:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Herausforderungen im öffentlichen Sektor IT-Infrastrukturen der öffentlichen Hand modernisieren und absichern
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/121000/121087/65.jpg "netapp.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
In den öffentlichen Einrichtungen und Behörden zeigen sich in der Pandemie digitale Defizite. Der nötige Aufbau einer performanten und zuverlässigen IT-Infrastruktur muss jedoch so erfolgen, dass alle potenziellen Angriffsflächen vor Cyberattacken geschützt sind. Widerstands- und Leistungsfähigkeit lässt sich hierbei mit einer klaren IT-Sicherheitsstrategie austarieren, damit die Daten stets geschützt sind.
Die Pandemie löst zweifellos auch im öffentlichen Sektor einen Digitalisierungsschub aus. Anderseits legt die Krise das langsame Tempo der vergangenen Jahre offen. Es mag Vorzeigebeispiele für die digitale Verwaltung wie in Karlsruhe geben, die im Bitkom Smart City Index 2020 besonders gut abgeschnitten hat. Insgesamt ergibt sich jedoch ein Bild, dass die öffentliche Hand mit ihren Betrieben und Ämtern noch digitales Potenzial hat. Insbesondere für einen Datenumgang, der sowohl einheitlich und damit effizient als auch sicher und Compliance-konform erfolgt, fehlen vielerorts noch die infrastrukturellen Voraussetzungen. Behörden oder Stadtwerke sollten jedoch heute in der Lage sein, Daten bedarfsgerecht an jedem Ort ihrer IT-Umgebung bereitzustellen. Nutzer, egal ob sie am Arbeitsplatz oder im VPN-gesicherten Homeoffice sitzen, müssen jederzeit Zugriff auf die Daten haben, die sie gerade benötigen. Cyberkriminellen darf es hingegen nicht gelingen, Daten abzugreifen, Prozesse zu manipulieren oder zu sabotieren. Hacker wissen genau, dass sich mit jedem Digitalisierungsschritt die potenzielle Angriffsfläche vergrößert. Diese gilt es abzuschirmen, ohne dass es sich negativ auf die Leistung der IT-Systeme auswirkt.
Lohnenswerte Angriffsziele sind Betreiber kritischer Infrastrukturen (KRITIS), zu denen der Gesetzgeber öffentliche Einrichtungen und Firmen in den Sektoren Informationstechnik und Telekommunikation, im Transport und Verkehr, Gesundheit, Wasser, Ernährung, Staat und Verwaltung, Medien und Kultur sowie Finanz- und Versicherungswesen zählt. Die Anfälligkeit von KRITIS-Betreibern im Energiesektor vor Hackerangriffen bezifferte die Bundesregierung, als sie im vorigen Herbst auf eine kleine Anfrage der FDP antwortete: So erfasste das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontinuierlich mehr erfolgreiche Cyberattacken – vier im Jahr 2018, über zehn in 2019 und 26 bis November 2020. Kraftwerke und Netze stehen exemplarisch für das mögliche Schadenspotenzial, das sich massiv auf Wirtschaft und Gesellschaft auswirken würde. KRITIS-Betreiber sind verpflichtet, IT-Sicherheit nach dem „Stand der Technik“ umzusetzen und erhebliche IT-Sicherheitsvorfälle wie bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme, Spear-Phishing sowie außergewöhnliche und unerwartete IT-Störungen an das BSI zu melden.
Auf Ransomware, Phishing & Co gefasst sein
Die Gefahr nimmt stetig zu, was vor allem an Ransomware-Attacken liegt. Ein solcher Verschlüsselungstrojaner legte beispielsweise das Universitätsklinikum Düsseldorf im September 2020 lahm. Dieser Angriff hätte womöglich vermieden werden können. So warnte das BSI bereits im Januar, also acht Monate vor dem Angriff, vor Schwachstellen in Citrix-Systemen. Dabei hätte es bereits ausgereicht, einen Patch aufspielen, um den Angriff zu verhindern.
Ansonsten bedarf es schon einiger Anstrengungen mehr. So muss die IT-Sicherheit jede Ebene – vom Client über das Rechenzentrum und Netzwerk bis in die Cloud – angemessen schützen. Es geht hierbei darum, neben Ransomware auch Phishing als einen aktuellen Hauptvektor zu betrachten und eine Tendenz zu berücksichtigen: Angriffe werden immer komplexer und raffinierter, was sich unter anderem darin äußert, dass sie in mehreren Wellen ablaufen. Dagegen besteht nur eine agile Sicherheitsarchitektur, die sich anpasst und so auch Spionageversuche oder Zoom-Bombing bei Videokonferenzen blockiert. Die perfekt aufeinander abgestimmten Techniken und Mechanismen greifen nur, wenn der Mensch sie nicht aushebelt.
