Statistik zur IT-Sicherheit: Die hessischen Gemeinden
Kommunen werden immer öfter Opfer von Cyberattacken. Die zuständigen Administratoren geben ihr Bestes, um die Systeme und Daten zu schützen. Doch angesichts mangelnder zeitlicher, personeller und finanzieller Kapazitäten sind sie den technologisch hochgerüsteten Hackern in vielen Fällen unterlegen. Wie prekär die Lage ist, zeigt nicht zuletzt auch unsere Statistik zur extern einsehbaren IT-Sicherheitslage von 422 hessischen Kommunen. Die im Rahmen der Untersuchung ermittelten Daten basieren auf automatisiert erfassten, öffentlich zugänglichen Informationen. Das bedeutet, es wurden keine invasiven Schwachstellenscans durchgeführt und auch keine Zugangshindernisse überwunden.
Mit der Statistik wollen wir aufmerksam machen und den IT-Verantwortlichen unsere Hilfe anbieten. Die Gemeinden können sich jederzeit für einen kostenlosen Einblick in ihre eigene Sicherheitslage bei uns melden.
Photo by Andras Vas on Unsplash
Nachbessern erforderlich
Die Ergebnisse entsprechen dem, was IT-Sicherheitsexperten schon lange anmahnen: Die Lücken sind reichlich und die Lage ist angespannt.
Folgende Bereiche wurden auf sicherheitskritische Funde überprüft.
Mailversand – Verwendung von SPF-Einträgen Nach unseren Untersuchungen schützen 24% der überprüften Kommunen ihre Behörden nicht ausreichend vor Mail-Fälschungen bzw. Identitätsraub, da sie keine Sender Policy Framework (SPF)-Einträge verwenden. Ohne einen SPF-Eintrag können Mail-Empfänger nicht überprüfen, ob ein E-Mail-Sender überhaupt berechtigt ist, eine bestimmte Mailadresse (beispielsweise die einer Behörde) zu nutzen. Das macht es dann Angreifern leicht, Phishing-E-Mails im Namen der betreffenden Kommune an Mitarbeiter und andere zu senden. Aus diesem Grund sollten die IT-Verantwortlichen unbedingt die DNS-Konfiguration bei ihren Domain-Anbietern überprüfen.
Verschlüsselung der Datenübertragung– Zertifikate Auch die Sicherheit beim Datenaustausch liegt bei vielen noch im Argen. Die Prüfung der Verschlüsselungsqualität ergab, dass 74% der Gemeinden auf ihren Websites und bei E-Mails teilweise auf Datenübertragungsprotokolle mit unzureichender Verschlüsselung (alte Verschlüsselungsversionen wie SSLv2, SSLv3, TLS1 und TLS_1.1) setzen. Um sich vor Datendiebstahl angemessen zu schützen, sollten die verwendeten Zertifikate kontrolliert und Web- sowie Mailserver-Einstellungen hinsichtlich der verwendeten Konfigurationen und Versionen aktualisiert werden.
Erreichbare Datenbanksysteme – Netzwerk Alleine schon die Erreichbarkeit ist ein Problem – tiefergehend wurde nicht getestet. Fakt ist: 31 Prozent schützen nicht alle Datenbanksysteme angemessen vor Cyberangriffen.
Applikationen – Veraltete Software Gibt es veraltete Anwendungen mit Sicherheitslücken? Die Systeme verraten ihre Softwareversionen über öffentlich kommunizierte “Banner”. Aus diesen Versionen lassen sich Schwachstellen ableiten. Die Prüfung ergab, dass 23 Prozent der hessischen Kommunen mindestens eine Applikation mit ungepatchter Sicherheitslücke verwenden.
Datenschutz-Compliance Deutlich besser sah es beim Datenschutz aus. Hier verwendeten nur noch 12 Prozent der getesteten Kommunen Tracking-Cookies, die ohne Zustimmung der Besucher/innen gesetzt wurden.
Die Statistik hat zu vielen Beiträgen in den unterschiedlichsten Medien geführt, auf deren korrekte Formulierungen wir keinen Einfluß haben. Deshalb verweisen wir an dieser Stelle auf Benjamin Stiebel vom Behördenspiegel, der die Ergebnisse sehr gut in einem kurzen Bericht zusammengefasst hat. Artikel bei Behördenspiegel lesen
Fragen Sie jetzt Ihre persönliche Live-Demo an
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Alex freut sich!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Deutsch 
English 
Français