Speyer-Studie zur Datensicherheit Öffentlicher Verwaltungen Beamte als Risikofaktor

Autor / Redakteur: Manfred Klein / Susanne Ehneß

Die Cyber-Attacken der vergangenen Monate haben gezeigt, dass die Öffentlichen Verwaltungen zunehmend ins Visier der Angreifer geraten und in vielen Fällen nicht ausreichend geschützt sind. Wie lässt sich diese Situation verbessern?

Firmen zum Thema

Bei knapp 50 Prozent der Behörden sind ID-Zugangskontrollen zur IT-Abteilung vorhanden
Bei knapp 50 Prozent der Behörden sind ID-Zugangskontrollen zur IT-Abteilung vorhanden
( © psdesign1 - Fotolia)

Eine an der Deutschen Universität für Verwaltungswissenschaften in Speyer durchgeführte Studie mit dem Titel „Cyberangriffe und Datensicherheit in öffentlichen Netzwerken und Dateninfrastrukturen in Deutschland“ ging nun dieser und anderen Fragestellungen nach. Damit liegt vermutlich eine der ersten Studien vor, die das Thema IT-Sicherheit ausschließlich unter dem Blickwinkel der Öffentlichen Verwaltungen analysiert.

Und wie zu erwarten, fördern die beiden Autoren – Prof. Dr. Bernd W. Wirtz und Jan C. Weyerer – dabei eine Menge an Defiziten im Bereich der Verwaltungen zutage. Schon in ihrer Einführung verweisen die beiden darauf, dass eGovernment und Digitalisierung die Öffentlichen Verwaltungen vor extreme Herausforderungen aufgrund der Komplexität umfassender Sicherheitslösungen im Bereich der Informationstechnik stellen.

Die Studie soll nach Angaben der Autoren daher Auskunft über folgende Aspekte und Fragestellungen geben: Wie nimmt die öffentliche Verwaltung Bedrohungen ihrer IT-Sicherheit und Sicherheit ihrer Daten wahr, und wie geht sie damit um? Diese Fragestellung soll aus Sicht von IT-Experten aus der öffentlichen Verwaltung beantwortet werden.

Dabei kommen die Autoren zu folgenden Ergebnissen: „Die Studien­ergebnisse haben gezeigt, dass die Öffentliche Verwaltung der Datensicherheitsbedrohung große Bedeutung beimisst und in ihr ein hohes Gefährdungspotenzial auf allen Ebenen der Verwaltung sieht.“ Bemerkenswert sei dabei, dass das Gefährdungspotenzial mit der nächsthöheren Verwaltungsebene steige und auf der Bundesebene das höchste Gefährdungspotenzial besteht.

Mangelndes Risikobewusstsein

Darüber hinaus hätten sich sowohl alltägliche Tätigkeiten von Verwaltungsmitarbeitern im Internet als auch viele sonstige organisationsbezogene Aktivitäten als potenziell große Gefahrenquellen für die Datensicherheit in der Öffentlichen Verwaltung herausgestellt. Zudem offenbarten die Studienergebnisse auch einen Mangel an Risikobewusstsein bezüglich der Datensicherheit bei Behördenleitungen und übergeordneten Behörden.

Zur Situation in den Kommunen erklären die Verfasser: „Auch im Zusammenhang mit dem Datenschutzniveau der Kommunen konnten hohe Defizite festgestellt werden. Während große Kommunen als eher geschützt angesehen werden, wird das Schutzniveau kleinerer und mittlerer Kommunen als eher gering eingestuft.“

Dabei schneiden große Kommunen erwartungsgemäß besser ab als kleinere. „Im Hinblick auf den Datenschutz bestehen zwischen Kommunen verschiedener Größenordnungen erhebliche Unterschiede, wobei das Datenschutzniveau generell mit zunehmender Kommunengröße zu steigen scheint. Insgesamt weisen die Kommunen jedoch teilweise starke Defizite auf.“

„Während etwa jeder Zweite (49 Prozent) große Kommunen als geschützt oder umfassend geschützt einstuft, sind es für mittlere Kommunen lediglich 15 Prozent und für kleinere Kommunen sogar nur 7 Prozent der IT-Experten der Öffentlichen Verwaltung, die der Meinung sind, dass diese geschützt oder umfassend geschützt sind“, so das Fazit.

Im Hinblick auf konkrete Maßnahmen zum Datenschutz haben die Studienergebnisse zudem nach Meinung der Verfasser gezeigt, dass grundlegende Sicherheitsvorkehrungen aufgrund ihrer heterogenen Implementierung in der Öffentlichen Verwaltung ein erhebliches Optimierungspotenzial aufweisen und vor allem Nachholbedarf in Bezug auf fortgeschrittene Schutzmaßnahmen sowie das Notfallmanagement bestehe.

