Cyber Security und eGovernment „IT-Sicherheit ist Baustein der Verwaltungsreform“

Redakteur: Manfred Klein

Mit der zunehmenden Verbreitung des neuen Personalausweises und der Einführung von De-Mail stehen die Verwaltungen an der Schwelle zum ebenübergreifenden eGovernment. Erst Recht, wenn das kommende eGovernment-Gesetz die Schriftformerfordernis in vielen Bereichen ersetzen sollte. Doch die neuen Möglichkeiten bergen auch Risiken.

Firmen zum Thema

Dr. Alfred Zapp setzt in Sachen Verwaltungsreform alle Hoffnung auf das eGovernment-Gesetz
Dr. Alfred Zapp setzt in Sachen Verwaltungsreform alle Hoffnung auf das eGovernment-Gesetz
(Foto:CSC)

Dies gilt besonders für den Bereich der IT-Sicherheit, denn Offenheit und Transparenz der Verwaltung – wie sie für Open Data und Open Government unabdingbar sind – sowie der zunehmende Einsatz mobiler Endgeräte gefährden die Sicherheit kritischer IT-Systeme zusätzlich.

Viele Beobachter halten daher eine umfassende Zusammenarbeit von Wirtschaft, Wissenschaft und Verwaltung zum Schutz der landesweiten IT-Systeme für unabdingbar. So auch Dr. Alfred Zapp, Direktor für die Bereiche Public, Defense und Healthcare bei CSC in Deutschland. eGovernment Computing diskutierte mit ihm seine Vorstellungen.

Herr Zapp, Ihr Unternehmen hat vor einigen Wochen ein „Cybersecurity Demo Center“ eröffnet. Was muss man sich darunter vorstellen und welche Zielsetzung verfolgt das Projekt?

Zapp: Die Digitalisierung und Vernetzung aller Geschäftsprozesse in Wirtschaft und Verwaltung setzt sich kontinuierlich fort. Technische Innovationen wie der mobile Internetzugang, Cloud Computing und Bring Your Own Device haben dazu geführt, dass die zu schützende Infrastruktur räumlich verteilt ist.

Die IT-Landschaft jedes Unternehmens unterscheidet sich heute massiv von der Infrastruktur von vor fünf Jahren und die Angriffe sind heute deutlich aggressiver und gezielter als jemals zuvor.

Mit konventionellen Sicherheitsinstrumentarien können Geschäftsprozesse mit komplexen verteilten IT-Strukturen kaum noch geschützt werden.

Ein angemessener Schutz verlangt entsprechend ausgereifte und individuelle, aufeinander abgestimmte Schutzsysteme.

Also ist die Zielgruppe des Centers vornehmlich die Industrie. Welchen Nutzen kann die Öffentliche Verwaltung daraus ziehen?

Zapp: Die Prozesse und Daten der Öffentlichen Verwaltung sind in gleicher Weise betroffen und Ziel von Cyber-Attacken. CIOs der Bundesministerien und Bundesländer sowie Leiter von IT-Dienstleistungszentren der Verwaltung zählen genauso zu unseren Besuchern wie die CIOs großer Unternehmen.

Beim Cybersecurity Demonstra­tion Center geht es auch darum, ein Umdenken im IT-Sicherheitsdiskurs anzustoßen und anhand von realen Szenarien die aktuelle Bedrohung darzustellen. IT-Sicherheit kann heute nicht mehr als Randthema der IT-Abteilung behandelt werden, sondern ist eine strategische Herausforderung für die Chefetagen in Unternehmen und Behörden geworden.

Es ist zwingend erforderlich, eine umfassende Aufklärung zu betreiben und wir brauchen dringend zuverlässige Frühwarnsysteme, insbesondere für unsere kritischen Infrastrukturen.

Das bedeutet aber auch, dass die Zusammenarbeit zwischen Privatwirtschaft und öffentlichem Sektor intensiviert werden muss. Die Ini­tiative des BSI mit dem Bitkom – die Allianz für Cyber-Sicherheit – begrüße ich daher ausdrücklich.

