:quality(80)/p7i.vogel.de/wcms/68/88/68882a8c6a43ba9df9a29fde90ba9f1e/0114261589.jpeg "Gemeinsam die Digitalisierung der Verwaltung voranbringen: Dirk Schrödter, Digitalisierungsminister und Chef der Staatskanzlei Schleswig-Holstein, und Nextcloud-Geschäftsführer Frank Karlitschek haben am 19. September 2023 eine enge Zusammenarbeit angekündigt. (Bild: Staatskanzlei Schleswig-Holstein)")
:quality(80)/p7i.vogel.de/wcms/6e/38/6e38b57feddc881a5a7702260dfb1740/0114289640.jpeg "Bernd Schlömer (© MID/R.Hartmann)")
:quality(80)/p7i.vogel.de/wcms/ff/b4/ffb44b52f0a7b58980f2c8d60283670e/0114288511.jpeg "(Bild: vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/b2/09b22972929323197375c70d7e7831bf/0114366638.jpeg "Im jährlich erscheinenden eGovernment-Benchmark der EU Kommission finden sich relevante Kennzahlen aus dem Public Sector aller Mitgliedsstaaten wider. (© denizbayram - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/21/b2213c94bef734965fc6d14d527733c8/0114285905.jpeg "Deepfakes können Wahlen beeinflussen (© magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/10/89109d2cfaa0fbb408d9dfe570f51542/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/26/0226cb05084fed93621063df30ba0d22/0114285584.jpeg "(Bild: FAMILY STOCK – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/34/9b349d85bd9f6adc586fd267e756b24a/0114284075.jpeg "(Bild: blende11.photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/fa/91/fa91f3b2fabc5fb83149056d77d03202/0114119452.jpeg "Marc Reinhardt, neuer Präsident der Initiative D21 (© Initiative D21 / Tobias Koch)")
:quality(80)/p7i.vogel.de/wcms/96/71/96714e4d656b3b1bee061b01ddca7413/0114065929.jpeg "(Bild: Konstantin Gastmann)")
:quality(80)/p7i.vogel.de/wcms/bd/2e/bd2e66c6ecc1571607525dce691638a8/0114002104.jpeg "Auf der Smart Country Convention werden die neuesten Trends aus dem Public Sector vorgestellt. (Bild: Bitkom )")
:quality(80)/p7i.vogel.de/wcms/6e/76/6e7651e9ee9583f39d09cb584b1e1f8c/0114288259.jpeg "(© Contechnet)")
:quality(80)/p7i.vogel.de/wcms/26/8a/268a16abf472b766d121228bf259e286/0114269066.jpeg "(© Splunk)")
:quality(80)/p7i.vogel.de/wcms/a5/91/a59182415300a4b5cde339f0bfaf7070/0113788916.jpeg "(©iStock)")
:quality(80)/p7i.vogel.de/wcms/75/1a/751a07c16d5a89a2686b647de2a0d302/0113981690.jpeg "(© iStock.com)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/f0/d8/f0d8f2fbdeed8a0e306705f4ae21ddcd/0113906887.jpeg "Benannte Stellen sind für die neutrale Konformitätsbewertung von Produkten zuständig (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/67/7767b76f57a39cc505008db2bc5c9102/0113906704.jpeg "eForms: Neue elektronische Standardformulare für öffentliche Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/cf/d2cf4b3ffd87567b8355fdbe97bd451a/0113851120.jpeg "Vergabetransformationspaket der Bundesregierung: Gesetz zur Vereinfachung öffentlicher Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
Sicherheit privilegierter Accounts Cyber-Kriminalität bedroht auch Behörden
Auch Behörden sind vor den bedrohlich zunehmenden Cyber-Attacken nicht mehr gefeit. Als zentrale Sicherheitslücke haben sich privilegierte Benutzerkonten herauskristallisiert, die Hacker bei fast allen Fällen von Datensabotage oder -diebstahl als Einfallstor nutzen. Klassische Sicherheitsmaßnahmen reichen nicht mehr aus, nötiger denn je sind Lösungen im Bereich Privileged Account Security.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113900/113984/65.jpg "Materna-Bildmarke_web.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/61/26/6126551f995c4/liferay-logo-full-color-digital.png "liferay-logo-full-color-digital (Liferay GmbH)"){kind=logo}
Die Digitalisierung macht auch vor der Öffentlichen Verwaltung nicht Halt – Stichwort eGovernment. Die zunehmende Einführung der vernetzten Verwaltung und der Ausbau der elektronischen Angebote für den Bürger haben auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Daten deutlich gestiegen ist.
