Security-Framework als Basis für eGovernment

Rundum-Sicherheit für die Öffentliche Verwaltung

| Autor / Redakteur: Herbert Blaauw / Susanne Ehneß

Herbert Blaauw ist Senior Manager Security bei Atos Deutschland
Herbert Blaauw ist Senior Manager Security bei Atos Deutschland (Bild: Jochen Tack)

In einer Community-Cloud finden sich Nutzer zusammen, welche dieselben Anforderungen an eine Cloud-Umgebung stellen. Das betrifft beispielsweise die Einhaltung von Sicherheits- und Compliance-Vorgaben sowie Fachverfahren. Ebenso wie bei BYOD empfiehlt sich für Cloud Computing eine umfassende Sicherheits- und Risikoanalyse. Sie sollte unter anderem Antworten auf folgende Fragen liefern:

  • Wer hat Zugriff auf die Daten? Hier spielen IAM-Lösungen (Identity and Access Management) eine zentrale Rolle, etwa „DirX“ von Atos.
  • Welche IT-Schutzmaßnahmen wurden implementiert, und nach welchen Sicherheitsstandards wurde das Cloud-Rechenzentrum zertifiziert (ISO 27001)?
  • Sind die technischen und organisatorischen Schnittstellen zwischen IT-Ressourcen des Nutzers, also der betreffenden Behörde, und des Anbieters von Cloud-Services exakt festgelegt?

Speziell in einem sensiblen Umfeld wie der Öffentlichen Verwaltung setzt die Einführung neuer IT-Technologien wie BYOD und Cloud Computing eine umfassende Cyber-Security-Strategie voraus. Diese lässt sich in mehreren Schritten umsetzen.

Richtung Sicherheit

Der erste besteht darin, ein Sicherheits-Framework zu erarbeiten. Am Anfang steht eine detaillierte Analyse der Risiken auf Grundlage von Sicherheitsstandards wie ISO 27001 oder der BSI-IT-Grundschutzkataloge. Damit lassen sich schützenswerte Daten und Systeme identifizieren. Auch Chancen und Risiken von Cloud-Services werden analysiert.

Im zweiten Schritt wird IT-Sicherheit in Hardware- und Software-Architekturen verankert. Nicht zu unterschätzen sind dabei Bereiche wie die Identifizierung und Authentifizierung von Benutzern. Die Cyber-Security-Architektur sollte zudem Maßnahmen vorsehen, mit denen sich Schwachstellen und sicherheitsrelevante Vorfälle (Security Incidents) aufdecken sowie Angriffe unterbinden lassen.

Empfehlenswert ist zudem die Analyse der IT-Umgebung des öffentlichen Auftraggebers durch Cyber-Security-Experten einer neutralen Instanz. Atos führt beispielsweise „Security Maturity Assessments“ durch, in denen das für eine Organisation angemessene Sicherheitsniveau anhand von Reifegraden ermittelt wird. Auf Grundlage der Ergebnisse wird ein Maßnahmenplan zur Reduzierung der Risiken erstellt.

Ergänzendes zum Thema
 
Herausforderung Online-Dienste

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42537606 / System & Services)