Es mehren sich die Stimmen, die bei den Bedrohungslagen im Bereich der IT-Sicherheit inzwischen von einem Paradigmenwechsel sprechen. Was ist darunter zu verstehen und was bedeutet das für die Öffentlichen Verwaltungen?

Zapp: Unsere Gesellschaft ist von vernetzten Systemen existenziell abhängig geworden, bislang gibt es jedoch keinen adäquaten Schutz dieser Systeme. Damit steigen die Herausforderungen an Entscheider in Politik und Verwaltung. Sie müssen die eigenen Systeme sichern, sind aber auch für die Gesamtsicherheit im digitalen Ökosystem Deutschlands mit verantwortlich.

Die Frage, die es heute von Politik, Verwaltung und Wirtschaft zu beantworten gilt, lautet nicht mehr: „Wie schütze ich meine lokalen IT-Systeme?“, sondern: „Wie sichere ich ganzheitlich und möglichst proaktiv meine globalen Geschäftsprozesse und verteilten Daten unter Einhaltung aller gesetzlichen Vorschriften und Compliance-Regeln?“

Nur ein integrierter Ansatz, der alle Gegebenheiten sowie künftigen Anforderungen abdeckt, wird sowohl die Funktion als auch die Sicherheit der Geschäfts- und Verwaltungsprozesse nachhaltig gewährleisten. Die Öffentliche Verwaltung hat jetzt die Chance, diesen gesamtgesellschaftlichen Diskurs mitzuprägen.

Welche strategischen Ansätze braucht die Öffentliche Verwaltung dazu?

Zapp: Wir müssen lernen, wie wir sicherheitsrelevante Informationen über Organisationsgrenzen hinweg zwischen Wirtschaft und Verwaltung effizient kommunizieren. Da sich hier private Unternehmensinteressen mit denen der nationalen Sicherheit überschneiden, muss es gelingen, eine Brücke zwischen dem öffentlichen und privaten Sektor zu schlagen.

Dabei nimmt der Staat in Hinblick auf bestimmte Funktionen, die Rolle des Beschützers im Rahmen seiner nationalen Verantwortung wahr. Dabei muss auch geprüft werden, inwieweit ein „gesundes Maß“ an gesetzlichen Regelungen – etwa Melde- und Zusammenarbeitspflichten – notwendig sind. Wie immer bei staatlichen Eingriffen ist dabei die Balance zwischen einem Zuviel und Zuwenig zu finden.

Das heute drängende Problem besteht darin, dass Bedrohungen quasi aus dem Nichts, also in „Internet-Zeit“ auftauchen. Der Informationsaustausch zwischen Behörden und anderen Betreibern von kritischen Infrastrukturen läuft jedoch immer noch in bürokratischen Zeitdimensionen ab – falls überhaupt.

Kritische Infrastrukturen wie Telekommunikations-, Energie- und Finanznetze sind im Interesse der nationalen Sicherheit zu schützen; das aber erlaubt keine bürokratischen Verzögerungen.

Organisationseinheiten wie die Computer Emergency Response Teams (CERT) spielen hier eine wichtige Rolle, indem sie einen der wenigen existierenden Prozessstandards für den Informationsaustausch bereitstellen. So fördern und institutionalisieren sie die Zusammenarbeit zwischen privatem und öffentlichem Sektor.

Von einem weitergehenden, integrativen Ansatz würden aber nicht nur die Betreiber kritischer Infrastrukturen profitieren, sondern alle Unternehmen aller Größenordnungen und auch der Privatbürger. Gäbe es ein „öffentliches“ nationales Frühwarnsystem für Cyberangriffe mit umfangreichen, in Internet-Zeit und automatisiert abrufbaren Meldungen, könnten dessen Warnungen von jedem Interessierten genutzt werden.

