:quality(80)/p7i.vogel.de/wcms/30/d1/30d14f5e69df1dca3524526d57ea6298/0115475041.jpeg "Passen GenZ und der Public Sector zusammen? (© gpointstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/ba/eaba6d07146d3b1c88eab37b851f73fb/0115443690.jpeg "Lydia Hüskens, Ministerin für Infrastruktur und Digitales sowie zweite stellvertretende Ministerpräsidentin des Landes Sachsen-Anhalt (© Laurence Chaperon)")
:quality(80)/p7i.vogel.de/wcms/d8/1d/d81d3ba3132a0cdcdfe5dc8ac57e12a7/0109732503.jpeg "v.l.n.r.: Stefan Latuski, CEO IT-Systemhaus der Bundesagentur für Arbeit, Thomas Heinevetter, Geschäftsführer bei kobaltblau und Christoph Hecker, Senior Manager bei kobaltblau (Bild: kobaltblau)")
:quality(80)/p7i.vogel.de/wcms/3a/e4/3ae4d9fb2862ddf5baed2cf87910e36e/0115476216.jpeg "Ernst Bürger, Abteilungsleiter „Digitale Verwaltung; Steuerung OZG“ im Bundesinnenministerium (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/92/d5/92d57e3e1f9ba8bf9a713158499f54e8/0115489117.jpeg "KI gewinnt zunehmend am Arbeitsplatz an Bedeutung. (© Andreas Berheide - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/27/a12786a88dc199c49d24bf1f83776252/0115484999.jpeg "(Bild: bakhtiarzein – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9e/2a9e11599a73caa57fcabec81f6da8e4/0115441909.jpeg "(Bild: Coloures-Pic – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/fd/97fdeedd6bca4ef4742a8e192802602f/0115457037.jpeg "Die Hochschule des Bundes für öffentliche Verwaltung in Brühl (© cm)")
:quality(80)/p7i.vogel.de/wcms/b4/0f/b40fd5186a1ede0442db7e5201f281a0/0114860609.jpeg "Was kann die Verwaltungspraxis von der Wissenschaft lernen? Die eGovernment-Kolumne klärt auf – diesmal zum Thema „Antipublic Bias“. (Bild: blende11.photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/26/0226cb05084fed93621063df30ba0d22/0114285584.jpeg "(Bild: FAMILY STOCK – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/78/7c786254d9ceb3ce1819fed318fb6745/0115439133.jpeg "Beim FIT-Kongress 2023 wurden herausragende Frauen aus der IT – und erstmalig auch aus dem Public Sector sowie dem Healthcare-Bereich mit den WIN-Awards 2023 ausgezeichnet. (Bild: www.hamann.photo)")
:quality(80)/p7i.vogel.de/wcms/09/08/090892ed70064b4cba6489cec1f83f07/0115441274.jpeg "Das NEGZ vernetzt Expert:innen aus Verwaltung, Wirtschaft und Wissenschaft, um die Digitalisierung der deutschen Verwaltung zur unterstützen und anzutreiben. (© NEGZ)")
:quality(80)/p7i.vogel.de/wcms/59/0d/590dbc49700836dafcd0bb211a5aed0d/0115385334.jpeg "Unter dem Motto „Endgegner Bürokratisierung weichkochen!“ stellten sich (v. l.) Marko Haas (Leiter des Bereiches Digitalstrategie und Digitale Transformation in der Deutschen Rentenversicherung Bund), Marie-Dominique Enjalbert (Projektleitung eWA, OZG-Umsetzungsprojekt für die elektronische Wohnsitzanmeldung, Amt für IT und Digitalisierung Hamburg), Michael Mätzig (Geschäftsführender Direktor Städtetag Rheinland-Pfalz), Ann Cathrin Riedel (Geschäftsführerin NExT e.V., Vorsitzende LOAD e.V., Digitalrätin des BMDV zur Umsetzung der Digitalstrategie des Bundes, Digitalrätin Sachsen-Anhalt) den Fragen von Basanta Thapa (Geschäftsführer des NEGZ). (© MACH AG / Jakob Börner)")
:quality(80)/p7i.vogel.de/wcms/35/cb/35cb811222a30e525d3829054deecdc1/0115287745.jpeg "„Zukünftig können digitale Anträge deutschlandweit über das zentrale Bürgerkonto, die BundID, oder mit dem Online-Ausweis gestellt werden“, sagte Bundesinnenministerin Nancy Faeser auf der SCCON 2023 (© Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/77/9d/779d8995085bc7a6f2aa9b0b47fd3405/0115335433.jpeg "Thomas Feld, Vice President Data Economy, Materna (© Materna)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7211e1e92ddfcbf3943b3463b84a57/0115335396.jpeg "(©Fraunhofer)")
