:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit in Staat und Verwaltung Netzwerksicherheit beim Landkreistag
In unserer Serie über IT-Sicherheit in kritischen Infrastrukturen steht dieses Mal der Deutsche Landkreistag im Fokus. Hierzu sprachen wir mit Dr. Kay Ruge, Zuständiger für die Digitalisierung beim Deutschen Landkreistag und dem dortigen Experten für IT-Sicherheit, Heino Sauerbrey.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Eine funktionierende Verwaltung braucht auch eine sichere und verfügbare IT. Das BSI hat daher auch Behörden und Verwaltungen der Kommunen, der Länder und des Bundes als kritische Infrastruktur (KRITIS) im SektorStaat und Verwaltung definiert.
In der letzten Folge unserer Serie zur IT-Sicherheit in kritischen Infrastrukturen haben wir uns mit der Landesverwaltung NRW auseinander gesetzt. Dieses Mal gestaltet sich der Artikel etwas anders, da der Deutsche Landkreistag als föderale Dachorganisation von 294 Landkreisen in 13 Landesverbänden in Deutschland nicht selbst umfangreiche IT-Umgebungen betreibt, sondern nur einen Überblick über den Status der IT der einzelnen Landkreise bieten kann. Da die Landkreise in der Regel unterschiedliche Entscheidungen treffen und auch verschiedene Dienstleister beauftragen, ergibt sich an dieser Stelle kein homogenes Bild.
:quality(80)/images.vogel.de/vogelonline/bdb/1702100/1702148/original.jpg "Die Landesverwaltung Nordrhein-Westfalen verfügt über ein eigenes physikalisches Netz, an das alle 433 Behörden und 115.000 PC-Arbeitsplätze angebunden sind und das der interne Dienstleister „IT.NRW“ betreibt. (Christoph Seelbach)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit bei der Landesverwaltung NRW
Alle Landkreise haben eigene Netze, die unterschiedlich aufgebaut wurden und auch – wie die Kreise selbst – einen unterschiedlichen Umfang haben. Teilweise sind diese in die Netze der jeweiligen Bundesländer eingebunden, manche Kreise haben eigene Netze und manche mieten diese auch an, beispielsweise bei T-Systems.
Darüber hinaus sind alle Landkreise auch in das Verbindungsnetz des Bundes (Bund-Länder-Kommunen-Verbindungsnetz, NdB-VN) eingebunden. Dazu besteht eine verfassungsrechtliche Grundlage in Artikel 91c des Grundgesetzes.
Im Zusammenhang damit ergeben sich hohe Kosten, und zwar sowohl für die Einbindung selbst als auch hohe Lizenzkosten im Betrieb. Deshalb ist die Einbindung der Landkreise über Knoten der Länder oder über kommunale IT-Dienstleister der Regelfall. Dabei gelten die Vorgaben, die im Verbindungsnetz bestehen. Die direkt angebundenen Kreise müssen diese unmittelbar umsetzen, ansonsten findet die Umsetzung über die jeweiligen Dienstleister statt.
:quality(80)/images.vogel.de/vogelonline/bdb/1699800/1699807/original.jpg "Bei der Stadt Köln existiert im Bereich IT-Sicherheit eine enge Zusammenarbeit mit anderen Kommunen, und zwar über den Verband der Kommunalen IT-Dienstleister (KDN). (gemeinfrei)")
IT-Sicherheit in Staat und Verwaltung
Netzwerksicherheit bei der Stadt Köln
Bund steht für Zentralisierung
Dr. Ruge betonte in diesem Zusammenhang, dass er es bedauert, dass der Bund in allen möglichen Bereichen, nicht nur beim Online-Zugangsgesetz, zur Zentralisierung neigt. Er würde sich demgegenüber beispielsweise beim Verbindungsnetz das Bereitstellen kommunalverträglicherer Anschlüsse wünschen, über die die Einbindung zu geringen Kosten oder sogar kostenlos möglich wäre.
Nach Ansicht von Dr. Ruge versagt die Bundesrepublik beim Erreichen des Ziels, eine echte, abgesicherte Infrastruktur über Bund, Länder, Kommunen hinweg bereitzustellen. Das gilt auch für die zugrundeliegenden Technologien: So denken beispielsweise manche Bundesländer wie Schleswig-Holstein und Mecklenburg-Vorpommern darüber nach, eigene Ländernetze aufzubauen, um die Abhängigkeit von privaten Dienstleistern wie T-Systems und anderen zu beenden. Die Landkreise, die bereits solche Netze haben, begründen das mit der qualitativ hochwertigen Basisstruktur. Diese Zersplitterung führe aber dazu, dass es zu keinem einheitlichen System kommen kann. So verfügen auch viele Bundeseinrichtungen, wie etwa die Bundeswehr, über eigene Netze. Die bisherigen Konsolidierungsbemühungen seien noch nicht am Ziel.
