Jüngste Hacker Angriffe auf staatliche Institutionen in Mazedonien haben gezeigt, wie anfällig die meisten ihrer IT-Systeme für Cyberkriminalität sind, was Experten dazu veranlasst, zu warnen, dass sie beginnen müssen, ihr Spiel zu verbessern.
Mazedonische Beamte versuchen, das Land davon zu überzeugen, dass die Situation unter Kontrolle ist, nachdem Hacker kürzlich Dutzende von E-Mail-Adressen und Passwörtern von Mitarbeitern öffentlicher Einrichtungen durchgesickert sind.
Dabei konnten jedoch einige der wichtigsten Seiten der Website der wichtigsten lokalen Selbstverwaltung von Skopje seit Donnerstag nicht mehr erreicht werden – was wie ein weiterer schwerwiegender Verstoß gegen die Cybersicherheit aussah.
Einige Seiten auf der offiziellen Website der Stadt Skopje, einschließlich der Seite über Steuern, sind derzeit aufgrund eines „abgelaufenen Sicherheitszertifikats“ als nicht sicher gekennzeichnet. Experten zufolge könnte dies zu einer weiteren Verletzung des Datenschutzes führen.
Webbrowser wie Mozzila oder Google Chrome blockierten den Zugriff auf einige Seiten der Website skopje.gov.mk, was bedeutet, dass das System entweder für einen Hackerangriff anfällig sein könnte oder dass die Benutzer der Website für einen “man-in-the-middle attack” (auch MITM-Angriffe) anfällig sein könnten.
In diesem Fall ändern Angreifer heimlich die Kommunikation zwischen zwei Seiten und stehlen wichtige Informationen wie Passwörter, Nachrichten oder Kreditkartennummern der User.
Die jüngste Sicherheitsverletzung ereignete sich, nachdem eine griechische Hacker Gruppe namens „Powerful Greek Army“ Dutzende von E-Mail-Adressen und Passwörtern von Mitarbeitern des mazedonischen Ministeriums für Wirtschaft und Finanzen sowie der Gemeinde Strumica veröffentlichte, und mit ihren „Heldentaten“ auf Twitter am 10. Mai geprahlt hatte.
Wann und wie die Hacker in diese Systeme gelangten, ist noch unklar, aber sowohl das für Cyberkriminalität zuständige Innenministerium als auch die griechischen Behörden versprachen eine rasche gemeinsame Untersuchung.
Kürzlich hat die Hacker Gruppe der „Powerful Greek Army“ auch die Website des Instituts für soziologische, politische und juristische Forschung an der Hauptuniversität St. Cyril und Methodius in Skopje gehackt.
In den letzten Jahren hat die Regierung versprochen, nach einer Reihe von ausgefeilten und koordinierten IT-Sicherheitsverletzungen und Hacker Angriffen auf Websites mit Bürgerdaten Maßnahmen zu ergreifen.
Einige halten die derzeitige Reaktion des Landes auf Cyber-Bedrohungen jedoch für viel zu schwach.
Als die Behörden über den jüngsten Angriff vom 10. Mai sprachen, sahen sie keine Bedrohung und erklärten, dass auf die gehackten E-Mail-Konten nicht mit den durchgesickerten Passwörtern oder anderen Datensätzen zugegriffen werden konnte. Die von den Hackern veröffentlichte Daten seien mehr als sieben Jahre alt und stammten aus dem Jahr 2013, fügten sie hinzu.
Wir haben keine Beweise dafür, dass die aktuellen E-Mail-Systeme dieser Institutionen in letzter Zeit gehackt wurden, und wir untersuchen alle Details in Bezug auf diesen Fall, sagte die Regierung in einer optimistischen Erklärung.
Sie fügte hinzu, dass offizielle E-Mail-Systeme seit 2013 aktualisiert wurden und dass Protokolle mit komplexen Passwörtern für offizielle E-Mail-Adressen sowie andere Cybersicherheitsprotokolle in den Systemen festgelegt wurden, die das Risiko einer Systemkompromittierung verringern sollen.
Experten warnen jedoch davor, dass einige Schritte unternommen wurden, aber weit davon entfernt sind, die erforderlichen Kriterien zu erfüllen. Sie sagen, dass der jüngste Vorfall als Warnung vor der Art der Cybersicherheitspraktiken angesehen werden sollte, die derzeit im Land angewendet werden.
