Es braucht einen kräftigen Schubs für die Verwaltung Mit sicherem Datenfluss wider den Digitalstau in Ämtern

Autor / Redakteur: Tim Heine* / Ulrike Ostler

Die Öffentliche Hand muss digital aufholen, um mehr und besseren Online-Service zu bieten. Bei diesem Kraftakt hängt der Erfolg von einer agilen und anpassungsfähigen Infrastruktur ab, die zudem die höchsten Sicherheitskriterien erfüllen muss. Dieser Spagat zwischen Performance und Cyber-Resilienz gelingt den Einrichtungen am besten, die sicherheitsstrategisch vorgehen und dabei vor allem das Daten-Management im Blick haben, meint Tim Heine von Netapp.

Firmen zum Thema

Die Öffentliche Hand muss endlich digital durchstarten, dafür braucht es einen kräftigen Schub
Die Öffentliche Hand muss endlich digital durchstarten, dafür braucht es einen kräftigen Schub
(© Michael Schwarzenberger auf Pixabay)

An den öffentlichen und privatwirtschaftlichen Betreibern kritischer Infrastrukturen (KRITIS) zeigt sich, wie widerstandsfähig eine Gesellschaft ist. Sie halten das ökonomische und soziale Leben sowohl in normalen Zeiten als auch in einer von Naturkatastrophen, Cyber-Attacken oder eben einer Pandemie ausgelösten Krise aufrecht.

Wie gewaltig diese Aufgabe ist, mussten jüngst etwa die Gesundheitsämter erfahren. Diese Institutionen leisten, wie die Krankenhäuser, seit 15 Monaten Unglaubliches, wobei sie täglich gegen Bürokratie und Kritik kämpfen. Ähnlich geht es den Verantwortlichen der Impfkampagnen, die den Impfstoff verteilen und Online-Terminvergaben organisieren. In diesen und anderen Fällen wird deutlich, wie relevant digitale Prozesse in den öffentlichen Einrichtungen sind, die wiederum eine agile und anpassungsfähige Infrastruktur voraussetzen.

Ulrich Silberbach, Chef des Deutschen Beamtenbundes (DBB), legt den Finger in die Wunde: „Durch die Corona-Pandemie sind die schon länger bestehenden Defizite bei der Digitalisierung der Verwaltung jetzt auch für jeden sichtbar geworden.“ Die Ursache sieht er in im Sparzwang. Nach seinen Aussagen wurde zu wenig in die digitale Infrastruktur, die technische Ausstattung und das Personal investiert.

Was tut sich?

Bezug nimmt der DBB-Vorsitzende auf den fünften „Monitor Digitale Verwaltung“ des Nationalen Normenkontrollrates, der den aktuellen Stand bei der Umsetzung des Onlinezugangsgesetzes (OZG) bewertet. In diesem schreibt der Gesetzgeber der öffentlichen Verwaltung bis 2022 vor, 575 Services online anzubieten. Ob das jedoch gelingt, hält der Nationale Normenkontrollrat für ungewiss.

Zu dieser Einschätzung passt, dass Deutschland mit seinen digitalen öffentlichen Diensten den 21. Platz in der EU einnimmt. Zu diesem Ergebnis kommt der „DESI“-Bericht(Digital Economy and Society Index) der EU für 2020.

Deutschland im „Index Digitale Wirtschaft und Gesellschaft“ der Europäischen Kommission.
Deutschland im „Index Digitale Wirtschaft und Gesellschaft“ der Europäischen Kommission.
(Bild: European Commission)

Für den Nationalen Normenkontrollrat kommt es in diesem Jahr in den Verwaltungen deshalb darauf an, „von der Aufwärm- in die Leistungsphase zu wechseln“. Dazu müsste die derzeitige OZG-Governance-Struktur flächendeckend greifen und skalieren, schreiben die Gutachter.

Der Sicherheitsgedanke hat oberste Priorität

So dringend die Modernisierung der IT-Infrastruktur in der Verwaltung und bei anderen KRITIS-Betreibern auch ist, so darf bei diesem Kraftakt die IT-Sicherheit nicht auf der Strecke bleiben. Das Gegenteil muss passieren. Der Sicherheitsgedanke hat oberste Priorität, um eine cyber-resiliente Infrastruktur zu etablieren, die gegen aktuelle Bedrohungen durch Ransomware, Phishing und Spionage, einschließlich dem Zoom-Bombing im Videokonferenzzeitalter, gewappnet ist.

Traditionelle Ansätze, bei der alles hinter die Firewall kommt, greifen heute zu kurz. Mit ihnen lassen sich die Angriffsflächen, die mit jedem Digitalisierungsschritt entstehen, nicht ausreichend vor den immer raffinierter werden Cyber-Angriffen schützen. Nur ein sicherheitsstrategisches Vorgehen erreicht das Ziel, dass in den öffentlichen Einrichtungen und KRITIS-Betrieben die Daten für Geschäftsprozesse und Online-Dienste ausfallsicher fließen.

Sichere Cloud-Nutzung

Damit die Daten in der IT-Umgebung zur richtigen Zeit am richtigen Ort verfügbar sind, bedarf es eines konsistenten, sicheren und Compliance-gerechten Daten-Managements. Dieses basiert auf einer klaren Richtlinie, um beispielsweise rollenbasierte Zugriffsrechte durchzusetzen, und geht heute meist über das eigene Rechenzentrum hinaus.

