Public Manager
17.12.2018 | Digitalisierung, E-Government

Autor:

Den digitalen Behördengang absichern

E-Government beschleunigt die Verwaltungsprozesse erheblich. Das Problem: Die dabei genutzten Webapplikationen weisen erhebliche Sicherheitslücken auf. Herkömmliche Firewalls sind jedoch machtlos. Mit speziellen Schutzmechanismen lassen sich die Lücken auffinden und schließen.

(Foto: Rohde & Schwarz Cybersecurity)

Ob Downloads von Formularen, Online-Steuerklärungen oder die Zulassung eines Kfz per Mausklick: Digitale Verwaltungsservices erleichtern die Abläufe für Bürger, Unternehmen und Staat erheblich. Laut einer Studie der Unternehmensberater „McKinsey & Company“ können Bürger den Zeitaufwand für Verwaltungstätigkeiten mehr als halbieren, wenn sie digitale Angebote nutzen. Und Unternehmen erzielen durch E-Government-Services Einsparpotenziale von insgesamt 1 Milliarde Euro im Jahr. Kein Wunder also, dass die Digitalisierung der Behörden ganz oben auf der politischen Agenda steht.

Anfällig für Sicherheitslücken

Das Problem: Für solche digitalen Angebote kommen Webanwendungen zum Einsatz, die für Hacker leicht zu knacken sind. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurden nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Vor allem sehr komplexe Anwendungen sind anfällig für Sicherheitslücken – ebenso wie Standard-Anwendungen. Aus Kostengründen wird die IT-Sicherheit hier oft vernachlässigt. Erst ein nachträglich installierter Patch kann die Lücke schließen. Vorausgesetzt, der Entwickler existiert noch und stellt es zeitnah zur Verfügung. Mit jeder Erweiterung geht das Risiko allerdings wieder von vorne los.

Cyberkriminelle nutzen diese Sicherheitslücken gnadenlos aus. Gerade Behörden sind attraktive Ziele, da sich viele sensible Informationen und persönliche Daten ausspähen lassen. Hacker fügen beispielsweise schadhafte Skripte ein, um Passwörter aufzuzeichnen. Datenbanken gehören zu den beliebtesten Angriffszielen von Hackern. Denn sie halten große Mengen wertvoller Information in konzentrierter Form bereit. Einen einfachen Zugang erhalten Angreifer über Fehler in der Datenbanksprache SQL. Durch das Einschleusen einer SQL-Anweisung (SQL-Injection) können Hacker Befehle direkt an die dahinterliegende Datenbank senden und Zugriff auf die Daten gewinnen.

Netzwerk-Firewall ist machtlos

Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, solche Angriffe zu stoppen. Zwar stellen Firewalls sowie Intrusion-Detection- oder Prevention-Systeme meist die erste Verteidigungslinie gegen Cyberangriffe aus dem Internet dar. Daher sollten sie beim Sicherheitskonzept auf keinen Fall fehlen. Doch gegen Angriffe, die darauf abzielen, Internetdienste zu blockieren oder zum Ausfall zu bringen, helfen sie kaum.

Bei sogenannten DDoS-Angriffen ist sogar die Netzwerk-Firewall selbst im Visier des Angriffs: Dabei nutzen die Kriminellen gekaperte Rechner, Geräte und Netzwerke, um massive Anfragen an das Netzwerk zu stellen. Die Flut eingehender Nachrichten erzwingt eine Abschaltung des Systems und somit auch aller über dieses System bereitgestellten Dienste.

Spezielle Schutzmechanismen

Mit speziellen Schutzmechanismen lassen sich die Gefahren auf Webebene minimieren:

  • Kern dieses Sicherheitssystems ist eine „Web Application Firewall“ (WAF). Eine WAF analysiert den Datenaustausch zwischen Clients und Webservern. Sie prüft alle eingehenden Anfragen und Antworten an und vom Webserver. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die bspw. durch sogenannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hijacking“ und andere Arten von Webangriffen ausgeführt werden.

  • Eine WAF kann auch DDoS-Angriffe stoppen. Dazu nutzt sie ein sogenanntes Scoring-Modell. Nimmt man als Schwellenwert z.B. die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen.

  • Vulnerability Scanning: Da jede Webanwendung Sicherheitslücken aufweisen kann, sollte sie regelmäßig auf Schwachstellen geprüft werden. Vor allem dann, wenn es eine Eigenentwicklung ist. Dann lässt sich ein Patch entsprechend nachentwickeln. Bei externen Anwendungen von SAP, Microsoft oder Oracle ist man darauf angewiesen, dass ein Patch zur Verfügung gestellt wird. Moderne WAFs haben einen integrierten Vulnerability Scanner. Wichtig: Eine Anwendung ist nur bei selbst entwickelten und gekauften Webanwendungen erlaubt.

  • Für noch mehr Sicherheit sorgt ein „Virtual Patching“: Wird eine Schwachstelle gefunden, sendet der Vulnerability Scanner einen Bericht zur Web Application Firewall. Diese behebt die Schwachstelle mittels eines virtuellen Patch auf Application Firewall-Ebene. Von der Identifikation bis zur Behebung vergehen bei diesem Prozess lediglich wenige Stunden. Der virtuelle Patch dient als Überbrückung bis ein Patch zur Verfügung steht – er kann aber auch dauerhaft genutzt werden.