Vom Jahr 2023 an sollen alle Verwaltungsleistungen online zugänglich sein. Grundlage dafür ist das Onlinezugangsgesetz (OZG). Die dafür eingesetzten Webportale sind allerdings ein gefragtes Ziel für Hacker, warnt Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity.
Künftig sollen Bürger ihre behördlichen Anliegen und Anträge bequem über den PC oder das Smartphone erledigen können. Insgesamt 575 verschiedene Verwaltungsleistungen müssen dazu von Kommunen, Bund und Ländern digitalisiert werden – vom Antrag des Reisepasses bis zur Genehmigung einer öffentlichen Veranstaltung. Der größte Teil des Bürgerkontaktes – und damit des OZG-Anwendungsbereiches – fällt in die Zuständigkeit kommunaler Verwaltungen. Die Umsetzung des OZG stellt vor allem für sie sowohl technisch als auch organisatorisch eine enorme Herausforderung dar.
Webapplikationen sichern
"Entscheidend für den Erfolg des OZG ist es, dass Kommunen die IT-Sicherheit von Anfang an mitberücksichtigen", so der Rohde&Schwarz-CEO. Denn je mehr digitale Behördengänge sie anbieten, desto mehr persönliche Informationen liegen auf den Datenbanken ab und werden über das Netz geteilt. Die eingesetzten Webportale würden jedoch eine ganze Reihe von Angriffsflächen für Hacker bieten.
Unter Webapplikationen versteht man etwa die Internetfiliale einer Bank, Onlineshop, Kunden-, Partner- oder Mitarbeiterportal. Im Unterschied zu einer normalen Webseite ist eine Webapplikation nicht statisch – sie liefert individuelle Inhalte, die vom Nutzer abgerufen werden können. Der Vorteil: Der über das Internet angebotene Service ist „always on“ – also immer verfügbar. Der Zugang zu den Webapplikationen läuft über den Browser. Die Programme können also jederzeit von überall und von jedem Gerät aus genutzt werden. Webapplikationen sind auch die Basis für die Digitalisierung der Behördengänge. Das Problem: Für Hacker sind sie leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurden nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Wer Webapplikationen einsetzt, muss diese deshalb absichern.
Erhebliche Folgen
Wenn Behörden gehackt werden, hat das erhebliche Folgen, wie ein Fall jüngst zeigte: Eine Hackerattacke am 22. Januar traf den Bürgerservice der Stadt Potsdam und beeinträchtigte die Behörde immens. Sechs Wochen lang war etwa kein An- und Ummelden und auch kein bargeldloses Bezahlen möglich. Erst Anfang März – also sechs Wochen nach dem Angriff – war der größte Teil des digitalen Angebotes wieder verfügbar. Glück im Unglück: Die Hacker hatten keine persönlichen Daten entwendet. Solche Ausfälle der behördlichen Leistungen führen zu einem enormen Vertrauensverlust bei den Bürgern, wenn sie flächendeckend auftreten und persönliche Daten abhandenkommen, sagt Herrmann.
Zwar werden für die Umsetzung des OZG umfangreiche Anforderungen an die IT-Sicherheit vorgegeben. So sollen unter anderem eine Ende-zu-Ende-Verschlüsselung und die Zwei-Faktor-Authentifizierung durch den elektronischen Personalausweis für Sicherheit sorgen. Diese Maßnahmen reichen dem IT-Sicherheitsexperten zufolge aber nicht aus. "Sie sichern zwar den Übertragungsweg der Daten und das Identitätsmanagement bei der Anmeldung ab, aber eine Vielzahl weiterer Angriffspunkte bleibt völlig unberücksichtigt", warnt er.
Das sind die Schwachpunkte
Das Problem: Webanwendungen, wie sie für digitale Services zum Einsatz kommen, sind leicht zu knacken. Für Hacker sei es beispielsweise relativ einfach, sich in durch Logins geschützte Portale zu hacken. Sie schicken dazu über die Eingabemaske eines Such- oder Anmeldeformulars einen Befehl an die dahinterliegende Datenbank. Mit einer solchen sogenannten SQL-Injection gewinnen sie Zugriff auf die Daten, können diese stehlen oder löschen.
Ein weiterer Schwachpunkt vieler Webservices betrifft die Identifizierung des Nutzers. Hat dieser sich mit seinen Anmeldedaten einmal eingeloggt, erstellt die Webseite für den gesamten Besuchsverlauf eine Session-ID. Wird diese ID unverschlüsselt vom Server an den Nutzer gesandt, kann ein Hacker sie abgreifen und sich Zugang zum persönlichen Portal des Nutzers verschaffen.
Mit dem elektronischen Personalausweis wurde zwar ein großer Schritt getan, um die Authentifizierung im Internet sicherzustellen. Experten beurteilen die neue eiD-Funktion per Chip als manipulationssicher. Allerdings eröffnet ausgerechnet der elektronische Personalausweis neue Sicherheitslücken. Denn um die Daten aus dem Personalausweis abzugleichen, werden spezielle Schnittstellen benötigt. Diese sogenannten Application Programming Interfaces (API) sind zunehmend im Visier von Hackern. Denn sie verschaffen Zugang zu einer großen Menge sensibler Daten. Unter Experten gelten API inzwischen als eine der größten Sicherheitslücken im Internet.
Spezielle Schutzmaßnahmen
"Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, Angriffe auf Webapplikationen und API zu stoppen", so Herrmann. Firewalls stellen meist die erste Verteidigungslinie in einer Organisation gegen Cyberangriffe aus dem Internet dar. Daher sollten sie beim Sicherheitskonzept auf keinen Fall fehlen. "Doch gegen Angriffe auf der Webebene können sie nichts ausrichten. Kommunen benötigen spezielle Schutzmechanismen, um die Gefahren zu minimieren."
Eine Übersicht:
- Angreifer erkennen: Kern eines Sicherheitssystems für Webanwendungen ist eine Web-Application-Firewall (WAF). Eine WAF analysiert den Datenaustausch zwischen Clients und Webservern. Sie prüft alle eingehenden Anfragen und Antworten an und vom Webserver. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die beispielsweise durch sogenannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hijacking“ und andere Arten von Webangriffen ausgeführt werden.
- Erreichbarkeit sicherstellen: Eine WAF verhindert auch sogenannte DDoS-Angriffe. Angreifer senden dabei sintflutartige Anfragen an das Netzwerk des jeweiligen Opfers. Die Masse eingehender Nachrichten erzwingt ein Abschalten des Systems und aller über dieses System bereitgestellten Dienste.
- Ressourcen schonen: Die Finanzlage in den meisten Kommunen ist angespannt. Städte benötigen daher IT-Sicherheitsstrategien, die auf die vorhandenen Ressourcen zugeschnitten sind. IT-Sicherheitsanwendungen sollten beispielsweise nicht zu komplex sein, sodass auch kleine Teams sie bedienen können. Zudem sollten die Lösungen nicht zu viel interne Rechenleistung belegen – denn das kann teuer werden. Besonders effizient sind Software-as-a-Service-Lösungen. "Web Application Firewall as a Service"-Lösungen ermöglichen Kommunen, ihre Webanwendungen zu schützen, ohne die gesamte erforderliche Back-End-Infrastruktur verwalten und neue Fähigkeiten erlernen zu müssen. Eine solche IT-Security aus der Cloud ist besonders nutzerfreundlich und skalierbar. (sg)
Verwandte Themen:
