:quality(80)/p7i.vogel.de/wcms/cc/36/cc3644a94efc9b7143706b9bfab9b616/0110660439.jpeg "Der diesjährige Vorsitzende des IT-Planungsrates, Patrick Burghardt, eröffnet den 11. Kongress des Kongress in Halle (©Manfred Klein)")
:quality(80)/p7i.vogel.de/wcms/d3/21/d32115146c91f4d8969d6abed7e1edb9/0110657226.jpeg "Weniger Behördengänge und mehr Sicherheit verspricht der neue Gesetzentwurf für das Pass- und Ausweiswesen (© Stockfotos-MG - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/65/246592e67524af719f36e33ab3ae8033/0110649856.jpeg "Die Zahl der Cybercrime-Fälle stiegen im vergangenen Jahr um 3,7 Prozent im Vergleich zu 2021 und lagen mit 11.144 auf einem Zehnjahreshoch (© matejmo– Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/3b/dc/3bdc06b12f9d51c76c2e76ddbb617c07/0110612161.jpeg "Die FITKO bekommt eine neue Führungsspitze – nur wann, das ist noch nicht klar (©fotogestoeber – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/b6/a7b62f8a3bdad88d6f177c55a256a44b/0110648952.jpeg "Über die IT-Administrationsförderung unterstützen Bayern und der Bund bereits den Aufbau von Strukturen zur technischen Administration der digitalen Bildungsinfrastruktur an den Schulen mit insgesamt rund 160 Millionen Euro. (© olia danilevich – Pexels via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/d4/4b/d44bbd825c7240be192c05e955d7c78a/0110650126.jpeg "Die „Denkpause“ soll dazu dienen, das Vertrauenin KI-Technologien zu stärken undinnovtive Angebote stärker zu fördern (© PhonlamaiPhoto´s – via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/e4/23/e42366fcc7732fd21cff16c7d2fccf47/0110660371.jpeg "Alexander Häußler (© TÜV SÜD Management Service GmbH)")
:quality(80)/p7i.vogel.de/wcms/5d/3c/5d3c976bc8fc5e84666b7e22eb0f15bc/0110567284.jpeg "Martin Schallbruch, CEO der govdigital eG: „Transformation braucht stabile Rahmenbedingungen“ (©Ole Heinrich)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/1c/471c6cc43ced7fddfcb04f6a48992fe0/0110610945.jpeg "Neben dem Kongressprogramm erwarten die Teilnehmer auch Messestände an den Aussteller ihre IT-Sicherheitslösungen präsentieren (© D3Damon – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/32/a4/32a4f40c1624aef807e497c4c356751f/0110582861.jpeg "Digitale Kompetenzen müssen bereits früh vermittelt werden. Sie sind für den Beruf und das alltägliche Leben unerlässlich (Bild: Robert Kneschke – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/18/c5/18c5faea447c7d7727dc4d52fd671d31/0110586494.jpeg "Patient*innen profitieren von den digitalen Anwendungen am Krankenhausbett (© Siemens Healthineers)")
:quality(80)/p7i.vogel.de/wcms/27/27/2727055a1c7454157366e9970d6a820d/0110585711.jpeg "(© medisign)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/5d/16/5d167b8b98503e86e7b852fc62fa6877/0110581881.jpeg "Die Genossenschaft öffentlicher IT-Dienstleister govdigital koordiniert gemeinsame Projekte ihrer Mitglieder ebenso wie Auftragsprojekte des BMI oder des IT-Planungsrates (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
Schwachstellen-Management: erster Schritt zum sicheren Behörden-Netzwerk An allen Türen rütteln, um Schwachstellen aufzudecken
