Besonders im Visier von Cyberattacken sind öffentliche Einrichtungen. Das beweist unter anderem der aktuelle Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) aus dem Jahr 2022. Demgemäß wurden jeden Monat durchschnittlich 34.000 E-Mails mit Schadprogrammen auf deutsche Regierungsnetze abgefangen. Das sind 46 vereitelte Cyberattacken pro Stunde. Und dabei beziehen wir uns lediglich auf die Gefahr, die von Schadprogrammen ausgeht.
Andere Gefährdungen der IT Sicherheit, wie beispielsweise Social Engineering, kommen dabei on top. Damit ist klar: Digitalisierung im öffentlichen Sektor erfordert, sich auch auf die Themen IT Sicherheit und Datenschutz zu fokussieren. Wie ein IT-Sicherheitskonzept Behörden und Verwaltungen auf Bundes-, Landes- und Kommunalebene dabei unterstützt, Daten vor Verlust und Einsicht Unbefugter zu schützen, klären wir in diesem Artikel. Darüber hinaus liefern wir Tipps, wie ein IT-Sicherheitskonzept für öffentliche Einrichtungen mithilfe des IT-Grundschutzes erstellt werden kann.
Durch die Erstellung eines IT-Sicherheitskonzepts gewinnen öffentliche Einrichtungen einen Überblick darüber, welche Daten erhoben werden, wo diese wie abgelegt werden und wer darauf zugreifen darf. Außerdem werden auf diese Weise Schwachstellen in der IT Sicherheit aufgedeckt sowie passende Maßnahmen schriftlich definiert. Auch beinhaltet ein Sicherheitskonzept einen Plan zur Umsetzung, der regelmäßig überprüft und dokumentiert wird.
Ziel eines IT-Sicherheitskonzepts ist es, sicherzustellen, dass Daten weder manipuliert noch von Unbefugten eingesehen werden können. Auch geht es darum, Daten vor physischem Verlust zu schützen – zum Beispiel bei Brand oder defekten Speichermedien.
Öffentliche Einrichtungen sowie Behörden gehören zu den sogenannten Kritischen Infrastrukturen (kurz KRITIS). Mit dieser Einstufung beschreibt das BSI Organisationen und Einrichtungen „mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Welche Folgen das konkret haben kann, zeigte der Cyberangriff vom 06. Juli 2021 auf die IT des Landkreises Anhalt-Bitterfeld. Cyberkriminelle infizierten die IT-Systeme der Verwaltung mithilfe von Schadsoftware und verschlüsselten Daten durch Ransomware. Selbst mehr als 200 Tage nach dem Ransomware-Angriff konnten Elterngeld, Arbeitslosen- und Sozialgeld, Kfz-Zulassungen und andere bürgernahe Dienstleistungen nicht erbracht werden.
Finden Sie heraus, welches die häufigsten Cyberangriffe sind, die auch den öffentlichen Sektor bedrohen können.
1. EU-DSGVO zum Schutz personenbezogener Daten: Da Ämter, Behörden und Kommunen personenbezogene Daten der Bürger und Bürgerinnen verwalten, gelten zum Schutz dieser sensiblen Datensets die Bestimmungen der EU-DSGVO (Europäische Datenschutzgrundverordnung). Aufgrund dieser Datenschutzbestimmungen sind erhöhte Sicherheitsmaßnahmen Pflicht.
2. IT-Sicherheitsgesetz 2.0 zum Schutz der IT-Infrastrukturen: Während sich die Datenschutzgrundverordnung darauf konzentriert, Informationen über identifizierbare Personen zu schützen, liegt der Fokus des IT-Sicherheitsgesetzes 2.0 darauf, die physischen Komponenten in der IT-Infrastruktur zu sichern. Darum definiert das BSI beispielsweise den aktuellen Stand der Technik in Kritischen Infrastrukturen. Die Einhaltung dieses Standards müssen Einrichtungen im öffentlichen Sektor alle zwei Jahre nachweisen.
Zudem ist in diesem Gesetz festgelegt, dass öffentliche Einrichtungen Reaktionspläne und Präventionsmaßnahmen ausarbeiten müssen, um Störungen ihrer IT-Systeme zu vermeiden. Auch sind öffentliche Einrichtungen wie Behörden, Ämter und Stadtverwaltungen verpflichtet, Sicherheitsaudits durchzuführen sowie Prüfungen und Zertifizierungen (beispielsweise die ISO 27001) nachzuweisen.
Darüber hinaus ist ab dem 01.05.2023 die Verwendung von „Systemen zur Angriffserkennung“ verpflichtend. Dazu gehören zum Beispiel Intrusion Detective Systems (IDS) und Security Information and Event Management (SIEM), um Datenverkehr und Protokolle auf Cyberattacken zu prüfen.
Um die Informationssicherheit systematisch anzugehen und durchzuführen, ist ein IT-Sicherheitskonzept notwendig. Dieses kann in folgenden drei Schritten erstellt werden:
Damit Behörden und Verwaltungen leichter in das Thema IT Sicherheit einsteigen können, stellt das BSI das IT-Grundschutz-Profil bereit. Öffentliche Einrichtungen können sich an diesem Leitfaden orientieren, um die größten Schwachstellen mit geeigneten Maßnahmen direkt zu schließen. Vergleichen lässt sich diese Erst-Absicherung mit einem Breitbandantibiotikum: Es eliminiert schnell ein breites Spektrum an Bakterien. Dadurch gewährleisten Verwaltungen, dass sie nicht grob fahrlässig handeln.
