:quality(80)/p7i.vogel.de/wcms/30/d1/30d14f5e69df1dca3524526d57ea6298/0115475041.jpeg "Passen GenZ und der Public Sector zusammen? (© gpointstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/ba/eaba6d07146d3b1c88eab37b851f73fb/0115443690.jpeg "Lydia Hüskens, Ministerin für Infrastruktur und Digitales sowie zweite stellvertretende Ministerpräsidentin des Landes Sachsen-Anhalt (© Laurence Chaperon)")
:quality(80)/p7i.vogel.de/wcms/d8/1d/d81d3ba3132a0cdcdfe5dc8ac57e12a7/0109732503.jpeg "v.l.n.r.: Stefan Latuski, CEO IT-Systemhaus der Bundesagentur für Arbeit, Thomas Heinevetter, Geschäftsführer bei kobaltblau und Christoph Hecker, Senior Manager bei kobaltblau (Bild: kobaltblau)")
:quality(80)/p7i.vogel.de/wcms/3a/e4/3ae4d9fb2862ddf5baed2cf87910e36e/0115476216.jpeg "Ernst Bürger, Abteilungsleiter „Digitale Verwaltung; Steuerung OZG“ im Bundesinnenministerium (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/92/d5/92d57e3e1f9ba8bf9a713158499f54e8/0115489117.jpeg "KI gewinnt zunehmend am Arbeitsplatz an Bedeutung. (© Andreas Berheide - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/27/a12786a88dc199c49d24bf1f83776252/0115484999.jpeg "(Bild: bakhtiarzein – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9e/2a9e11599a73caa57fcabec81f6da8e4/0115441909.jpeg "(Bild: Coloures-Pic – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/fd/97fdeedd6bca4ef4742a8e192802602f/0115457037.jpeg "Die Hochschule des Bundes für öffentliche Verwaltung in Brühl (© cm)")
:quality(80)/p7i.vogel.de/wcms/b4/0f/b40fd5186a1ede0442db7e5201f281a0/0114860609.jpeg "Was kann die Verwaltungspraxis von der Wissenschaft lernen? Die eGovernment-Kolumne klärt auf – diesmal zum Thema „Antipublic Bias“. (Bild: blende11.photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/26/0226cb05084fed93621063df30ba0d22/0114285584.jpeg "(Bild: FAMILY STOCK – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/78/7c786254d9ceb3ce1819fed318fb6745/0115439133.jpeg "Beim FIT-Kongress 2023 wurden herausragende Frauen aus der IT – und erstmalig auch aus dem Public Sector sowie dem Healthcare-Bereich mit den WIN-Awards 2023 ausgezeichnet. (Bild: www.hamann.photo)")
:quality(80)/p7i.vogel.de/wcms/09/08/090892ed70064b4cba6489cec1f83f07/0115441274.jpeg "Das NEGZ vernetzt Expert:innen aus Verwaltung, Wirtschaft und Wissenschaft, um die Digitalisierung der deutschen Verwaltung zur unterstützen und anzutreiben. (© NEGZ)")
:quality(80)/p7i.vogel.de/wcms/59/0d/590dbc49700836dafcd0bb211a5aed0d/0115385334.jpeg "Unter dem Motto „Endgegner Bürokratisierung weichkochen!“ stellten sich (v. l.) Marko Haas (Leiter des Bereiches Digitalstrategie und Digitale Transformation in der Deutschen Rentenversicherung Bund), Marie-Dominique Enjalbert (Projektleitung eWA, OZG-Umsetzungsprojekt für die elektronische Wohnsitzanmeldung, Amt für IT und Digitalisierung Hamburg), Michael Mätzig (Geschäftsführender Direktor Städtetag Rheinland-Pfalz), Ann Cathrin Riedel (Geschäftsführerin NExT e.V., Vorsitzende LOAD e.V., Digitalrätin des BMDV zur Umsetzung der Digitalstrategie des Bundes, Digitalrätin Sachsen-Anhalt) den Fragen von Basanta Thapa (Geschäftsführer des NEGZ). (© MACH AG / Jakob Börner)")
