Digitaler Staat – aber sicher
Das Onlinezugangsgesetz (OZG) ist ein wichtiger Schritt hin zu einer bürgernahen Verwaltung: Ab dem Jahr 2023 sollen alle Verwaltungsleistungen online zugänglich sein. Kommunen sollten die Umsetzung allerdings mit geeigneten IT-Sicherheitsmaßnahmen begleiten, um die digitale Infrastruktur und die Daten der Bürger vor Hackern zu schützen.
Copyright: Rohde & Schwarz
Bürger sollen ihre behördlichen Anliegen und Anträge zukünftig bequem über den PC oder das Smartphone erledigen können. Insgesamt 575 verschiedene Verwaltungsleistungen müssen dazu von Kommunen, Bund und Ländern digitalisiert werden – vom Antrag des Reisepasses bis zur Genehmigung einer öffentlichen Veranstaltung. Der größte Teil des Bürgerkontaktes – und damit des OZG-Anwendungsbereiches – fällt in die Zuständigkeit kommunaler Verwaltungen. Die Umsetzung des OZG stellt vor allem für sie sowohl technisch als auch organisatorisch eine enorme Herausforderung dar.
Entscheidend für den Erfolg des OZG ist es, dass Kommunen die IT-Sicherheit von Anfang an mitberücksichtigen. Denn je mehr digitale Behördengänge sie anbieten, desto mehr persönliche Informationen liegen auf den Datenbanken ab und werden über das Netz geteilt. Die eingesetzten Webportale bieten jedoch eine ganze Reihe von Angriffsflächen für Hacker.
Erhebliche Folgen
Wenn Behörden gehackt werden, hat das erhebliche Folgen, wie ein Fall jüngst zeigte: Eine Hackerattacke am 22. Januar 2020 traf den Bürgerservice der Stadt Potsdam und beeinträchtigte die Behörde immens. Sechs Wochen lang war u.a. kein An- und Ummelden und auch kein bargeldloses Bezahlen möglich. Erst Anfang März – also sechs Wochen nach dem Angriff – war der größte Teil des digitalen Angebotes wieder verfügbar. Glück im Unglück: Die Hacker hatten keine persönlichen Daten entwendet. Solche Ausfälle der behördlichen Leistungen führen zu einem enormen Vertrauensverlust bei den Bürgern, wenn sie flächendeckend auftreten und persönliche Daten abhandenkommen.
Zwar werden für die Umsetzung des OZGs umfangreiche Anforderungen an die IT-Sicherheit vorgegeben. So sollen u.a. eine Ende-zu-Ende-Verschlüsselung und die Zwei-Faktor-Authentifizierung durch den elektronischen Personalausweis für Sicherheit sorgen. Diese Maßnahmen reichen aber nicht aus. Sie sichern zwar den Übertragungsweg der Daten und das Identitätsmanagement bei der Anmeldung ab, aber eine Vielzahl weiterer Angriffspunkte bleibt völlig unberücksichtigt.
Datendiebstahl und Sabotage-Mailings
Das Problem: Webanwendungen, wie sie für digitale Services zum Einsatz kommen, sind leicht zu knacken. Für Hacker ist es beispielsweise relativ einfach, sich in durch Logins geschützte Portale zu hacken. Sie schicken dazu über die Eingabemaske eines Such- oder Anmeldeformulars einen Befehl an die dahinterliegende Datenbank. Mit einer solchen sogenannten SQL-Injection gewinnen sie Zugriff auf die Daten, können diese stehlen oder löschen. Ein weiterer Schwachpunkt vieler Webservices betrifft die Identifizierung des Nutzers. Hat dieser sich mit seinen Anmeldedaten einmal eingeloggt, erstellt die Webseite für den gesamten Besuchsverlauf eine Session-ID. Wird diese ID unverschlüsselt vom Server an den Nutzer gesandt, kann ein Hacker sie abgreifen und sich Zugang zum persönlichen Portal des Nutzers verschaffen.
Mit dem elektronischen Personalausweis wurde zwar ein großer Schritt getan, um die Authentifizierung im Internet sicherzustellen. Experten beurteilen die neue eiD-Funktion per Chip als manipulationssicher. Allerdings eröffnet ausgerechnet der elektronische Personalausweis neue Sicherheitslücken. Denn um die Daten aus dem Personalausweis abzugleichen, werden spezielle Schnittstellen benötigt. Diese sogenannten Application Programming Interfaces (APIs) sind zunehmend im Visier von Hackern. Denn sie verschaffen Zugang zu einer großen Menge sensibler Daten. Unter Experten gelten APIs inzwischen als eine der größten Sicherheitslücken im Internet.