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546854/original.jpg "Um ein Netzwerk umfassend abzusichern müssen IT-Sicherheitsverantwortliche viele Entscheidungen treffen und viele Konfigurationsschritte durchführen. (sdecoret - stock.adobe.com)")
Anforderungen der IT-Sicherheit
Grundlagen der Netzwerksicherheit
Aufbau der Netze
Im Durchschnitt haben die Kreisverwaltungen zwischen 800 und 1000 Mitarbeiter. Das bedeutet, dass bundesweit um die 300.000 Menschen mit ihrem Arbeitsplatz an die Landkreisnetze angeschlossen sind. Dazu kommen noch mobile Anwender, wie Veterinäre und Lebensmittelprüfer, die von unterwegs aus auf die Netze zugreifen. Insgesamt dürfte die Zahl der Anwender damit bei um die 400.000 liegen.
Zudem steigt die Home-Office-Nutzung dramatisch an, da die Arbeitszeitmodelle für die Arbeitnehmer immer mehr Home Offices und Home-Office-Tage ermöglichen. Diese Art zu arbeiten ist in der öffentlichen Verwaltung folglich deutlich etablierter als in der Privatwirtschaft.
:quality(80)/images.vogel.de/vogelonline/bdb/1549000/1549048/original.jpg "Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (Joachim Donath)")
Segmentiertes Netz und restriktive Zugriffe
Netzwerksicherheit bei den Berliner Wasserbetrieben
Aufgaben der Anwender
Zu den Tätigkeiten, die über die Landkreisnetze abgewickelt werden, gehören das Übertragen der Meldedaten und Zugriffe auf Finanzdaten. Der Datenschutz, die Integrität und die Vertraulichkeit spielen demzufolge eine besonders wichtige Rolle. Außerdem muss ein Großteil der verwendeten Informationen ständig verfügbar sein.
„Es gibt in den Kreisverwaltungen ein großes Aufgabenspektrum“, erklärt Dr. Ruge. „In der Regel ist es so, dass die Landkreise gar nicht einmal viele eigene Register vorhalten und führen, sondern auf Daten aus Drittquellen zugreifen.“ Dazu gehören beispielsweise Informationen aus dem Ausländerzentralregister, dem nationalen Waffenregister oder dem Kraftfahrzeug-Register des Kraftfahrtbundesamtes (KBA).
Zu den genannten Informationen kommen auch noch Daten aus dem gemeindlichen Bereich wie Melde- und Personenstandsdaten. Da solche Daten nicht für Jedermann bestimmt sind, herrschen in allen diesen Bereichen hohe Sicherheitsanforderungen und für genannten Datenarten unterschiedliche Sicherheitsverfahren. Generell lässt sich sagen, dass der Anteil der Vernetzung zwischen den Daten unterschiedlicher staatlicher und kommunaler Akteure immer mehr zunimmt.
:quality(80)/images.vogel.de/vogelonline/bdb/1652500/1652598/original.jpg "Die Awareness der Mitarbeiter ist auch in Krankenhäusern ein zentrales Standbein der IT-Sicherheit. Deswegen gibt es im bspw. im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen. (gemeinfrei)")
Sicherheit vor Funktionalität im Lukaskrankenhaus
Netzwerksicherheit in Krankenhäusern
Realisierung der IT-Sicherheit
Da es sich bei den Landkreisnetzen um keine homogene Umgebung handelt und unterschiedliche Produkte zum Einsatz kommen, wurde auch die IT-Sicherheit nicht einheitlich gestaltet. Es wurde in der Vergangenheit oftmals zu wenig sichergestellt, dass alle im Bereich IT-Security eingesetzten Komponenten BSI-konform sind. Die einzelnen Kreise legen mangels verbindlicher staatlicher Vorgaben die Sicherheitsanforderungen, die erfüllt werden müssen, selbst fest. „Verantwortlich ist dabei die Behördenleitung. Diese kann die Aufgabenerfüllung, aber nicht die Verantwortung delegieren“, so Herr Sauerbrey in diesem Zusammenhang.
