:quality(80)/p7i.vogel.de/wcms/fa/fc/fafc7b1ef047632c3455f46bd10cd256/0110551755.jpeg "Digitalisierung an Schulen kann mit digitaler Inventarverwaltung unterstützt werden (Bild: Rawpixel.com / shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a6/46/a646f2662e79393429dc9c4eb272433d/0110475497.jpeg "Eine zeitgemäße digitale Bildungsinfrastruktur – mit dem Digitalpakt Schule unterstützt der Bund Länder und Gemeinden bei Realisierung (Bild: adragan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/f0/12f0ca00b0a4434cb5e39828021c2a91/0110547942.jpeg "Der Dialog mit den Mitarbeitern der Verwaltungen kann sicherstellen, dass die angebotenen Dienstleistungen und Programme tatsächlich auch ihren Bedürfnissen entsprechen (Bild: fidaolga – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Cyber-Sicherheit Öffentliche Verwaltung = öffentliche Netzwerke?
Der Security-Anbieter Tenable hat im Public Sector tätige IT- und Sicherheitsexperten gefragt, mit welchen IT-Sicherheitsproblemen und Hackerangriffen sie im Alltag tatsächlich konfrontiert werden. Jens Freitag erläutert die Ergebnisse.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113900/113984/65.jpg "Materna-Bildmarke_web.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
In den vergangenen Jahren ist die Cyber-Sicherheit in der Öffentlichen Verwaltung in Deutschland zunehmend in den Fokus gerückt: Sowohl von Seiten Cyber-Krimineller als auch von Seiten der breiten Öffentlichkeit. Auslöser sind verschiedene kleinere und größere Hacks und Sicherheitspannen: Vom Angriff auf das Bundestagsnetz, Botschaften und Bundeswehr bis zum laxen Umgang mit vertraulichen Dokumenten in Rathäusern.
So prominent diese Meldungen sind, so wenig Einblick geben sie in die Security-Schwierigkeiten und -Herausforderungen, die Angestellte in der Verwaltung täglich erleben. Um Licht ins Dunkel zu bringen, hat Tenable gemeinsam mit dem Ponemon Institute im öffentlichen Sektor tätige IT- und Sicherheits-Experten befragt.
Ergebnisse
Eine zentrale Erkenntnis: Häufig haben die Befragten keine ausreichenden Einblicke in ihre Angriffsoberfläche, also eingesetzte IT (Geräte, Infrastruktur), Clouds (für Web-Applikationen usw.) und IoT (Internet of Things – Steuerungssysteme, angeschlossene Geräte, usw.). Fünf wichtige Ergebnisse der Umfrage:
- 1. Cyber-Angriffe im öffentlichen Bereich finden fortlaufend statt: Laut der Studie erleben die meisten Einrichtungen Attacken. So gaben 88 Prozent der Befragten an, dass sie in den vergangenen zwei Jahren mindestens einmal, 62 Prozent von ihnen sogar zweimal oder öfter angegriffen wurden. Diese Angriffe störten den Betrieb erheblich oder verursachten Ausfallzeiten bei Betriebsabläufen oder Betriebsmitteln.
- 2. Sorgen über IoT- und OT-Attacken: 65 Prozent der Befragten sind 2019 besonders besorgt über Angriffe auf kritische Infrastrukturen wie IoT (Internet of Things)- oder OT (Operational Technology)-Geräte oder Dienste. 61 Prozent sehen zudem speziell mögliche Angriffe auf OT-Infrastrukturen, wie Steuerungsanlagen öffentlicher Einrichtungen, mit Besorgnis. Die größte Sorge jenseits von Angriffen bereitet der Missbrauch oder die Weitergabe von sensiblen Daten von Dritten an andere Dritte (67 Prozent).
- 3. Teilweise gibt es allerdings auch große Unterschiede zwischen Sorgen und tatsächlichen Vorfällen. So fürchten 33 Prozent Wirtschaftsspionage – diese haben aber nur zwei Prozent in den vergangenen 24 Monaten tatsächlich erlebt. Ähnlich beim Datenmissbrauch durch Dritte, 67 Prozent fürchten ihn, aber nur 34 Prozent hatten tatsächlich einen solchen Vorfall. Andere Bedrohungen werden dafür unterschätzt: 56 Prozent der Befragten haben in den vergangenen zwei Jahren den Diebstahl von Zugangsdaten durch Phishing erlebt – für 2019 nennen allerdings nur 33 Prozent Phishing als Bedrohung.
