Höhere Priorität für Sicherheit vonnöten

Herausforderungen für CIOs in Behörden

| Autor / Redakteur: Olav Strand* / Susanne Ehneß

Um eine Behörde gut abzusichern, müssen die IT- und Security-Teams genau wissen, welche Schwachstellen es im Netzwerk gibt
Um eine Behörde gut abzusichern, müssen die IT- und Security-Teams genau wissen, welche Schwachstellen es im Netzwerk gibt (© @nt - stock.adobe.com)

Auf CIOs in Behörden, sei es auf Bundes-, Länder- oder kommunaler Ebene, warten dieses Jahr besondere Aufgaben im ­Bereich der IT-Sicherheit. Ein Gastbeitrag von Olav Strand von Tanium.

Das Angebot an Online-Services für Bürger nimmt immer mehr zu – gleichzeitig wird dadurch auch die Angriffsfläche für mögliche ­Cyber-Attacken größer. Auch hinsichtlich aktueller Sicherheits­lücken, wie etwa Meltdown und Spectre, müssen sich Behörden in puncto Cyber-Sicherheit optimal aufstellen.

Darüber hinaus ist auch die Umsetzung der Datenschutz-Grundverordnung (DSGVO/GDPR) für Behörden besonders wichtig: Schließlich sollten diese mit einer fristgerechten und vollständigen Umsetzung der Richtlinien als ­gutes Beispiel für andere Unternehmen vorangehen. Dies ist eine umso größere Herausforderung, wenn man bedenkt, dass Behörden oft besonders vertrauliche ­Bürger-Daten speichern und verarbeiten. Ein Angriff auf diese ­Daten hätte eine schlechte Außenwirkung.

Bei diesen vielfältigen Herausforderungen überrascht es, dass laut der diesjährigen „2018 CIO Agenda“-Survey von Gartner nur 13 Prozent der befragten CIOs im öffentlichen Sektor Sicherheit als wichtigste Priorität angeben – auch, wenn diese immerhin gleich hinter der digitalen Transformation auf Platz zwei liegt.

Gleichzeitig sind sich Behörden-CIOs der aktuellen Probleme durchaus bewusst: In einer Umfrage des Professional Services Council gaben mehr als 70 Prozent dieser CIOs an, dass ein Großteil der IT-Anwendungen in ihrer Behörde veraltet sei.

Welche Maßnahmen können CIOs und die IT-Abteilungen in Behörden also ergreifen, um die Lücke zwischen aktuellen Bedrohungen und nicht ganz so aktueller IT-­Infrastruktur zu bewältigen? Betrachten wir im Folgenden drei „IT-Baustellen“ näher:

  • das Sicherheits- und Risikomanagement,
  • die Konsolidierung von IT-Systemen und den
  • Umgang mit veralteter Infrastruktur.

Sicherheits- und Risikomanagement

Um eine Organisation oder Behörde wirklich gut abzusichern, müssen die IT- und Security-Teams ­genau wissen, welche Schwachstellen es im Netzwerk gibt. Hierfür benötigen die Verantwortlichen zunächst einen aktuellen und vollständigen Überblick über die Endpunkte, also Laptops, Server und andere Geräte, die mit dem Netzwerk verbunden sind. Dies kann besonders für große Behörden, wie zum Beispiel Ministerien, eine große Herausforderung darstellen.

Darüber hinaus muss die Möglichkeit bestehen, diese Endpoints schnell und effizient schützen zu können. Dies bedeutet etwa, dass im Ernstfall sehr viele Patches ­innerhalb einiger Stunden im ­kompletten Behörden-Netzwerk installiert werden können, ohne dass die Bandbreite des Servers beeinträchtigt wird. Ein anderes Szenario ist, dass Tausende oder sogar Hunderttausende Endpunkte sehr schnell auf Anzeichen für einen Angriff überprüft werden müssen – im Idealfall innerhalb einiger Minuten.

Organisationen und Behörden können beispielsweise mit der Plattform von Tanium in wenigen Sekunden Endpoints kontinuierlich überwachen und Sicherheitslücken entdecken, und in Minuten kritische Patches behördenweit ausrollen. Anstelle eines Hub-and-Spoke-Ansatzes, bei dem alle Clients­ direkt mit dem Server in Kontakt stehen, informieren sich die Endpoints gegenseitig über ­ihre Status. Der Server sammelt dann die Informationen über ausgewählte Endpoints ein. IT-Experten ­können ihre Anfragen in einfacher Sprache an die Plattform richten, ähnlich einer Google-Suche, oder automatisierte Workflows konfigurieren, um das Sammeln von vielen Daten und das Systemmanagement zu vereinfachen.

Ein umfassendes Sicherheits- und Risikomanagement ist auch in Hinblick auf GDPR unerlässlich. Wenn die IT-Abteilung einer Behörde nicht einmal die genaue Anzahl an Endpoints in ihrem Unternehmensnetzwerk kennt, geschweige denn deren Geschäftsfunktionen oder die auf diesen Endpoints gespeicherten Daten, kann sie auch nicht wissen, ob auf einen dieser nicht verwalteten Endpoints ein Angriff stattgefunden hat. Und auch für Behörden gilt die 72-Stunden-Regel, die besagt, dass Verstöße gegen GDPR und unerlaubte Zugriffe auf Daten unverzüglich gemeldet werden müssen.

Auf der nächsten Seite: IT-Konsolidierung & Umgang mit alter Infrastruktur.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45224527 / Standards & Technologie)