Behörden Spiegel / Oktober 2021
Seite 39
PITS 2021 “
Die digitale Vernetzung ist längst das Rückgrat unserer ökonomischen Entwicklung, der sozialen Prozesse und der politischen Teilhabe”, sagte Strobl. Der stellvertretende Ministerpräsident von Baden-Württemberg ging des Weiteren auch auf die Veränderungen in der Sicherheitsarchitektur ein: “Äußere und Innere Sicherheit sind im digitalen Raum nicht mehr zu trennen.” Vor allem drei Grundpfeiler hielt der CDU-Politiker für wichtig: die Gewährleistung des Austauschs von Lageinformationen, die Vereinheitlichung von Verfahren zur Abwehr von Cyber-Attacken sowie die frühzeitige Angriffserkennung. Er lobte die gelungene Arbeit seines Bundeslandes, welches mit der "Cybersicherheitsagentur Baden-Württemberg" (CSBW) einen starken Beitrag zum Schutz des Cyber-Raums leiste. Sie sei “Herzstück des Landes”, bekräftigte der Innenminister. Zum Abschluss der Eröffnungsrede, forderte Strobl dazu auf, das Spartendenken zu beenden und die Vernetzung aller sicherheitsrelevanten Akteurinnen und Akteure zu gewährleisten.
Panta rhei – aber in die richtige Richtung Dass das laufende Jahr des Öfteren aufgezeigt hat, wie gefährdet die öffentliche Verwaltung durch Cyber-Attacken ist, erläuterte der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. “Wir haben den ers-
B
etrachtet man den ersten Punkt, wird schnell deutlich, dass Mitarbeitende der Öffentlichen Verwaltung im ITUmgang geschult werden müssen, damit sie für die IT-Sicherheitsinfrastruktur ein möglichst geringes Risiko darstellen. Das Stichwort lautet “Awareness”. Eine Zahl, die in diesem Zusammenhang erschreckt: “60 Prozent der erfolgreichen Angriffe basieren auf bereits bekannten Sicherheitslücken, wo die erforderlichen Updates noch nicht installiert worden sind”, sagt Dr. André Schulz, Senior Strategic Account Executive bei VMware. Dr. Heidrun Benda, Referatsleiterin Beratung Kritische Infrastrukturen im bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI), nennt im Zusammenhang mit Awareness das Beispiel Phishing-Mails. Ihrer Meinung nach reichten allein Schulungen nicht aus, die Mitarbeitenden müssten im Nachgang auch getestet werden. Dies gehe zum Beispiel mithilfe von seitens einer Teststelle verschickten TestPhishing-Mails. “Wichtig ist, das Bewusstsein der Mitarbeiter dahingehend zu wecken, dass sie verdächtige Dinge im Zweifelsfall melden.” Auch an anderer Stelle braucht es Awareness-Programme für die Angestellten. Gerade die CoronaPandemie stellte nicht nur das Arbeiten auf den Kopf, sie sorgte durch die massenhafte, plötzliche Umstellung auf Homeoffice auch für neue Schwierigkeiten in der IT-Sicherheit. “Beispielsweise wurden von jetzt auf gleich Videokonferenzen von zu Hause aus durchgeführt, teilweise sogar mit Fremdgeräten”, erklärt Tom Pasternak, Abteilungsleiter Netze des Bundes – Strategie und Konzeption bei der Bun-
Politische Teilhabe braucht Vernetzung
Abwehr eigentlich notwendig ist, warnte Alkassar. Der CIO des Landes forderte hier eine Komplexitätsreduktion: “Das würde wohl allen Beteiligten helfen und die Thematik fassbarer ma(BS/Paul Schubert) Panta rhei – alles fließt – war das Motto der diesjährigen Public-IT-Security Konferenz. In der Keynote stellte Thomas Strobl, chen.” stellv. Ministerpräsident und Minister für Inneres, Digitalisierung und Migration des Landes Baden-Württemberg klar, dass nur durch Koordina- Wilfried Karl, Präsident der tion, Initiative und Nachhaltigkeit die Agilität und Sicherheit im Cyber-Raum gewährleistet werden könnten. Des Weiteren müsse Panta rhey “in Zentralen Stelle für Informatidie richtige Richtung fließen”, sagte BSI-Präsident Arne Schönbohm. onstechnik im Sicherheitsbereich (ZITiS), möchte vor allem Einrichtung eines Kompetenz- die Wirtschaft mehr in die Koten Katastrophenfall beim Cyzentrums Bund und die Schaf- operation einbeziehen: “Vor alber-Angriff auf die Verwaltung fung gesetzlicher Grundlagen lem in Ergänzung zur Cyber-Siin Anhalt-Bitterfeld und