Welche Grundbausteine sich zu einer Sicherheitsstrategie fügen
In der strategischen Herangehensweise liegt für KRITIS-Betreiber einschließlich Behörden der Schlüssel, um Technologie, Prozesse und Menschen in einer cyberresilienten Sicherheitsarchitektur zusammenzubringen. Wie bei allen Digitalprojekten müssen die Verantwortlichen vorangehen und dabei alle Mitarbeiter in den Prozess miteinbeziehen, die sich bestenfalls bereits in der Konzeptphase einbringen. Sie geben Feedback an federführende Spezialisten, die an folgenden Grundbausteinen der Sicherheitsstrategie feilen:
- eine Sicherheitsarchitektur, die bei Sicherheitsvorfällen alarmiert und Gegenmaßnahmen einleitet
- ein Krisenmanagement, das im Angriffsfall sofort mit klaren Zuständigkeiten und Ressourcen startet
- eine regelmäßige Risikoanalyse, die Gefahren und Abwehrreaktionen ableitet
- eine Datenmanagement-Richtlinie, die einen sicheren und konsistenten Datenumgang sowie Compliance-Maßnahmen wie rollenbasierte Zugriffsrechte durchsetzt
- ein Backup- und Recovery-Konzept, das vorgibt, wie Daten auf Primärspeicher abgelegt und auf Sekundärsystem repliziert werden
- ein Konzept für regelmäßige Sicherheitsschulungen der Mitarbeiter
Anforderungen an die Datenmanagement-Software
Für das Umsetzen der strategischen Vorlage benötigen Verwaltungen und Betrieb von Städten, Ländern und des Bundes in der Regel vor allem beim Datenmanagement externe Expertise. In Frage kommen Lösungsansätze, die nach ISO 27001 zertifiziert und nach dem IT-Grundschutz des BSI auditiert sind. Konkret überzeugt eine Datenmanagement-Software, die sensible Daten lokal, in der Cloud und während der Übertragung verschlüsselt, wozu ein AES (Advanced Encryption Standard)-256-Algorithmus zum Einsatz kommt. Die Verschlüsselung erzielt in Kombination mit Authentifizierung, starker Zugriffssteuerung und kryptosignierter Protokollierung in einer FIPS (Federal Information Processing)-konformen Plattform den Effekt, dass die Datenschutzgesetze eingehalten werden. Zum hohen Sicherheits- und Schutzniveau in der digitalen Verwaltung kann zudem das Speicherbetriebssystem beitragen, wenn es über eine Compliance-Anwendung verfügt, die Daten revisionssicher und gerichtsfest ablegt. Eine solche Software sorgt für Datenintegrität und -aufbewahrung und stellt damit sicher, dass elektronische Datensätze unveränderlich und schnell zugänglich bleiben. Außerdem empfiehlt es sich für die IT- und Sicherheitsverantwortlichen im öffentlichen Sektor eine Datenmanagement-Software auszuwählen, die mit einem Feature für die Data-at-Rest-Verschlüsselung aufwartet. In dem Fall lässt sich auch eine sichere File-Server-Struktur aufbauen.
Öffentliche Einrichtungen und KRITIS-Betreiber finden am Markt entsprechende Technologien, die einzelne Aspekte adressieren, um sich ein Ökosystem aufzubauen, das vor Ransomware und anderen aktuellen Gefahren schützt. Prädestiniert für diese Aufgabe ist jedoch eine Datenmanagement-Software wie NetApp ONTAP, die mehr als 30 Sicherheitsfeatures abdeckt.
Amtlicher Auftrag: sicherheitsstrategisches Digitalisieren
Die Digitalisierung im öffentlichen Sektor muss an Fahrt gewinnen, wobei die Fortschritte nicht auf Kosten der Sicherheit gehen dürfen. Flexible und agile IT-Umgebungen nützen wenig, wenn sie nicht cyberersilient sind. Aus diesem Grund ist es entscheidend, die Modernisierung der IT-Infrastruktur in Börden und Unternehmen der öffentlichen Hand mit einer klaren IT-Sicherheitsstrategie zu flankieren. Für Konzept und Umsetzung stehen versierte Dienstleister bereit, die sowohl die Daten zwischen Rechenzentrum und Cloud im Fluss halten als auch für integre und vertrauliche Informationen sorgen.
Über den Autor: Tim Heine ist Head of Sales – Public Sector Healthcare & Germany bei NetApp.
(ID:47698738)
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/f9/43f910642bd83463fa547d977240d79e/0108873810.jpeg "Das Funktionieren Kritischer Infrastrukturen ist für das Gemeinwesen unverzichtbar (Bild: colorfield – stock.adobe.com)")