Diese ersten Maßnahmen allein reichen jedoch nicht aus. Deshalb geht es im nächsten Schritt darum, die Sicherheitsmaßnahmen weiter und noch gezielter anzupassen. Auch hier gibt das BSI Empfehlungen. Welche davon zu den Prozessen in der jeweiligen Verwaltung passen, wird in dem individuellen IT-Sicherheitskonzept definiert.
Auch sollte das IT-Sicherheitskonzept abbilden, wer die Umsetzung der technischen und organisatorischen Maßnahmen überwacht. Und in welchem Zyklus beispielsweise alle Mitarbeitenden zu den Themen Datenschutz und IT Sicherheit sensibilisiert und geschult werden.
Mit diesen drei Schritten werden alle Bereiche innerhalb der Verwaltung beleuchtet sowie Technologien, Menschen und Prozesse zusammengebracht, um Sicherheitsrisiken zu erkennen, Maßnahmen zu treffen und konstant umzusetzen beziehungsweise weiter anzupassen.
☑️ Device Control kontrolliert und protokolliert, welche internen und externen Endgeräte von den Anwendern und Anwenderinnen an die Netzwerke und Gerätschaften der öffentlichen Einrichtung angeschlossen werden können.
☑️ Application Control verhindert, dass unbekannte oder unerwünschte Anwendungen ausgeführt werden.
☑️ Detection and Response erkennt, warnt und reagiert auf Sicherheitsvorfälle, indem zum Beispiel bestimmte Prozesse abgeschaltet werden.
☑️ Security Awareness sensibilisiert und schult die Mitarbeitenden, damit Hacker und Hackerinnen auch von der menschlichen Firewall blockiert werden.
☑️ Vulnerability Management identifiziert Schwachstellen auf den Endpunkten, um so Sicherheitsrisiken schließen zu können.
☑️ BitLocker Management zentralisiert und automatisiert die Verschlüsselung von Festplatten.
☑️ Defender Management verwaltet Microsoft Defender Antivirus komfortabel gemeinsam mit unseren Präventionswerkzeugen.
Mehr Infos, wie Sie sensible Daten effektiv und sicher schützen, erhalten Sie im Whitepaper „IT Sicherheit im öffentlichen Sektor“.
Um die Risiken und Nebenwirkungen von Cyberangriffen im öffentlichen Sektor so gering wie möglich zu halten, müssen die Themen Datenschutz und IT Sicherheit strukturiert und entsprechende Maßnahmen geplant umgesetzt werden. Dabei hilft die Erstellung eines IT-Sicherheitskonzepts. Mithilfe dieses Konzepts wird der aktuelle Zustand der Informationssicherheit in der jeweiligen Einrichtung ermittelt und systematisch mit dem Soll-Zustand abgeglichen. Anhand der definierten Maßnahmen werden anschließend Sicherheitslücken geschlossen. Auf diese Weise geht Digitalisierung im öffentlichen Sektor mit IT Sicherheit und Datenschutz Hand in Hand.
In einem IT-Sicherheitskonzept sind technische und organisatorische Maßnahmen definiert, um sowohl Daten als auch IT-Systeme zu schützen.
In einem IT-Sicherheitskonzept werden die potenziellen Gefahren für die IT Sicherheit ermittelt und geeignete Schutzmaßnahmen definiert. Eine Orientierungshilfe bietet hier der BSI-Grundschutz-Katalog.
Der BSI-Grundschutz ist keine Pflicht, sondern eine Hilfe zur Selbsthilfe für Verwaltungen und Unternehmen, um ihre IT Sicherheit zu verbessern. Der Grundschutzkatalog des BSI vereinfacht den Soll-Ist-Abgleich und empfiehlt geeignete Maßnahmen, um IT-Sicherheitslücken zu schließen.
Erster Schritt ist die Ist-Analyse. Wo werden welche Daten erhoben plus gespeichert und wer darf darauf zugreifen? Auch gilt es Gefahren und Sicherheitslücken aufzudecken. Im zweiten Schritt werden Maßnahmen definiert, um Daten und IT-Systeme zu sichern.
Die drei Hauptziele eines Sicherheitskonzepts lauten: Integrität, Verfügbarkeit und Vertraulichkeit von Informationen.
Jedes Unternehmen und jede Verwaltung sollte ein IT-Sicherheitskonzept erstellen. Das sollte am besten eine Fachkraft der Informationstechnik machen oder ein externer IT-Experte bzw. eine IT-Expertin.
Der IT-Grundschutz ist eine Liste von Empfehlungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Hilfe zur Selbsthilfe herausgegeben hat. Die Umsetzung ist keine Pflicht, sondern ein Angebot. Fakt ist, dass Kritische Infrastrukturen wie öffentliche Einrichtungen höchstes Sicherheitsniveau gewährleisten müssen.
Der BSI-Grundschutz richtet sich sowohl an Einsteiger und Einsteigerinnen als auch an Profis und findet Anwendung in Unternehmen und öffentlichen Einrichtungen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersteht dem Bundesministerium des Innern und für Heimat.
Jedes Unternehmen benötigt ein IT-Sicherheitskonzept, um die Themen Datenschutz und Datensicherheit zu strukturieren und entsprechend umzusetzen.
Das IT-Sicherheitskonzept hilft dabei, einen Überblick zu erhalten, welche Daten wo und wie geschützt werden können. Auch unterstützt der daraus erarbeitete Aktionsplan die Umsetzung der IT-Sicherheitsmaßnahmen.
Weitere Informationen finden Sie auf unserer Branchenseite "Wie sich Behörden gegen Cyberangriffe absichern können".