Spezielle Schutzmaßnahmen
Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, Angriffe auf Webapplikationen und APIs zu stoppen. Firewalls stellen meist die erste Verteidigungslinie in einer Organisation gegen Cyberangriffe aus dem Internet dar. Daher sollten sie beim Sicherheitskonzept auf keinen Fall fehlen. Doch gegen Angriffe auf der Webebene können sie nichts ausrichten. Kommunen benötigen spezielle Schutzmechanismen, um die Gefahren zu minimieren. Eine Übersicht:
Angreifer erkennen: Kern eines Sicherheitssystems für Webanwendungen ist eine Web Application Firewall (WAF). Eine WAF analysiert den Datenaustausch zwischen Clients und Webservern. Sie prüft alle eingehenden Anfragen und Antworten an und vom Webserver. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die z.B. durch sogenannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hijacking“ und andere Arten von Webangriffen ausgeführt werden.
Erreichbarkeit sicherstellen: Eine WAF verhindert auch sogenannte DDoS-Angriffe. Angreifer senden dabei sintflutartige Anfragen an das Netzwerk des jeweiligen Opfers. Die Masse eingehender Nachrichten erzwingt ein Abschalten des Systems und aller über dieses System bereitgestellten Dienste.
Häufig werden diese Angriffe mit Lösegeldforderungen verbunden. Die Hacker senden dann zunächst eine Nachricht an eine Organisation und drohen mit einer Anfragenattacke, sollte ein bestimmter Geldbetrag nicht gezahlt werden. Eine Drohung, die ernst zu nehmen ist. Schließlich haben DDoS-Attacken in der Vergangenheit bereits schwerwiegende Schäden ausgelöst. Die Bewältigung eines solchen Ransom-DDoS-Angriffs kann mehrere Hunderttausende Euro kosten.
Um DDoS-Angriffe zu verhindern, nutzt eine WAF ein sogenanntes Scoring-Modell. Nimmt man als Schwellenwert z.B. die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen.
Ressourcen schonen: Die Finanzlage in den meisten Kommunen ist angespannt. Städte benötigen daher IT-Sicherheitsstrategien, die auf die vorhandenen Ressourcen zugeschnitten sind. IT-Sicherheitsanwendungen sollten beispielsweise nicht zu komplex sein, sodass auch kleine Teams sie bedienen können. Zudem sollten die Lösungen nicht zu viel interne Rechenleistung belegen – denn das kann teuer werden. Besonders effizient sind Software as a Service-Lösungen. Web Application Firewall as a Service-Lösungen ermöglichen Kommunen, ihre Webanwendungen zu schützen, ohne die gesamte erforderliche Back-End-Infrastruktur verwalten und neue Fähigkeiten erlernen zu müssen. Eine solche IT-Security aus der Cloud ist besonders nutzerfreundlich und skalierbar.
Fazit
Für Bürger, Kommunen und Gesellschaft ist die Einführung digitaler Verwaltungsprozesse eine große Chance. Entscheidend für den Erfolg des digitalen Bürgeramtes ist allerdings, dass die persönlichen Daten sicher sind und dass die Internetdienstleistungen zuverlässig bereitstehen. Beides ist nur möglich mit einer passenden IT-Strategie.
Infokasten: Was ist eine Webapplikation
Ob die Internetfiliale einer Bank, Onlineshop, Kunden-, Partner- oder Mitarbeiterportal – all diese Internetanwendungen bezeichnet man als Webapplikation. Im Unterschied zu einer normalen Webseite ist eine Webapplikation nicht statisch – sie liefert individuelle Inhalte, die vom Nutzer abgerufen werden können. Der Vorteil: Der über das Internet angebotene Service ist „always on“ – also immer verfügbar. Der Zugang zu den Webapplikationen läuft über den Browser. Die Programme können also jederzeit von überall und von jedem Gerät aus genutzt werden. Webapplikationen sind auch die Basis für die Digitalisierung der Behördengänge. Das Problem: Für Hacker sind sie leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurden nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Wer Webapplikationen einsetzt, muss diese deshalb absichern.