IT-Sicherheit in der Öffentlichen Verwaltung

Mensch und Maschine arbeiten noch nicht Hand in Hand

29.05.2009 | Autor / Redakteur: Peter Krolle und Wolfgang Nickel / Gerald Viola

Virenscanner, Firewall, Backup und Datenverschlüsselung gehören in der Öffentlichen Verwaltung mittlerweile zu den Standardmaßnahmen zum Eindämmen von IT-Risiken. Praktisch alle Städte und Gemeinden und immerhin 83 Prozent der Landesbehörden in Deutschland haben technische Lösungen installiert, um Schäden durch beispielsweise Datendiebstähle, Spam-Attacken oder Netzausfälle zu minimieren. Theoretisch.

Die Praxis zeigt aber, dass ein technischer Schutz nicht ausreicht, da die Schwachstelle der IT-Sicherheit oft die Fahrlässigkeit von Mitarbeitern ist. Deshalb sind genaue IT-Sicherheitsrichtlinien, deren Umsetzung ein IT-Sicherheitsbeauftragter überwacht, sinnvoll.

Und hier hat jede sechste Kommune und Landesbehörde noch Nachholbedarf. Das sind die Ergebnisse der Studie „Branchenkompass 2008 Public Services“ von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut.

Baustelle Nummer eins ist somit nicht die Technik, sondern die Menschen, die sie bedienen. Beispiel Bundeswehr: Dort setzte im Februar der Computerwurm mit dem Namen „Conficker“ die Rechner der deutschen Streitkräfte außer Gefecht. Der Angriff kam nicht über das Internet. Jemand hatte den Server per USB-Stick infiziert.

Derartige IT-Angriffe betreffen zwar in der Regel große Bundesbehörden. Aber nicht nur: Der allzu sorglose Umgang mit schützenswerten Daten kann auch für kommunale Verwaltungen schnell zu einem datenschutzrechtlichen Problem werden.

Das mussten 2008 zahlreiche deutsche Kommunen erfahren. In einer Reihe von Städten und Gemeinden waren die Melderegister über das Internet für Unbefugte mehrere Monate lang einsehbar. Unter anderem standen das Geburtsdatum, der Familienstand sowie die Religionszugehörigkeit für jedermann offen.

Ursache: Die Kommunen hatten eine neue eGovernment-Lösung erhalten und das Standard-Benutzerkonto nicht geändert.

Sicherheitsstandards vor allem auf Bundesebene

Einheitliche Gegenmaßnahmen oder gar ein vorbeugender Schutz sind bisher nur auf Bundesebene Realität. Mit dem Umsetzungsplan Bund (UP Bund) wurde Ende 2007 erstmals eine einheitliche IT-Sicherheitsleitlinie für sämtliche Ressorts verabschiedet. Im UP Bund sind technische, organisatorische und prozessuale Standards für die Bundesverwaltung festgeschrieben, die in allen Behörden der Bundesverwaltung durch angemessene IT-Sicherheitsmaßnahmen realisiert werden.

Zudem sind im Konjunkturpaket der Bundesregierung 500 Millionen Euro für IT-Investitionen reserviert. Mit allein 25 Millionen Euro werden beispielsweise Produkte und Dienstleistungen zur Steigerung der IT-Sicherheit zugekauft. Weitere 15 Millionen fließen in sicherere und stabilere Netze der Bundesbehörden.

Länder und Kommunen ziehen erst allmählich nach

Auf Landesebene sowie in den Städten und Gemeinden setzen sich derartige Standards zum Schutz vor IT-Risiken erst schrittweise durch. Die IT-Grundschutzkataloge des staatlichen Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwenden weniger als die Hälfte der Verwaltungen. Darüber hinaus nutzen nur 45 Prozent der Körperschaften die Möglichkeit, das eigene IT-Sicherheitsmanagement von einem unabhängigen IT-TÜV zertifizieren zu lassen, sei es nach ISO/IEC 27001 oder einem anderen IT-Sicherheitsstandard.

Die Kommunen und Landesbehörden suchen stattdessen vor allem die Zusammenarbeit mit regionalen IT-Spezialisten. So geben 70 Prozent der Befragten an, dass ihre Verwaltung mit einem regionalen Datenzentrum oder einem IT-Zweckverband kooperiert, um die Verwaltungs-IT gegen Hackerangriffe oder Systemausfälle zu schützen.

Nächste Seite: Risikomanagement erfordert mehr Sensibilität

 

IT-Risiken lauern an vier Stellen

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2021674 / Standards & Technologie)