Herausforderungen im öffentlichen Sektor IT-Infrastrukturen der öffentlichen Hand modernisieren und absichern

Autor / Redakteur: Tim Heine / Peter Schmitz

In den öffentlichen Einrichtungen und Behörden zeigen sich in der Pandemie digitale Defizite. Der nötige Aufbau einer performanten und zuverlässigen IT-Infrastruktur muss jedoch so erfolgen, dass alle potenziellen Angriffsflächen vor Cyberattacken geschützt sind. Widerstands- und Leistungsfähigkeit lässt sich hierbei mit einer klaren IT-Sicherheitsstrategie austarieren, damit die Daten stets geschützt sind.

Firmen zum Thema

Die Digitalisierung im öffentlichen Sektor muss an Fahrt gewinnen, wobei die Fortschritte nicht auf Kosten der Sicherheit gehen dürfen.
Die Digitalisierung im öffentlichen Sektor muss an Fahrt gewinnen, wobei die Fortschritte nicht auf Kosten der Sicherheit gehen dürfen.
(© rukawajung - stock.adobe.com)

Die Pandemie löst zweifellos auch im öffentlichen Sektor einen Digitalisierungsschub aus. Anderseits legt die Krise das langsame Tempo der vergangenen Jahre offen. Es mag Vorzeigebeispiele für die digitale Verwaltung wie in Karlsruhe geben, die im Bitkom Smart City Index 2020 besonders gut abgeschnitten hat. Insgesamt ergibt sich jedoch ein Bild, dass die öffentliche Hand mit ihren Betrieben und Ämtern noch digitales Potenzial hat. Insbesondere für einen Datenumgang, der sowohl einheitlich und damit effizient als auch sicher und Compliance-konform erfolgt, fehlen vielerorts noch die infrastrukturellen Voraussetzungen. Behörden oder Stadtwerke sollten jedoch heute in der Lage sein, Daten bedarfsgerecht an jedem Ort ihrer IT-Umgebung bereitzustellen. Nutzer, egal ob sie am Arbeitsplatz oder im VPN-gesicherten Homeoffice sitzen, müssen jederzeit Zugriff auf die Daten haben, die sie gerade benötigen. Cyberkriminellen darf es hingegen nicht gelingen, Daten abzugreifen, Prozesse zu manipulieren oder zu sabotieren. Hacker wissen genau, dass sich mit jedem Digitalisierungsschritt die potenzielle Angriffsfläche vergrößert. Diese gilt es abzuschirmen, ohne dass es sich negativ auf die Leistung der IT-Systeme auswirkt.

Lohnenswerte Angriffsziele sind Betreiber kritischer Infrastrukturen (KRITIS), zu denen der Gesetzgeber öffentliche Einrichtungen und Firmen in den Sektoren Informationstechnik und Telekommunikation, im Transport und Verkehr, Gesundheit, Wasser, Ernährung, Staat und Verwaltung, Medien und Kultur sowie Finanz- und Versicherungswesen zählt. Die Anfälligkeit von KRITIS-Betreibern im Energiesektor vor Hackerangriffen bezifferte die Bundesregierung, als sie im vorigen Herbst auf eine kleine Anfrage der FDP antwortete: So erfasste das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontinuierlich mehr erfolgreiche Cyberattacken – vier im Jahr 2018, über zehn in 2019 und 26 bis November 2020. Kraftwerke und Netze stehen exemplarisch für das mögliche Schadenspotenzial, das sich massiv auf Wirtschaft und Gesellschaft auswirken würde. KRITIS-Betreiber sind verpflichtet, IT-Sicherheit nach dem „Stand der Technik“ umzusetzen und erhebliche IT-Sicherheitsvorfälle wie bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme, Spear-Phishing sowie außergewöhnliche und unerwartete IT-Störungen an das BSI zu melden.

Auf Ransomware, Phishing & Co gefasst sein

Die Gefahr nimmt stetig zu, was vor allem an Ransomware-Attacken liegt. Ein solcher Verschlüsselungstrojaner legte beispielsweise das Universitätsklinikum Düsseldorf im September 2020 lahm. Dieser Angriff hätte womöglich vermieden werden können. So warnte das BSI bereits im Januar, also acht Monate vor dem Angriff, vor Schwachstellen in Citrix-Systemen. Dabei hätte es bereits ausgereicht, einen Patch aufspielen, um den Angriff zu verhindern.

Ansonsten bedarf es schon einiger Anstrengungen mehr. So muss die IT-Sicherheit jede Ebene – vom Client über das Rechenzentrum und Netzwerk bis in die Cloud – angemessen schützen. Es geht hierbei darum, neben Ransomware auch Phishing als einen aktuellen Hauptvektor zu betrachten und eine Tendenz zu berücksichtigen: Angriffe werden immer komplexer und raffinierter, was sich unter anderem darin äußert, dass sie in mehreren Wellen ablaufen. Dagegen besteht nur eine agile Sicherheitsarchitektur, die sich anpasst und so auch Spionageversuche oder Zoom-Bombing bei Videokonferenzen blockiert. Die perfekt aufeinander abgestimmten Techniken und Mechanismen greifen nur, wenn der Mensch sie nicht aushebelt.

