Suchen

Sicherheit und Datenhoheit Auch Verwaltungen können die Cloud nutzen

Autor / Redakteur: Markus Härtner* / Susanne Ehneß

Viele öffentliche Institutionen scheuen aufgrund von Bedenken zur Sicherheit und Datenhoheit vor der Cloud zurück. Markus Härtner von Securityanbieter F5 Networks erläutert, weshalb Behörden dennoch von der Cloud profitieren können.

Firmen zum Thema

Einstieg in die Cloud – auch für Behörden
Einstieg in die Cloud – auch für Behörden
(Bild: Pixabay)

Bürgerinnen und Bürger stellen heute hohe Erwartungen an Behörden: Sie wollen einen schnellen und einfachen, nicht orts- oder zeitgebundenen Zugang zu Öffentlichen Dienststellen. Zudem soll die Verwaltung ihre Anliegen rasch erledigen. Diese Anforderungen gründen sich auf ihre Erfahrungen mit vielen Internet-Angeboten aus dem Unterhaltungs- und Shopping-Bereich.

Um diese hohen Erwartungen zu erfüllen, wechseln bereits viele Unternehmen aus dem privaten Sektor bis 2020 zu einer „Cloud-only“-Strategie, wie die Marktforscher von Gartner ermittelt haben. Der Verzicht auf die Cloud wird dann so selten sein wie heute der Verzicht auf das Internet. Denn schließlich kann nur dieser Ansatz die Komplexität der Prozesse so weit reduzieren sowie die Skalierbarkeit und Flexibilität der Systeme so stark erhöhen, dass die Dienste in ausreichender Geschwindigkeit und Zuverlässigkeit verfügbar sind.

Das Problem Datenhoheit

Angesichts dieses Trends müssen auch Behörden und öffentliche Verwaltungen zukünftig Cloud-Services in Betracht ziehen. Die meisten Verwaltungen scheuen aber eine kommunale Cloud wegen des Verlusts der Datenhoheit sowie aus Sicherheitsgründen.

Bei der Datenhoheit wollen oder können Behörden aus rechtlichen Gründen oft keine Abstriche machen. Doch muss es hier immer schwarz oder weiß sein – oder gibt es eine Möglichkeit, die Daten nicht aus der Hand zu geben und trotzdem die Vorteile der Cloud zu nutzen?

Bürgerdatenbank

Diese gibt es tatsächlich, beispielsweise in Form einer zentralen Bürgerdatenbank als Cloud-Service, auf die alle Ämter, Behörden sowie andere Stellen wie Krankenkassen zugreifen und per Bürger-ID Daten einsehen können. Damit wird der Austausch innerhalb der Öffentlichen Verwaltung optimiert und der Administrationsaufwand minimiert.

Ein zentrales Register hilft auch, schneller an öffentlich zugängliche Daten eines Bürgers zu kommen und darauf basierend eigene Dienste in der geschützten Private Cloud zu erstellen, die darüber hinausgehende Informationen enthält. Natürlich muss in beiden Fällen der Datenschutz gewährleistet sein.

Dann ermöglichen es solche Cloud-Dienste innerhalb kürzester Zeit und ohne Investitionsaufwand, Daten zu nutzen. Dies bringt für beide Seiten enorme Vorteile, für die Bürger zum Beispiel schnellere Dienstleistungen sowie weniger Formulareingaben, für die öffentliche Verwaltung effizientere und weitgehend automatisierte Prozesse.

Das Problem Sicherheit

Doch wie steht es mit der Sicherheit? Schließlich vergeht kaum ein Tag, an dem nicht ein Unternehmen kompromittiert wird. Selbst Krankenhäuser in Deutschland mussten bereits Lösegeld zahlen, weil sie von Erpressungssoftware betroffen waren.

Ob Ransomware, Passwortdiebstahl, betrügerische eMails oder fortgeschrittene intelligente Bedrohungen: Die Liste der Gefahren lässt sich beliebig fortsetzen. Die Folgen für die betroffenen Behörden oder Firmen sind oft dramatisch: Datenverlust, hohe Kosten und immense Rufschädigung.

Längst sind sich Experten darin einig, dass es keinen hundertprozentigen Schutz vor den heutigen Angriffen von Cyberkriminellen gibt. Dennoch sollten öffentliche Stellen jetzt auf keinen Fall den Kopf in den Sand stecken, denn es gibt eine Reihe von Möglichkeiten, um die Sicherheit zu erhöhen und den Bürgern das nötige Vertrauen zu ermöglichen.

