CERT Rheinland-Pfalz: Mehr als 20 Millionen "sicherheitsrelevante Ereignisse" pro Tag
In Rheinland-Pfalz laufen unter anderem die bundesweiten Informationssysteme der Polizei (Extrapol) zusammen. Seit 2012 hat sich die Zahl der schweren Computerangriffe mehr als verfünffacht.
Die Verschlüsselung von E-Mails ist vielen Laien zu kompliziert. Durch eine Initiative der Deutschen Telekom und des Fraunhofer-Instituts soll die Mail-Verschlüsselung nun deutlich erleichtert werden.
(Bild: dpa, Oliver Berg/Illustration)
- dpa
Rund um die Uhr werden Computer von rheinland-pfälzischen Landesbehörden attackiert. Sven Paas schaut auf den Monitor, wo nur die schwersten Angriffe aufgelistet werden. "Da gibt es einen kritischen Zugriff auf die SQL-Datenbank einer Webseite", sagt der Leiter des Computersicherheitsteams (CERT) für die Landesverwaltung von Rheinland-Pfalz. "Ziel ist wahrscheinlich die Datenbanktabelle mit den registrierten Nutzern – dann will der Angreifer diese Daten für weitere Angriffe nutzen."
Das CERT-Team im Mainzer Landesbetrieb Daten und Informationen (LDI) erfasst durchschnittlich mehr als 20 Millionen sicherheitsrelevante Ereignisse am Tag. "Das ist Grundlast, das passiert permanent", erklärt Paas im LDI-Leitstand, wo rund um die Uhr die Sicherheit aller Computersysteme von Ministerien und Landesbehörden in Rheinland-Pfalz und auch im Saarland überwacht wird. Die CERT-Leistungen werden auch von den Kommunen in Rheinland-Pfalz genutzt. Zurzeit werden auch Gespräche über eine Einbeziehung der kommunalen Ebene im Saarland geführt.
Im rlp-Netz mit rund 40 000 angeschlossenen Computern gehen ständig kritische Daten ein, etwa von Polizei, Justiz oder Finanzverwaltung. "Auch das rlp-Netz ist regelmäßig Ziel von Cyberangriffen", berichtete Innenstaatssekretär Randolf Stich (SPD) vor der Bundestagswahl im Landtag. "Im Schnitt haben wir pro Tag zwei bis ungefähr fünf schwerwiegende Angriffe festzustellen, die sich teilweise in die Angriffsländer zurückverfolgen lassen."
Die meisten Angriffe laufen über IP-Adressen aus Deutschland
Jede Woche wird dazu ein Bericht für das Innenministerium erstellt, der auch die "Top 20 Attacker Countries" darstellt, also die 20 Länder, aus denen die meisten schwerwiegenden Angriffe auf Computersysteme des Landes vorgetragen wurden. Mitte Oktober kamen 89 oder gut ein Drittel von 254 Alarm-Meldungen aus Deutschland. Danach folgten die USA (49), Großbritannien (19), die Niederlande (16), Ukraine (12), China (11) sowie Russland und Frankreich (jeweils 10).
Allerdings sind diese Herkunftsangaben aufgrund der IP-Adresse des Angreifers, also der eindeutigen Adresskennung eines am Internet angeschlossenen Computers, mit Vorsicht zu genießen. Viele der angreifenden Computer werden als Teil eines sogenannten Botnetzes fremdgesteuert – der eigentliche Angreifer sitzt dann in einem anderen Land. "Das stellt die Ermittlungsbehörden vor Riesenprobleme", erklärt Paas.
Die Software zur Erkennung von Angriffen registriert durchschnittlich mehr als 20 Millionen "sicherheitsrelevante Ereignisse" am Tag. Das können etwa sogenannte Brute-Force-Angriffe sein: Ein Angreifer beschickt das Formularfeld zu einer Passworteingabe mit Unmengen von Zeichenkombinationen - bis das richtige Passwort gefunden ist. "Das sehen wir ständig", sagt Paas. Auch mit Ransomware habe seine Abteilung viel zu tun: Hier wird etwa ein infiziertes Word-Dokument als Mail-Anhang verschickt, die Schadsoftware verschlüsselt beim Anklicken die Daten auf dem PC, macht diese unbenutzbar. Für die Freischaltung will der Angreifer Geld erpressen – oft in der Kunstwährung Bitcoin.
Vom Skriptkiddie bis zum Profi-Cracker
"Die Angriffsversuche sind zum allergrößten Teil nicht erfolgreich", sagt Paas. Oft sind es ungezielte Angriffe von Tätern, die wahllos auf der Suche nach Sicherheitslücken sind. Die speziell angepasste Erkennungssoftware filtert die täglich fünf bis zehn Angriffe heraus, die wirklich relevant sind.
Von zielgerichteten Attacken gehen die CERT-Experten aus, wenn es eine hohe Intensität gibt, etwa bei einigen tausend Angriffen am Tag auf ein bestimmtes System, oder wenn sich ein Angriff über mehrere Tage erstreckt. Eine fortgeschrittene andauernde Bedrohung (Advanced Persistent Threat, abgekürzt APT) geht von ganz anderen Tätern aus als den "Scriptkiddies", den oft jugendlichen Angreifern, die nach Anleitungen aus dem Internet wahllos Ziele suchen, um in ein fremdes Computernetz einzudringen.
"Die Zahl der schwerwiegenden Angriffe steigt permanent", sagt LDI-Geschäftsführer Matthias Bongarth. In den vergangenen fünf Jahren hat sie sich mehr als verfünffacht. Von Anfang des Jahres bis Ende September registrierte das CERT Rheinland-Pfalz 320 Sicherheitsvorfälle. Im gesamten vergangenen Jahr waren es 298 gewesen, 2012 erst 62.
Zusammenarbeit mit dem BSI
Das rlp-Netz ist nicht einfach nur das Computernetz eines kleineren Bundeslands. Hier sind auch bundesweite Datenplattformen angesiedelt wie Extrapol, ein System zur Information und Kommunikation der Bundespolizeibehörden mit den Polizeibehörden der Länder und dem Zollfahndungsdienst. Rund 280 000 Beamte haben Zugriff darauf. Ebenfalls im rlp-Netz eingerichtet wird gerade eine SAP-Installation für die Versorgungsanstalt des Bundes und der Länder in Karlsruhe mit vielen sensiblen Personendaten.
Bongarth sieht das Netz mit seinen zwei Rechenzentren in Mainz und mehr als 2000 Servern in der Abwehr von Bedrohungen gut aufgestellt. Bestätigt wird dies durch ein besonderes ISO-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) für den IT-Grundschutz. Auf dieser Basis «ist unserer Kenntnis nach kein direkt vergleichbarer Informationsverbund in einem anderen Bundesland zertifiziert», heißt es beim BSI.
Als erstes Bundesland hat Rheinland-Pfalz Ende September nun auch eine Kooperationsvereinbarung mit dem BSI unterzeichnet. "Wir wollen die beiden Angriffserkennungssysteme von BSI und uns zusammenbringen und Daten austauschen", erklärt der 54-jährige Wirtschaftsinformatiker Bongarth. "So können wir noch schneller und effizienter auf Angriffssituationen reagieren." (hag)