:quality(80)/p7i.vogel.de/wcms/59/b2/59b2dda70740cf2ab38cebbfd705a26b/0115335552.jpeg "(© CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/1a/37/1a375e7cd1fb301470b9e06a7b65e537/0115080189.jpeg "(©CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/cc/2a/cc2ac732f86986106bca29ec116f940d/0115384347.jpeg "Das NEGZ ist eine Non-Profit-Organisation. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/94/d8943e3a3350b35494f18184ba902639/0115383747.jpeg "Zentrum für Legistik: Gesetzgebungslehre beim Bundesjustizministerium. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/5e/b85edd08fd2f6325082e24fb46839b73/0115383258.jpeg "Open CoDE: Souveräne Netzwerk-Infrastruktur für die Verwaltung (Bild: aga7ta – stock.adobe.com)")
Identitäts- und Zugriffsmanagement im öffentlichen Sektor Wie PAM hilft, die Anforderungen des BSI zu erfüllen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/61/26/6126551f995c4/liferay-logo-full-color-digital.png "liferay-logo-full-color-digital (Liferay GmbH)"){kind=logo}
Zum Schutz digitaler Identitäten und privilegierter Zugriffe auf Systeme und Daten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindestanforderungen an die Sicherheitsmaßnahmen formuliert. Diese stellen staatliche sowie kommunale Einrichtungen jedoch immer wieder vor Herausforderungen. Privileged Access Management-Tools (PAM) können Abhilfe schaffen.
Als Folge der Corona-Pandemie sahen sich staatliche und kommunale Einrichtungen in den letzten zweieinhalb Jahren zunehmend dazu gezwungen, ad-hoc zu digitalisieren. So wurden für Mitarbeitende immer häufiger Remote-Zugriffe eingerichtet und Leistungen von Behörden, sofern möglich, auch digital zur Verfügung gestellt. Und auch das neue Onlinezugangsgesetz (OZG), das Bund, Länder und Kommunen bis Ende dieses Jahres verpflichtet, bestimmte Verwaltungsleistungen über Online-Portale anzubieten, war ein Booster für die digitale Transformation im Government-Sektor.
Die Vorteile dieser – zum Teil überfälligen – Digitalisierung liegen auf der Hand: Die Verwaltung wird effizienter und produktiver und bietet den Bürgern zudem eine deutlich bessere Nutzererfahrung. Mit Blick auf die IT-Sicherheit ergeben sich allerdings auch erhebliche Risiken. Denn Cyberkriminelle nutzen immer häufiger Angriffsvektoren wie Ransomware, Phishing oder eine Code-Ausführung aus der Ferne (RCE) für eine gezielte Kompromittierung privilegierter Identitäten. Diese ermöglicht es ihnen, sich im Netzwerk auszubreiten, kritische Daten zu verschlüsseln oder zu stehlen und Abläufe zu manipulieren. Dass sie dabei immer häufiger erfolgreich sind, liegt unter anderem daran, dass die IT-Ausstattung in öffentlichen Einrichtungen in Deutschland deutlich hinter anderen Ländern zurückliegt. Aber auch der IT-Fachkräftemangel, der in staatlichen oder kommunalen Einrichtungen noch ausgeprägter ist als in der Privatwirtschaft und die Umsetzung eines adäquaten Privileged Access Managements (PAM) in den Ämtern und Behörden erschwert, spielt hier eine entscheidende Rolle.
Identitäts- und Berechtigungsmanagement gemäß des IT-Grundschutz-Profils
Die Absicherung digitaler Identitäten und privilegierter Zugriffe auf Systeme und Daten hat für staatliche und kommunale Einrichtungen oberste Priorität – insbesondere seitdem die Digitalisierung an Fahrt aufgenommen hat. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik erkannt und zum Schutz der Kommunalverwaltungen bereits im Jahr 2019 verpflichtende Mindestsicherheitsmaßnahmen auf Basis des BSI-Standard 200-2 „IT-Grundschutz-Methodik” definiert. Dafür wurden die Sicherheitsanforderungen in prozess- und systemorientierte Bausteine aufgeteilt und nach zusammengehörigen Themen in ein ganzheitliches Schichtenmodell einsortiert.