Bitte lesen Sie auf der nächsten Seite weiter.

Ressourcenmangel verschärft Gefährdung

Schließlich habe sich auch gezeigt, dass eine große Mehrheit der Öffentlichen Verwaltungen einen Mangel an ausreichender Ressourcenunterstützung im Bereich Datensicherheit durch ihre übergeordneten Behörden wahrnimmt, was auch hier einen entsprechenden Verbesserungsbedarf impliziere.

Insgesamt könne konstatiert werden, dass auf Basis der Einschätzung der IT-Experten der Öffentlichen Verwaltung in weiten Teilen eine beunruhigende Datensicherheits- und Datenschutzlage gegen Cyberangriffe in der Öffentlichen Verwaltung in Deutschland vorliege.

Die dargestellten Ergebnisse dieser Studie könnten daher Entscheidern in der Öffentlichen Verwaltung als wichtige Orientierungshilfe dienen, um zukünftig den vielfältigen Herausforderungen der Datensicherheit gerecht zu werden und Cyberangriffe erfolgreich abzuwehren, so das Resümee der Autoren.

Kernaussagen im Überblick

  • Für fast 90 Prozent der IT-Experten der Öffentlichen Verwaltung ist die Datensicherheitsbedrohung in der öffentlichen Verwaltung ein sehr relevantes Thema.
  • Über 90 Prozent der IT-Experten der öffentlichen Verwaltung sehen eine potenzielle Gefährdung der Datensicherheit in der Öffentlichen Verwaltung.
  • Alle Ebenen der Öffentlichen Verwaltung werden als potenziell gefährdet eingestuft: Fast 60 Prozent der IT-Experten der Öffentlichen Verwaltung sehen ein hohes bis sehr hohes Gefährdungspotenzial auf kommunaler Ebene, etwa 85 Prozent nehmen ein solches auf der Länder­ebene wahr und 95 Prozent bewerten die Bundesebene als potenziell hoch bis sehr hoch gefährdet.
  • Etwa 60 Prozent der IT-Experten der Öffentlichen Verwaltung sehen in alltäglichen Tätigkeiten im Internet ein hohes bis sehr hohes Gefahrenpotenzial
  • Über 40 Prozent der IT-Experten der Öffentlichen Verwaltung haben große oder sehr große Angst vor einem Datendiebstahl.
  • Über die Hälfte der IT-Experten der Öffentlichen Verwaltung beurteilt, dass die Behördenleitung oder die übergeordnete Behörde einen Mangel an sehr hohem Risikobewusstsein im Hinblick auf die Datensicherheit aufweist.
  • Das Datenschutzniveau der Kommunen weist hohe Gefahrenpotenziale auf: Nur 7 Prozent der IT-Experten der Öffentlichen Verwaltung halten kleinere Kommunen für geschützt beziehunsgweise umfassend geschützt, bei mittleren Kommunen halten nur 15 und bei großen Kommunen nur 49 Prozent der IT-Experten der öffentlichen Verwaltung diese für geschützt beziehungsweise umfassend geschützt.
  • Grundlegende Maßnahmen zum Datenschutz werden in der Öffentlichen Verwaltung sehr unterschiedlich umgesetzt. So sind etwa Mitarbeiterschulungen zum Thema Datenschutz und Datensicherheit nur bei 40 Prozent der befragten öffentlichen Verwaltungen vorhanden oder vollständig vorhanden. Auch nur bei knapp 50 Prozent sind elektronische ID-Zugangskontrollen zur IT-Abteilung vorhanden oder vollständig vorhanden – physische Zugangskontrollen liegen nur bei 60 Prozent vor.
  • Fortgeschrittene Schutzvorkehrungen sind in Öffentlichen Verwaltungen eher selten implementiert und stellen somit Ansatzpunkte zur Verbesserung des Datenschutzes dar. So sind beispielsweise Standalone-Netzwerke lediglich in 15 Prozent der Fälle oder client- und serverseitige Datenverschlüsselung bei etwa einem Viertel (bei Server zu 23 Prozent und bei Client zu 29 Prozent) vorhanden bis vollständig vorhanden.
  • Ein schwach ausgeprägtes Notfallmanagement bei knapp einem Drittel (29 Prozent) der ­Öffentlichen Verwaltungen impliziert ebenso einen großen Nachholbedarf in diesem Bereich.
  • Mehr als drei Viertel (77 Prozent) der IT-Experten der Öffentlichen Verwaltung sehen einen Mangel an Ressourcenunterstützung im Bereich Datensicherheit durch ihre übergeordnete Behörde.

(ID:44033378)