Ein Tresor ohne Sicherheitsschloss oder ein ungesichertes Verwaltungsgebäude – die Gefahr würde jedem sofort ins Auge stechen. Bei einem unzureichend geschützten Behörden-Netzwerk hingegen fallen Sicherheitslücken nicht so leicht auf. Ein automatisiertes Schwachstellen-Management hilft, die Risiken aufzudecken, zu priorisieren und zu minimieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/56/6156c5a4f1c43/1280px-kodak-alaris-logo-svg.png "1280px-kodak-alaris-logo-svg (Kodak alaris)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac730c1494/s-ms-rt.png "s-ms-rt (S-Management Services)")
Sicherheitsvorkehrungen mithilfe der üblichen Tools wie Firewall, Virenschutz-Programmen oder Intrusion-Detection-Systemen (IDS) sind wichtig und hilfreich. Das ist unbestritten. Aber sie reichen nicht aus, um Daten und Systeme in der Öffentlichen Verwaltung zuverlässig vor Angriffen aus dem Cyberraum zu schützen. Lukas Grunwald, CTO bei Greenbone Networks, erklärt: „Herkömmliche Antiviren-Programme und Firewall-Systeme bilden die harte Schale um einen weichen Kern. Gelingt es, die Schale zu knacken, ist der Kern ungeschützt.“
Doch wie lässt sich der ungeschützte Kern härten? Grunwald nennt einen wichtigen Ansatzpunkt: „Nur wer seine Schwachstellen kennt, kann sie schützen. Es geht darum, sie vor dem Feind zu erkennen, das Risiko einzuschätzen und gezielt Maßnahmen zu ergreifen. Und eines ist sicher: Schwachstellen gibt es in jedem Behörden-Netzwerk.“
Cyberkriminalität auf dem Vormarsch
Die virtuellen Gefahren nehmen ständig zu. Das liegt zum einen daran, dass die IT-Architekturen immer komplexer werden. Zum anderen lernen auch die Cyberkriminellen ständig dazu. In Deutschland schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit die folgenden Gefährdungen als besonders relevant ein:
- DDoS-Angriffe mit Botnetzen, um die Erreichbarkeit von Webservern zu stören oder die Netzanbindung der betroffenen Institution zu unterbrechen.
- Gezieltes Hacking von Webservern, um dort Schadsoftware zu platzieren oder weitergehende Spionageangriffe in angeschlossenen Netzen oder Datenbanken vorzubereiten.
- Drive-by-Exploits, um die angegriffenen Verwaltungen beispielsweise über Werbebanner mit Schadsoftware zu infiltrieren. Diese übernimmt anschließend die Kontrolle über die betroffenen Rechner.
Die größten Lücken zuerst schließen
Regelmäßige Schwachstellen-Scans bringen alle Sicherheitsrisiken im Behörden-Netzwerk ans Licht. Das klingt erst mal gut. Doch so manchem IT-Verantwortlichen wird dabei angst und bange. Denn dann zeigt sich, wie viele Lücken es tatsächlich zu schließen gäbe und wo zusätzliche Arbeiten notwendig wären.
Doch wie ist das mit der dünnen Besetzung und dem knappen IT-Budget zu bewerkstelligen? Dann doch lieber erst gar nicht so genau hinsehen. Dabei ist bei näherer Betrachtung genau in diesem Fall ein Scan-Report besonders hilfreich: Das Unternehmen erhält einen realistischen Überblick über seine Schwachstellen und kann die vorhandenen Ressourcen gezielt einsetzen – beispielsweise indem die Verantwortlichen die fünf gefährlichsten Einfallstore ins Behörden-Netz herausgreifen und damit das Sicherheitsniveau um 90 Prozent erhöhen.
Denn ein gezieltes Vorgehen nach Risiko und Schadenskategorie ist wesentlich effizienter, als willkürlich möglichst viele kleine Löcher zu stopfen. Auch erfordert nicht jede Schwachstelle sofort eine aufwendige Lösung. So können die IT-Mitarbeiter etwa einen verwundbaren Dienst, der nicht für einen Kernprozess notwendig ist, einfach zeitweise oder komplett abschalten oder durch eine Firewall absichern.
