2492982

IT-Sicherheit: Fünf-Phasen-Plan für Behörden zur Risiko-Eindämmung

23.03.2020 | 10:12 Uhr | Jens Bothe

Auch der öffentliche Sektor bleibt von IT-Sicherheitsangriffen nicht verschont. Da ein Angriff auf öffentliche Einrichtungen verheerende Folgen haben kann, zählen diese Einrichtungen zu den sogenannten Kritischen Infrastrukturen (KRITIS). Für sie gelten verschärfte Sicherheitsmaßnahmen.

Laut Branchenkompass Public Services 2018 von Sopra Steria Consulting stimmen 95 Prozent der Befragten darin überein, dass die IT-Sicherheit im Public Sector in den kommenden Jahren zu einer zentralen Herausforderung wird. Da ein Angriff auf öffentliche Einrichtungen verheerende Folgen mit sich ziehen kann, zählen sie zu den sogenannten Kritischen Infrastrukturen (KRITIS), für die  verschärfte Sicherheitsmaßnahmen gelten.

Aktuelle Vorfälle zeigen das hohe Sicherheitsrisiko im öffentlichen Sektor

Können Sicherheitsverstöße in Behörden möglicherweise noch größere Auswirkungen als in der freien Wirtschaft haben? Erst im Dezember gab es einen Sicherheitsvorfall bei der Stadt Frankfurt. Die Verantwortlichen wurden gezwungen, die städtischen Server herunterzufahren. Die Internetseiten mussten über einen längeren Zeitraum inaktiv bleiben. Ebenso wie in der Uni Gießen, die tagelang offline war, hat ein Schadprogramm die Systeme lahm gelegt.

Für kritische Infrastrukturen gelten besondere Sicherheitsmaßnahmen

Aus gutem Grund zählen Staat und Verwaltung deshalb zu den sogenannten Kritischen Infrastrukturen (KRITIS). Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen auch Energie, Telekommunikation, Transport, Gesundheit, Wasser, Ernährung, Finanz-und Versicherung, Medien und Kultur. Für diese Bereiche gelten verschärfte Sicherheitsmaßnahmen.

Nach meiner Einschätzung ist der öffentliche Sektor sogar noch mehr von Cyberattacken betroffen als die Privatwirtschaft.

Oftmals kommt das Thema IT-Sicherheit im öffentlichen Sektor jedoch zu kurz, Projekte werden schlecht budgetiert oder voreilig als abgeschlossen betrachtet. Dabei kann ein Angriff auf öffentliche Institutionen ungeplante Konsequenzen haben. In diesem Fall wären nicht nur Kundendaten, sondern private Daten von unzähligen Bürgern betroffen. Das Vertrauen in Behörden und Regierungsorganisationen würde extrem geschwächt werden.

Meine Empfehlung ist ein Fünf-Phasen-Plan zum Schutz Kritischer Infrastrukturen:

  • Phase 1: Vorbereitung zur Einrichtung eines Krisenmanagements

Im Vorfeld zum Auf- oder Ausbau eines Krisenmanagements sollten einige Grundsätze vereinbart werden. Dazu zählen zum Beispiel die Festlegung von Zuständigkeiten, die Bereitstellung von Ressourcen für die Etablierung sowie die Formulierung von Schutzzielen für die Einrichtung. Bei der Planung eines Krisenmanagements kann ein ISMS (Information Security Management System) wie Control sehr hilfreich sein. Damit erfolgt eine durchgängige, transparente und revisionssichere Dokumentation strukturierter Abläufe nach ISO/IEC 27001. Die Zeitersparnis eines guten durchstrukturierten ISMS liegt bei 30 bis 40 Prozent.

  • Phase 2: Risikoanalyse

Bei der zweiten Phase, der Risikoanalyse, geht es darum, potenzielle Risiken in Einrichtungen zu evaluieren. Dabei sollten folgende Fragen beantwortet werden können.

• Welche Arten von Gefahren können auftreten?

• Mit welcher Wahrscheinlichkeit treten diese Gefahren an den Standorten der Einrichtung auf?

• Welche Schwachstellen sind vorhanden, die die Einrichtung hinsichtlich einer Gefahreneinwirkung anfällig machen?

• Mit welchem Schaden ist beim Eintritt unterschiedlicher Gefahren zu rechnen?

• Welche Auswirkungen für die Funktionsfähigkeit der Einrichtung hat ein Ausfall von Prozessen aufgrund der Gefahreneinwirkung?

  • Phase 3: Beschreibung vorbeugender Maßnahmen

In der dritten Phase sollten Schutzmaßnahmen identifiziert und abgewogen werden. Dies kann zum Beispiel die Einrichtung einer Firewall sein, Sicherheitsschulungen für Mitarbeiter oder eine Lösung wie Storm, die Security Prozesse für eine effektive Reaktion auf Angriffe bietet. Eine Kosten-Nutzen-Analyse ist an dieser Stelle sinnvoll.

  • Phase 4: Aufbau eines Krisenmanagements

Krisen, die trotz Prävention nicht verhindert werden können, sollten von einem professionellen Krisenmanagement-Team bewältigt werden. Die wichtigsten Aufgaben eines Krisenmanagements sind:

• die besten konzeptionellen, organisatorischen und verfahrensmäßigen Voraussetzungen schaffen, um die Krise bestmöglich zu bewältigen

• spezielle Strukturen zur Reaktion im Krisenfall etablieren, insbesondere die Einrichtung eines Krisenstabes

  • Phase 5: Regelmäßige Evaluierung

Situationen und Rahmenbedingungen können sich immer wieder verändern, deshalb sollte eine Evaluierung der Prozesse regelmäßig – am besten jährlich – erfolgen. Eine unserer Umfragen unter 280 IT-Verantwortlichen hat gezeigt, dass die Mehrheit der Befragten (61 Prozent) wöchentlich oder öfter einen Sicherheitsvorfall verzeichnet.

Zum einen ist das eine hohe Frequenz, zum anderen werden auch die Methoden der Hacker immer ausgefeilter. Deshalb ist eine kontinuierliche Ausweitung der Sicherheitsarchitektur wichtig. Im öffentlichen Sektor können die Folgen unter Umständen noch gravierender sein als bei Unternehmen.

Ich möchte daher noch einmal vor allem auf eine umfassende Prävention und Vorbereitung hinsichtlich möglicher Sicherheitsattacken hinweisen. So stärken wir auch das öffentliche Vertrauen in das Thema Digitalisierung.

Wichtige Schritte zu einer IT-Sicherheitsstrategie

PC-WELT Marktplatz

2492982