Cyber-Sicherheit

Öffentliche Verwaltung = öffentliche Netzwerke?

| Autor / Redakteur: Jens Freitag* / Ann-Marie Struck

IT-Security bleibt ein wichtiges Thema
IT-Security bleibt ein wichtiges Thema (© dani3315 - stock.adobe.com)

Der Security-Anbieter Tenable hat im Public Sector tätige IT- und ­Sicherheitsexperten gefragt, mit welchen IT-Sicherheitsproblemen und Hackerangriffen sie im Alltag tatsächlich konfrontiert werden. Jens Freitag erläutert die Ergebnisse.

In den vergangenen Jahren ist die Cyber-Sicherheit in der Öffentlichen Verwaltung in Deutschland zunehmend in den Fokus gerückt: Sowohl von Seiten Cyber-Krimineller als auch von Seiten der breiten Öffentlichkeit. Auslöser sind verschiedene kleinere und größere Hacks und Sicherheitspannen: Vom Angriff auf das Bundestagsnetz, Botschaften und Bundeswehr bis zum laxen Umgang mit vertraulichen Dokumenten in Rathäusern.

So prominent diese Meldungen sind, so wenig Einblick geben sie in die Security-Schwierigkeiten und -Herausforderungen, die Angestellte in der Verwaltung täglich erleben. Um Licht ins Dunkel zu bringen, hat Tenable gemeinsam mit dem Ponemon Institute im ­öffentlichen Sektor tätige IT- und Sicherheits-Experten befragt.

Ergebnisse

Eine zentrale Erkenntnis: Häufig haben die Befragten keine ausreichenden Einblicke in ihre Angriffsoberfläche, also eingesetzte IT (Geräte, Infrastruktur), Clouds (für Web-Applikationen usw.) und IoT (Internet of Things – Steuerungssysteme, angeschlossene Geräte, usw.). Fünf wichtige Ergebnisse der Umfrage:

  • 1. Cyber-Angriffe im öffentlichen Bereich finden fortlaufend statt: Laut der Studie erleben die meisten Einrichtungen Attacken. So gaben 88 Prozent der Befragten an, dass sie in den vergangenen zwei Jahren mindestens einmal, 62 Prozent von ihnen sogar zweimal oder öfter angegriffen wurden. Diese Angriffe störten den Betrieb erheblich oder verursachten Ausfallzeiten bei Betriebsabläufen oder Betriebsmitteln.
  • 2. Sorgen über IoT- und OT-Attacken: 65 Prozent der Befragten sind 2019 besonders besorgt über Angriffe auf kritische Infra­strukturen wie IoT (Internet of Things)- oder OT (Operational Technology)-Geräte oder Dienste. 61 Prozent sehen zudem speziell mögliche Angriffe auf OT-Infrastrukturen, wie Steuerungsanlagen öffentlicher Einrichtungen, mit Besorgnis. Die größte Sorge jenseits von Angriffen bereitet der Missbrauch oder die Weitergabe von sensiblen Daten von Dritten an andere Dritte (67 Prozent).
  • 3. Teilweise gibt es allerdings auch große Unterschiede zwischen Sorgen und tatsächlichen Vorfällen. So fürchten 33 Prozent Wirtschaftsspionage – diese haben aber nur zwei Prozent in den vergangenen 24 Monaten tatsächlich erlebt. Ähnlich beim Datenmissbrauch durch Dritte, 67 Prozent fürchten ihn, aber nur 34 Prozent hatten tatsächlich einen solchen Vorfall. Andere Bedrohungen werden dafür unterschätzt: 56 Prozent der Befragten haben in den vergangenen zwei Jahren den Diebstahl von Zugangsdaten durch Phishing erlebt – für 2019 nennen allerdings nur 33 Prozent Phishing als Bedrohung.
  • 4. Die Sicherheitsteams sind mit großen Herausforderungen konfrontiert: Es fehlt besonders am nötigen Einblick in die Angriffsoberfläche. Nur 23 Prozent der Befragten sind der Ansicht, dass sie genügend darüber wissen. Zugleich fehlt es an Personal und effizienten Prozessen, um den wachsenden Rückstau beim Beheben von Schwachstellen zu beseitigen. So gaben 62 Prozent an, sie hätten nicht genug Personal, um zeitnah nach Schwachstellen zu scannen. Hinzu kommt, dass viele Einrichtungen noch auf manuelle Prozesse statt auf Automatisierung setzen. Sechsundfünfzig Prozent der Teilnehmer sagen aus, dass sie deshalb Nachteile bei der ­Reaktion auf Schwachstellen ­haben.
  • 5. Effektive Priorisierung von Schwachstellen ist nötig: 44 Prozent der Befragten gaben an, dass sie zuerst die leicht zu behebenden Schwachstellen beseitigen. Dies ist der falsche Ansatz, denn die Schwachstellen mit dem größten Risiko sollten priorisiert werden. Zumindest wollen 63 Prozent ihre Fähigkeiten im Bereich Cyber-Sicherheit verbessern, um mit den raffinierten Methoden der Angreifer mithalten zu können.
  • 6. Neue Ansätze, um Cyber-Risiken zu erfassen und Angriffe zu verhindern: Traditionelle KPIs und Metriken, mit denen Geschäftsrisiken bisher beurteilt wurden, können bei Cyber-Risiken nicht angewendet werden. Lediglich 27 Prozent der Teilnehmer können aus KPIs Informationen ableiten, um ein Datenleck oder eine Sicherheits­lücke zu beheben.

