Zur Übersicht

Öffentliche Verwaltung – ohne Digitalisierung geht Nichts mehr

Sabine Kuch | December 07, 2021 | NAC, Cyber Security, Hacking, ZTNA, SDP, DSGVO, Datenschutz, Cloud Security, IT-Sicherheit Behörden

Wenn man beginnt sich mit dem Thema „Digitalisierung in der Verwaltung“ zu beschäftigen, dann ist das sehr abstrakt. Ich habe jetzt in meinem Privatleben ein gutes Beispiel für die Vorteile der Digitalisierung und die Vernetzung der dafür notwendigen Prozesse erlebt. Ich hatte einen Gebrauchtwagen einer Halterin aus Bayern erworben. Der Dame wurden in Hessen ihre Kennzeichen gestohlen und ich wollte in NRW das Auto auf mich ummelden und neue Kennzeichen besorgen. Natürlich vereinbarte ich den Termin mit unserem lokalen Straßenverkehrsamt online, problemlos. Die Wartezeit in der Behörde war kurz, die Sachbearbeiterin freundlich. Sie überprüfte meine mitgebrachten Unterlagen und hatte online Kontakt mit vier Behörden in drei Bundesländern, mein Wunschkennzeichen hatte ich auch schon dabei, natürlich online bestellt und innerhalb von 24 Stunden geliefert.

Das war mal ein positives Beispiel, aber es hakt natürlich noch an vielen Stellen, kein Wunder bei der Vielfalt der Systeme….Die Interaktion zwischen Bürgerinnen, Bürgern und Unternehmen mit der Administration soll in Zukunft noch deutlich schneller, effizienter und nutzerfreundlicher werden. Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) verpflichtet Bund, Länder und Kommunen, ihre Verwaltungsleistungen bis Ende 2022 auch elektronisch über Verwaltungsportale anzubieten und diese miteinander zu einem Portalverbund zu verknüpfen. Um diese Dienste in Anspruch nehmen zu können, ist es wesentlich, dass sich Bürgerinnen und Bürger sowie Institutionen online sicher identifizieren und authentifizieren können. Doch wo Licht ist, ist auch Schatten in Form von Cyberkriminalität.

Zero Trust – Strategischer IT-Security Ansatz in der Öffentlichen Verwaltung

Horst Seehofer, Bundesminister des Innern, für Bau und Heimat (BMI), fasst im Vorwort des Lageberichts der IT-Sicherheit in Deutschland 2021 zusammen: 

„Der Bericht […] zeigt, dass die Gefahren im Cyber-Raum weiter zunehmen und selbst Bereiche betreffen, die für unsere Gesellschaft elementar sind, wie etwa die Stromversorgung oder die medizinische Versorgung. Unsere Behörden stellen sich diesen Gefahren und arbeiten mit vollem Einsatz, um Bürgerinnen und Bürger, Unternehmen und Behörden bestmöglich zu schützen.“

 

Image of businesswoman pushing icon on media screen-1Die Anforderungen des OZG und die allgemeine Bedrohungslage, ausführlich nachzulesen auf den Seiten des BMI, sind zwei zentrale Gründe, warum Zero Trust Network Access (ZTNA) in Behörden immer mehr an Bedeutung gewinnt. ZTNA bedeutet, weder einem Gerät noch einem Benutzer einen Vertrauensvorschuss zu geben, bevor es oder er sich nicht sicher authentifiziert hat. Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung weiter verfestigt, sind ebenfalls Gründe da für, dass ZTNA auch in Zukunft ein wichtiger Bestandteil integrativer IT-Security-Lösungen in der Öffentlichen Verwaltung sein muss. Eine digitale Gesellschaft braucht nicht nur eine moderne, sondern auch eine sichere IT-Infrastruktur.

 

 


Dazu Andreas Wendt macmon Experte für IT-Sicherheit im Behördenumfeld:

„Klassische Sicherheitskonzepte gehen davon aus, dass alle Endgeräte innerhalb des Behörden-Netzwerks vertrauenswürdig sind. Doch diese Vermutung trifft aufgrund von Mobilität, Bring your own device BYOD, Cyberattacken, Cloud-Diensten und behördenübergreifender Zusammenarbeit, nicht mehr zu. Mit ZTNA lässt sich ein durchgehendes Sicherheits-Konzept zwischen Cloud und Rechenzentrum-Architektur realisieren. Eine mit ZTNA gesicherte, hybride IT-Architektur entspricht den Sicherheitsanforderungen des BSI und schützt den Zugriff in allen Anwendungen im Netzwerk. Somit wissen die Bediensteten einer Behörde jederzeit, welche Geräte sich in Ihrem Netzwerk befinden. Die IT-Administration kann eingesetzte PCs, Drucker, Laptops und andere technischen Geräte jederzeit effizient überwachen.“

 

Die Sicherheitslösung von macmon erkennt, meldet und unterbindet den Betrieb von Fremdsystemen im behördeneigenen Netzwerk und verhindert den Einsatz von nicht autorisierten Geräten. Gast- und Mitarbeitergeräte (BYOD) können außerdem über das Gästeportal, mithilfe eines dynamischen Managements der Netzwerksegmente, einfach und sicher zugelassen werden. Das spart viel Zeit und erleichtert an vielen Stellen die Arbeit.