Welche Grundbausteine sich zu einer Sicherheitsstrategie fügen

In der strategischen Herangehensweise liegt für KRITIS-Betreiber einschließlich Behörden der Schlüssel, um Technologie, Prozesse und Menschen in einer cyberresilienten Sicherheitsarchitektur zusammenzubringen. Wie bei allen Digitalprojekten müssen die Verantwortlichen vorangehen und dabei alle Mitarbeiter in den Prozess miteinbeziehen, die sich bestenfalls bereits in der Konzeptphase einbringen. Sie geben Feedback an federführende Spezialisten, die an folgenden Grundbausteinen der Sicherheitsstrategie feilen:

  • eine Sicherheitsarchitektur, die bei Sicherheitsvorfällen alarmiert und Gegenmaßnahmen einleitet
  • ein Krisenmanagement, das im Angriffsfall sofort mit klaren Zuständigkeiten und Ressourcen startet
  • eine regelmäßige Risikoanalyse, die Gefahren und Abwehrreaktionen ableitet
  • eine Datenmanagement-Richtlinie, die einen sicheren und konsistenten Datenumgang sowie Compliance-Maßnahmen wie rollenbasierte Zugriffsrechte durchsetzt
  • ein Backup- und Recovery-Konzept, das vorgibt, wie Daten auf Primärspeicher abgelegt und auf Sekundärsystem repliziert werden
  • ein Konzept für regelmäßige Sicherheitsschulungen der Mitarbeiter

Anforderungen an die Datenmanagement-Software

Für das Umsetzen der strategischen Vorlage benötigen Verwaltungen und Betrieb von Städten, Ländern und des Bundes in der Regel vor allem beim Datenmanagement externe Expertise. In Frage kommen Lösungsansätze, die nach ISO 27001 zertifiziert und nach dem IT-Grundschutz des BSI auditiert sind. Konkret überzeugt eine Datenmanagement-Software, die sensible Daten lokal, in der Cloud und während der Übertragung verschlüsselt, wozu ein AES (Advanced Encryption Standard)-256-Algorithmus zum Einsatz kommt. Die Verschlüsselung erzielt in Kombination mit Authentifizierung, starker Zugriffssteuerung und kryptosignierter Protokollierung in einer FIPS (Federal Information Processing)-konformen Plattform den Effekt, dass die Datenschutzgesetze eingehalten werden. Zum hohen Sicherheits- und Schutzniveau in der digitalen Verwaltung kann zudem das Speicherbetriebssystem beitragen, wenn es über eine Compliance-Anwendung verfügt, die Daten revisionssicher und gerichtsfest ablegt. Eine solche Software sorgt für Datenintegrität und -aufbewahrung und stellt damit sicher, dass elektronische Datensätze unveränderlich und schnell zugänglich bleiben. Außerdem empfiehlt es sich für die IT- und Sicherheitsverantwortlichen im öffentlichen Sektor eine Datenmanagement-Software auszuwählen, die mit einem Feature für die Data-at-Rest-Verschlüsselung aufwartet. In dem Fall lässt sich auch eine sichere File-Server-Struktur aufbauen.

Öffentliche Einrichtungen und KRITIS-Betreiber finden am Markt entsprechende Technologien, die einzelne Aspekte adressieren, um sich ein Ökosystem aufzubauen, das vor Ransomware und anderen aktuellen Gefahren schützt. Prädestiniert für diese Aufgabe ist jedoch eine Datenmanagement-Software wie NetApp ONTAP, die mehr als 30 Sicherheitsfeatures abdeckt.

Amtlicher Auftrag: sicherheitsstrategisches Digitalisieren

Die Digitalisierung im öffentlichen Sektor muss an Fahrt gewinnen, wobei die Fortschritte nicht auf Kosten der Sicherheit gehen dürfen. Flexible und agile IT-Umgebungen nützen wenig, wenn sie nicht cyberersilient sind. Aus diesem Grund ist es entscheidend, die Modernisierung der IT-Infrastruktur in Börden und Unternehmen der öffentlichen Hand mit einer klaren IT-Sicherheitsstrategie zu flankieren. Für Konzept und Umsetzung stehen versierte Dienstleister bereit, die sowohl die Daten zwischen Rechenzentrum und Cloud im Fluss halten als auch für integre und vertrauliche Informationen sorgen.

Über den Autor: Tim Heine ist Head of Sales – Public Sector Healthcare & Germany bei NetApp.

(ID:47698738)