Im Prozess-Baustein ORP.4 legt das BSI dabei auch 23 spezielle Anforderungen fest, mit denen Institutionen ein sicheres Identitäts- und Berechtigungsmanagement aufbauen sollen. Die Grundlage hiervon bilden so genannte Basis-Anforderungen. Ihre Umsetzung stellt die IT- und Security-Verantwortlichen bisweilen vor Herausforderungen, kann durch den Einsatz moderner PAM-Tools jedoch nachhaltig unterstützt werden.
Die wichtigsten Basis-Anforderungen und wie PAM ihre Umsetzung unterstützt
- 1. Regelung für die Einrichtung und Löschung von Benutzern und Benutzergruppen:
Kommunale Einrichtungen müssen stringent regeln, wie Nutzerkennungen und -gruppen einzurichten und zu löschen sind. Dazu gehört, dass sich Kennungen eindeutig einzelnen Benutzern zuordnen lassen und Nutzer (inklusive Gast- und Standard-Administratorkonten), die längere Zeit inaktiv sind, automatisch deaktiviert werden.
Unterstützung durch PAM:
Eine moderne PAM-Lösung unterstützt die Umsetzung dieser Anforderungen wirkungsvoll: Sie ermöglicht sowohl die Einrichtung von Benutzerkennungen als auch die regelmäßige Identifizierung inaktiver Nutzer, spürt (auch versteckte) Administrator-Rechte auf und schützt und auditiert sämtliche Berechtigungen.
- 2. Erstellen, Ändern und Entziehen von Berechtigungen:
Privilegierte Berechtigungen dürfen nur nach dem Need-to-Know- bzw. Least-Privilege-Prinzip, das heißt nach dem tatsächlichen Bedarf und zur Erfüllung konkreter Aufgaben vergeben werden. Scheidet ein Mitarbeiter aus oder wechselt die Abteilung, müssen nicht mehr benötigte Berechtigungen daher unmittelbar entfernt werden. Rechte-Erweiterungen, die über die Standardrechte hinausgehen, sollten zudem stets bei den entsprechenden Teams beantragt und begründet werden müssen. Zugriffsrechte auf Systemverzeichnisse und Systemdaten sollten dabei besonders restriktiv eingeschränkt werden.
Unterstützung durch PAM:
Über eine PAM-Lösung lassen sich Berechtigungen bequem erteilen, verwalten und nach Erledigung der entsprechenden Aufgabe auch wieder entziehen – und das in Echtzeit über einen zentralen Administrationspunkt.
- 3. Dokumentation von Nutzerkennungen und Rechteprofilen:
Einrichtungen müssen dokumentieren, welche Nutzerkennungen, Benutzergruppen und Rechteprofile zugelassen und angelegt sind und diese Dokumente zudem regelmäßig überprüfen. Die Dokumentation muss vor unberechtigtem Zugriff geschützt werden und sollte Teil des Datensicherungsverfahrens sein.
Unterstützung durch PAM:
Eine PAM-Lösung stellt öffentlichen Einrichtungen alle erforderlichen Werkzeuge für eine umfassende und granulare Dokumentation zur Verfügung – etwa mit Blick auf die Nutzer, deren Zugriffe auf kritische Assets und deren Aktivitäten. Dies ermöglicht die Einhaltung aller relevanten Compliance-Anforderungen und kann im Bedarfsfall auch zur Aufklärung von Sicherheitsvorfällen beitragen.
- 4. Identifikation und Authentifizierung:
Der Zugriff auf die IT-Systeme und Dienste einer Behörde oder eines Amtes muss durch eine angemessene Identifikation und Authentifizierung der Benutzer sowie externer Dienste und IT-Systeme abgesichert sein. Wird ein vorkonfiguriertes Authentisierungsmittel genutzt, etwa ein Standard-Passwort, muss dieses vor dem Einsatz aktualisiert und angepasst werden.