Angriffe für IT-Sicherheit in der Verwal- cherheits-Architektur finde ich auf Krankenhäuser erlebt, die tung gestärkt oder geschaffen so etwas sinnvoll”, so Karl. Dabei die komplette IT-Infrastruktur werden”, resümiert Könen. lahmgelegt haben”, warnte forderte der ZITiS-Präsident vor Schönbohm. Beide Fälle zeigallem dazu auf, langfristig straMehr Kompetenzen ten, wie abhängig man von der tegische Möglichkeiten zu förfür den Bund? digitalen Verwaltung sei, wenn dern und rechtliche Grundlagen Gehälter, Bafög und SozialleisDie gesetzlichen Grundla- zu erweitern. Sorge bereitet Karl tungen nur mit großen Schwiegen zur Cyber-Abwehr seien vor allem das privatwirtschaftrigkeiten oder gar nicht ausin Deutschland eigentlich klar liche Standing Deutschlands in gezahlt und Patientinnen und definiert, für die Gefahrenab- der IT-Sicherheitsforschung: “In Patienten nicht mehr versorgt wehr sind die Bundesländer zu- den Top 100 der Cyber-SicherDer stellvertretende Ministerpräsident von Baden-Württemberg Thomas Strobl forderte in seiner Keynote dazu auf, bei der IT-Sicherheit im Bund und werden könnten, resümierte der ständig, Cyber-Attacken fänden heits-Agenturen ist keine einziLand die Initiative zu ergreifen, um die Agilität im Cyber-Raum zu gewährBSI-Chef. Dementsprechend allerdings länderübergreifend ge deutsche Firma dabei, dass leisten. sei Informationssicherheit kein statt, betonte Könen. Er beklag- muss sich ändern”, sagte der Foto: Screenshot/BS/sp Kostentreiber, “sondern die Vorte die fehlenden Sonderzustän- ZITiS-Präsident. aussetzung für eine erfolgreiche vor allem sichere Kommunikati- auch die Arbeit von Schönbohms digkeiten beim Bund, die somit Als Lösung schlugt Eric DreiDigitalisierung”, sagte Schön- onsnetze im Vordergrund, da sie BSI: “Die Erarbeitung von Min- dem Gefahrenpotential nicht er, Major Account Manager von bohm. Dafür sei auch die Zu- die Grundvoraussetzung für die deststandards und technischen gerecht würden. Dabei merkte Checkpoint, Outsourcing vor. sammenarbeit des Bundes mit Dienstleistungen der öffentli- Richtlinien für Bundesbehör- er aber auch Ausnahmen an: Ferner setze auch er sich für Komplexitätsreduktion den Ländern zu forcieren, weil chen Verwaltung darstellten, so den funktioniert gut, auch die “Lokale Angriffe können vor Ort eine “beide das gleiche Interesse in Könen. Dabei sei vor allem Aktu- Abwehr von Schadprogrammen natürlich viel effektiver abge- ein, allerdings nicht nur bei den der IT-Sicherheit haben und wir alität wichtig: “Auf dem IT-Markt und die erweiterten Befugnisse wehrt werden als beim Bund”, beteiligten Akteuren, sondern wollen, dass Panta rhei in die gibt es sehr kurze Entwick- für Kontrollen in der Bundesver- so der Abteilungsleiter. Ammar auch bei der eingesetzten Softlungszyklen, die IT-Technologi- waltung haben sich bewährt.” Alkassar, richtige Richtung fließt.” Bevollmächtigter ware: “50 Prozent der UnternehEine Entwicklung, die zu- en veralten schnell. Um die Kom- Zukünftig wünscht sich Könen des Saarlandes und Strategie men haben bis zu 40 Sicherkunftsgerichtet ist, forderte auch munikationsfähigkeit vor allem die Schaffung neuer Kompe- und CIO rief dabei zu stärkerer heitsprodukte im Einsatz, die Andreas Könen, Abteilungslei- mit internationalen Partnern si- tenzen sowie rechtlicher Befug- Kompetenzaneignung bei den Koordination wird damit immer ter “Cyber- und Informations- cherzustellen, sind einheitliche nisse: “Mit einem Drei-Säulen- Kommunen auf: “In Kommunen schwieriger." Als Lösung schlug sicherheit” des Bundesministe- und neuwertige Netze notwen- Verstärkungsprogramm sollen beobachten wir zu Teilen noch Dreier vor, Produkte für die öfriums des Innern für Bau und dig”, so der Abteilungsleiter des vor allem die Cyber-Sicherheits- zu wenig Expertise, mit wenig fentlichen Verwaltung zu vereinHeimat (BMI). Für ihn stehen BMI. Er lobte in diesem Kontext Architektur des CISO Bund, die Verständnis, was für die Cyber- heitlichen und zu konsolidieren.
