Kommunen sollten die Umsetzung des Onlinezugangsgesetzes mit geeigneten IT-Sicherheitsmaßnahmen begleiten. Nur dann können sie ihre digitale Infrastruktur und die Daten ihrer Bürger schützen.

Autor: Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity

Kommunen, Bund und Länder müssen bis zum 31. Dezember 2022 sämtliche Verwaltungsleistungen digitalisieren. So schreibt es das Onlinezugangsgesetz (OZG) vor. Doch je mehr digitale Behördengänge die Kommunen anbieten, desto mehr persönliche Informationen liegen auf den Datenbanken ab und werden über das Netz geteilt.

Datendiebstahl und Sabotage-Mailings

Für Hacker ist es relativ einfach, diese Daten abzugreifen. Beispielsweise können sie über die Eingabemaske eines Such- oder Anmeldeformulars einen Befehl an die dahinterliegende Datenbank senden. Mit einer solchen sogenannten SQL-Injection gewinnen sie Zugriff auf die Daten, können diese stehlen oder löschen. Ein weiterer Schwachpunkt vieler Webservices betrifft die Identifizierung des Nutzers. Wird die Sessions-ID unverschlüsselt vom Server an den Nutzer gesandt, kann ein Hacker sie abgreifen und sich Zugang zum persönlichen Portal des Nutzers verschaffen.

Mit dem elektronischen Personalausweis wurde zwar ein großer Schritt getan, um die Authentifizierung im Internet sicherzustellen. Allerdings eröffnet ausgerechnet er auch neue Sicherheitslücken. Denn um die Daten aus dem Personalausweis abzugleichen, werden spezielle Schnittstellen benötigt. Diese sogenannten Application Programming Interfaces (APIs) sind zunehmend im Visier von Hackern.

Spezielle Schutzmaßnahmen

Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, Angriffe auf Webapplikationen und APIs zu stoppen. Kommunen benötigen spezielle Schutzmechanismen, um die Gefahren zu minimieren. Eine Übersicht:

• Angreifer erkennen: Kern eines Sicherheitssystems für Webanwendungen ist eine Web Application Firewall (WAF). Eine WAF prüft alle eingehenden Anfragen und Antworten an und vom Webserver. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert.

• Erreichbarkeit sicherstellen: Eine WAF verhindert auch sogenannte DDoS-Angriffe. Angreifer senden dabei sintflutartige Anfragen an das Netzwerk des jeweiligen Opfers. Die Masse eingehender Nachrichten erzwingt ein Abschalten des Systems und aller über dieses System bereitgestellten Dienste.

• Ressourcen schonen: Städte benötigen IT-Sicherheitsstrategien, die auf die vorhandenen Ressourcen zugeschnitten sind. Besonders effizient sind Software as a Service-Lösungen. Web Application Firewall as a Service-Lösungen ermöglichen Kommunen, ihre Webanwendungen zu schützen, ohne die gesamte erforderliche Back-End-Infrastruktur verwalten und neue Fähigkeiten erlernen zu müssen.

Fazit

Entscheidend für den Erfolg des digitalen Bürgeramtes ist es, dass die persönlichen Daten sicher sind und, dass die Internetdienstleistungen zuverlässig bereitstehen. Beides ist nur mit einer passenden IT-Strategie möglich.

Weitere Informationen unter:
www.rohde-schwarz.com/cybersecurity
KD2002093