Doch wie können die Verantwortlichen in den Unternehmen entscheiden, wo die größten Risiken liegen und welche Aufgaben höchste Priorität haben? Dazu ist erforderlich, das Bedrohungsszenario, den potenziellen Schaden und den Schweregrad der einzelnen Schwachstellen zu kennen.
Dazu liefern professionelle Tools wie der Greenbone Security Manager (GSM) eindeutige Kennzahlen. Bedrohungs-Szenario und Schaden lassen sich in der Regel schnell einer vordefinierten Kategorie zuordnen. Ist beispielsweise ein Webserver in einer demilitarisierten Zone (DMZ) an das Internet angeschlossen, ist das Risiko höher als bei einem Webserver, der nur über eine Telefon-Einwahlleitung erreichbar ist.
Fazit
So wie der Wachschutz für die physikalische Sicherheit, sollte für die IT ein Schwachstellen-Management Standard sein. Denn unabhängig davon, welche Software und Hardware eine Behörde einsetzt: Ohne professionelles Schwachstellen-Management fehlt das Sicherheitsschloss.
Schritt eins ist die Identifizierung, Quantifizierung und Priorisierung der potenziellen Schwachstellen aller vorhandenen IT-Ressourcen.
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609060/original.jpg "Server des Zollkriminalamts und der Bundespolizei werden gehackt, darunter ein Server, auf dem das Patras-System läuft: ein Geodaten-Programm, das den Standort von Ermittlern und Tatverdächtigen anzeigen kann. Sie veröffentlichen Rufnummern von GPS-Trackern, Namen von Beamten und Angaben zu observierten Fahrzeugen. Als Täter wird die Hacker-Gruppe No-Name-Crew genannt. Jüngst wurde bekannt, dass der Hack einen Familienstreit zum Ursprung hat, in dem ein Bundespolizeimitarbeiter seiner Tochter einen Trojaner auf den Rechner spielte, um deren Internetaktivitäten zu überwachen. Ein Hacker-Freund der Tochter bemerkte dies und drang über den PC des Vaters in den Server der Bundespolizei.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609061/original.jpg "Hacker dringen in das Netzwerk der Bundes-CDU und gelangen so an 5.800 Datensätze mit eMail-Adressen, Namen und Mitgliedsnummern.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609057/original.jpg "Das Computersystem des Internationalen Währungsfonds (IWF) ist Ziel eines Hacker-Angriffs. Nach Medienberichten werden eMails und andere Dokumente entwendet.")
:quality(80)/images.vogel.de/vogelonline/bdb/609000/609055/original.jpg "Mit einem Trojaner gelangen Unbekannte in Computer des französischen Wirtschafts- und Finanzministeriums. Ziel sind vertrauliche Dokumente zur französischen G20-Präsidentschaft.10.000 Computer werden vorsichtshalber heruntergefahren.")
Im zweiten Schritt gilt es, alle vorhandenen Systeme regelmäßig zu kontrollieren, zu beobachten und zu pflegen – nur so ist die Sicherheitslage dauerhaft im grünen Bereich zu halten.
Automatisierte Tools wie der Greenbone Security Manager versetzen Behörden und öffentliche Einrichtungen in die Lage, schnell und unkompliziert einen effektiven Schutz zu erreichen. Denn die Verantwortlichen erhalten neben solider Hardware und Software auch Tag für Tag aktuelles Expertenwissen zu neuen Bedrohungen und den damit verbundenen Risiken. Und das brauchen sie in jedem Fall.
(ID:42850341)
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942628/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1948500/1948540/original.jpg "Unter Cyberhygiene werden die gemeinsamen Vorsichtsmaßnahmen von Sicherheitsexperten, Admins und Anwendern eines Unternehmens gebündelt, die der Abwehr von Hackerangriffen und der Sicherheit der Unternehmenssysteme dienen (aga7ta – stock.adobe.com)")