:quality(80)/p7i.vogel.de/wcms/35/cb/35cb811222a30e525d3829054deecdc1/0115287745.jpeg "„Zukünftig können digitale Anträge deutschlandweit über das zentrale Bürgerkonto, die BundID, oder mit dem Online-Ausweis gestellt werden“, sagte Bundesinnenministerin Nancy Faeser auf der SCCON 2023 (© Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/77/9d/779d8995085bc7a6f2aa9b0b47fd3405/0115335433.jpeg "Thomas Feld, Vice President Data Economy, Materna (© Materna)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7211e1e92ddfcbf3943b3463b84a57/0115335396.jpeg "(©Fraunhofer)")
:quality(80)/p7i.vogel.de/wcms/59/b2/59b2dda70740cf2ab38cebbfd705a26b/0115335552.jpeg "(© CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/1a/37/1a375e7cd1fb301470b9e06a7b65e537/0115080189.jpeg "(©CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/cc/2a/cc2ac732f86986106bca29ec116f940d/0115384347.jpeg "Das NEGZ ist eine Non-Profit-Organisation. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/94/d8943e3a3350b35494f18184ba902639/0115383747.jpeg "Zentrum für Legistik: Gesetzgebungslehre beim Bundesjustizministerium. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/5e/b85edd08fd2f6325082e24fb46839b73/0115383258.jpeg "Open CoDE: Souveräne Netzwerk-Infrastruktur für die Verwaltung (Bild: aga7ta – stock.adobe.com)")
Sicherheit privilegierter Accounts Cyber-Kriminalität bedroht auch Behörden
Auch Behörden sind vor den bedrohlich zunehmenden Cyber-Attacken nicht mehr gefeit. Als zentrale Sicherheitslücke haben sich privilegierte Benutzerkonten herauskristallisiert, die Hacker bei fast allen Fällen von Datensabotage oder -diebstahl als Einfallstor nutzen. Klassische Sicherheitsmaßnahmen reichen nicht mehr aus, nötiger denn je sind Lösungen im Bereich Privileged Account Security.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/p7i.vogel.de/companies/61/26/6126551f995c4/liferay-logo-full-color-digital.png "liferay-logo-full-color-digital (Liferay GmbH)"){kind=logo}
Die Digitalisierung macht auch vor der Öffentlichen Verwaltung nicht Halt – Stichwort eGovernment. Die zunehmende Einführung der vernetzten Verwaltung und der Ausbau der elektronischen Angebote für den Bürger haben auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Daten deutlich gestiegen ist.
Dass Institutionen zur Gefahrenabwehr Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken ergreifen, ist heute Status quo. Allerdings: Sie reichen bei Weitem nicht mehr aus. Mit immer ausgefeilteren Methoden wie den häufig anzutreffenden Advanced Persistent Threats (APTs) oder Ransomware-Attacken ist es relativ leicht möglich, den Schutzwall gegen Angriffe von außen zu überwinden. Als beliebtes „Mittel zum Zweck“ fungieren dabei privilegierte Benutzerkonten mit ihren weitreichenden Rechten. Der Grund: Über sie wird die gesamte IT-Umgebung mit Servern, Datenbanken und Netzwerkgeräten gesteuert und verwaltet.
Die Verwaltung der Benutzerkonten ist prinzipiell keine einfache Aufgabe, da eine typische IT-Umgebung bei einer öffentlichen Einrichtung aus zahlreichen Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Konten gesteuert und verwaltet werden. Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix und Linux oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat.
Privilegierte Benutzerkonten zuverlässig sichern
Zur Sicherung von privilegierten Benutzerkonten sind verschiedenste Lösungen im Bereich Privileged Account Security auf dem Markt verfügbar. Bei der Auswahl sollten Behörden auf jeden Fall darauf achten, dass die Applikation neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht.