So stellen große IT-Dienstleister der Öffentlichen Hand Behörden verstärkt Cloud-Dienste bereit. Die meisten seriösen Cloud-Provider erfüllen heute zwar ein sehr hohes Sicherheitsniveau. Dennoch obliegt es den Verantwortlichen in den Ämtern, die Cloud-Angebote darauf zu prüfen, wie sicher und datenschutzkonform die Datenverarbeitung beim jeweiligen Cloud-Anbieter erfolgt.

Zudem ist es wichtig, einen Vendor-Lock-in zu vermeiden. Nur so lassen sich Daten wieder aus der Cloud ins eigene Rechenzentrum oder zu anderen Cloud-Anbietern verschieben.

Orientierung bei der Provider-Wahl

Orientierung bei der Provider-Wahl geben die Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die Mindestanforderungen an die Cloud-Dienstleister darstellen. Darüber hinaus empfiehlt es sich, die Daten zusätzlich zu schützen und Backups zu erstellen.

Besonders schützenswerte Daten sollten grundsätzlich verschlüsselt übertragen und abgelegt werden, um unberechtigten Zugriff zu verhindern. Unter diesen Voraussetzungen geht das Cloud-Versprechen auf, zu jeder Zeit von einer bedarfsgerechten Skalierung zu profitieren.

Auch spart ein Cloud-Hosting hohe Vorhaltekosten. Kombiniert mit einer Daten-Management-Plattform, die sich von der Cloud bis zum eigenen Rechenzentrum erstreckt, kann eine Verwaltung jederzeit schützenswerte Daten sicher übertragen.

Weitere Strategiebausteine und Risikofaktor Mensch

Die sichere Cloud-Nutzung und die Daten-Management-Richtlinie bilden Bausteine in der Sicherheitsstrategie, die Behörden und KRITIS-Betreiber benötigen. Ein solches Konzept legt fest, wie Technologie, Prozesse und Menschen in ihrem Miteinander eine funktionierende Sicherheitsarchitektur ergeben. Diese muss bei Sicherheitsvorfällen sofort Alarm schlagen und geeignete Abwehrmaßnahmen initiieren.

Sind Prozesse und Technik für das Monitoring und Schwachstellen-Management in der Umgebung sowie die Verschlüsselung, Authentifizierung und Zugriffssteuerung für die Daten-Management-Plattform definiert, sollte man sich dem Krisen-Management widmen. Die strategische Prävention bestimmt, was wer wie im Angriffsfall macht. Sie regelt außerdem, welche Ressourcen dazu bereitstehen müssen. Ebenso unerlässlich sind regelmäßige Risikoanalysen sowie ein Backup- und Recovery-Konzept, das den Geschäftsbetrieb absichert.

Zur strategischen Vorarbeit gehört zwingend, die Rolle des Menschen zu beleuchten. Dieser darf sich nicht über Sicherheitsvorgaben hinwegsetzen und so zum Risikofaktor werden. Dieses Szenario verhindern Sicherheitsschulungen, um Mitarbeiter für die Bedrohungslage zu sensibilisieren und auf etwaige kritische Situationen vorzubereiten.

Die Quantencomputer kommen

Langfristig denken Verantwortliche, die sich außerdem mit Quantencomputern beschäftigen. Denn für viele Experten hat die Ära begonnen, die von der Überlegenheit der Quantensysteme geprägt sein wird. Somit besteht die Gefahr, dass Quantencomputer in fünf oder zehn Jahren gängige kryptographische Algorithmen knacken können.

Das Worst-Case-Szenario stellt sich so dar, dass sich bisher sichere Kommunikations- und Datentransferwege für potenzielle Angreifer öffnen. Darauf müssen sich Organisationen und Unternehmen bereits heute vorbereiten, indem sie sich eine IT-Umgebung schaffen, in der sich zügig quantenresistente Verschlüsselungsalgorithmen implementieren lassen.

Mit externer Expertise zur performanten Sicherheit

Eine stringente IT-Sicherheitsstrategie muss die nötigen nächsten Digitalisierungsschritte in den Ämtern und Betrieben der öffentlichen Hand vorbereiten und begleiten. Zweifellos fordert diese Aufgabe die Entscheidungsträger zumindest stark heraus, wenn sie nicht sogar Überforderung erzeugt.

Tim Heine: „So dringend die Modernisierung der IT-Infrastruktur in der Verwaltung und bei anderen KRITIS-Betreibern auch ist, so darf bei diesem Kraftakt die IT-Sicherheit nicht auf der Strecke bleiben.“
Tim Heine: „So dringend die Modernisierung der IT-Infrastruktur in der Verwaltung und bei anderen KRITIS-Betreibern auch ist, so darf bei diesem Kraftakt die IT-Sicherheit nicht auf der Strecke bleiben.“
(Bild: Netapp)

Spätestens in dem Fall sollten sich die Verantwortlichen Spezialisten ins Haus holen, die bereits in der Konzeptphase mitwirken können, um Informationsprozesse so zu gestalten, dass sich diese durch Vertrauen, Integrität und Verfügbarkeit auszeichnen. Gemeinsam wird ein Ökosystem designt und umgesetzt, das performt und zugleich vor aktuellen sowie künftigen Bedrohungen schützt. Dieser Zustand lässt sich mit einer Datenmanagement-Software wie „Netapp Ontap“ am schnellsten erreichen, da diese mit ihren mehr als 30 Sicherheits-Features den Bedarf der digitalen Verwaltung adressiert.

Dieser Artikel erschien ursprünglich bei Datacenter-Insider.

* Tim Heine ist Head of Sales für den Bereich Public Sector Healthcare & Germany bei Netapp.

(ID:47692524)