:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Framework als Basis für eGovernment Rundum-Sicherheit für die Öffentliche Verwaltung
Bislang zielten Cyber-Angriffe primär auf private Unternehmen. Doch zunehmend zählen auch Behörden und öffentliche Verwaltungen zu den Zielen – mit derzeit etwa drei Angriffen pro Tag. Um sich gegen komplexe Attacken zu wappnen, ist ein umfassendes IT-Sicherheits-Framework erforderlich.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Für Behörden und öffentliche Auftraggeber hat sich die IT-Sicherheitslage verschärft. So wurden nach Angaben des Bundesamts für Verfassungsschutz 2012 pro Tag durchschnittlich drei Cyber-Angriffe auf die IT-Infrastruktur von Bundesbehörden registriert. Laut Dataport, dem zentralen IT-Dienstleister von fünf Bundesländern, sieht sich die Öffentliche Verwaltung vor allem mit folgenden Sicherheitsbedrohungen konfrontiert:
- Risiken durch eine inadäquate Nutzung neuer Ansätze wie Cloud Computing und mobile Geräte,
- Malware und Sicherheitslücken in Hard- und Software sowie
- den Diebstahl digitaler Identitäten (Identity Theft).
BYOD
Ein Risikofaktor im Zusammenhang mit dem Einsatz mobiler Geräte ist die Nutzung privater Systeme für betriebliche Belange (Bring Your Own Device, BYOD). Die Befürworter von BYOD führen Vorteile wie die höhere Effizienz und Zufriedenheit von Mitarbeitern ins Feld. Dem stehen Herausforderungen gegenüber, vor allem die strikte Trennung dienstlicher und privater Daten auf solchen Systemen.
Um dies zu erreichen, sind organisatorische und technische Maßnahmen erforderlich: Zum einen muss eine BYOD-Strategie erarbeitet werden, die den Schutzbedarf und die Gerätearten berücksichtigt. Zudem ist ein Konzept für den Fall erforderlich, dass Systeme verloren gehen. Dienstliche und private Daten sollten voneinander getrennt werden. Technisch lässt sich die Trennung privater und dienstlicher Daten auf den Geräten lösen.
In jedem Fall ist es notwendig, im Vorfeld eine Analyse der Risiken durchzuführen, die BYOD für die jeweilige Behörde mit sich bringt. Organisatorische Rahmenbedingungen und Gesetzesvorgaben müssen dabei berücksichtigt werden.
Cloud Computing
Ein zweites Thema, das im Zusammenhang mit der Konsolidierung der IT-Infrastruktur der Öffentlichen Verwaltung kontrovers diskutiert wird, ist Cloud Computing. Zu den größten Herausforderungen zählt die sachgerechte Einschätzung, welche Cloud-Variante für die Öffentliche Verwaltung unter den Aspekten Sicherheit und Datenschutz in Frage kommt. Die derzeit favorisierten Modelle sind Private Clouds, also der Aufbau einer geschlossenen Cloud-Umgebung im eigenen Rechenzentrum, und Community-Clouds.
- Wer hat Zugriff auf die Daten? Hier spielen IAM-Lösungen (Identity and Access Management) eine zentrale Rolle, etwa „DirX“ von Atos.
- Welche IT-Schutzmaßnahmen wurden implementiert, und nach welchen Sicherheitsstandards wurde das Cloud-Rechenzentrum zertifiziert (ISO 27001)?
- Sind die technischen und organisatorischen Schnittstellen zwischen IT-Ressourcen des Nutzers, also der betreffenden Behörde, und des Anbieters von Cloud-Services exakt festgelegt?
Speziell in einem sensiblen Umfeld wie der Öffentlichen Verwaltung setzt die Einführung neuer IT-Technologien wie BYOD und Cloud Computing eine umfassende Cyber-Security-Strategie voraus. Diese lässt sich in mehreren Schritten umsetzen.
Richtung Sicherheit
Der erste besteht darin, ein Sicherheits-Framework zu erarbeiten. Am Anfang steht eine detaillierte Analyse der Risiken auf Grundlage von Sicherheitsstandards wie ISO 27001 oder der BSI-IT-Grundschutzkataloge. Damit lassen sich schützenswerte Daten und Systeme identifizieren. Auch Chancen und Risiken von Cloud-Services werden analysiert.
Im zweiten Schritt wird IT-Sicherheit in Hardware- und Software-Architekturen verankert. Nicht zu unterschätzen sind dabei Bereiche wie die Identifizierung und Authentifizierung von Benutzern. Die Cyber-Security-Architektur sollte zudem Maßnahmen vorsehen, mit denen sich Schwachstellen und sicherheitsrelevante Vorfälle (Security Incidents) aufdecken sowie Angriffe unterbinden lassen.
Empfehlenswert ist zudem die Analyse der IT-Umgebung des öffentlichen Auftraggebers durch Cyber-Security-Experten einer neutralen Instanz. Atos führt beispielsweise „Security Maturity Assessments“ durch, in denen das für eine Organisation angemessene Sicherheitsniveau anhand von Reifegraden ermittelt wird. Auf Grundlage der Ergebnisse wird ein Maßnahmenplan zur Reduzierung der Risiken erstellt.
(ID:42537606)
:quality(80)/p7i.vogel.de/wcms/68/7b/687b3c0b2e45f37eeba1c78561df90b5/0109580143.jpeg "PaaS (Platform-as-a-Service) ist eines der drei klassischen Servicemodelle des Cloud-Computings, bei dem die Umgebung zur Entwicklung von Anwendungen als Service aus der Cloud kommt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")