Erfahrungen aus Penetrationstests im kommunalen Umfeld

veröffentlicht am 8. Juli 2016

Die Angriffe von Locky & Co. in den letzten Wochen haben gezeigt, dass es nur eine Frage der Zeit ist, wann die eigene IT betroffen sein wird. Zur Feststellung der Schwächen in der eigenen IT-Sicherheitskonzeption bedient man sich sogenannter Penetrationstests. Tests also, die einen Angriff simulieren, um so gezielt Maßnahmen zur Steigerung der Sicherheit und zur Minimierung des Risikos abzuleiten. Heute ein unabdingbares Muss, will man sich nicht mit der Frage auseinandersetzen, warum man die Gefahren ignoriert hat.

Ausgangslage

Es gibt keine kommunale Gebietskörperschaft mehr, die ohne Internet auskommt. Die Kommunikationsverbindungen sind teilweise selbst in kleinen Kommunen schon sehr komplex. Die unterschiedlichsten Netzwerkprovider, Übertragungstechniken sowie Hard- und Software unterschiedlicher Hersteller kommen zum Einsatz. Sprich, die IT-Infrastruktur ist komplex und dies führt unweigerlich zu potenziellen Fehlerquellen, die für Angriffe ausgenutzt werden können.

Grobe Einteilung der sinnvollen Test-Methoden und deren Nutzen

Teilt man die IT-Infrastruktur in logische Einheiten auf, so kann man die Test-Methoden gut in folgende Gruppen einteilen:

1. Zugangskontenpunkte ins öffentliche Netz

Immer dann, wenn Sie Standorte miteinander verbinden (Anbindung an das Rechenzentrum, Integration des Bauhofs, Schalten eines Tele-Arbeitsplatzes, etc.), nutzen Sie in der Regel Zugangsknotenpunkte ins öffentliche Netz, die auch von Dritten erreichbar sind. Durch die Komplexität und teilweise auch durch die Fehleranfälligkeit der Herstellerhard- und –software sind diese Zugangspunkte eine potenzielle Schwachstelle. Auch in der Konfiguration der Schutzsysteme (Firewall, DMZ, IPS, IDS, etc.) sind Fehler nicht auszuschließen.

2. Kabelungebundene Zugangspunkte (WLAN, Mobilfunk/Smartphones)

Durch die steigende Anforderung an Flexibilität und Mobilität werden zunehmend mobile Endgeräte beschafft und müssen in die hiesige IT-Infrastruktur eingebunden werden. Was bei Kabeln noch relativ leicht zu bewerkstelligen ist, nämlich die Verhinderung des Zugangs zu einem Stecker zum Anschließen eines Rechners, ist bei Funk nicht möglich. Allein durch die Funktechnik sind Angriffsszenarien möglich, welche man sich im ersten Moment überhaupt nicht vorstellen kann. Perfide Man-in-the-Middle-Attacken, bei denen sich der Angreifer zwischen das Endgerät des Mitarbeiters und die anzugreifende IT-Infrastruktur schiebt und alles mitprotokolliert, was übertragen wird; auch die Passwörter.

3. Von aussen erreichbare Server und Services (Mailserver, Applikationsserver, etc.)

Ist der Angreifer über öffentliche Zugangspunkte (IP-Adressen) oder WLAN auf Ihr System gekommen und hat die Schutzmechanismen wie Firewall überwunden, ist die Architektur Ihres Netzwerkes (Segmentierung, Rechteverwaltung etc.) und die Härtung der Server und Services wichtig. Es sollte verhindert werden, dass sich ein Angreifer die Schwächen und Fehlkonfigurationen von einzelnen Servern und Diensten zunutze machen kann.

4. Webauftritte

Besonders dynamische Webauftritte (CMS-System wie TYPO3, JOOMLA, etc.) liefern Hackern oft genügend Angriffspunkte, da sie zwischenzeitlich einen enormen Funktions- und Leistungsumfang erreicht haben. Zudem werden Web-Auftritte nicht nur dazu genutzt, Sie selbst anzugreifen, sondern in zunehmenden Maße auch Ihre Besucher (Bürger, Wirtschaft, etc.). Über eine Technik, mit der an die Besucher gesendete Bildschirminhalte abgeändert werden, kann auch Schadcode auf deren Rechner gelangen.

5. Verhalten der Mitarbeiterinnen und Mitarbeiter

Die Technik kann einen Teil der Angriffe abwenden oder abfedern. Der wichtigste Abwehrmechanismus bleibt der Mensch. Ein Klick auf die falsche Stelle. Ein USB-Stick unbekannter Herkunft. Eine scheinbar unscheinbare Anwendung. Und es ist passiert. Prüfen Sie, wie gut die Wachsamkeit Ihrer Belegschaft und Ihrer Partner ist.

Wie kann Rödl & Partner Sie ganz konkret unterstützen?

Als IT- und Unternehmensberater, Wirtschaftsprüfer, Steuerberater und Rechtsanwälte mit langjähriger Erfahrung im öffentlichen Sektor und in IT-Services können wir Sie rund um die IT- und Cyber-Sicherheit beraten und prüfen. Nutzen Sie unsere Leistungen auch in der kommunalen Rechnungsprüfung: