Suchen

Security-Framework als Basis für eGovernment Rundum-Sicherheit für die Öffentliche Verwaltung

Autor / Redakteur: Herbert Blaauw / Susanne Ehneß

Bislang zielten Cyber-Angriffe primär auf private Unternehmen. Doch zunehmend zählen auch Behörden und öffentliche Verwaltungen zu den Zielen – mit derzeit etwa drei Angriffen pro Tag. Um sich gegen komplexe Attacken zu wappnen, ist ein umfassendes IT-Sicherheits-Framework erforderlich.

Firmen zum Thema

Auch die Öffentliche Hand muss sich gegen unbefugte Zugriffe wappnen
Auch die Öffentliche Hand muss sich gegen unbefugte Zugriffe wappnen
(Bild: © Matsou / iStockphoto)

Für Behörden und öffentliche Auftraggeber hat sich die IT-Sicherheitslage verschärft. So wurden nach Angaben des Bundesamts für Verfassungsschutz 2012 pro Tag durchschnittlich drei Cyber-Angriffe auf die IT-Infrastruktur von Bundesbehörden registriert. Laut Dataport, dem zentralen IT-Dienstleister von fünf Bundesländern, sieht sich die Öffentliche Verwaltung vor allem mit folgenden Sicherheitsbedrohungen konfrontiert:

  • Risiken durch eine inadäquate Nutzung neuer Ansätze wie Cloud Computing und mobile Geräte,
  • Malware und Sicherheitslücken in Hard- und Software sowie
  • den Diebstahl digitaler Identitäten (Identity Theft).

BYOD

Ein Risikofaktor im Zusammenhang mit dem Einsatz mobiler Geräte ist die Nutzung privater Systeme für betriebliche Belange (Bring Your Own Device, BYOD). Die Befürworter von BYOD führen Vorteile wie die höhere Effizienz und Zufriedenheit von Mitarbeitern ins Feld. Dem stehen Herausforderungen gegenüber, vor allem die strikte Trennung dienstlicher und privater Daten auf solchen Systemen.

Um dies zu erreichen, sind organisatorische und technische Maßnahmen erforderlich: Zum einen muss eine BYOD-Strategie erarbeitet werden, die den Schutzbedarf und die Gerätearten berücksichtigt. Zudem ist ein Konzept für den Fall erforderlich, dass Systeme verloren gehen. Dienstliche und private Daten sollten voneinander getrennt werden. Technisch lässt sich die Trennung privater und dienstlicher Daten auf den Geräten lösen.

In jedem Fall ist es notwendig, im Vorfeld eine Analyse der Risiken durchzuführen, die BYOD für die jeweilige Behörde mit sich bringt. Organisatorische Rahmenbedingungen und Gesetzesvorgaben müssen dabei berücksichtigt werden.

Cloud Computing

Ein zweites Thema, das im Zusammenhang mit der Konsolidierung der IT-Infrastruktur der Öffentlichen Verwaltung kontrovers diskutiert wird, ist Cloud Computing. Zu den größten Herausforderungen zählt die sachgerechte Einschätzung, welche Cloud-Variante für die Öffentliche Verwaltung unter den Aspekten Sicherheit und Datenschutz in Frage kommt. Die derzeit favorisierten Modelle sind Private Clouds, also der Aufbau einer geschlossenen Cloud-Umgebung im eigenen Rechenzentrum, und Community-Clouds.

Herbert Blaauw ist Senior Manager Security bei Atos Deutschland
Herbert Blaauw ist Senior Manager Security bei Atos Deutschland
(Bild: Jochen Tack)
In einer Community-Cloud finden sich Nutzer zusammen, welche dieselben Anforderungen an eine Cloud-Umgebung stellen. Das betrifft beispielsweise die Einhaltung von Sicherheits- und Compliance-Vorgaben sowie Fachverfahren. Ebenso wie bei BYOD empfiehlt sich für Cloud Computing eine umfassende Sicherheits- und Risikoanalyse. Sie sollte unter anderem Antworten auf folgende Fragen liefern:

  • Wer hat Zugriff auf die Daten? Hier spielen IAM-Lösungen (Identity and Access Management) eine zentrale Rolle, etwa „DirX“ von Atos.
  • Welche IT-Schutzmaßnahmen wurden implementiert, und nach welchen Sicherheitsstandards wurde das Cloud-Rechenzentrum zertifiziert (ISO 27001)?
  • Sind die technischen und organisatorischen Schnittstellen zwischen IT-Ressourcen des Nutzers, also der betreffenden Behörde, und des Anbieters von Cloud-Services exakt festgelegt?

Speziell in einem sensiblen Umfeld wie der Öffentlichen Verwaltung setzt die Einführung neuer IT-Technologien wie BYOD und Cloud Computing eine umfassende Cyber-Security-Strategie voraus. Diese lässt sich in mehreren Schritten umsetzen.

Richtung Sicherheit

Der erste besteht darin, ein Sicherheits-Framework zu erarbeiten. Am Anfang steht eine detaillierte Analyse der Risiken auf Grundlage von Sicherheitsstandards wie ISO 27001 oder der BSI-IT-Grundschutzkataloge. Damit lassen sich schützenswerte Daten und Systeme identifizieren. Auch Chancen und Risiken von Cloud-Services werden analysiert.

Im zweiten Schritt wird IT-Sicherheit in Hardware- und Software-Architekturen verankert. Nicht zu unterschätzen sind dabei Bereiche wie die Identifizierung und Authentifizierung von Benutzern. Die Cyber-Security-Architektur sollte zudem Maßnahmen vorsehen, mit denen sich Schwachstellen und sicherheitsrelevante Vorfälle (Security Incidents) aufdecken sowie Angriffe unterbinden lassen.

Empfehlenswert ist zudem die Analyse der IT-Umgebung des öffentlichen Auftraggebers durch Cyber-Security-Experten einer neutralen Instanz. Atos führt beispielsweise „Security Maturity Assessments“ durch, in denen das für eine Organisation angemessene Sicherheitsniveau anhand von Reifegraden ermittelt wird. Auf Grundlage der Ergebnisse wird ein Maßnahmenplan zur Reduzierung der Risiken erstellt.

(ID:42537606)