Digitaler Aufbruch Innovation und Sicherheit für den digitalen Staat

Erfolgreiche Digitalisierung braucht nicht nur innovative Ideen, sondern auch höchste Sicherheit. Die Cloud bringt beides schon mit.

Die Modernisierung Deutschlands ist das erklärte Ziel der neuen Bundesregierung: Ein digitaler Aufbruch für das ganze Land, bei dem die Digitalisierung von Staat und Verwaltung eine zentrale Rolle spielt. Längst hat sich die Erkenntnis durchgesetzt, dass es dafür mehr Schwung bei Innovationen braucht. Doch immer deutlicher wird, dass auch der Cybersicherheit eine noch größere Bedeutung zukommen muss. Sie ist die notwendige Basis, auf der Digitalisierung und Modernisierung des öffentlichen Sektors überhaupt erst gelingen können. Denn Staat und Verwaltung sind ein ständiges Ziel von Cyberattacken.

In den zurückliegenden beiden Jahren waren alle Ebenen des öffentlichen Sektors betroffen. „Die Regierungsnetze sind Tag für Tag Angriffen aus dem Cyber-Raum ausgesetzt. Dabei handelt es sich sowohl um ungezielte Massenangriffe als auch um gezielte Angriffe gegen die Behörden des Bundes“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht. Landtage, Stadt- und Kommunalverwaltungen, Gerichte, öffentliche Unternehmen wie Krankenhäuser oder Stadtwerke: Überall lassen sich Beispiele finden für Angriffe, von denen manche schwerwiegende Folgen hatten.

Wenn öffentliche Organisationen und Unternehmen von zentraler Bedeutung durch Cyberattacken lahmgelegt werden, bedeutet das nicht weniger, als dass das Funktionieren unseres Gemeinwesens eingeschränkt ist. Weltweit sind Regierungen und Behörden inzwischen sogar stärker von Cyberattacken betroffen als jede Industriebranche. Wie die Sicherheitsteams von Microsoft im Digital Defense Report 2021 festgestellt haben, entfällt die Hälfte aller Angriffe auf den Regierungssektor.

Die Cloud als Wegbereiter der Digitalisierung

Die Digitalisierung stellt sich für viele öffentliche Akteure also ein Stück weit als Dilemma dar. Sie wollen selbst mehr Digitalisierung, sie wird auch von ihnen erwartet – von politisch Verantwortlichen genauso wie von Unternehmen und Bürger*innen. Die dafür benötigten Fachkräfte sind jedoch schwer zu finden. Gleichzeitig wächst mit zunehmender Digitalisierung der Bedarf nach digitalem Schutz. Dafür wiederum braucht es ebenfalls Fachexpertise, die enorm gefragt und entsprechend rar ist. Doch die Digitalisierung liefert auch Lösungen. Unternehmen setzen zunehmend auf die Cloud, weil sie eine Vielzahl von Vorteilen mit sich bringt, die sie auch im öffentlichen Sektor zum Wegbereiter einer erfolgreichen Digitalisierung machen.

Die Cloud ist die Infrastruktur für Innovation und Sicherheit. Mit einer Vielzahl eingebauter Funktionen und Abläufe ermöglicht sie den Zugang zu modernster Technologie auf höchstem Sicherheitsniveau. Sie stellt ortsunabhängige Verfügbarkeit und skalierbare Rechenleistung bereit, bringt künstliche Intelligenz, Big Data Analysis und weitere Technologien mit, und bleibt durch automatische Updates stets auf dem aktuellen Stand. Gerade letzteres ist ein entscheidendes Sicherheits-Feature, denn in der vernetzten Welt gibt es kaum ein größeres Sicherheitsrisiko als veraltete, nicht aktualisierte Systeme.

