Digitalisierung der Verwaltung IT-Sicherheit und Datenschutz im öffentlichen Sektor

Anbieter zum Thema

G DATA CyberDefense AG

genua gmbh

secunet Security Networks AG

Die Öffentliche Hand wird immer häufiger Ziel von Cyberattacken. Umfassende Schutzmaßnahmen für die oftmals sensiblen und geheimen Daten sind daher unerlässlich.

Vom Landkreis Anhalt-Bitterfeld über Potsdam bis hin zu Kommunen in Baden-Württemberg und Thüringen, die Liste der Cyberangriffe auf Stellen des öffentlichen Sektors in Deutschland ist lang. Ein Beleg dafür, dass neben Wirtschaftsunternehmen auch die Verwaltung in Deutschland ein attraktives Ziel für Cyberakteure ist. Dieser Umstand wird durch die Tatsache begünstigt, dass viele öffentliche Einrichtungen noch nicht vollständig digitalisiert sind und Investitionen zur Stärkung der Cyber-Sicherheit und -Resilienz öffentlich diskutiert werden. Gleichzeitig werden die Angriffe immer professioneller und ausgeklügelter, wie etwa der neue Threat Hunting Report 2023 belegt. Hinzu kommt, dass Bund, Länder, Kommunen und Gemeinden in großem Umfang attraktive Daten verarbeiten, die sich gut kommerzialisieren lassen.

Herausforderung IT-Sicherheit & Datenschutz

Zu den wesentlichen Herausforderungen für alle Stellen des öffentlichen Sektors zählen daher der Schutz ihrer Daten, die oft sensibel und mitunter auch geheim sind. Moderne Informationssicherheit ist von universaler Relevanz für den Schutz von Vertraulichkeit und Integrität von Daten und die sich zunehmend negativ entwickelnde Cyber-Bedrohungslage macht angemessene Cyber-Schutzmaßnahmen unabdingbar. Dabei geht es um Datensicherheit ebenso wie um Datenschutz.

Da kein Datenschutz ohne Datensicherheit, aber Datensicherheit ohne Datenschutz betrieben werden kann, bedarf es ein besonderes Augenmerk darauf, wie ganzheitlicher Datenschutz nach Maßgabe der DSGVO und bei kalkulierbarem Risiko, ohne Einschränkung der Datensicherheit nach dem Stand der Technik effektiv realisiert werden kann. Dabei kommt sowohl den Datenschutzprinzipien Transparenz, Rechtmäßigkeit ebenso wie Datenminimierung und Speicherbegrenzung besondere Bedeutung zu. Datensicherheit muss dafür erklärbar sein. Hinsichtlich der Rechtmäßigkeit baut die DSGVO durch Erwägungsgrund 49 die Brücke, indem die Datenverarbeitung zu Zwecken der Informations- und Netzwerksicherheit als legitimes Interesse anerkannt wird. Sie müssen Lösungen bereitstellen, die bestmöglich datensparsam in einem Umfeld agieren, in dem große Mengen von Daten zur Erreichung des Ziels Datensicherheit verarbeitet werden müssen. Ebenso muss es angemessene, konfigurierbare Löschprotokolle und -automation geben, die Daten nicht länger vorhalten, als es für das Ziel Datensicherheit tatsächlich erforderlich ist.

IT-Sicherheit nach dem Stand der Technik

Was Orientierungshilfen in Sachen Stand der Technik anbelangt, bleibt die DSGVO genauso vage wie alle anderen Gesetze, die Materien regeln, die dem technischen Fortschritt und Wandel unterliegen. In der Konsequenz kommt objektiven Orientierungshilfen von unabhängigen Stellen bei der Bestimmung des jeweils aktuellen Standes der Techniken besondere Relevanz zu. Von diesen gibt es nur wenige, von denen die Handreichung des TeleTrust e.V. zum Stand der Technik besonders empfehlenswert erscheint, zumal sie in der englischen Fassung gemeinsam mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) herausgegeben wird. Darin finden Unternehmen und Behörden unter anderem Empfehlungen zum Einsatz von Lösungen zum Endgeräteschutz und der Erkennung von Anomalien zum Schutz vor Cyberangriffen.

Sicherheitsempfehlungen für den öffentlichen Sektor

Um Sicherheitsverletzungen in der gesamten IT-Infrastruktur beim Auftreten identifizieren und bearbeiten zu können, bedarf es technologischer Unterstützung. Als wichtiges Testfeld für neue Technologien, Verfahren und Architekturen dienen die Erfahrungen von Großunternehmen, da sie zum Teil flexibler sind und über größere Sicherheitsbudgets verfügen. Der gesamte öffentliche Sektor muss bei der Anpassung an die gewonnenen Erkenntnisse reaktionsfähiger werden. Leider kommt es immer häufiger zu Cyberangriffen mit potenziell systemischen Auswirkungen. Aus unserer Sicht sind die wichtigsten Lehren aus den jüngsten Sicherheitsverletzungen folgende:

• Der Einsatz von verwalteten Sicherheitsdiensten, um das interne Sicherheitspersonal zu ergänzen und eine reaktionsschnelle und umfassende Sicherheitsabdeckung zu erreichen.

• Die Einführung von Cloud-basierten IT-Systemen und, wo möglich, Nutzung von Cloud-basierten Sicherheitstools, um Skalierbarkeit und Geschwindigkeit zu erreichen.

• Die Implementierung einer Zero-Trust-Architektur mit Schwerpunkt auf dem Schutz vor Identitätsbedrohungen, um eine zunehmend diffuse IT-Infrastruktur zu verteidigen und seitliche Bewegungen bei Einbruchsversuchen radikal zu reduzieren, was uns der Cyber- und Missionsresilienz näher bringt.

• Sichtbarkeit schaffen durch eXtended Detection and Response (XDR), um Sicherheitsverletzungen jeder Art in der gesamten IT-Infrastruktur verhindern zu können. XDR verknüpft wichtige Domänen der Security-Infrastruktur mit Verhaltensanalysen und Automatisierung zu einem einheitlichen System.

Mit Blick auf die Erfüllung von Meldepflichten nach der DSGVO verbessert XDR auch den Datenschutz nach Maßgabe der DSGVO. Dasselbe gilt für andere Innovationen der IT-Sicherheit, wie z.B. den Zero Trust-Ansatz. Da viele Datenschutzverletzungen mittlerweile aber auch ohne den Einsatz von Malware stattfinden und Angriffe immer häufiger identitätsbasiert sind, also beispielsweise echte Zugangsdaten für den initialen Zugang ausgenutzt werden, kommt der Verifizierung von Nutzeridentitäten enorme Bedeutung zu. Im Übrigen führt kein Weg daran vorbei, sich rund um die Uhr der IT-Sicherheit zu widmen, da gerade an den Randzeiten oder an Sonn- und Feiertagen erfahrungsgemäß Cyberangriffe verübt werden. Insofern müssen Mittel und Wege gefunden werden, wie „24x7 follow the sun” IT-Sicherheit datenschutzkonform erfüllt werden kann.

(ID:49656208)