- 4. Die Sicherheitsteams sind mit großen Herausforderungen konfrontiert: Es fehlt besonders am nötigen Einblick in die Angriffsoberfläche. Nur 23 Prozent der Befragten sind der Ansicht, dass sie genügend darüber wissen. Zugleich fehlt es an Personal und effizienten Prozessen, um den wachsenden Rückstau beim Beheben von Schwachstellen zu beseitigen. So gaben 62 Prozent an, sie hätten nicht genug Personal, um zeitnah nach Schwachstellen zu scannen. Hinzu kommt, dass viele Einrichtungen noch auf manuelle Prozesse statt auf Automatisierung setzen. Sechsundfünfzig Prozent der Teilnehmer sagen aus, dass sie deshalb Nachteile bei der Reaktion auf Schwachstellen haben.
- 5. Effektive Priorisierung von Schwachstellen ist nötig: 44 Prozent der Befragten gaben an, dass sie zuerst die leicht zu behebenden Schwachstellen beseitigen. Dies ist der falsche Ansatz, denn die Schwachstellen mit dem größten Risiko sollten priorisiert werden. Zumindest wollen 63 Prozent ihre Fähigkeiten im Bereich Cyber-Sicherheit verbessern, um mit den raffinierten Methoden der Angreifer mithalten zu können.
- 6. Neue Ansätze, um Cyber-Risiken zu erfassen und Angriffe zu verhindern: Traditionelle KPIs und Metriken, mit denen Geschäftsrisiken bisher beurteilt wurden, können bei Cyber-Risiken nicht angewendet werden. Lediglich 27 Prozent der Teilnehmer können aus KPIs Informationen ableiten, um ein Datenleck oder eine Sicherheitslücke zu beheben.
Die Studie belegt, was sich aus den Schlagzeilen ableiten lässt: Die Öffentliche Verwaltung ist fortlaufend Angriffen ausgesetzt. Dabei bereiten vor allem vernetzte Geräte jenseits der klassischen IT den Mitarbeiterinnen und Mitarbeitern Sorgen, während ihnen die Mittel fehlen, um dem Problem zunehmend komplexer IT-Infrastrukturen zu begegnen.
Was tun?
Wie können Unternehmen diesen Herausforderungen begegnen? Sicherheitsexperten wie Tenable raten Unternehmen, sich auf zwei wesentliche Schritte zu konzentrieren, damit sie ihr komplettes Unternehmensnetz schützen können: Zum einen benötigen sie mehr Transparenz und mehr Einblicke in die eigene Angriffsoberfläche und welche Geräte mit dem eigenen Netz verbunden sind, denn erst so können sie Schwachstellen überhaupt erkennen. Zum anderen sollten sie sich auf vorausschauende Priorisierung konzentrieren – diese ermöglicht es ihnen, all die Schwachstellen im Blick zu haben, die wahrscheinlich ausgenutzt werden, und können diese dementsprechend priorisieren und beheben.
Mit Blick auf die wachsende Zahl der Schwachstellen – 16.500 wurden 2018 entdeckt, im Vergleich zu 15.000 im Jahr 2017 und 9.800 im Jahr 2016 – ist ein effektiver Ansatz nötig. Die Verantwortlichen dürfen sich nicht nur um Schwachstellen kümmern, die leicht zu beheben sind oder deren Behebung sich intern gut „verkaufen“ lässt. Abgesehen davon, dass diese Methode zeitlich und finanziell ineffektiv ist, entgehen ihnen auf diese Weise die tatsächlichen, akuten Bedrohungen. Sie sollten die wichtigen Schwachstellen in den Vordergrund stellen – die, die wirklich ausgenutzt werden.
Methodik: Befragt wurden 244 Beschäftige im öffentlichen Sektor, in den USA, Großbritannien, Deutschland, Australien, Mexiko und Japan.
*Der Autor: Jens Freitag ist Security Engineer DACH bei Tenable.
(ID:46033736)
:quality(80)/images.vogel.de/vogelonline/bdb/1893000/1893015/original.jpg "Es gibt viele Ansätze in der EU, durch Förderprogramme die Cybersicherheit voranzubringen, auch in den Bereichen Qualifizierung und Sensibilisierung. (kasto – adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942628/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")