IT-SicherheitRisiken minimieren
Es wird viel von IT-Sicherheit gesprochen in diesen Tagen. Die Sicherheit von E-Mail-Accounts, Internet- und E-Commerce-Auftritten, aber auch von kritischen Infrastrukturen gewinnt an Bedeutung. Spätestens seit den Hackerangriffen auf den Deutschen Bundestag im Sommer 2015 ist uns allen bewusst, dass Cyber-Kriminelle auch vor gut geschützten Institutionen nicht haltmachen. Doch Kommunen und kommunale Unternehmen sind dieser Bedrohung nicht schutzlos ausgeliefert. Vor Hackerangriffen von außen schützt eine Firewall, die von einem IT-Administrator stets auf dem aktuellsten Stand gehalten wird. Das größere Problem ist häufig in der eigenen Organisation zu finden. Ein mögliches Szenario ist die Unachtsamkeit: Der Sachbearbeiter nimmt von einem Bekannten einen USB-Stick mit den neuesten Hits mit ins Büro. Als Gratiszugabe beinhaltet der Datenträger aber auch eine Schad-Software, die sich unbemerkt im Netzwerk ausbreitet. Die Folgen: Vom Server-Ausfall bis zum anonymen, unberechtigten Zugriff auf Finanz- und Personendaten ist alles möglich. Aber auch der Vorsatz ist ein denkbares Szenario: Die öffentliche Verwaltung bietet viele Möglichkeiten, um auf dem elektronischen Weg, etwa per De-Mail, zu kommunizieren, Daten via ELSTER auszutauschen oder sich beispielsweise über Bürgerportale zu informieren. Schad-Software, die vorsätzlich in diese Systeme eingeschleust wird – beispielsweise durch einen entsprechend fingierten E-Mail-Anhang –, kann enorme Schäden anrichten. Beide Fälle zeigen, dass die IT-Sicherheit auch durch die Mitarbeiter bedroht ist. Für solche Szenarien müssen die Kommunen Vorkehrungen treffen und sie vor allem auch umsetzen. Hierbei helfen technische und organisatorische Maßnahmen, um die erkannten und gegebenenfalls bewerteten Risiken zu minimieren. Den Grundstein dafür legt ein so genanntes Informationssicherheitsmanagement-System (ISMS).
Technische und organisatorische Maßnahmen
Zu den technischen Maßnahmen zählen der Einsatz aktuellster Virenschutzprogramme, die Verwendung neuester Patches der Firewall, die regelmäßige Überprüfung durch so genannte Penetrationstests, die Umsetzung sicherer Programmieranforderungen und elektronische Zugangskontrollen zu sicherheitsrelevanten Bereichen. Organisatorische Maßnahmen sind wesentlich komplexer und betreffen letztendlich jeden Verwaltungsmitarbeiter, vom Auszubildenden bis zum Bürgermeister. Essenziell wichtig ist dabei die Kommunikation der Regeln und Maßnahmen. Denn was nützt die neueste Virenschutz-Software, wenn diese manuell am Arbeitsplatzrechner deaktiviert wurde? Wozu die Inbetriebnahme einer elektronisch personalisierten Zugangskontrolle, wenn dem freundlich grüßenden Handwerker die Tür zum Rechenzentrumsbereich aufgehalten wird, ohne Rückversicherung, dass er berechtigten Zutritt erhalten darf? Ein drittes Beispiel: PIN-Nummern auf Smartphones sind hilfreich und notwendig. Wenn aber der Abteilungsleiter, der die Regelung mit unterschrieben hat, diese bei seinem Gerät aus Bequemlichkeit heraus nicht nutzt, ist diese Maßnahme schlichtweg unwirksam. In der Regel ist der Datenschutzbeauftragte den meisten Mitarbeitern bekannt. Aber wer ist für die IT-Sicherheit der erste Ansprechpartner? Die Nennung eines Verantwortlichen sollte in der heutigen Zeit kein Problem mehr sein. Er benötigt aber auch die Chance, dass er Aufgaben mit der gebotenen Ernsthaftigkeit umsetzen kann. Dazu gehören Einsicht in die Abläufe, Weisungsbefugnis und ein direkter Draht zur Leitungsebene. Auch die Bildung einer eigenen internen IT-Sicherheitsmarke kann dabei helfen, das Bewusstsein innerhalb der Verwaltung für das Thema zu steigern.
Sicherheit muss sich im Grundverständnis verankern
Diese Fakten machen deutlich, dass Deutschland einen enormen Aufholbedarf hat. In Bezug auf die Informations- und IT-Sicherheit ist die Bundesrepublik auf dem Stand eines Entwicklungslandes. Längst sind in anderen europäischen und asiatischen Ländern höhere Standards etabliert. Hier gilt es, alle Beteiligten für die Thematik zu sensibilisieren. Sicherheit, gerade im IT-Bereich, muss sich im Grundverständnis verankern. Die Verantwortung der kommunalen Verwaltung wird sich in diesem Zusammenhang signifikant erhöhen. Dies erfordern einerseits die Beteiligungsstrukturen an medizinischen Einrichtungen wie Krankenhäusern und Universitätskliniken, an Strom- und Wasserversorgungsunternehmen sowie an kommunalen Rechenzentren und Forschungsinstituten. Andererseits erfordert der eigene Verwaltungsapparat einen sicheren Umgang mit Daten. Es soll nicht unerwähnt bleiben, dass es bereits positive Ansätze aus kommunalen Beteiligungsunternehmen und öffentlichen Verwaltungen gibt. IT-Sicherheit führt dann zum Erfolg, wenn sich mehrere Partner zusammenschließen, gemeinschaftlich Lösungen erarbeiten und diese effizient umsetzen: Der Deutsche Städte- und Gemeindebund, der Deutsche Städtetag sowie der Deutsche Landkreistag haben gemeinsam mit der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, Vitako, bereits im Dezember 2014 in einer Arbeitsgruppe eine so genannte Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen erarbeitet. Dieses Papier stellt übersichtlich eine Vielzahl wichtiger Informationen zur Verfügung, um einen erfolgreichen Einstieg in die Thematik zu gewährleisten.
Dieser Beitrag ist in der Januar-Ausgabe von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.
SEP/Databund: Kooperation für IT-Sicherheit
[29.11.2024] SEP, Hersteller der Datensicherungslösung SEP sesam, ist jetzt Mitglied des Databund. Die in Deutschland entwickelte Backup-Lösung wird bereits von zahlreichen öffentlichen Institutionen eingesetzt. Mit dem Beitritt zu Databund will SEP den Austausch mit anderen Akteuren der öffentlichen Verwaltung fördern. mehr...
Fraunhofer IGD / ekom21: Cybergefährdungslagen visualisieren
[21.11.2024] Neue interaktive Visualisierungen von IT-Gefährdungslagen sollen in einem Forschungsprojekt des Fraunhofer-Instituts für Graphische Datenverarbeitung IGD und des IT-Dienstleisters ekom21 entstehen. Das vom Land Hessen geförderte Vorhaben berücksichtigt auch die Bedürfnisse kleinerer Institutionen wie Kommunen. mehr...
Märkischer Kreis: Neue IT-Projekte im Fokus
[20.11.2024] Grünes Licht für die Haushaltsansätze im Bereich Digitalisierung und IT gab der Ausschuss für Digitalisierung und E-Government des Märkischen Kreises. Geplant sind Investitionen in IT-Sicherheit, Netzwerkinfrastruktur und den weiteren Ausbau digitaler Services. mehr...
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
ITEBO: OpenR@thaus-Vorfall aufgearbeitet
[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...