Helsinki: Angriff über eine Sicherheitslücke

Die Bedrohungslage in puncto Cybersecurity war noch nie so angespannt wie derzeit. Sogar offizielle Stellen prognostizieren, dass dies auch in Zukunft so bleiben wird.  Während die Zahl der Schwachstellen steigt, die die Angreifer ausnutzen können, berichten Analysten, dass die Täter außerdem die Schwachstellen schneller ausnutzen als bisher. Neue Sicherheitshinweise verwerten sie innerhalb weniger Tage, vielleicht sogar Stunden nach ihrer Veröffentlichung, schon in ihren Angriffen.  Unternehmen sind damit einem höheren Risiko ausgesetzt und müssen jetzt bei Transparenz und Effizienz ihrer Abhilfemaßnahmen nachbessern.

Ein beunruhigender Vorfall im Zuge einer nicht gepatchten Sicherheitslücke ist der kürzlich erfolgte Anschlag gegen die Cybersicherheit des Bildungssystems von Helsinki, der zum Diebstahl von mehreren Millionen Dateien mit den sensiblen persönlichen Daten von etwa 80.000 Personen führte. Die forensische Analyse des Angriffs deutet darauf hin, dass russische Bedrohungsakteure dafür verantwortlich sein könnten.

Die Datenpanne im Bildungssystem von Helsinki

Am 2. Mai 2024 wurde die Bildungsabteilung der Stadt Helsinki über eine nicht gepatchte Sicherheitslücke in einem Remote Access Server angegriffen. Nach Angaben des City Managers Jukka-Pekka Ujula war ein Hotfix-Patch bereits verfügbar, um die Schwachstelle zu beseitigen, „aber es ist derzeit nicht bekannt, warum dieser Hotfix nicht auf dem Server installiert wurde“.

Konkrete technische Details über die Sicherheitslücke wurden noch nicht veröffentlicht. Bekannt ist jedoch, dass die Angreifer in der Lage waren, sich Zugang zu Netzlaufwerken mit mehreren Millionen Dateien zu verschaffen und diese zu stehlen. Jukka-Pekka Ujula dazu: „Unsere Kontrollen und Verfahren für Sicherheitsupdates und Gerätewartung waren unzureichend.“ Gemeint ist damit ein fehlendes Schwachstellenmanagement, mit dem sichergestellt wird, dass bekannte Sicherheitslücken entschärft werden.

Zu den gestohlenen Daten gehören personenbezogene Informationen von rund 80.000 Schülern, Erziehungsberechtigten und Mitarbeitern, darunter Benutzernamen und E-Mail-Adressen, Personalausweise, physische Adressen von Schülern sowie andere sensible private Informationen, beispielsweise Gebühren (mit Begründungen) für Kunden der frühkindlichen Bildung und Betreuung, sensible Informationen über den Status von Kindern, Anträge auf Schülerfürsorge oder besondere Unterstützung, ärztliche Bescheinigungen über die Unterbrechung des Studiums für Schüler der Sekundarstufe II und Krankenakten.

Finnlands Reaktion auf den Datenschutzverstoß

Hannu Heikkinen, Chief Digital Officer der Stadt Helsinki, teilte Reportern mit, dass eine erste forensische Analyse des Einbruchs Hinweise darauf ergeben hat, dass der Angriff möglicherweise aus Russland stammt. Er ereignete sich wenige Monate nach der Eskalation der Grenzspannungen zwischen Russland und Finnland. Obwohl russische nationalstaatliche Bedrohungsakteure und mit ihnen verbundene Gruppen für cyber-militärische Kampagnen gegen ihre Gegner bekannt sind, hat keiner von ihnen die Verantwortung für den Angriff übernommen. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Standpunkt vertreten, dass sich Deutschland als Reaktion auf die zunehmenden Cyberangriffe von russischen Bedrohungsakteuren strategisch neu ausrichten und mehr in die Cybersicherheit investieren muss.

Das Nationale Cybersicherheitszentrum Finnland (NCSC-FI) veröffentlicht Aktualisierungen und Leitlinien für den Umgang mit solchen Vorfällen und für die Verbesserung der Cybersicherheitsmaßnahmen im öffentlichen und privaten Sektor. Die finnische Regierung hat auch die Notwendigkeit einer systematischen Entwicklung und verstärkten Zusammenarbeit zwischen den Behörden hervorgehoben, um die Widerstandsfähigkeit des Landes in der Cybersicherheit zu verbessern.

Trafcom, die finnische Behörde für Verkehr und Kommunikation, bietet Ratschläge für diejenigen, deren persönliche Daten gestohlen wurden, oder für alle, die verdächtige Mitteilungen im Zusammenhang mit diesem Vorfall erhalten. Alle Betroffenen werden gebeten, verdächtige Mitteilungen an kaskotietoturvatilanne@hel.fi oder unter der Telefonnummer +358 9 310 27139 zu melden.

Greenbone unterstützt bewährte Praktiken der Cybersicherheit

Die Erkenntnis aus diesem und ähnlichen Vorfällen ist, dass vorbeugende Maßnahmen in der Cybersecurity wie die Nutzung eines Schwachstellenmanagements das Risiko einer Datenpanne und die damit verbundenen Kosten verringern. Um sich zu schützen, müssen Unternehmen einen proaktiven Ansatz verfolgen, indem sie Richtlinien, Prozesse und Technologien wie die Greenbone Enterprise Vulnerability Management-Plattform implementieren, die bewährte Verfahren für die Cybersicherheit unterstützen. Andernfalls sind Angreifern Tür und Tor geöffnet, was Risiken mit sich bringt – finanziell, für die Reputation und für die Privatsphäre.

Greenbone bietet eine hohe Transparenz der Systeme und Software innerhalb der IT-Infrastruktur eines Unternehmens und nimmt Informationen über Cyber-Bedrohungen auf, sodass IT-Sicherheitsteams Risiko-orientiert Abhilfe schaffen können. Als Plattform zum Scannen und Verwalten von Schwachstellen unterstützt Greenbone Unternehmen dabei, bekannte Schwachstellen in IT-Umgebungen zu erkennen und Standards wie den BSI-Grundschutz und CIS-Vorgaben einzuhalten.