IT-Sicherheit: Wie Behörden für IT- und Daten­sicherheit sorgen

Eine neue techconsult-Studie gibt Anlass zur Sorge: Sie bescheinigt der öffentlichen Verwaltung deutlichen Nachhol­bedarf in Sachen IT-Sicherheit. Die Behörden selbst sind sich der Bedrohungs­lage nicht einmal voll bewusst. Die meisten Probleme ergeben sich aber in der Um­setzung der Security-Maßnahmen.

Die Verwaltung rückt ins Fadenkreuz

Von David Schahinian

Der „Fall Dettelbach“ sorgte im Februar für großes Aufsehen. Schad­software, in diesem Fall die Ransom­ware TeslaCrypt, hatte nahezu die gesamte Verwaltung der unter­fränkischen Stadt lahm­gelegt. Die Daten auf den Behörden­rechnern waren plötzlich verschlüsselt. Zur Ent­schlüsselung verlangten die Erpresser ein Lösegeld.

Cloud-Sicherheit-it-sa-2016.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserem Magazin zur it-sa 2016 erschienen. Einen Über­blick mit Down­load-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Obwohl die Polizei in solchen Fällen dringend von einer Erfüllung der Forderung abrät, wusste sich Dettelbach nicht anders zu helfen, als zu zahlen. Wie viel, ist unbekannt. Das Ereignis wirft ein Schlaglicht auf die Bedrohungen, mit denen sich längst nicht mehr nur Unternehmen, sondern immer häufiger auch öffentliche Verwaltungen konfrontiert sehen.

Hinzu kommt, dass auch Behörden zunehmend gezwungen sind, flexiblere Arbeitsmöglichkeiten zu bieten, um als Arbeitgeber attraktiv zu bleiben. Die Nutzung von Smartphones oder die Genehmigung von Heimarbeit erhöht aber nicht nur die Flexibilität der Beschäftigten, sondern auch die Gefahr neuer Einfallstore für Hacker und andere Kriminelle. Wenn man bedenkt, dass Kommunen, Länder und der Bund Zugriff auf sensible Daten ihrer Bürger haben, ist ein hohes IT-Sicherheitsniveau unter dem Strich höchste Pflicht.

Behörden sind leichte Beute

Die Praxis sieht anders aus, wie eine aktuelle Marktstudie des Analystenhauses techconsult zeigt. Eines der Kernergebnisse der repräsentativen Befragung mit mehr als 500 Interviews ist, dass öffentliche Verwaltungen in vielen Bereichen „deutliche Umsetzungsprobleme“ im Bereich der IT- und Informationssicherheit aufweisen. Mehr noch, sie sind sich der Gefahren offensichtlich weniger bewusst als mittelständische Unternehmen.

2016-05-30 Market Paper-Oeffentliche Verwaltungen 2016-05-17.jpg

Market Paper zum Download: Die techconsult-Marktstudie „IT-Sicherheit in öffentlichen Verwaltungen“ zeigt deutlichen Nachholbedarf. Im MittelstandsWiki gibt es die Studie kostenfrei als PDF-Datei zum Herunterladen.

Der Digitalverband Bitkom hatte bereits im vergangenen Jahr vor zu viel Unachtsamkeit gewarnt: „Behörden sind ein attraktives Angriffsziel für Cyberkriminelle und Geheimdienste“, sagte Bitkom-Geschäftsleiterin Vertrauen und Sicherheit, Susanne Dehmel. Neben politischen Informationen seien die Angreifer auch an wirtschaftlich verwertbaren Hinweisen wie etwa Angaben zu Genehmigungs- oder Vergabeverfahren interessiert.

Vogel-Strauß-Taktik ist fehl am Platz

Stillstand ist Rückschritt – das ist ein Hauptproblem, das die techconsult-Studie aufgedeckt hat. Noch deutlicher wird das, wenn man die Umfrageergebnisse der Vorjahre hinzuzieht. Die Einschätzung der Bedrohungslage blieb seit 2014 nahezu konstant. „Zugleich ist die Bewertung der Umsetzung von Sicherheitsmaßnahmen und -lösungen jedoch kontinuierlich von 50 Indexpunkten im Jahr 2014 auf aktuell 45 Punkte zurückgegangen“, schreibt techconsult-Analyst Henrik Groß. Mit anderen Worten: Die Bedrohung steigt, der Schutz geht zurück. Bei allen gemessenen Faktoren der Umsetzung von Maßnahmen der IT- und Datensicherheit weisen öffentliche Verwaltungen deutlich häufiger Probleme auf als Mittelständler, so ein weiteres Ergebnis der Untersuchung.

Die Studienautoren legten den Schwerpunkt ihrer Analyse auf die technische Umsetzung der IT-Sicherheit. Sie nahmen unter anderem den Basisschutz wie Firewalls und Antivirenlösungen sowie die Absicherung mobiler Geräte unter die Lupe. Dass Letztere in öffentlichen Verwaltungen bisher noch weniger weit verbreitet sind als in Unternehmen, bedeutet nicht, dass die Gefahr geringer wäre. Geht nur ein Diensthandy verloren, wird es gestohlen oder gehackt, ist der Weg für Kriminelle unter Umständen bereits frei.

Einen Einblick in die aktuelle Situation bei den Bundesbehörden gibt der im November 2015 veröffentlichte Bericht zur „Lage der IT-Sicherheit in Deutschland“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Bei Überprüfungen beobachtete das BSI „regelmäßig grundlegende Sicherheitsmängel wie veraltete Patchstände von Betriebssystemen und Anwendungen“. Hinzu kamen deaktivierte Sicherheitsmechanismen, fehlende Netzwerküberwachung und Netzwerkzugangskontrollen, unzureichende Schulungs- oder Sensibilisierungsmaßnahmen sowie weitere Missstände. Und das Smartphone? Der Einsatz unverschlüsselter Mobilgeräte stelle bis heute „eine Herausforderung für IT-Sicherheitsverantwortliche dar“, heißt es in dem Bericht.

Serie: ISIS12

Vorgehensmodell-Sicherheitsmanagement-mit-ISIS12.jpg

Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)

Fazit: Sensibilisierung, Weiterbildung und Cloud

Was also ist zu tun? Das BSI empfiehlt, dass sich das Personal in IT-Sicherheitsteams kontinuierlich mit den Risiken und der zunehmenden Komplexität der Anwendungen auseinandersetzt: „Dazu gehört eine angemessene personelle, technische und organisatorische Ausstattung, um die umfangreichen und dynamischen Aufgaben bewältigen zu können.“ Leichter gesagt als getan, wenn man bedenkt, dass das Geld in vielen Kommunen knapp ist und vor allem kleinere Behörden in der Regel kein großes Budget haben.

Eine Alternative können Security-as-a-Service-Lösungen sein, hebt techconsult-Analyst Groß hervor. Der Aufwand für die IT-Abteilung verringere sich erheblich: Sie muss sich beispielsweise nicht mehr um Patches und Updates kümmern, weil der Cloud-Betreiber sein Produkt selbst auf dem neuesten Stand hält. Die einfache Skalierbarkeit gilt als ein weiterer Vorteil solcher Lösungen. Das scheint sich in den Amtsstuben zunehmend herumzusprechen: Laut der Studie nutzt bereits gut die Hälfte der befragten Behörden solche Lösungen.

David Schahinian neu.JPG

David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.

Nützliche Links