.
Ein wesentlicher Aspekt hierbei ist, die Übersicht über mögliche Sicherheitslücken und Risiken zu haben und diese mit Maßnahmen zu verringern. Hierbei hilft ein sogenanntes Informationssicherheitsmanagement-System, kurz ISMS.
Dabei geht es darum, dass verschiedene Sicherheitsanalysen und die Umsetzung von organisatorischen und technischen Maßnahmen eines bestimmten Anwendungsbereichs umfasst werden.
Organisatorische Maßnahmen können z.B. Regelwerke, Rechte und Rollenkonzepte, Meldewege und Optimierung von Prozessen beinhalten.
Technische Maßnahmen wären beispielsweise die Verwendung von Verschlüsselungen, das Absichern von Benutzerkonten oder "härten" von technischen Systemen.
Es gehört auch zu meinen Aufgaben die Mitarbeitenden zu sensibilisieren und gegen potentielle Betrügereien zu wappnen. Dies geschieht beispielsweise über Lernplattformen, praktisches Training zum Erkennen von betrügerischen E-Mails und auch durch gezielte Präsenz-Schulungen in einzelnen Bereichen.
Zudem unterstütze und berate ich die Fachdienste der Stadt und der Technischen Betriebe Remscheid (TBR) in allen Fragen rund um das Thema Informationssicherheit.
2. Was sind die wichtigsten Ziele der Informationssicherheit?
Es gibt im Wesentlichen drei Ziele, die in der Informationssicherheit betrachtet werden. Das sind die Verfügbarkeit, Vertraulichkeit und Integrität.
Die Verfügbarkeit soll sicherstellen, dass Daten und Informationen zur Verfügung stehen, wenn Sie gebraucht werden. Daher werden für dieses Schutzziel Maßnahmen zur Vermeidung zum Umgang und Behandlung von Systemausfällen betrachtet.
Das zweite Ziel ist die Vertraulichkeit. Die Stadt Remscheid verarbeitet teilweise sehr sensible Daten und diese müssen vor dem Zugriff von unbefugten Personen geschützt werden. Hierzu werden die Berechtigungen nach dem Erforderlichkeitsprinzip ("Need-to-know") vergeben. Bedeutet konkret, dass die Rechte auf Daten nur dann vergeben werden, wenn sie zur Aufgabenerfüllung notwendig sind. Zusätzlich sind die gespeicherten Daten und deren Kommunikation durch Verschlüsselung zu schützen.
Die Integrität stellt sicher, dass Daten nicht durch unbefugte Personen verändert werden können. Versende ich beispielsweise eine E-Mail möchte ich verhindern, dass die Nachricht abgefangen wird und verändert bei der Empfängerin / dem Empfänger ankommt. Dies erreicht man z. B. durch die Verwendung von Signaturverfahren.
3. Welches sind die häufigsten Wege, die Hacker bei einem Angriff nutzen?
Was sehr oft verwendet wird sind sogenannte Phishing E-Mails. Hierbei handelt es sich um betrügerische E-Mails mit Links oder Anhängen, die entweder sensible Informationen abfragen oder Schadsoftware beinhalten.
Ein ähnlicher Angriff ist das sogenannte Vishing. Hierbei findet der Angriff über das Telefon statt. Es werden ebenfalls Informationen abgefragt oder unter einem Vorwand versucht, sich Zugriff zu einem PC zu verschaffen. Ein Beispiel hierfür sind Anrufe einer vermeintlichen Mitarbeiterin von Microsoft, die Schadsoftware erkannt haben will und dazu auffordert ein Tool zu installieren um damit z. B. auf den PC zuzugreifen.
Schafft es ein Angreifer ins interne Netz werden zu schwache Passwörter ausgenutzt um weitere Systeme zu übernehmen. Aus diesem Grund gibt es bei uns innerhalb der Stadtverwaltung strenge Regelungen und systemseitig vorgegebene Passwort-Richtlinien.
