:quality(80)/p7i.vogel.de/wcms/dd/ea/ddeafa7bbc4d1d69c146caeb15c94f0e/0112151534.jpeg "Von links: Christian Neumann (Bereichsleiter d-NRW), Dr. Roger Lienenkamp (Geschäftsführer d-NRW), Stefan Obermeier (Geschäftsführer BayKommun), Johanna Reinker (stv. Geschäftsführerin d-NRW), Katja Linnenschmidt (Teamleiterin d-NRW) und Felix Appel (stv. Geschäftsführer BayKommun) (© d-NRW)")
:quality(80)/p7i.vogel.de/wcms/18/25/18254f5547943a19daa4564715eda411/0112162796.jpeg "Thomas Bönig, CIO und CDO Stuttgarts: „In Wahrheit ist in Deutschland alles durch politische Vorgaben inzwischen viel zu kompliziert oder komplex ausgestaltet“ (Bild: Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/f6/bb/f6bb4be6c013bcaf777012df1378bb30/0112181905.jpeg "Judith Gerlach ist seit November 2018 bayerische Staatsministerin für Digitales (© StMD / Anne Hufnagl)")
:quality(80)/p7i.vogel.de/wcms/f4/f4/f4f4e36aa59f7a2438eaa6bf4f352d43/0112115978.jpeg "Der 115 soll eine stärkere Rolle bei der Verwaltungsdigitalisierung zuteil werden. (© henvryfo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/47/b6472dd3491a1f0393aa473dd4d63dfb/0112178143.jpeg "Im DIN-Standard 32791 ist der Umgang mit eAkten geregelt. (© blende11.photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/d4/acd4a1411ddc1b33cd3060b5f8710dfc/0111745791.jpeg "„Eine ‚Souveräne Cloud‘ verdient diesen Namen aber nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.“ (aus dem Positionspapier der DSK) (©Ruslan Batiuk – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/ff/abff67b8c6d6f56b8cb439104c2420fc/0112173281.jpeg "Mit der Vison Pro hat Apple die lang erwartete Datenbrille auf der Entwicklerkonferenz WWDC 2023 präsentiert. (Bild: Apple)")
:quality(80)/p7i.vogel.de/wcms/63/ec/63ec39004016f183a1f8d61379ef4822/0112112876.jpeg "Digitalisierungsminister Christian Pegel über die Online-Dienste Mecklenburg-Vorpommerns (Bild: susieknoll)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/2b/73/2b736ac77e9eca550e3f73ed8d23df12/0112067098.jpeg "Mitarbeiter von AKDB und Living Data auf den Techniktagen 2023 in Fürth (© AKDB)")
:quality(80)/p7i.vogel.de/wcms/e8/d7/e8d7075a3d9c951b31eb2e7ea3dc49d7/0111745810.jpeg "30 Jahre LEARNTEC: Gut 13.500 Besucherinnen und Besucher kamen zur diesjährigen Veranstaltung vom 23. bis 25. Mai in der Messe Karlsruhe (©Messe Karlsruhe / Lars Behrendt)")
:quality(80)/p7i.vogel.de/wcms/75/6a/756a50810f475a5419d5910733b18661/0111768414.jpeg "Das Rokoko-Schloss Dornburg war Schauplatz der openDVA 2023 (© Lapping Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/9b/089b474ed2b4257fc55fadd50380a425/0112111170.jpeg "(©Miha Creative – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/31/23315307f48d378f483004a7074a1c27/0111672239.jpeg "Es ist einfach, Dinge schwierig zu machen, aber es ist schwierig, etwas einfach zu machen. (© Prosoz)")
:quality(80)/p7i.vogel.de/wcms/fe/02/fe02e5419a93d73bec3a0e051d76feae/0111672728.jpeg "(© Optimal Systems)")
:quality(80)/p7i.vogel.de/wcms/c8/4a/c84a7ecf0df24ccc36cd60c6d7b5f654/0111671850.jpeg "(© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/00/84/008499da62176484461a2e25407be021/0111256989.jpeg "Der Schirmherr des eGovernment Summit 2023, der Beauftragte der Bundesregierung für Informationstechnik, Dr. Markus Richter (Bild: Vogel IT-Akademir)")
:quality(80)/p7i.vogel.de/wcms/ef/8d/ef8d5ab4a92cfdc9b931b7fb2077c745/0112165180.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/4c/0d/4c0de169fbce22d9a750037ed1d4d66b/0111495677.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/13/2b/132bb48c68be3db224a1608e8891bb4f/0111416944.jpeg "(© Maridav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/b1/16b18e0e142172cd4ab6238ce91eb92d/0112147804.jpeg "eBO: Sichere Kommunikation zwischen Bürgern und Gerichten (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/e1/ebe1c7c630f3530fa2bfb52284df169f/0112110381.jpeg "Die elektronische Brieftasche: das ID-Wallet (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/3b/da3ba7ed74f63b61d367a962fa33b446/0112006966.jpeg "Multi-Faktor-Authentifizierung (MFA): Mehr Sicherheit durch mehrstufige Authentifikation (Bild: aga7ta – stock.adobe.com)")
IT-Verwaltung und Cybersicherheit Sechs Lehren aus Hackerangriffen
Staatliche Organisationen müssen sowohl kritische Systeme und Mitarbeiter verwalten und supporten als auch sensible Daten schützen. Ein relativ neues Phänomen ist die Einflussnahme auf politische Prozesse durch Cyber-Angriffe, in der Regel durch professionelle und vermutlich staatlich gelenkte Angreifergruppen. In Baden-Württemberg beispielsweise wurde die Landesverwaltung angegriffen — betroffen waren auch Unikliniken und der Energiesektor. Welche Lehren lassen sich aus den Angriffen ziehen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/56/6156c5a4f1c43/1280px-kodak-alaris-logo-svg.png "1280px-kodak-alaris-logo-svg (Kodak alaris)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/61/8e/618e774811e12/logo-disy-mit-slogan.png "logo-disy-mit-slogan (Disy Informationssysteme GmbH)"){kind=logo}
Von „diversen Phishing-Versuchen“ im Jahr 2017 berichtete das Land Baden-Württemberg. Angreifer hätten versucht, auf Uni-Rechnern lagernde Daten zu erbeuten, und auch in den Sektoren „Transport und Verkehr“ sowie „Energie“ habe es Vorfälle gegeben. Zudem habe das Landesamt für Verfassungsschutz „Kenntnis von einem Angriff mit mutmaßlich nachrichtendienstlichem Hintergrund gegen baden-württembergische Unternehmen aus dem KRITIS-Bereich“, der als IT-Sicherheitsvorfall zu werten sei.
Hacker im Rathaus
Im bayerischen Vogtareuth erlebte die Stadtverwaltung indes einen digitalen Super-GAU. Anfang März war es Hackern gelungen, alle städtischen Sicherheitsvorkehrungen auszutricksen. Als Bürgermeister und Mitarbeiter nach dem Wochenende an ihre Arbeitsplätze zurückkehrten und ihre PCs hochfuhren, waren alle Daten, Mails und Dokumente verschlüsselt. Selbst die hinzugezogenen Fachleute konnten kein Programm mehr aufrufen und keine Nachrichten mehr wiederherstellen. Umfang und verheerende Auswirkungen von Cyber-Angriffen haben nicht nachgelassen.
Die Polizeiliche Kriminalstatistik (PKS) weist für das vergangene Jahr 108.510 Cyber-Straftaten aus, aber die offiziellen Zahlen decken nur einen Bruchteil der Straftaten ab. Experten zufolge liegt die Dunkelziffer bei 90 Prozent, weil viele Betroffene gar nicht merken, dass sie Opfer von Attacken geworden sind. Hacker dringen unbemerkt in IT-Systeme von Firmen und staatlichen Institutionen ein und greifen auf sensible Daten zu. Im Fall von Vogtareuth wiederum legten die Attacken auf Computer die Abläufe im Rathaus lahm, um Schutzgeld zu erpressen.
Risiko Mitarbeiter
Die dokumentierten Sicherheitsvorfälle zeigen, dass Cyber-Angriffe immer komplexer werden und die IT-Abteilungen um die kontinuierlich wachsenden Herausforderungen wissen. Im neuesten „Privileged Access Threat Report 2018“ beispielsweise stellt der Sicherheitsanbieter Bomgar fest, dass jedes zweite Unternehmen mit einer schweren Sicherheitsverletzung durch Drittanbieter oder Mitarbeiter rechne. In der Studie wird zudem deutlich, dass Mitarbeiter mit wenig Sicherheitsbewusstsein in den meisten Organisationen für Kopfschmerzen sorgen. Das schriftliche Notieren von Passwörtern wird zum Beispiel von 65 Prozent der Unternehmen als Problem genannt — 54 Prozent der Firmen beklagen die Weitergabe von Kennwörtern an Kollegen.
Erkenntnisse
Der Dauerdruck auf die IT-Systeme führt aber auch dazu, dass sich aus wiederkehrenden Angriffsszenarien wichtige Erkenntnisse ziehen lassen. Der Report zeigt eben auch, wie sich die Zahl der Sicherheitsverstöße deutlich senken lässt, wenn IT-Verantwortliche die Kontrolle über die Verwendung von Anmeldedaten zurückgewinnen. Was sind also die Lehren aus den Hackerangriffen?