Gerade der deutsche Mittelstand mit seinem technischen Know-how auf Weltniveau könnte ein solches Instrument gut gebrauchen und sich trotz seiner minimalen IT-Budgets so besser vor einer digitalen Industriespionage schützen.

Gleichzeitig stünde es allen Unternehmen und Bürgern frei, ihre lokalen Sicherheitsprobleme dort zu melden – natürlich auch automatisiert und auf Wunsch anonym. Dies wiederum würde die Lagedarstellung in diesem Zentrum massiv verbessern, was wiederum zu besseren Warnmeldungen führt.

Welche Rolle spielen in diesem Kontext der neue Personalausweis, De-Mail und vielleicht sogar das geplante eGovernment-Gesetz?

Zapp: Der neue Personalausweis, De-Mail und des geplante eGovernment-Gesetz sind wichtige Bestandteile einer sicheren digitalen Infrastruktur für unsere Wirtschaft und Gesellschaft. So ermöglicht es die Online-Ausweisfunktion Privatpersonen, Unternehmen und Behörden, gegenseitig über technische Berechtigungszertifikate zu identifizieren und Daten sicher und verschlüsselt zu übertragen.

Auch De-Mail ermöglicht es, Kommunikationspartner eindeutig zu identifizieren und elektronische Nachrichten verschlüsselt, geschützt und nachweisbar zu versenden. Beide Technologien stärken die Sicherheit und das Vertrauen im Netz. Beides ist notwendiger denn je, da mangelnde Sicherheit und fehlendes Vertrauen noch immer ein Hemmschuh für die Entwicklung von elektronischen Verwaltungsdiensten und kommerziellen Transaktionen im Internet sind.

Das geplante eGovernment-Gesetz wird über den Schriftformersatz durch die Online-Ausweisfunktion und De-Mail die Rechtssicherheit schaffen, die im Bereich der Öffentlichen Verwaltung bislang gefehlt hat, und dient explizit dazu, die Verbreitung beider Technologien im eGovernment-Bereich zu fördern.

Es wäre wünschenswert, wenn sich auf diesem Weg eine technische Infrastruktur für mehr Sicherheit und Vertrauen im Netz etabliert, die von Behörden, Unternehmen und Privatpersonen gleichermaßen genutzt werden kann.

Bei allem Optimismus über die geplanten Neuerungen kann ein Bundesgesetz aber nicht allein den Durchbruch für ein einheitliches und umfassendes eGovernment schaffen. Zwar sind nPA und De-Mail zweifellos ehrgeizige und durchaus erfolgreiche Infrastrukturprojekte, dennoch muss weiter daran gearbeitet werden, die Nutzung für die Bürger transparenter, bequemer und einfacher zu machen.

Ich denke hier etwa an das bislang ungenutzte Potenzial mobiler Endgeräte. Darüber hin­aus plädiere ich für ein größeres Engagement in den internationalen Standardisierungsgremien zur Durchsetzung deutscher Interessen und Sicherheitsstandards.

Heißt das, dass Cyber Security ein Baustein einer vernetzten Verwaltung ist? Was bedeutet das für die anderen Bausteine und das Konzept der vernetzten Verwaltung in seiner Gesamtheit? Kann zur Prozessoptimierung dann überhaupt noch „auf gesellschaftlich verfügbares Wissen“ zurückgegriffen werden? Sind Open Data, Open Government, überhaupt partizipative, maßgeblich über das Internet organisierte Gesellschaftsmodelle dann noch denkbar?

Zapp: Um heute erfolgreich Staatlichkeit zu gestalten, muss man Wertschöpfungs- und Informationsketten strategisch öffnen und offene Ökosysteme bauen. Dazu muss es gelingen, das implizite Wissen der Verwaltungsmitarbeiter zu aggregieren sowie die Wirtschaft und den Bürger in den Wertschöpfungsprozess zu integrieren.

Dafür braucht es – nach meiner Ansicht – weniger neue singuläre Reformprogramme als vielmehr eine Umorientierung der Verwaltung hin zu einer effizienten, bürgernahen und offenen „Gesamtveranstaltung“. Und die Betonung liegt hier eindeutig auf dem „Gesamt“.

