Cyber-Sicherheit

Risikominimierung und Kosten in vertretbarem Verhältnis

| Autor / Redakteur: Hadi Stiel / Susanne Ehneß

Das Gebot „nicht mehr als notwendig“ bewahrt Behörden vor einer zu komplexen Gesamtlösung
Das Gebot „nicht mehr als notwendig“ bewahrt Behörden vor einer zu komplexen Gesamtlösung (Bild: © ra2 studio/ Fotolia.com)

Der öffentliche Bereich gerät unter Druck, die Verfügbarkeit des Cyber-Raums und die ­Integrität, Authentizität und Vertraulichkeit der darin gespeicherten und bewegten ­Daten soweit wie möglich zu schützen. Die Bundesregierung spricht von einer zentralen gemeinsamen Herausforderung für Staat, Wirtschaft und Gesellschaft im nationalen und internationalen Kontext.

Was Behörden tun sollten, um ihren Teil zu mehr Cyber-Sicherheit für ihren Handlungsradius sowie für den Staat, die Wirtschaft und die Gesellschaft beizutragen, erläutert Carsten Triebel, Senior ­Consultant beim Beratungshaus BridgingIT, im Interview.

Wie dringlich sind die Maßnahmen im Behördenbereich, um sich besser vor Attacken aus dem Cyber Space zu schützen?

Triebel: Der Bedarf ist hier ausgesprochen hoch, zumal in vielen Behörden in puncto Sicherheit ­hoher Nachholbedarf besteht. Doch es geht hier nicht nur um geeignete Sicherheitssysteme und -werkzeuge, um sich besser vor Angriffen aus dem Cyber-Raum zu schützen. Mehr Cyber Security zu erreichen, das ist vor allem eine organisatorische Herausforderung. Für die Entscheider heißt das, das notwendige Maß an mehr Sicherheit im Gesamtkontext zu sehen.

So müssen die Maßnahmen nachvollziehbar sein, um ihre Wirksamkeit für Governance und Compliance jederzeit nachweisen zu können. Auditing & Reporting vorerst als organisatorische und inhaltliche Maßnahmen spielen in diesem Kontext ganz wichtige Rollen.

Sie sprechen von einem „notwendigen Maß“. Wie viel Cyber Security muss sein?

Triebel: Das ist von der Größenordnung des Nachholbedarfs in den einzelnen Behörden abhängig, wobei Cyber Security nur annähernd erreichbar ist. Das hat viele Gründe. Bei technologisch hochentwickelten Schadprogrammen beispielsweise, sind Abwehr- und Rückverfolgungsmaßnahmen schwierig, zumal die Identität der Angreifer aus dem Cyber-Raum und ihre vorrangigen Angriffsziele meist im Dunkeln bleiben. Denn welcher Gruppe – Kriminelle, Terroristen, Nachrichtendienste, ­Militärs – die Angreifer auch zugehören, sie wollen, dass sie und ihre Absichten solange wie möglich unentdeckt bleiben.

Ihre Intentionen werden durch neue Angriffsformen wie Advanced Persistent Threats (APTs) gestützt. Dieser Schadcode wird, nachdem er eingeschleust wurde, oft erst nach vielen Monaten aktiv. Erst ab dann werden für die Behörden kritische Daten ab­gezogen oder tragende Systeme ­sabotiert.

Das können Behörden angesichts der wachsenden Gefahr keinesfalls tolerieren. So werden nach dem Analystenhaus Gartner im Jahr 2020 Unternehmen und Organisationen 60 Prozent ihres Sicherheitsetats darauf verwenden müssen, solche verdeckten Attacken aufzuspüren, um schnell und angemessen darauf reagieren zu ­können.

Wie wichtig sind die Daten für die Angreifer?

Triebel: Mit der voranschreitenden Digitalisierung und Vernetzung haben auch die Daten der ­Behörden für die Angreifer an Bedeutung gewonnen. Eine länder­übergreifende Integration von Datenbanken, intelligente Datenanalysen und -auswertungen sowie ein übergreifender Informationsaustausch motivieren Kriminelle, Terroristen, Nachrichtendienste und Militärs zusätzlich, zu attackieren.

Dabei geht es den Angreifern nicht nur darum, immer aussagekräftigere und vitalere Informationen abzugreifen. Mit der voranschreitenden Digitalisierung, Vernetzung, Dateninteg­ration und -auswertung sowie dem umfassenden Informationsaustausch ist die Abhängigkeit der Behörden von der Informations- und Kommunikationsinfrastruktur gewachsen.

Dementsprechend verheerend sind die Folgen, wenn Verwaltungsabläufe durch Schadprogramme oder andere Attacken lahmgelegt oder behindert werden.

Lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44566036 / System & Services)