- Vertrauen in Dienstleister ist gut, Sicherheitskontrolle ist besser. Externe Dienstleister sind in die IT-Prozesse einer Organisation fest integriert und ein häufiges Sekundärziel von Hackerangriffen. Deshalb müssen IT-Verantwortliche wissen, welche IT-Systeme und Daten von welchen Nutzern aus mit welchen Zugriffsrechten abgerufen werden können. Neben klar definierten Benutzerrechteprofilen mit ActiveDirectory-Anbindung ist dafür eine revisionssichere Auditierung aller durchgeführten Vorgänge erforderlich. Auch eine durchgängige Verschlüsselung ist dafür unabdingbar.
- Legacy-Lösungen mit VPN-Zugriff aussortieren. Vom Einsatz von VPN-Verbindungen ist abzuraten. Denn über kompromittierte End-to-End-Verbindungen können sich Unbefugte mit erfolgreich gehackten Nutzerprofilen unbeobachtet im Zielnetz bewegen. Zur Steuerung, Kontrolle, Protokollierung und Gefahrenabwehr benötigen IT-Verantwortliche eine lückenlose Sicht auf alle Netzaktivitäten.
- Keine Blankoschecks bei Zugriffsrechten. Wer darf auf welches System zu welchem Zeitpunkt zugreifen? Dies muss im IT-Verbund nachprüfbar geregelt werden. In keinem Fall dürfen Personen einen gemeinsamen Passwortschlüssel für den Zutritt zu sensiblen Datenbanken erhalten. Die Best-Practice-Empfehlung ist, dass Nutzer über individuelle Zugangsdaten verfügen, damit sich alle durchgeführten Konfigurationen auch den jeweiligen Administratoren zuordnen lassen.
- Zugriffe überwachen. Sicherheitsverantwortliche und IT-Administratoren setzen dafür professionelle Passwortmanagementlösungen ein, um Passwörter sicher verwalten und gemeinsam genutzte Konten schützen zu können. Passwörter werden zentral verschlüsselt gelagert, regelmäßig rotiert und bei Bedarf durch Credential-Injection-Technologie (direkt in Zielsysteme) eingespeist. Auf diese Weise erhalten autorisierte Anwender individuellen Zugriff auf Server und IT-Systeme, ohne dass die Passwörter offengelegt werden müssen.
- Sichere Passwörter. Neben der automatisierten Rotation oder Einmalverwendung von Kennwörtern gehört zu einem schlüssigen Sicherheitskonzept noch eine weitere Maßnahme. Fest kodierte Passwörter aus Applikationen und Skripten müssen entfernt werden, um Zugangsdaten von Applikation zu Applikation ohne manuelles Eingreifen sicher zu übertragen. Viele Service-Accounts bieten oft jahrelangen Zugriff auf kritische Geschäftssysteme, so dass Hackeraktivitäten oft erst spät erkannt werden. Im Angriffsfall geht es oft um Minuten, sodass hier eine automatisierte Rotation Gold wert sein kann.
- Least-Privilege-Policy. Anwender benötigen in der Regel keinen vollen und durchgängigen Zugriff auf alle Dienste, um ihre Aufgaben erledigen zu können. Als grundsätzliche Vorsichtsmaßnahme empfiehlt es sich daher, so wenige Berechtigungen zu vergeben wie nötig. So können Unbefugte weniger Schaden anrichten, wenn sie in den Besitz aktueller Anmeldedaten gelangen. Professionelle IT-Lösungen für Privileged Access Management erkennen und entfernen Administratorrechte und vergeben erhöhte Privilegien nur für geprüfte Applikationen und Aufgaben.
Fazit
Fachleuten ist bewusst, dass Sicherheitsverletzungen nur eine Frage der Zeit sind. Viele dieser Verstöße gehen auf die missbräuchliche Nutzung von privilegierten Zugangsdaten von Insidern oder externen Personen zurück. Die Anzahl solcher Benutzer und Konten wächst exponentiell und der Zugriff auf Systeme und Daten wird oft unkontrolliert gewährt. Angesichts steigender Bedrohungen und neuer Gesetzesvorgaben wie der EU-DSGVO wächst der Druck, eine durchgängige IT-Strategie zur Verwaltung und Kontrolle dieser Zugriffsrechte durchzusetzen.
*Der Autor: Kevin Switala, Regional Sales Manager beiBomgar.
(ID:45645043)
:quality(80)/images.vogel.de/vogelonline/bdb/1948500/1948540/original.jpg "Unter Cyberhygiene werden die gemeinsamen Vorsichtsmaßnahmen von Sicherheitsexperten, Admins und Anwendern eines Unternehmens gebündelt, die der Abwehr von Hackerangriffen und der Sicherheit der Unternehmenssysteme dienen (aga7ta – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1931900/1931914/original.jpg "Zero-Trust-Sicherheitskonzepte vertrauen grundsätzlich weder Anwendern noch Geräten oder Diensten (aga7ta - stock.adobe.com)")