In Zeiten, in denen Cyberkriminelle mit automatisierten Scans nach solchen Systemen suchen, wird es umso wichtiger, sicherheitsrelevante Updates schnellstmöglich aufzuspielen und Lücken zu schließen. Die Cloud ermöglicht automatisierte Updates an zentralen Services, statt die Verantwortung jedem einzelnen Nutzer und jeder einzelnen Nutzerin zuzuschieben, was zwangsläufig zu Fehlern führt. Für Transparenz hinsichtlich der Zuverlässigkeit und Sicherheit der Cloud-Services sorgt eine große Anzahl von Zertifizierungen und regelmäßiger Audits, bei denen unabhängige Externe die Maßnahmen und Richtlinien überprüfen und bewerten.

Traue niemandem: Sicherheit in der Cloud

Microsoft verfolgt einen sogenannten Zero-Trust-Ansatz. Das bedeutet, dass bei Zugriffen nichts und niemand per se als vertrauenswürdig eingestuft wird. Bei jedem Zugriff werden die Nutzenden vollständig authentifiziert und autorisiert, wobei weitere Sicherheitsmerkmale wie Ort, Zeit, Gerät, Netzwerk, etc. als Richtlinien mit einbezogen werden können. So können Nutzer*innen jederzeit auf den sicheren Umgang mit Geräten, Daten und Anwendungen vertrauen. Die dafür erforderlichen Systeme zur Identitäts- und Zugriffsverwaltung bringt die Cloud ebenfalls bereits mit.

Der integrierte Zero-Trust-Ansatz von Microsoft ist einzigartig in der Branche. Es ist eine ganzheitliche Betrachtungsweise von IT, die die Sicherheit und Compliance, das Identitätsmanagement sowie die Verwaltung gleichermaßen umfasst. Dieser Ansatz hat das zusammenhängende Ganze im Blick – über verschiedene Cloud-Lösungen und Plattformen hinweg. Hierdurch können Silos in der IT-Architektur beseitigt werden, die Cyberkriminellen Gelegenheit für einen Angriff bieten.

Mit dem cloudbasierten SIEM-Tool (Security Information & Event Management) Azure Sentinel beispielsweise ermöglicht Microsoft Kunden, die eigene IT-Organisation quasi aus der Vogelperspektive zu betrachten und auf mögliche Schwachstellen hin zu analysieren. Endpoint Detection and Response, Anti-Phishing, Attachment Sandboxing sowie auch End-user-Training, DDOS und IoT Protection sind dabei nur einige der Lösungen, die bei der Absicherung helfen.

Starke Authentifizierungsmethoden mittels mehrerer Faktoren (MFA) sind eines der wichtigsten Werkzeuge für mehr Cybersicherheit. Sie erweisen sich einerseits als höchst effektiv bei der Abwehr von Angriffen: Vor mehr als 99 Prozent der aktuell zu beobachtenden Attacken könnte MFA schützen. Gleichzeitig sind komfortabel zu bedienende MFA nötig, um Remote Work oder Home Office praktikabel zu machen. Gerade im öffentlichen Sektor, der sich mit seinen Services prinzipiell an alle Bürger*innen und Organisationen im Land richtet, ist die Bereitstellung sicherer Identifizierungsmethoden eine besondere Herausforderung.

Microsofts Sicherheitsteams arbeiten rund um den Globus rund um die Uhr daran, verdächtige Vorgänge zu analysieren, Angriffe zu identifizieren und abzuwehren, Sicherheitslücken zu schließen. Weltweit beschäftigt Microsoft dafür 8500 Sicherheitsexpert*innen. Die Sicherheitsinvestitionen werden nochmals deutlich hochgefahren auf insgesamt 20 Milliarden Dollar in den nächsten fünf Jahren.

Neue Cloud-Lösungen sind digital souverän

Die Nutzung von Cloud-Lösungen hat in den zurückliegenden Jahren eine Debatte um „digitale Souveränität“ entfacht – also die Frage, inwieweit gerade der öffentliche Sektor bei der Nutzung von Cloud-Lösungen ausländischer Unternehmen noch die Hoheit über die eigenen Daten hat. Inzwischen sind jedoch neue Angebote entwickelt worden, die den Anforderungen an digitale Souveränität umfassend Rechnung tragen.

