Digitalisierung der Öffentlichen Verwaltung

Mitarbeiter als tragende Säule der Sicherheitsarchitektur

| Autor / Redakteur: Catrin Hinkel* / Susanne Ehneß

Faktor Mensch

Neue Technologien und die entsprechenden Geräte werden von Menschen genutzt. Insbesondere dort, wo mit sensiblen und vertraulichen Datensätzen gearbeitet wird, wie etwa in Behörden, muss der Schutz der Daten gewährleistet sein.

Das Wissen um die korrekte Anwendung von IT und Software im Arbeitsalltag ist hierfür Voraussetzung. Vor dem Hintergrund des steigenden Einsatzes von eGovernment-Anwendungen in Behörden gewinnt diese digitale Souveränität zusätzlich an Bedeutung, denn mit ihr steigt auch die Verantwortung jedes einzelnen Mitarbeiters im Umgang damit.

Führungskräfte und Mitarbeiter müssen die notwendigen Kompetenzen im Umgang mit den IT-­Lösungen und Technologien mitbringen. Die Sicherheit der Anwendungen und damit der Daten hängt nämlich entscheidend von der ­korrekten Bedienung und Nutzung der Technologien und IT-Lösungen ab.

Hier sehen sich die Behörden noch mit einigen Herausforderungen konfrontiert, wie die Daten des ­Zukunftspanels belegen: 71 Prozent der Befragten geben die Qualifizierung von Führungskräften und Mitarbeitern in digitalen Kompetenzen als relevante Herausforderung an. Für 60 Prozent stellt der Fachkräftemangel im IT-Bereich und für 58 Prozent die technische Umsetzung eine weitere relevante Hürde dar.

Drei Säulen der Sicherheit

Für einen umfassenden Schutz vor den potenziellen Fallstricken bei digitalisierten Arbeitsabläufen ­sowie vor den Gefahren durch Cyberattacken ist eine durchgängige Sicherheitsarchitektur zwingend notwendig. Wir sehen drei Säulen einer klugen Sicherheitsarchitektur:

  • Mensch,
  • Technologie und
  • Prozess.

Welchen Einfluss der Mensch hat, zeigt eine IDC-Studie aus dem Jahr 2015. Demnach wird die Hälfte der Sicherheitsvorfälle durch Mitarbeiter verursacht. Zwar leisten technische Sicherheitsvorkehrungen einen entscheidenden Beitrag zum Schutz vor Angriffen aus dem Cyberraum, dennoch kann nicht jeder Angriff dadurch verhindert werden.

Die Behördenleitungen müssen ­dafür Sorge tragen, dass den Mitarbeitern die notwendigen Kompetenzen vermittelt werden. Mitarbeiter müssen sich als tragende Säule der Sicherheitsarchitektur begreifen und ihre Verantwortung im Umgang mit IT erkennen. Bei der Nutzung von Software und IT-Anwendungen sollten sie ein Grundmisstrauen, kein Grundvertrauen mitbringen. Über Prozesse in den Behörden müssen die Mitarbeiter im Umgang mit sicherheitsrelevanten Daten sensibilisiert werden.

Zielgruppenspezifische Schulungsmaßnahmen vermitteln den Mitarbeitern die notwendigen Kompetenzen. Dazu gehören Basics wie etwa die Sorgfalt bei der Nutzung von mobilen Endgeräten, USB-Sticks und die Achtsamkeit, an welchen Orten auf Daten zugegriffen wird (Sicherheit des Netzes, Sichtbarkeit für Dritte). Die Vermittlung von Kompetenzen durch Schulungen darf nicht als einmaliger Aufwand verstanden werden.

Was ist zu tun?

Ein regelmäßiges Training ist ­nötig, da sich die Formen der Gefahr durch Missbrauch und die Gefahrenpotenziale im Cyberraum ­ständig ändern. Accenture beispielsweise versendet regelmäßig Phishing-eMails an die eigenen Mitarbeiter, um den sorgsamen Umgang im elektronischen Datenverkehr stets zu gewährleisten.

Behörden benötigen eine fundierte Sicherheitsstrategie und eine langfristige Ressourcenplanung. Die Ressourcenplanung hinsichtlich des Personals ist dabei mindestens so entscheidend, wie die Planungen im Bereich der Finanzmittel für IT-Lösungen.

IT-Systeme und Anwendungen müssen sich einem ständigen Sicherheitscheck unterziehen. Ein zentrales Logging und Monitoring muss vorhanden sein, sonst wird die Erkennung von Angriffen durch den Einsatz einer technischen ­Lösung (z. B. SIEM) scheitern.

Die Autorin: Catrin Hinkel
Die Autorin: Catrin Hinkel (Bild: © Accenture)

Neben einem Leitfaden für die Durchführung von Cyber-Sicherheitschecks, den das BSI bereits zur Verfügung stellt, benötigen die Behörden auch einen Leitfaden für die Implementierung von Prozessen und Strukturen. Dieser muss auch den einzelnen Mitarbeiter und seine Verantwortung fest im Blick haben.

Kompetenzvermittlung, regel­mäßige Schulungen und Sicherheitstrainings sowie Beratungs­angebote für den sicheren und ­richtigen Umgang mit IT müssen Teil der Sicherheitsstrategie von Behörden sein.

* Catrin Hinkel, Geschäftsführerin für den Bereich Gesundheitswesen und Öffentliche Verwaltung bei Accenture

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44431009 / Mitarbeiter-Management)