1. Startseite
  2. Kreis Gießen
  3. Kreis Gießen

Fake-E-Mails gesendet

Erstellt:

gikrei_150622_Cybersiche_4c
In jüngster Zeit häufen sich gezielte Cyberangriffe aus Russland. Beim Landkreis Gießen beschäftigt man sich bereits seit Jahren intensiv mit dem Thema IT-Sicherheit. Symbolfoto: dpa © Red

Der Landkreis hat bereits getestet, wie seine Mitarbeiter auf Phishing-Mails reagieren. Der Anzeiger hakte beim Thema Cybersicherheit nach.

Kreis Gießen . Der Ernstfall wird bereits geprobt, um die Mitarbeiter in den Kreisverwaltungen in Mittelhessen zu sensibilisieren. Dabei geht es nicht um Luftschutzübungen, sondern um den digitalen Angriff am Behörden-Computer. Cyberangriffe aus Russland, die sich gegen den Westen richten, waren bereits vor dem Einmarsch russischer Truppen in der Ukraine keine Seltenheit. Doch da die Sanktionen gegenüber dem Kreml weiter zunehmen, könnten Kriminelle in Zukunft noch häufiger Cyberattacken einsetzen, um Schäden anzurichten. Ob Datenklau oder provozierte Serverausfälle, alles ist denkbar.

Kürzlich gab es virtuelle Angriffe auf die Polizei Hessen, die infolgedessen ihre Homepage kurzzeitig vom Netz nehmen musste. In der Nacht zum Sonntag wurde der Darmstädter Energieversorger Entega angegriffen, zuvor waren die Stadtreinigungsbetriebe in Kassel Ziel von Hackern.

Wie schützt man sich beim Landkreis Gießen gegen mögliche Attacken? Der Anzeiger sprach mit dem Informationssicherheitsbeauftragten des Landkreises David Pöhlmann.

Mit den Themen rund um die IT-Sicherheit beschäftigt sich der Landkreis schon seit Jahren intensiv. So begann 2017 das interkommunale Projekt Cybersicherheit in Zusammenarbeit mit dem Landkreis Marburg-Biedenkopf. I

n den kommenden Wochen wird weitergehend das vom Kreistag verabschiedete interkommunale Projekt Cybersicherheit mit den Kommunen des Landkreises Gießen neu aufgestellt und somit eine noch engere Unterstützung der Städte und Gemeinden vor Ort in Fragen der Cybersicherheit ermöglicht.

»Ein wichtiges Ziel des Projektes ist es, die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Gewährleistung eines IT-Grundschutz konsequent umzusetzen, um bestmöglich gegen Cyberangriffe geschützt zu sein«, erklärt Pöhlmann.

Der Kreisverwaltung würden in Folge der Digitalisierung immer mehr Daten der Bürger digital vorliegen. Zu deren Schutz müssten daher immer komplexere Sicherheitsmechanismen betrieben und überwacht werden, weiß der Informationssicherheitsbeauftragte.

Pöhlmann gibt an, dass alle Sicherheitsvorfälle, die bei anderen Institutionen bekanntwerden, eine sofortige Überprüfung nach sich ziehen.

»Sofern Informationen vorliegen, wird zuerst ausfindig gemacht, ob diese Lücke auch bei uns besteht. Danach werden schnellstmöglich Gegenmaßnahmen erarbeitet, um die Lücke zu schließen.«

Ein Beispiel sei, dass die Kreisverwaltung keine E-Mails mit Dateien im alten Microsoft-Office-Format mehr annimmt. »Auch hier ist der Austausch mit den Städten und Gemeinden in unserem Landkreis essenziell«, erläutert der Experte.

Um bestmöglichst abgesichert zu sein, überwachen und werten intern Fachleute der IT-Sicherheit die Sicherheitssysteme kontinuierlich aus, damit kein Unbefugter Zugriff auf die sensiblen Daten erhält. »Außerdem werden Datenzugriffe über Berechtigungssysteme auf das notwendige Personal begrenzt», versichert der Informationssicherheitsbeauftragten des Landkreises.

Keine Angaben zu Angriffen

Ob es in der Vergangenheit bereits gezielte Angriffe auf Sicherheitssysteme des Landkreises gegeben hat, darf Pöhlmann aus Sicherheitsgründen auch auf Nachfrage nicht beantworten. »Zu Angriffsszenarien oder der Angriffshäufigkeit sowie unseren konkreten Schutzmaßnahmen machen wir keine Angaben.«

Die Wahrheit ist allerdings, dass es keinen 100-prozentigen Schutz vor Cyberangriffen gibt. Sollte der Worst-Case eintreten, startet beim Landkreis ein eigens ausgearbeiteter Notfallplan. »In diesem Zuge wird auch ein Verwaltungsstab etabliert, der die weiteren Entscheidungen trifft und die Lage koordiniert», erklärt der Informationssicherheitsbeauftragte.