Kooperationen zwischen den Kreisen und Dienstleistern sorgen für Konsolidierung
Da alle Kreise ihre Organisationshoheit hochhalten, dauern Veränderungsprozesse an. Es gibt aber zunehmend Kontakte zwischen den beteiligten Stellen, die gemeinsam nach funktionierenden Lösungen suchen. Auch die Dienstleister sorgen zunehmend für eine Vereinheitlichung der Umgebungen, da sie oft in mehreren Kreisen tätig sind und dort vergleichbare Lösungen betreuen.
:quality(80)/images.vogel.de/vogelonline/bdb/1578800/1578875/original.jpg "An die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt. (Sergey Nivens - stock.adobe.com)")
Kooperation auf vielen Ebenen
Netzwerksicherheit in der Versicherungsbranche
Konsolidierung aus sich selbst heraus
Es entwickelt sich also eine gewisse Konsolidierung aus sich selbst heraus. Diese Entwicklung wird auch durch den steigenden Bedarf an Fachkräften und die zunehmende Komplexität getrieben.
Dennoch wünscht sich Dr. Ruge eine höhere Verbindlichkeit bei der IT-Sicherheit: „Die Vorgaben beispielsweise zur IT-Sicherheitsleitlinie sind für die Kommunen allein aus fiskalischen Gründen heraus unverbindlich, da die Länder kein Geld dafür bereitstellen wollen. Der Landkreistag entfaltet aber große Bemühungen, die Dinge eigeninitiativ zu fördern.“
:quality(80)/images.vogel.de/vogelonline/bdb/1665800/1665868/original.jpg "Unternehmen, aber auch Staat und Gesellschaft sind heute zunehmend abhängig von einer funktionierenden Telekommunikationsinfrastruktur. (Funtap - stock.adobe.com)")
IT-Sicherheit bei TK-Unternehmen
Netzwerksicherheit in der Telekommunikation
Digitalpakt Schule
In diesem Zusammenhang ist der „Digitalpakt Schule“ ein gutes Beispiel und ein positiver Aspekt zum Abschluss dieses Beitrags. Hier werden die Länder im Wesentlichen durch den „goldenen Zügel“ des Bundes veranlasst, stärker als bisher Medienkompetenz an Schulen aufzubauen. Infrastrukturell zahlt der Bund für WLANs und Glasfaser an den Schulen. Wie lässt sich so etwas aber effizient organisieren? Ein mittelständisches Unternehmen zum Beispiel hat um die 400 Mitarbeiter und erledigt einen Großteil der mit IT-Mobilität zusammenhängenden Aufgaben schon dadurch, dass es diesen Mitarbeitern einheitliche Smartphones zur Verfügung stellt. Eine Schule hat 300 Schüler, jeder hat ein unterschiedliches Smartphone und diese sollen dann mit unterschiedlichen Anwendungen im Unterricht zum Einsatz kommen. Darüber hinaus sind auch noch die einzelnen Schulnetze verschieden. Das alles ist für Bildungsinhalte und für die Verwaltung der Schulen durch Kreise und Städte zusammenzuführen und wirft zusätzliche Sicherheitsfragen auf.
Deswegen hat der Landkreistag als kommunaler Verband eine Arbeitsgruppe aus Praktikern von Kommunal- und Landesverwaltungen initiiert, die ein Grundschutz-Profil zum Thema „IT-Sicherheit an Schulen“ erarbeitet. Das läuft zusammen mit dem BSI und den Bundesländern und soll in den vielfältigen kommunalen Handlungsfeldern dazu beitragen, eine Eigeninitiative IT-Sicherheit zu fördern. Hierbei hilft auch die bereits angesprochene Konsolidierung aus sich selbst heraus, da durch sie oftmals funktionierende vorhandene Lösungen bereitstehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1675600/1675653/original.jpg "Die Sicherung der Versorgung der Bevölkerung mit Lebensmitteln ist ein wichtiger Teil der kritischen Infrastrukturen. (gemeinfrei)")
Die Mitarbeiter müssen mitspielen
Netzwerksicherheit in der Ernährungsbranche
(ID:46573698)
:quality(80)/p7i.vogel.de/wcms/b8/9a/b89ab8f7abb92c814009227ef0fe5cff/0110933589.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/9e/74/9e74daf4b9da69eabf6461828e5fcb18/0112495273.jpeg "UNBÜROKRATISCH – der Podcast aus der eGovernment-Redaktion (v. l.): Susanne Ehneß, Chiara Maurer, Nicola Hauptmann und Natalie Ziebolz (© VIT)")