:quality(80)/p7i.vogel.de/wcms/fa/fc/fafc7b1ef047632c3455f46bd10cd256/0110551755.jpeg "Digitalisierung an Schulen kann mit digitaler Inventarverwaltung unterstützt werden (Bild: Rawpixel.com / shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a6/46/a646f2662e79393429dc9c4eb272433d/0110475497.jpeg "Eine zeitgemäße digitale Bildungsinfrastruktur – mit dem Digitalpakt Schule unterstützt der Bund Länder und Gemeinden bei Realisierung (Bild: adragan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/f0/12f0ca00b0a4434cb5e39828021c2a91/0110547942.jpeg "Der Dialog mit den Mitarbeitern der Verwaltungen kann sicherstellen, dass die angebotenen Dienstleistungen und Programme tatsächlich auch ihren Bedürfnissen entsprechen (Bild: fidaolga – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Grundlagen für eine robuste Cyber-Sicherheitsstrategie Wichtige Hinweise für IT-Experten in Behörden
Wir alle sind uns bewusst, wie wichtig Cyber-Sicherheit ist. Weniger bekannt ist jedoch, wie eine erfolgreiche, zukunftsgerichtete Cyber-Sicherheitsstrategie, die für einen soliden Sicherheitsstatus in Behörden sorgt, konzipiert und umgesetzt wird.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/106800/106874/65.png "pp_h_rgb.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/64/60642f3bc4aeb/mgm-logo-2016-rgb.png "mgm Logo 2016 RGB.png (mgm)"){kind=logo}
Für IT-Sicherheitsexperten in Behörden gibt es hierfür verschiedene Orientierungshilfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt unter anderem Standards und Tipps und berät Behörden im Rahmen der Allianz für Cyber-Sicherheit. Viele IT-Experten in Behörden verfügen derzeit zwar über einen Grundstock an Tools, um verschiedene Sicherheitsfunktionen auszuführen, aber weder die Tools noch die Automatisierung allein bieten einen umfassenden Schutz für die Behörden.
Daher sollte jeder IT-Experte bei einer Behörde – vor der Umsetzung – einige elementare Schritte durchführen, um eine tragfähige Sicherheitsbasis zu schaffen. Die effektivste Strategie dabei ist ein übergeordneter Plan, der mehrere Sicherheitsschichten umfasst.
1. Einen Rahmenplan für die Informationssicherheit erstellen
Niemand würde ein Haus ohne einen Bauplan bauen; das gleiche Konzept gilt für die Entwicklung einer Sicherheitsstrategie. Ein Sicherheitsrahmenplan ist im Grunde genommen der Bauplan für die Sicherheit. Er besteht aus einer Reihe gut dokumentierter Richtlinien, Leitfäden, Prozesse und Verfahren dazu, wie die Sicherheit in einer Behörde am besten umgesetzt und verwaltet werden soll.
Es gibt mehrere bewährte Sicherheitsrahmenpläne. Konkrete Sicherheitsempfehlungen für kritische Infrastrukturen hat etwa die US-Bundesbehörde National Institute of Standards and Technology (NIST) herausgegeben. Das Cybersecurity Framework richtet sich an US-Behörden, doch die Sicherheitsempfehlungen haben globalen Charakter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte ähnliche Richtlinien.
Mithilfe dieser Richtlinien lässt sich ein Sicherheitsrahmenplan erstellen, anhand dessen man schnell und effizient Vorfälle erkennen und darauf reagieren kann.
2. Ein fortlaufendes Schulungsprogramm entwickeln
Der beste Rahmenplan der Welt ist wirkungslos, wenn das Team nicht weiß, was er beinhaltet und wie er am besten umgesetzt wird. Und genauso wichtig: Die Endnutzer müssen die Bedeutung einer guten Cyber-Sicherheitshygiene sowie die Konsequenzen schlechter Sicherheitspraktiken verstehen.
Regelmäßige, fortlaufende Schulungen für die gesamte Behörde sind von entscheidender Bedeutung. IT-Teams sollten darin geschult werden, potenzielle Schwachstellen schnell zu erkennen und die wirklich wichtigen Informationen in der Fülle der sicherheitsbezogenen Warnungen und Alarme aufspüren zu können. Entwickler sollten in sicheren Codierungsmethoden geschult werden. Zudem sollten Technikexperten darin geschult werden, Anwenderschulungen zielorientiert und interessant durchführen zu können. Zu den relevanten Themen für Endanwender zählen das Erstellen sicherer Kennwörter, das Erkennen von Phishing-E-Mails und anderen Social-Engineering-Angriffen sowie welche Informationen die Behörde verlassen dürfen und welche nicht.