Wird ein Angriff festgestellt, entstehen für die Kreisverwaltung umgehend verschiedene Pflichten. Dazu gehört die Meldepflicht aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und der Datenschutz-Grundverordnung (DSGVO). »Gemeldet wird ein Cyberangriff zuerst an das BSI (Bundesamt für Sicherheit in der Informationstechnik), das Hessen3C (Hessen CyberCompetenceCenter), den Hessischen Datenschutzbeauftragten, die Polizei und die Staatsanwaltschaft. Danach folgen weitere Behörden und natürlich die Öffentlichkeit«, fährt Pöhlmann fort.

Die schärfte und beliebteste Waffe von Hackern sind Phishing-Mails. So sind 95 Prozent aller Angriffe auf Unternehmensnetzwerke auf E-Mails zurück zu führen.

Bundesweit ist in diesem Jahr ein deutlicher Anstieg bei Phishing-E-Mails zu verzeichnen. Beim sogenannten Phishing wird versucht, zum Beispiel über gefälschte E-Mails an Passwörter und Zugangsdaten zu gelangen, um diese dann für weitere Angriffe zu verwenden oder sie im Darknet zu verkaufen. Um nicht in diese Falle zu tappen, hat der Landkreis Gießen erstmals 2018 und 2019 Phishing-Kampagnen in Zusammenarbeit mit dem Hessen3C (Hessen Cyber Competence Center) durchgeführt. Danach haben der Landkreis Gießen und der Landkreis Marburg-Biedenkopf in einem gemeinsamen Cybersicherheitsprojekt mit den Kommunen beider Landkreise regelmäßige Phishing-Kampagnen durchgeführt.

Harmlose Phishing-Versuche

Die harmlosen, aber echt aussehenden Kampagnen hatten das Ziel, die Mitarbeiterinnen und Mitarbeiter für »echte« Phishing-Versuche zu sensibilisieren. »Weiterhin werden regelmäßig Warnhinweise und Erkennungsmerkmale von Phishing-Mails verschickt und es steht den Kolleginnen und Kollegen eine Online-Lernplattform mit Kursen zum Thema IT-Sicherheit und Phishing zur Verfügung. Die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter hat eine große Bedeutung im Rahmen der Cybersicherheitsstrategie des Landkreises Gießen und wird künftig noch weiter ausgebaut«, versichert Pöhlmann.

Mobiles Arbeiten hat sich spätestens seit der Corona-Pandemie im Arbeitsalltag integriert. Für die Mitarbeiter des Landkreises wurden für das Home-Office auf dem aktuellen Stand der Technik entsprechende Sicherheitsmaßnahmen etabliert. »Wir setzen dabei auf ein mehrstufiges Sicherheitssystem, um die Daten- und Informationssicherheit gewährleisten zu können.«

Dass in Zukunft in Sachen Cybersicherheit die Kommunen vor großen Herausforderungen stehen, davon geht der Experte aus. Ein modernes Verwaltungshandeln sei heute ohne elektronische Kommunikationsmedien und IT-Verfahren undenkbar, unterstreicht er.

Mit der zunehmenden Digitalisierung der Verwaltungen nehme auch der Schutzbedarf der IT-Systeme und der Daten zu. Um das Verwaltungshandeln zu gewährleisten, ist die Sicherheit und Verfügbarkeit der IT-Systeme und Daten sicherzustellen.

»Zunehmende und immer zielgerichtetere Angriffsszenarien erfordern einen hohen Sicherheitsstandard. Der Landkreis Gießen wird die Kommunen bei der Umsetzung aller erforderlichen Schutzmaßnahmen auch künftig im Rahmen des interkommunalen Projektes Cybersicherheit, das zum 1. August dieses Jahr neu aufgestellt wird, umfangreich unterstützen«. Durch die Zusammenarbeit solle ein einheitlicher Standard an Daten- und Informationssicherheit erreicht werden. Foto: LKGI

gikrei_150622_David_Poehl_4c_1
David Pöhlmann © Red
gikrei_wwKabel1_150622_4c
Unsere Daten fließen ständig durch das Internet von A nach B. Natürlich sind die digitalen Speicher der Kreisverwaltung besonders gesichert, aber auch hier werden Daten mittlerweile im Homeoffice verarbeitet. Der Anzeiger hakte nach, was für die Cybersicherheit getan wird. Symbolfoto: dpa © Red

Auch interessant