Dieser Punkt ist vor allem für öffentliche Institutionen von hoher Relevanz, da diese oft von externen IT-Dienstleistern unterstützt werden, die etwa zur Wartung der Systeme vorübergehend auf Anwendungen zugreifen müssen. Idealerweise bietet die Privileged-Account-Security-Lösung deshalb die Möglichkeit, externen Anwendern einen lediglich temporären Zugriff auf die nötigen privilegierten Konten einzuräumen – mit einer Protokollierung aller Tätigkeiten zur späteren Kontrolle. Dies empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den „Grundregeln zur Absicherung von Fernwartungszugängen“. So lautet eine Grundregel: „Die Durchführung einer Fernwartung muss protokolliert werden“.
Im Einzelnen muss eine Sicherheitslösung drei Grundvoraussetzungen erfüllen:
- Zugriffskontrolle
- Überwachung
- Reaktionsmöglichkeit
Unerlässlich ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Benutzerkonten gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Nicht zuletzt muss eine Privileged-Account-Security-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke.
Endpunktsicherheitslösung reduziert Angriffsfläche zusätzlich
Mit Lösungen in den Bereichen Netzwerk-Perimeter und privilegierte Konten ist eine Behörde in puncto Sicherheit prinzipiell gut aufgestellt. Wer aber noch einen Schritt weiter gehen möchte, sollte auch die Endpunktsicherheit thematisieren, da hier die meisten Angriffe starten oder auch schon Schaden anrichten – zum Beispiel durch Ransomware.
Zu den zentralen Herausforderungen gehören hier die Benutzerrechteverwaltung und Applikationskontrolle. Auch normale Anwender erhalten in vielen Behörden Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gibt es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig sind. Werden mehr Privilegien als nötig vergeben, entsteht aber eine große, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche. Einfach und schnell lässt sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Fach- und administrative Anwender unterstützt. Sie muss zum einen die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung ist, dass sie einen hohen Automatisierungsgrad besitzt, mit einer automatisierten Erstellung und Aktualisierung von Richtlinien.
Ebenso wichtig wie die Rechtevergabe und -kontrolle ist auch die Applikationsüberwachung, denn es ist durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert. Eine Sicherheitslösung muss zunächst einmal automatisch schädliche Anwendungen blockieren. Unternehmen wie Behörden setzen hier in der Regel auf Whitelists und Blacklists. Das greift aber zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibt. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden können – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Behördennetz, bis die Applikation näher überprüft ist.
Setzt eine Behörde eine Lösung im Bereich Privileged Account Security ein, die auch das Thema Endpunktsicherheit abdeckt, bieten sich zahlreiche Vorteile: von der generellen Erhöhung der Sicherheit über die zuverlässige Erfüllung von Compliance-Anforderungen wie den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bis zur Reduzierung des Administrationsaufwandes. Dies trägt entscheidend zu einer deutlichen Mitarbeiterentlastung bei und ist damit auch eine Antwort auf die Ressourcenknappheit in der öffentlichen Verwaltung.
* Marco Jendrzejak ist Account Executive Government bei CyberArk in Düsseldorf.
(ID:44426883)
:quality(80)/p7i.vogel.de/wcms/7a/a1/7aa16bd780dd610e8b2cfe41a723f092/0108982542.jpeg "Eine digitale Identität umfasst alle elektronischen Daten, die zur Zuordnung einer Person zu einer physischen Identität benötigt werden. Dazu werden Benutzername und Passwort, Chipkarten, Token oder biometrische Daten genutzt (© Kittiporn Kumpang – Getty Images via Canva.com.png)")
:quality(80)/p7i.vogel.de/wcms/ff/37/ff375d8ef353781b0f408b45cddb0c75/0110630759.jpeg "Bipul Sinha, CEO und Co-Founder, Rubrik Inc. (© © 2021 Eric Millette)")