Experten sagen desweiteren, dass immer noch zu viele alte Betriebssysteme verwendet werden, wodurch staatliche Institutionen für Hackerangriffe anfällig werden, während die Mitarbeiter dieser Institutionen nicht ausreichend über Sicherheitsprotokolle geschult sind.
Eine Studie des Ponemon Institute aus dem Jahr 2018, die unabhängige Untersuchungen zum Datenschutz durchführt und sich mit den Kosten von Datenschutzverletzungen befasst, ergab, dass eine durchschnittliche Datenschutzverletzung des öffentlichen Sektors bis zu 2 Millionen Euro kosten könnte.
Laut einem Bericht von The Daily Swig, der sich auf Fehler, Viren und Datensicherheitsprobleme konzentriert, bleiben Verstöße gegen die Daten der Regierung zweieinhalb Mal häufiger ein Jahr oder länger unentdeckt als im privaten Sektor.
Lesetipp: Zaev von russische Komiker gepranked – Gespräche mit Poroshenko und Stoltenberg
2018 verabschiedete die Regierung eine nationale Strategie und einen Aktionsplan zur Cybersicherheit, seitdem wurde jedoch wenig unternommen.
In den letzten Jahren gab es andere Beispiele für einen schlechten Schutz staatlicher Institutionen. Im vergangenen Jahr wurde ein ehemaliger Abgeordneter verhaftet, weil er sich in das Zentralregister gehackt hatte.
Im Jahr 2015 gehörten das Ministerium für Informationsgesellschaft und Verwaltung und die Staatsanwaltschaft zu mehreren Institutionen, auf die eine Hacker Gruppe abzielte, von der angenommen wurde, dass sie Verbindungen zu dschihadistischen Gruppen im Nahen Osten unterhält.
Veraltete Betriebssysteme ein großes Problem und Angriffsfläche für Hacker
Eines der Hauptprobleme für die IT-Systeme in Mazedonien besteht darin, dass die meisten Betriebssysteme veraltet und daher anfälliger für Angriffe sind.
Die Sicherheit von IT-Systemen im Land entspricht meist nicht den erforderlichen Standards, so Milan Popov, ein in Skopje ansässiger Cyber-Sicherheitsingenieur mit langjähriger Erfahrung in der IT-Sicherheit im öffentlichen Sektor.
Alte Betriebssysteme werden immer noch verwendet, Websites verwenden häufig keine Sicherheitszertifikate und schwache Kennwörter werden verwendet, um sich in den Systemen anzumelden, fügte er hinzu.
Beispielsweise verwenden viele staatliche Institutionen immer noch das Windows XP-System, das für seine Sicherheitslücken bekannt ist. All dies führt zu einer großen Gefahr, Systeme zu kompromittieren und möglicherweise sensible Daten von Benutzern zu extrahieren, fährt Popov fort.
Die Regierung verabschiedete im Juli 2018 eine nationale Strategie und einen Aktionsplan für Cybersicherheit für den Zeitraum 2018–2022. Die Strategie zielte darauf ab, die kritische Infrastruktur und die Rolle jeder Institution in Bezug auf die Cybersicherheitsbemühungen insgesamt zu definieren.
2019 bildete sie außerdem einen Nationalen Rat für Cybersicherheit, dem die Minister für Inneres, Verteidigung und Informationsgesellschaft angehörten. Obwohl es nun zwei Jahre her ist, hat der Rat bisher nur eine Sitzung abgehalten, im Januar dieses Jahres, als der Rat eine konstitutive Sitzung abhielt.
In Bezug auf seine Ziele hat der Rat erklärt, dass er darauf abzielen wird, die Empfehlungen und Cybersicherheitspraktiken der anderen NATO-Mitgliedstaaten umzusetzen.
Starke und belastbare Cyber-Abwehrmaßnahmen sind Teil der Kernaufgaben der NATO in den Bereichen kollektive Verteidigung, Krisenmanagement und kooperative Sicherheit.
Eines der Hauptziele der NATO ist die Stärkung der Fähigkeiten ihrer Mitglieder in Bezug auf Cyber-Bildung, Training und Übungen. Die Mitgliedstaaten verpflichten sich außerdem, den Informationsaustausch und die gegenseitige Unterstützung bei der Verhütung, Abschwächung und Wiederherstellung von Cyberangriffen zu verbessern.
Laut dem Staatshaushalt für 2020 investiert Mazedonien etwas mehr als 6 Millionen Euro in institutionelle IT-Unterstützung, aus einem geplanten Budget von 71,6 Millionen Euro. Der gleiche Betrag wurde 2019 für den IT-Support ausgegeben.
