Digitalisierungstempo hat nachgelassen
Gut ein Jahr vor dem Fristende des Onlinezugangsgesetzes (OZG) stellt sich Deutschland die Frage nach der digitalen Transformation von Bund, Ländern und Kommunen. Nach dem Digitalisierungsschub zu Beginn der Pandemie verlangsamte sich diese Entwicklung bei staatlichen Stellen 2021 wieder. Über die Hälfte der Deutschen sind laut Statista unzufrieden mit den digitalen Angeboten der Behörden. Die zunehmende Cyberkriminalität – insbesondere der Ransomware-Boom – hat sicherlich dazu beigetragen, dass öffentliche Institutionen gegenüber digitalen Technologien vorsichtig agieren.
„New Work“ – Hybrides Arbeitsmodell bringt neue Möglichkeiten und Risiken mit sich
Als letztes Jahr Hals-über-Kopf Mitarbeiterinnen und Mitarbeiter ins Homeoffice geschickt wurden und Verwaltungsleistungen plötzlich digital verfügbar gemacht werden mussten, ist vor allem eines zu kurz gekommen: die Sicherheit. Die Vermischung privater sowie geschäftlicher Netzwerke und Geräte hat zahlreiche neue Einfallstore für Cyberkriminelle geöffnet und seitdem boomt der Markt für Hacker und Co. Ein falscher Klick eines Mitarbeiters oder einer Mitarbeiterin am privaten Gerät im Homeoffice und schon haben die Kriminellen einen Weg ins Netzwerk. Social Engineering nennt sich diese Art von Manipulation von Beschäftigten und gerade bei öffentlichen Stellen ist das ein Problem.
Die öffentliche Verwaltung als populäres Ziel für Cyberkriminelle
Behörden und Verwaltungen arbeiten mit einer enormen Menge an personenbezogenen Daten: Sie sammeln und verarbeiten sowohl Kontaktdaten als auch sensible Informationen, die u.a. Aufschluss über Wohnort, Beruf, Einkommen und Familienstand von Personen geben. Informationen wie Ausweis- oder Identifikationsnummern (z.B. Steuernummern) haben zudem kein „Verfallsdatum“ und können nicht gesperrt werden wie Kreditkarten. Der komplette Ausfall einer Behörde ist nicht nur für Mitarbeiterinnen und Mitarbeiter und die betroffenen Personen schädlich, die Qualität und Schnelligkeit der Arbeitsabläufe in Behörden haben hohen Einfluss auf die Zufriedenheit der Bürgerinnen und Bürger mit dem Staat. Das alles sind Gründe, warum der öffentliche Sektor ein beliebtes Ziel von Cyberkriminellen ist.
Auf einen Blick: Angriffsvektoren und Schutzmöglichkeiten
Eines der größten Risiken für IT-Systeme bleibt der Faktor Mensch. Das wissen auch die Hacker und nutzen deshalb Social Engineering, um Endgeräte mit Schadsoftware zu infizieren. Weitere Einfallstore können zum Beispiel Schwachstellen im Betriebssystem oder infizierte Hardware (z.B. USB-Sticks) sein. Sind die Hacker einmal im Netzwerk, können sie sich still und heimlich von Gerät zu Gerät weiterbewegen. So kann es gut sein, dass ein erfolgreicher Angriff monatelang unentdeckt bleibt. Die verschiedenen „Backdoors“, die Cyberkriminelle heutzutage in Systemen installieren, sind mittlerweile so ausgereift, dass sie sogar moderne Antivirus Software und System-Patches austricksen können.
In so einer Situation sind die richtigen Präventivmaßnahmen gefragt – allen voran Geräte- und Applikationskontrolle. Diese verhindern anhand von dynamisch erweiterbaren Positivlisten, dass ungenehmigte Geräte angeschlossen und Dateien oder Software ausgeführt werden. Des Weiteren bieten sich folgende Maßnahmen speziell für den öffentlichen Sektor an:
- Die Verschlüsselung von sensiblen Daten am Speicherort und auf Wechselmedien.
- Überwachung und Protokollierung jeglicher Zugriffe/Änderungen im System.
- Mitarbeitersensibilisierung zur Vermeidung menschlichen Fehlverhaltens.
Cybersicherheit vom Experten
Der zuverlässige Schutz von Daten, Geräten und Systemen ist für den öffentlichen Sektor unabdingbar. Um die dafür notwendigen Maßnahmen mit eigenem Personal stemmen zu können, benötigt es Investitionen in Fachkräfte, Ausbildung und Systeme, und selbst dann bedeutet die ständige Betreuung der IT-Sicherheitssysteme einen enormen Aufwand. Die hohe Nachfrage nach IT Security Fachkräften im privaten Sektor erschwert diese Aufgabe zusätzlich.
Als Alternative bietet es sich an, einen externen Servicedienstleister für IT-Sicherheit zu beauftragen. Das spart nicht nur Zeit und Kosten, sondern hat auch noch zahlreiche andere Vorteile für Behörden. IT-Systeme öffentlicher Organisationen müssen zum Beispiel spezielle Sicherheitsanforderungen erfüllen, die durch das IT-Sicherheitsgesetz 2.0 im Frühjahr 2021 noch weiter verschärft wurden. Einige Dienstleister erfüllen besonders wichtige Zertifikate für Behörden, wie das international und auch vom BSI anerkannte Common Criteria EAL3+, und ihre Lösungen können schnell und einfach eingesetzt werden. Außerdem sorgen die Experten und Expertinnen beim Dienstleister dafür, dass die Sicherheitssysteme immer auf dem neuesten Stand sind. Dadurch können öffentliche Einrichtungen enorm an Ressourcen sparen und mit der schnelllebigen Cyberwelt mithalten.
Cybersicherheit könnte Digitalisierung in Deutschland beschleunigen
Laut dem OZG müssen Bund, Länder und Kommunen alle bis Ende des kommenden Jahres ihre Verwaltungsleistungen auch digital anbieten. Wenn sie dieses ambitionierte Ziel erreichen wollen, müssen Behörden in den kommenden 12 Monaten richtig Gas geben – und dabei spielt Cybersicherheit eine Schlüsselrolle, wie die zahlreichen Angriffe auf deutsche Behörden 2021 zeigen.
Die Angst vor Cybervorfällen sowie die hohen Sicherheitsanforderungen an IT-Systeme für den öffentlichen Sektor sind große Digitalisierungshürden für Behörden, die sich an das OZG halten wollen. Externe IT-Sicherheitsunternehmen können Bund, Länder und Kommunen maßgeblich dabei unterstützen, diese Hürden zu überwinden.
Anton Kreuzer ist seit 2016 CEO bei DriveLock SE. Das Münchener IT-Sicherheitsunternehmen hat sich auf Endpoint Protection und Zero Trust spezialisiert, zum Kundenstamm gehören unter anderem Airbus, Dell, Citrix oder DocMorris.