Koordination der Potenziale im Cyber-Raum aktivieren
Der Faktor Mensch in der IT-Sicherheit Auf die richtige (Weiter-)Bildung kommt es an (BS/Matthias Lorenz) Jedes IT-Sicherheitskonzept ist nur so gut wie sein schwächstes Glied, und das schwächste Glied sind in diesem Kontext oftmals wir, der Mensch. Deswegen kamen die Referentinnen und Referenten auf der PITS immer wieder auf den menschlichen Faktor zu sprechen. Zwei wesentliche Punkte lassen sich an dieser Stelle unterscheiden. Zunächst muss der Mensch selbst als Sicherheitsrisiko betrachtet werden. Nicht minder zwingend ist jedoch die Gefahr der Handlungsunfähigkeit aufgrund des Mangels an qualifiziertem Personal. desanstalt für den Digitalfunk für Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS). Es sei eine große Herausforderung gewesen, in dieser Situation eine angemessene IT-Sicherheit zu gewährleisten. Dies liegt daran, dass sich einige Mitarbeiterinnen und Mitarbeiter nicht bewusst sind, dass ihr Verhalten ein Sicherheitsrisiko für die IT-Infrastruktur darstellt. Manchmal werden die Sicherheitsrisiken schon durch die Homeoffice-Umgebung ausgelöst. “Bei mir entstehen ganz große Sorgen, wenn ich zum Beispiel mitkriege, dass Menschen im Homeoffice ihre Zimmertüren offenlassen und im Grunde jeder andere da hineingehen kann”, sagt Martin Wilske, Director R&D Network Encryption bei Rohde & Schwarz Cybersecurity. Diese Personen müssten dafür sensibilisiert werden, wie sie ihr Arbeitsmaterial auch zu Hause adäquat abstellen und sichern könnten. Auch gibt es im Verhältnis Mensch und IT-Sicherheit Besonderheiten bestimmter Berufsgruppen, die beachtet werden müssen. Als Beispiel kann das Gesundheitswesen, und im Speziellen die Arztpraxen, dienen. Auch hier findet gerade ein Digitalisierungsschub statt. Also steigen auch die Anforderungen an die IT-Sicherheit in den Praxen. Allerdings gilt für diese auch: “Hier haben wir eine große Altersvielfalt”, beschreibt Dr. Andreas Bobrowski, Vorsitzen-
der des Berufsverbands Deutscher Laborärzte, die demografische Struktur. Es gebe viele junge Ärztinnen und Ärzte, die sich den Anforderungen stellen würden. Ebenso gebe es jedoch ältere Kollegen, “die noch ein Loblied auf ihr Faxgerät singen". Außerdem würden für bestimmte technische Neuerungen noch Anwendungsmöglichkeiten fehlen, weswegen Ärzte bei der Implementierung noch zögerten. Der Faktor Mensch kann also eine große Gefahr für die Sicherheit der IT-Infrastruktur darstellen. Um genau jene zuverlässig zu gewährleisten, wird jedoch auch fähiges Personal benötigt. Deswegen nennt Dr. Jan Remy, Chief Information Security Officer (CISO) Bayerns, auch das Personal als einen der Erfolgsfaktoren für ein gutes IT-Sicherheitsniveau. Mehrere Referenten betonten auf der PITS jedoch: Es herrsche Personalmangel. Allen voran der Öffentliche Dienst hätte Probleme damit, qualifizierte IT-Sicherheitskräfte zu finden. Wenn es aber niemanden gibt, der Programme installiert und betreibt, nützt auch die beste Sicherheitstechnik nichts. Auch müssen qualifizierte Kräfte gehalten werden. Die Problematik hierbei beschreibt Markus Grüneberg, IT Security & Data Privacy Advisor bei Proofpoint, wie folgt: Arbeiten in der IT-Sicherheit klängen meist zwar spannend, eigentlich sei es aber schnell ein langweiliger Job, weil man alles schon einmal gesehen
habe. Eine hohe Personalfluktuation sei an der Tagesordnung. “Deswegen hat man viel damit zu tun, die Leute zu halten. Je besser die Kräfte sind, desto schneller wollen sie weg.” Dies bestätigt auch Oberstleutnant Rolf Lion aus dem “Zentrum für Cybersicherheit” der Bundeswehr, der dort das CERTBw leitet. Die Menschen wollten irgendwann raus aus der “Schlammzone”, wie Lion sie nennt. Um Leute zu halten, müssten sie
Aufstiegsmöglichkeiten geboten bekommen. Zur Lösung der Personalprobleme kann das Auslagern von bestimmten Aufgaben an externe Dienstleister in Betracht gezogen werden. LSIReferatsleiterin Dr. Benda weist jedoch darauf hin, dass auch bei externen Dienstleistern eine Personallücke existiere. Bei Sicherheitslücken sei man jedoch darauf angewiesen, dass der externe Dienstleister schnell reagieren könne.
Kein Weg wird jedoch daran vorbeiführen, neue Angestellte im IT-Sicherheitsbereich zu gewinnen. Nachwuchs muss “herangezüchtet” werden. Was Laborärzte-Verbandschef Dr. Bobrowski in Bezug auf das Gesundheitswesen sagt, trifft deswegen im Grunde auf beide beschriebenen Phänomene im Verhältnis Mensch und ITSicherheit zu: “Schulung ist das A und O.” Mitarbeitende müssen geschult werden, damit sie kein Sicherheitsrisiko darstellen. Gleichzeitig muss durch adäquate (Weiter-)Bildung dafür gesorgt werden, dass genügend qualifiziertes IT-Sicherheitspersonal vorhanden ist. Dr. Benda fordert eine IT-Bildungsoffensive, die schon in den Schulen starten solle.