Unterstützung durch PAM:
Zeitgemäße PAM-Lösungen sind in der Lage, vordefinierte Authentisierungsmittel automatisch zu identifizieren und zentral zu verwalten. Auf diese Weise lassen sich die Zugriffsrechte von Personen und Systemen überwachen und im Zuge turnusmäßiger Passwortrotationen entziehen.
- 5. Regeln zur Passwortqualität:
Je nach Einsatzzweck und Kritikalität müssen entsprechend adäquate Passwörter generiert werden. Dabei gilt es, das richtige Gleichgewicht zwischen Komplexität und Benutzerfreundlichkeit zu finden: Das Passwort muss komplex genug sein, um nicht leicht erraten oder mittels Brute-Force-Attacke schnell geknackt zu werden, aber dennoch so einfach, dass der Nutzer in der Lage ist, es mit zumutbarem Aufwand regelmäßig anzuwenden.
Unterstützung durch PAM:
Fast alle PAM-Lösungen bieten ein effektives Passwortmanagement, das die automatische Verwaltung und Rotation von Passwörtern unterstützt und so die Sicherheit erhöht, ohne die Produktivität zu stören. Optional kann es mit zusätzlichen Authentifizierungsmethoden – etwa Multi-Faktor-Authentifizierung (MFA) – kombiniert werden, um ein noch höheres Schutzniveau zu erreichen, das durch Künstliche Intelligenz (KI) und adaptive Verfahren bis hin zur Zero-Trust-Architektur erweitert werden kann. Dies ist vor allem bei Zugriffen auf sensible Daten und Systeme sowie bei Benutzern mit besonders weitreichenden Berechtigungen unerlässlich.
- 6. Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme:
IT-Systeme oder Anwendungen dürfen stets nur mit gutem Grund – und nicht einfach turnusmäßig – zum Passwortwechsel auffordern. Daher gilt es, geeignete Maßnahmen zu ergreifen, um die Kompromittierung von Passwörtern frühzeitig zu erkennen. Ist dies nicht möglich, muss abgewogen werden, ob man die Nachteile einer zeitgesteuerten Passwortänderung in Kauf nehmen will. Default-Passwörter müssen jedoch grundsätzlich durch ausreichend starke Passwörter ersetzt und vordefinierte Kennungen geändert werden. Bei den Accounts technischer User, Service Accounts und Schnittstellen muss der Passwortwechsel dabei besonders sorgfältig geplant und mit den Anwendungsverantwortlichen abgestimmt werden. Bei der Authentisierung in vernetzten Systemen gilt es, Passwörter niemals unverschlüsselt über unsichere Netze zu übertragen.
Unterstützung durch PAM:
Moderne PAM-Software ist in der Lage, Passwörter unternehmensweit aufzuspüren, zu verwalten und abzusichern. Das Augenmerk liegt dabei insbesondere auf privilegierten Konten, Dienstkonten und fest codierten Zugriffsrechten von Personen und Systemen, deren Schutz für viele Behörden eine große Herausforderung darstellt – die mit der Integration einer PAM-Lösung aber sicher verwaltet werden können.
Fazit
Die Ausfallsicherheit der Systeme und die Aufrechterhaltung der Services von staatlichen und kommunalen Einrichtungen steht und fällt mit der Absicherung ihrer IT-Infrastruktur. Mit dem IT-Grundschutz-Profil hat das BSI den betroffenen Stellen und Behörden eine nützliche Vorgabe für die Planung von Maßnahmen für unterschiedliche Bedrohungsszenarien an die Hand gegeben. Und auch wenn Privileged Access Management in diesem Leitfaden nicht explizit genannt wird, sind viele der dort beschriebenen Anforderungen sowie die drei Basisprinzipien Zero-Trust, Least-Privilege und Need-to-Know nur mit einer modernen PAM-Lösung wirksam und benutzerfreundlich umsetzbar.
Andreas Müller
Vice President DACH, Delinea
Bildquelle: Delinea
(ID:48965841)
:quality(80)/p7i.vogel.de/wcms/da/3b/da3ba7ed74f63b61d367a962fa33b446/0112006966.jpeg "Multi-Faktor-Authentifizierung (MFA): Mehr Sicherheit durch mehrstufige Authentifikation (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/14/4c14bda6b2cc0d84019ca9a96b895410/0112898175.jpeg "0112898175 (© 2022 Mongta Studio/Shutterstock)")