3. Richtlinien und Verfahren erläutern
Das Erstellen des Sicherheitsrahmenplans ist das eine; Sicherstellen, dass jeder die Richtlinien und Verfahren im Zusammenhang mit diesem Rahmenplan versteht – oder Sicherstellen, dass das Bauteam den Bauplan versteht – ist genauso wichtig wie der Rahmenplan selbst.
Das Weitergeben dieser Informationen an alle Mitarbeiter, Sicherheitsteams und Endnutzer gleichermaßen, sollte in der Regel am besten bei der Einstellung erfolgen. Richtlinien und Erwartungen sollten von Anfang an klar und deutlich erläutert werden, um Missverständnisse zu vermeiden.
4. IT-Systeme überwachen
Tagtägliche Sicherheitsüberwachung und Wartung sind der Schlüssel zu einer erfolgreichen Eindämmung von Risiken und Schwachstellen. Im Rahmen der Sicherheitshygiene muss sichergestellt werden, dass sämtliche Updates und Patches für Hardware und Software auf dem neuesten Stand sind. Jeden Tag wird neue Malware entdeckt. Die Sicherstellung, dass alle Systeme aktuell sind, sollte die Ausgangsbasis sein.
Eine weitere, wichtige Form der Wartung ist das Vorhandensein eines robusten Sicherungssystems. Wenn eine Sicherheitsverletzung stattfindet und Daten kompromittiert werden, sorgt ein gutes Sicherungssystem für minimalen Datenverlust und geringe Produktivitätseinbußen.
Selbst wenn alle Endnutzer mit den Sicherheitsschulungen auf dem Laufenden sind, besteht schließlich immer die Möglichkeit, dass sie – absichtlich oder unabsichtlich – die Sicherheitsrichtlinien verletzen. IT-Sicherheitsexperten in Behörden müssen in der Lage sein, die Aktivität von Endnutzern zu überwachen, um dieses Risiko abzuschwächen und Richtlinienverstöße abzufangen, bevor sie zu Sicherheitsverletzungen werden.
:quality(80)/images.vogel.de/vogelonline/bdb/770800/770804/original.jpg "Bedingt durch die Vielzahl an Netzwerk- und Internet-Technologien, Prozessen und Services erfordert Cloud Computing eine mehrschichtige Sicherheitsarchitektur. (© Rawpixel - Fotolia.com)")
Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 5)
IT-Sicherheit in der Cloud
5. Über staatliche Vorschriften auf dem Laufenden halten
Jeder IT-Sicherheitsexperte in einer Behörde ist sich darüber im Klaren, wie wichtig die Einhaltung der gesetzlich festgelegten Vorschriften ist. Mit der EU-Datenschutz-Grundverordnung wurden neue Regularien für personenbezogenen Daten eingeführt, um die ¬Persönlichkeitsrechte und die ¬Privatsphäre von Bürgern zu schützen. Zusätzlich enthält die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) eine umfassende Definition von schützenwerten Patientendaten.
Die Einhaltung solcher Vorschriften ist nicht nur obligatorisch, sondern trägt auch erheblich zur Verbesserung des Sicherheitsstatus insgesamt bei.
Fazit
Diese fünf Grundlagen sind erst ein Anfang. Wenn die Grundlagen stimmen, werden weitere Schichten notwendig, um einen Strategieplan für Cyber-Sicherheit zu stützen und sich bestmöglich aufzustellen. Durch das Hinzufügen weiterer Schichten, wie Perimeterabwehr, Überwachung auf Geräteversagen und Stromausfall sowie erweiterte Überwachung auf Insider-Bedrohungen, kann eine stabile Grundlage verbessert und für mehr Sicherheit in einer Behörde gesorgt werden.
*Autor: Sascha Giese, Head Geek bei SolarWinds
(ID:45758063)
:quality(80)/images.vogel.de/vogelonline/bdb/1880900/1880922/original.jpg "(iStock)")
:quality(80)/images.vogel.de/vogelonline/bdb/1880900/1880912/original.jpg "(iStock, LogMeIn)")