Im Februar haben SAP und Arvato angekündigt, eine souveräne Cloud für die deutsche Verwaltung aufzubauen. Harald Joos, CIO im Bundesministerium der Finanzen, schrieb dazu auf Twitter, diese Ankündigung der beteiligten Firmen „wird Einfluss haben auf die Cloud-Landschaft in Deutschland.“ Auf Microsofts Azure-Cloud basierend entwickeln SAP und Arvato dabei ein Cloud-Angebot, das „den spezifischen nationalen Anforderungen entsprechen“ wird, die im Rahmen der deutschen Cloud-Strategie eine entscheidende Rolle spielen. Dazu zählen insbesondere die Maßstäbe, die das BSI entwickelt hat. Sowohl Datenverarbeitung und Datenhaltung als auch der Betrieb sämtlicher Services erfolgen bei der souveränen Cloud in Deutschland.

Sicherheit ist mehr als Technologie

Während die Technologie immer mehr Features mitbringt, liegt der Fokus noch immer zu viel auf der Technik allein. Doch so wichtig Security by Design, das Schließen von Sicherheitslücken und zeitnahe Updates auch sind: Die Schulung von Mitarbeiter*innen bleibt unverzichtbar. Nach wie vor nutzen Cyberkriminelle in zahlreichen Fällen menschliche Fehler aus. Der Klick auf einen verseuchten Link ist zum traurigen Klassiker geworden. Beim sogenannten „Spearphishing“ ist diese Methode zunehmend professionalisiert worden.

Kriminelle setzen dabei nicht auf Spam-Massenversand, sondern nehmen gezielt einzelne Mitarbeiter*innen in bestimmten Unternehmen oder Behörden ins Visier. Dafür bereiten sie Mails vor, die sie in hohem Maße personalisieren und mit individuellem Zuschnitt täuschend echt wirken lassen. Laut BSI hat die Corona-Pandemie dafür gesorgt, dass der „Faktor Mensch“ noch wichtiger geworden ist. Angreifer nutzten die Unsicherheit rund um das Thema für Phishing-Angriffe aus. Hinzu kamen Angriffe auf nicht ausreichend abgesicherte private IT-Geräte im beruflichen Kontext.

Aus unseren Erfahrungen bei Microsoft wird klar: Individuelle Sicherheitskompetenz ist die unverzichtbare Basis sicherer Infrastrukturen – und muss daher zentraler Bestandteil von IT-Sicherheitsstrategien sein. Das Vermitteln von Wissen und das Einüben von Abläufen im Krisenfall sind unerlässlich, um Angriffe nach Möglichkeit zu verhindern und dort, wo sie doch erfolgreich sind, schnell einzudämmen. Dazu braucht es sicherheitsbewusste und -bewanderte Mitarbeiter*innen. Und technische Lösungen, die sich einfach und komfortabel bedienen lassen.

Mit der Cloud zum Teamerfolg

Cybersecurity ist also vor allem ein Teamsport. Sie braucht die Zusammenarbeit von IT-Abteilungen, Sicherheitsverantwortlichen, IT-Entscheider*innen, sie braucht die Einbindung aller Beschäftigten und die Zusammenarbeit mit Partnern. Die Cloud ist das optimale Sportgerät für den gemeinsamen Teamerfolg. Sie bietet die IT-Infrastruktur, die zahlreiche Schutzfunktionen bereits mitbringt und permanent aktualisiert, die Zusammenarbeit von verschiedenen Orten und mit verschiedenen Partnern möglich macht. Und die aus denselben Gründen auch die Umsetzung innovativer Ideen voranbringt. Als digitale Infrastruktur für Innovation und Sicherheit ist sie damit gerade für den öffentlichen Sektor und seine Modernisierungsziele wie gemacht.

(ID:48041353)