Die Studie belegt, was sich aus den Schlagzeilen ableiten lässt: Die ­Öffentliche Verwaltung ist fortlaufend Angriffen ausgesetzt. Dabei bereiten vor allem vernetzte Geräte jenseits der klassischen IT den Mitarbeiterinnen und Mitarbeitern Sorgen, während ihnen die Mittel fehlen, um dem Problem zunehmend komplexer IT-Infrastrukturen zu begegnen.

Jens Freitag
Jens Freitag (© Tenable)

Was tun?

Wie können Unternehmen diesen Herausforderungen begegnen? ­Sicherheitsexperten wie Tenable raten Unternehmen, sich auf zwei wesentliche Schritte zu konzen­trieren, damit sie ihr komplettes Unternehmensnetz schützen können: Zum einen benötigen sie mehr Transparenz und mehr Einblicke in die eigene Angriffsoberfläche und welche Geräte mit dem eigenen Netz verbunden sind, denn erst so können sie Schwachstellen überhaupt erkennen. Zum anderen sollten sie sich auf vorausschauende Priorisierung konzen­trieren – diese ermöglicht es ihnen, all die Schwachstellen im Blick zu haben, die wahrscheinlich ausgenutzt werden, und können diese dementsprechend priorisieren und beheben.

Mit Blick auf die wachsende Zahl der Schwachstellen – 16.500 wurden 2018 entdeckt, im Vergleich zu 15.000 im Jahr 2017 und 9.800 im Jahr 2016 – ist ein effektiver Ansatz nötig. Die Verantwortlichen dürfen sich nicht nur um Schwachstellen kümmern, die leicht zu beheben sind oder deren Behebung sich intern gut „verkaufen“ lässt. Abgesehen davon, dass diese Methode zeitlich und finanziell ineffektiv ist, entgehen ihnen auf diese Weise die tatsächlichen, akuten Bedrohungen. Sie sollten die wichtigen Schwachstellen in den Vordergrund stellen – die, die wirklich ausgenutzt werden.

Methodik: Befragt wurden 244 Beschäftige im öffentlichen Sektor, in den USA, Großbritannien, Deutschland, Australien, Mexiko und Japan.

*Der Autor: Jens Freitag ist Security Engineer DACH bei Tenable.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46033736 / Standards & Technologie)