Ziel ist letztlich, die vernetzte Verwaltung mit durchgängigen Prozessen ohne Medienbrüche.

Nicht zuletzt auch vor dem Hintergrund der zunehmenden Globalisierung wirtschaftlicher Infrastrukturen und der angespannten Haushaltslagen wird sich der Erfolg einer am Bedarf und Kundennutzen orien­tierten Modernisierung weniger an der Leistungsfähigkeit einzelner Behörden auf Bundes-, Länder- oder Kommunalebene bemessen, sondern vor allem an der Produktivität, der Flexibilität und der Wirtschaftlichkeit der Verwaltung im Verbund, in kooperierenden Prozessen und Netzwerken.

Wir brauchen also eine offene und durchgängige Verwaltung, die mithilfe moderner Informations- und Kommunikationstechnologien die koordinierte Kooperation und Vernetzung zur Grundlage und zum Ziel ihres Leistungsangebotes macht. Dies schließt die interaktive Nutzung gesellschaftlich verfügbaren Wissens und Engagements über digitale und analoge Kanäle natürlich ein: Die Bürgerhaushalte in Köln und Hamburg oder der Wettbewerb „Apps für Deutschland“ sind da nur erste Beispiele des Mitmachstaats.

Basiselemente von Vernetzung sind durchgängige Prozesse mit definierten standardisierten Schnittstellen. Der notwendige Perspektivenwechsel bedeutet also, weg von Insellösungen hin zur Prozessorientierung zu kommen. Gerade vor dem Hintergrund von Open Government muss dieser Wandel konsequent angegangen und umgesetzt werden.

Das vom Kabinett beschlossene eGovernment-Gesetz für Deutschland lässt da hoffen. In seiner geplanten Form ist das Gesetz ein weitreichender Beitrag zur IT-gestützten Öffnung der Verwaltung und zur Optimierung ihrer Abläufe.

Diese neue Art der Offenheit und Durchgängigkeit muss aber auch sicher sein. Es gibt klarerweise das Spannungsverhältnis zwischen Sicherheit und einer notwendigen Offenheit, insbesondere wenn man an die Themen Open Data, Open Government und Bürgerbeteiligung innerhalb der Öffentlichen Verwaltungen denkt oder an Kundenportale und Online Shops der Wirtschaftsunternehmen. Offenheit ist ein Wettbewerbsvorteil und ein Muss auch für die Öffentliche Verwaltung.

Damit wird aber das Management von Offenheit zur Herausforderung. Nur ein umfassender Ansatz, der strategisch priorisiert, was unbedingt geschützt werden muss, und der alle einzelnen Schutzmaßnahmen integriert, kann das Funktionieren von Geschäfts- und Verwaltungsprozessen nachhaltig gewährleisten.

Die Entscheider in Politik und Verwaltung haben also sehr spannende Herausforderungen vor sich. Wir haben uns damit lange auseinandergesetzt und mit „Bausteine für eine vernetzte Verwaltung” ein Handbuch für diese neue Welt vorgelegt.

Herr Zapp, wenn Sie einen kleinen Ausblick in die Zukunft wagen sollten: Welche Herausforderungen muss die Öffentliche Verwaltung bei ihren Modernisierungsprojekten in den kommenden Monaten meistern?

Zapp: Das Internet hat unserer Zeit eine völlig andere Logik verpasst. Zum ersten Mal in der Menschheitsgeschichte ist vernetzte Kollabora­tion über Zeit und Raum hinweg im großen Stil möglich.

Doch diese vernetzte Welt braucht neues Denken, ein Denken, das gesicherte Offenheit als Instrument einsetzt, um neue Wertschöpfungsketten auszugestalten. Konkret heißt das, dass wir zukünftig vor allem zwei Vorhaben unterstützen sollten: Das neue eGovernment-Gesetz und eine Allianz für Cyber-Sicherheit.

(ID:35826800)