Angriffe technischer Art finden meist auf frisch gefundenen Schwachstellen statt, sodass die Wahrscheinlichkeit recht hoch ist, dass viele Unternehmen betroffen sind, da diese nicht rechtzeitig Sicherheits-Patches eingespielt haben.
Was man zudem häufiger sieht sind sogenannte DOS oder DDoS-Angriffe auf Webpräsenzen. Hierbei werden meist über "Botnetze" so viele Anfragen an eine Webseite geschickt, dass diese schlicht überlastet wird und nicht mehr erreichbar ist.
4. Wie schützt sich die Stadtverwaltung vor Hackerangriffen?
Regelmäßig werden die Kolleginnen und Kollegen in Bezug auf Informationssicherheit geschult. Dieses erfolgt z. B. durch den Einsatz von E-Learning-Programmen mit Übungsaufgaben, welche alle Mitarbeitenden absolvieren müssen. So wird die Wahrscheinlichkeit wesentlich verringert, dass Betrüger mit ihren Angriffen wie Phishing oder Vishing Erfolg haben.
Zudem wird die Stadt Remscheid umfassend durch verschiedene technische Systeme geschützt, z. B. durch eine Zwei-Faktor-Autorisierung, ein regelmäßiges Patchmanagement, durch Firewall-Systeme und die Abschottung von Rechnernetzen, durch verschlüsselte Kommunikation und viele weitere Maßnahmen.
Bitte haben Sie Verständnis dafür, dass nicht im Detail die einzelnen Schutzmaßnahmen beschrieben werden. Ein wichtiger Grundsatz der IT-Sicherheit ist, nur global darüber zu berichten.
5. Wie kann ich mich als Privatperson schützen?
Hier gibt es verschiedene Dinge, die man tun kann.
Um Online-Konten zu schützen, wie beispielsweise bei Amazon, Paypal oder das E-Mail-Konto, ist der beste Weg dies über einen zweiten Faktor zu tun. Hierzu werden verschiedene Apps angeboten.
Zudem sollte man für verschiedene Anmeldungen unterschiedliche Namen und Passwörter nutzen. Da sich die wenigsten Menschen die vielen Anmeldedaten merken können, empfehle ich hier die Nutzung eines Passwort-Tresors. Die gibt es sowohl für den PC als auch für mobile Endgeräte.
Speichern Sie keine Passwörter im Browser. Nutzen Sie auch hier lieber einen Passwort-Tresor.
Klicken Sie nicht auf Links in E-Mails, bei denen Sie sich nicht genau sicher sind, ob es sich um Betrug oder einer legitimen E-Mail handelt. Besuchen Sie lieber die originale Webseite über ihren Webbrowser. So besteht nicht die Gefahr, dass Sie sich auf einer gefälschten Seite wiederfinden.
Überprüfen Sie regelmäßig, ob Ihre E-Mail-Adresse in einem Datenleck bereits aufgetaucht ist und ändern Sie ggfls. die Zugangsdaten. Überprüfen können Sie dies beispielsweise unter https://haveibeenpwned.com/ (Öffnet in einem neuen Tab)
Sichern Sie ihre E-Mail-Konten besonders gut ab. Werden diese gehackt, besteht die Gefahr, dass Kennwörter von anderen Online-Konten zurückgesetzt und kompromittiert werden.
Achten Sie immer auf die Meldungen in den Medien und die aktuellen Sicherheitshinweise vom Bundesamt für Sicherheit in der Informationstechnik ("BSI"). Speichern Sie eventuell die Homepage vom "BSI" (Öffnet in einem neuen Tab) unter Ihren Favoriten; so bleiben Sie auf dem Laufenden.
Dieses Interview wurde geführt von den Projektleitungen der Digitalisierung mit dem Beauftragten für die Informationssicherheit der Stadt Remscheid.