Dass Institutionen zur Gefahrenabwehr Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken ergreifen, ist heute Status quo. Allerdings: Sie reichen bei Weitem nicht mehr aus. Mit immer ausgefeilteren Methoden wie den häufig anzutreffenden Advanced Persistent Threats (APTs) oder Ransomware-Attacken ist es relativ leicht möglich, den Schutzwall gegen Angriffe von außen zu überwinden. Als beliebtes „Mittel zum Zweck“ fungieren dabei privilegierte Benutzerkonten mit ihren weitreichenden Rechten. Der Grund: Über sie wird die gesamte IT-Umgebung mit Servern, Datenbanken und Netzwerkgeräten gesteuert und verwaltet.
Die Verwaltung der Benutzerkonten ist prinzipiell keine einfache Aufgabe, da eine typische IT-Umgebung bei einer öffentlichen Einrichtung aus zahlreichen Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Konten gesteuert und verwaltet werden. Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix und Linux oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat.
Privilegierte Benutzerkonten zuverlässig sichern
Zur Sicherung von privilegierten Benutzerkonten sind verschiedenste Lösungen im Bereich Privileged Account Security auf dem Markt verfügbar. Bei der Auswahl sollten Behörden auf jeden Fall darauf achten, dass die Applikation neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht.
Dieser Punkt ist vor allem für öffentliche Institutionen von hoher Relevanz, da diese oft von externen IT-Dienstleistern unterstützt werden, die etwa zur Wartung der Systeme vorübergehend auf Anwendungen zugreifen müssen. Idealerweise bietet die Privileged-Account-Security-Lösung deshalb die Möglichkeit, externen Anwendern einen lediglich temporären Zugriff auf die nötigen privilegierten Konten einzuräumen – mit einer Protokollierung aller Tätigkeiten zur späteren Kontrolle. Dies empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den „Grundregeln zur Absicherung von Fernwartungszugängen“. So lautet eine Grundregel: „Die Durchführung einer Fernwartung muss protokolliert werden“.
Im Einzelnen muss eine Sicherheitslösung drei Grundvoraussetzungen erfüllen:
- Zugriffskontrolle
- Überwachung
- Reaktionsmöglichkeit
Unerlässlich ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Benutzerkonten gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Nicht zuletzt muss eine Privileged-Account-Security-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke.
Endpunktsicherheitslösung reduziert Angriffsfläche zusätzlich
Mit Lösungen in den Bereichen Netzwerk-Perimeter und privilegierte Konten ist eine Behörde in puncto Sicherheit prinzipiell gut aufgestellt. Wer aber noch einen Schritt weiter gehen möchte, sollte auch die Endpunktsicherheit thematisieren, da hier die meisten Angriffe starten oder auch schon Schaden anrichten – zum Beispiel durch Ransomware.
Zu den zentralen Herausforderungen gehören hier die Benutzerrechteverwaltung und Applikationskontrolle. Auch normale Anwender erhalten in vielen Behörden Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gibt es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig sind. Werden mehr Privilegien als nötig vergeben, entsteht aber eine große, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche. Einfach und schnell lässt sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Fach- und administrative Anwender unterstützt. Sie muss zum einen die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung ist, dass sie einen hohen Automatisierungsgrad besitzt, mit einer automatisierten Erstellung und Aktualisierung von Richtlinien.
Ebenso wichtig wie die Rechtevergabe und -kontrolle ist auch die Applikationsüberwachung, denn es ist durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert. Eine Sicherheitslösung muss zunächst einmal automatisch schädliche Anwendungen blockieren. Unternehmen wie Behörden setzen hier in der Regel auf Whitelists und Blacklists. Das greift aber zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibt. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden können – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Behördennetz, bis die Applikation näher überprüft ist.
Setzt eine Behörde eine Lösung im Bereich Privileged Account Security ein, die auch das Thema Endpunktsicherheit abdeckt, bieten sich zahlreiche Vorteile: von der generellen Erhöhung der Sicherheit über die zuverlässige Erfüllung von Compliance-Anforderungen wie den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bis zur Reduzierung des Administrationsaufwandes. Dies trägt entscheidend zu einer deutlichen Mitarbeiterentlastung bei und ist damit auch eine Antwort auf die Ressourcenknappheit in der öffentlichen Verwaltung.
* Marco Jendrzejak ist Account Executive Government bei CyberArk in Düsseldorf.
(ID:44426883)
:quality(80)/p7i.vogel.de/wcms/7a/a1/7aa16bd780dd610e8b2cfe41a723f092/0108982542.jpeg "Eine digitale Identität umfasst alle elektronischen Daten, die zur Zuordnung einer Person zu einer physischen Identität benötigt werden. Dazu werden Benutzername und Passwort, Chipkarten, Token oder biometrische Daten genutzt (© Kittiporn Kumpang – Getty Images via Canva.com.png)")
:quality(80)/p7i.vogel.de/wcms/ff/37/ff375d8ef353781b0f408b45cddb0c75/0110630759.jpeg "Bipul Sinha, CEO und Co-Founder, Rubrik Inc. (© © 2021 Eric Millette)")