Mitarbeiter benötigen mehr Schulungen in IT-Sicherheit
Die von der griechischen Hacker Gruppe veröffentlichte E-Mail-Liste war auch besorgniserregend, da die Mitarbeiter des Ministeriums für Wirtschaft und Finanzen möglicherweise dieselben Passwörter für andere Konten verwendet haben.
Der Angriff sollte zeigen, wie schwach der IT-Schutz des Systems war. Die Hacker versprachen auch einen erneuten „Besuch“. Auf ihrem Twitter-Profil gaben sie bekannt, dass sie „nicht aufhören würden, Skopje anzugreifen“.
Die durchgesickerten Listen enthielten Beispiele für besorgniserregend schwache Passwörter. Laut Cyber-Sicherheitsexperten gab dies allein Anlass zur Sorge, wenn es um die Sicherheit der Verwaltungssysteme und der Daten der Mitarbeiter geht.
Einige der Sicherheitsbedenken betreffen Passwortlecks, Klartext-Passwörter, Passwörter, die einen Teil des Nachnamens enthalten, nur in Buchstaben oder nur in Zahlen, kürzer als acht Zeichen und ohne Sonderzeichen sind, erklärt Martin Spasovski, in Skopje ansässiger Softwareentwickler.
Einige der Methoden, mit denen Hacker Passwörter stehlen, sind Phishing, Password Spraying oder Keylogging. Wenn es um Passwörter geht, sollten Benutzer immer auf die Passwortstärke achten. In den meisten Fällen kann eine strenge Kennwortrichtlinie dazu beitragen, solche Angriffe zu verhindern.
Um weitere derartige Vorfälle zu vermeiden, müssen staatliche Institutionen die IT-Mitarbeiter besser über die verschiedenen Herausforderungen informieren, die Hacker Bedrohungen mit sich bringen, so Experten.
Der Schutz erfordert eine ernsthafte Investition in Hardware und Software. Die wichtigste Notwendigkeit besteht jedoch darin, die IT-Mitarbeiter in der Verwendung all dieser Informationen zu schulen, betonte Popov, und erklärt weiter:
Es ist auch äußerst wichtig, Nicht-IT-Mitarbeiter darin zu schulen, wie verschiedene Gefahren wie Social Engineering, bösartige Websites oder die Arbeit mit sensiblen Daten erkannt werden können.
Eine Studie, die 2018 von internationalen Cybersecurity-Wissenschaftlern durchgeführt wurde, kam zu ähnlichen Ergebnissen über die Bedeutung von Schulungen.
In öffentlichen Einrichtungen ist die Schulung in IT-Sicherheitsfragen sowohl für IT-Mitarbeiter als auch für allgemeine Mitarbeiter sehr begrenzt, und es liegt häufig im Ermessen des Managements, ob ein Mitarbeiter an einer allgemeinen Schulung oder einem Zertifizierungskurs für Cybersicherheit teilnehmen darf, heißt es weiter.
Das Verteidigungsministerium, eine der Hauptkomponenten der kritischen Cybersicherheitsinfrastruktur, gibt an, regelmäßig Cybersicherheitsschulungen für seine Mitarbeiter durchzuführen.
Im Jahr 2019 wurden 10 Schulungen zur Sensibilisierung für Cybersicherheit durchgeführt, an denen 152 Mitarbeiter des Ministeriums teilnahmen. Die Armee führte auch Schulungen mit über 1.200 Mitgliedern durch, teilte das mazedonische Verteidigungsministerium auf Nachfrage von BIRN in einer Erklärung mit.
Für 2020 plante das Ministerium Schulungen für 150 Mitarbeiter, die im April beginnen sollten, diese jedoch aufgrund der Pandemiemaßnahmen derzeit verschoben sind.
Die Sicherung des Cyberspace, der in jeder Hinsicht für alle in der digitalen Welt tätigen Organisationen von größter Bedeutung ist, ist das Hauptaugenmerk des Cybersecurity Specialist Academic Track – Teil der Computer Networks Academy bei SEDC, so Toni Todorov, Senior DevOps Engineer bei SEDC , eines der größten Computerbildungszentren des Landes.
Regierungen in ganz Europa investieren viel Zeit und Ressourcen (und werden noch mehr investieren), um das Bewusstsein zu schärfen und die Bedrohung der Sicherheit ihrer Bürger, insbesondere der digitalen Art, zu beseitigen, fügte Todorov hinzu.
QUELLE: BIRN (Englisch), übersetzt von mazedonien-news.mk