Was können Behörden nun konkret tun? Lesen Sie auf der nächsten Seite weiter.

Sicherheitsstrategie

Um den optimalen Schutz des Netzwerkes und der dazugehörigen Anwendungen sicherzustellen, die heute viel häufiger im Mittelpunkt der Cyberattacken stehen, muss die Verwaltung eine umfassende Sicherheitsstrategie verankern. Dazu gehören folgende Punkte:

1. Chief Digital Officer (CDO) als zentraler Ansprechpartner: Behörden müssen sicherstellen, dass sich die richtigen Personen um die IT-Sicherheit kümmern. Eine zentrale Rolle nimmt dabei der CDO ein, der nicht nur die klassische IT, sondern auch wichtige Anwendungen und Fachverfahren im Blick hat.

2. Nicht an der falschen Stelle sparen: Auf keinen Fall dürfen Behörden an sicherheitsrelevanten Anwendungen, Diensten und Kapazitäten sparen. Falls erforderlich, sollten sie unbedingt einen externen Spezialisten zu Rate ziehen. Dieser unterstützt sie beim Management der Informationssicherheit und der Ausrichtung an nationalen sowie bei Bedarf auch internationalen Sicherheitsstandards.

3. Die richtigen Schutzmöglichkeiten implementieren: Um sich vor Cyberkriminellen zu schützen, sollten Behörden zudem Sicherheitslösungen einführen, die bereits sehr frühzeitig über eine mögliche Schwachstelle informieren. So sind sie in der Lage, auch die Mitarbeiter und Bürger entsprechend frühzeitig zu warnen.

Denn wurden beispielsweise durch eine Phishing-Attacke bereits mehrere tausend Passwort- und Nutzer-Kombinationen abgezogen und die Behörde merkt dies erst, wenn die Daten bereits im Darknet zum Verkauf angeboten werden, führt dies zu einem großen Reputationsverlust. Daher sind Sicherheitslösungen zu implementieren, die einen guten Schutz vor anspruchsvollen Bedrohungen bieten sowie eine fortschrittliche Verschlüsselung, Malware-Erkennung und Verhaltensanalysen.

4. Aktive und ehrliche Kommunikation im Falle eines Angriffs: Jedem Verantwortlichen sollte klar sein, dass er immer offen und ehrlich mit einer Sicherheitslücke umgehen sollte. Sie einfach zu vertuschen oder gemäß Salamitaktik immer nur scheibchenweise die Wahrheit zuzugeben, schadet der Behörde und verursacht meist einen enormen Vertrauensverlust, nicht nur von Bürgern, sondern auch übergeordneten Stellen.

Sind Institutionen Opfer eines Angriffs geworden, sollten sie die Öffentlichkeit aktiv darüber informieren sowie die eingeleiteten Gegenmaßnahmen und mögliche Auswirkungen darlegen.

5. Bewusstsein bei den Anwendern erhöhen: Viele Angriffe haben Erfolg, weil Mitarbeiter sich falsch verhalten. Das kann ein leichtfertiges Öffnen von eMails unbekannter Absender sein, das unbedachte Anklicken von Links oder in Zukunft vermehrt auch das schnelle Einwählen in Hotspots mit mobilen Endgeräten. Daher sollten Behörden eine aktive Aufklärungsarbeit durchführen und ihre Mitarbeiter in regelmäßigen Schulungen über den verantwortungsvollen Umgang in punkto IT-Sicherheit informieren.

Zertifizierte Cloud

Bei allen Bedenken sollte aber den Behörden auch klar sein, dass gerade die Sicherheit bei modernen Cloud-Lösungen oft höher ist als im eigenen Rechenzentrum. Denn einerseits sorgen hier verschiedene Spezialisten für die Installation und Aktualisierung der diversen Security-Maßnahmen und andererseits bieten sie redundante Systeme, die selbst bei einem erfolgreichen Angriff die weitere Funktionsfähigkeit der Prozesse gewährleisten.

Der Autor: Markus Härtner
Der Autor: Markus Härtner
(Bild: F5 Networks)

Natürlich sollte eine Behörde nicht jedem Cloud-Anbieter blindlings vertrauen, aber mit den richtigen, durch Zertifikate nachgewiesenen Sicherheitsmaßnahmen sowie einer Prüfung und Freigabe durch neutrale Security-Experten lässt sich die Cloud auch von öffentlichen Stellen in vielen Bereichen sicher und zuverlässig nutzen.

* Markus Härtner, Vice President Sales bei F5 Networks

(ID:44242063)