 

Beispiele für Angriffe auf deutsche Behördennetwork server room with computers for digital tv ip communications and internet-1

  • 2019 wurden die Verwaltungen in Frankfurt am Main, Neustadt am Rübenberge sowie das Berliner Kammergericht Ziel von Hackerangriffen.

  • Im April 2021 ermittelte die Kripo in Kammertal im Landkreis Günzburg. Kriminelle hatten die Computer des Rathauses infiziert und versuchten die Gemeinde zu erpressen.

  • Im Juli wurde der Landkreis Anhalt-Bitterfeld angegriffen. Sämtliche Daten der Kreisverwaltung wurden infiziert und verschlüsselt; die Täter forderten ein Lösegeld.

  • Im Oktober traf es Verwaltungen in Mecklenburg-Vorpommern und Witten

Eine Meldepflicht von Cyberattacken auf Kommunalverwaltungen und Behörden besteht nicht – weder auf Bundes- noch auf Länderebene. Damit dürfte die Dunkelziffer hoch sein.

 

Netzwerksicherheit für lokale Infrastrukturen und Cloud Anwendungen im Fokus der Gefahrenabwehr

Die IT-Grundschutz-Kataloge des BSI stellen in der Öffentlichen Verwaltung den Standard für die Informationssicherheit und den Aufbau eines funktionierenden IT-Sicherheitsmanagements dar. Für die Bundesbehörden ist es mittlerweile verbindlich, einen Grundschutz nach diesem Standard zu etablieren. In seinen Maßnahmenkatalogen werden vom BSI zum Thema Netzwerksicherheit eine Vielzahl von Empfehlungen ausgesprochen. Das Einbringen von nicht autorisierten und unsicheren Geräten ins Netz ist konsequent zu unterbinden. Entscheidend ist, dass diese Maßnahme heute nicht mehr nur lokale Infrastrukturen betrifft, sondern auch externe Ressourcen wie private oder public clouds.

 

Schutz von Behörden- und Verwaltungsnetzen kann realisiert werden durch:

Image of businesswoman pushing icon on media screen

  • Granulare Zugriffssteuerung und exakte Netzwerk-Segmentierung
  • Überwachung und Kontrolle aller im Netz befindlichen Geräte (Live-Bestandsmanagement)
  • Sicherstellung der Integrität des Netzwerkes
  • Ausschließliches Gewähren des Netzwerkzugangs für die definierten (eigenen und zugelassenen) Geräte
  • Bereitstellung von dezidierten und befristeten Internetzugängen für Besucher, ohne für Mitarbeiter und Gäste getrennte WLAN-Infrastrukturen aufbauen zu müssen
  • Unterstützung der Umsetzung des Datenschutzgesetzes des Bundes (BDSG) und der Länder (LDSG) und die Erfüllung der Auflagen des Basler Abkommens Basel II/III

 

Secure Defined Perimeter (SDP) schützen vor Angriffen auf sensible, personenbezogene Daten in der Cloud

  • Mit macmon SDP wird der Schutz auch auf sämtliche Cloud-Dienste ausgedehnt. Der SDP-Agent übernimmt transparent eine hochsichere Authentifizierung gegenüber dem SDP-Controller, um die Identität des Benutzers sowie des Gerätes und dessen Sicherheitszustand zu prüfen.

    Das ermöglicht:

  • Überwachung und Kontrolle der Zugänge für Home-Office-Arbeitsplätze
  • Split-Tunneling out-of-the Box
  • Cloud Provider / Identity Access Management (IAM)
  • Individuelle Festlegung von Richtlinien auf Benutzer- und Geräteebene
  • Hohe Skalierbarkeit für jede Anzahl an Nutzern
  • Dokumentation aller Zugriffe auf das Behörden-/Verwaltungsnetz, auch bei breitgefächerten Organisationsstrukturen einschließlich der Nutzung von Cloud-Angeboten
  • Unterstützung bei der Umsetzung von Cloud Dienstmodellen 
  • Erfüllung von Anforderungen an Datenschutz und Standort

Die DSGVO-konforme Lösung von macmon ist gehostet in einem ISO 27001 zertifizierten Rechenzentrum in Deutschland. Und auch der Support wird von einem internen Experten-Team in Berlin-Mitte sichergestellt. Da sich die Kolleg*Innen jeden Tage mit Fragen rund um ZTNA beschäftigen, können sie in mehreren Sprachen (inklusive Berlinerisch) ausgezeichnet Auskunft geben, anders als Call-Center-Agenten die irgendwo auf der Welt sitzen und für mehrere Unternehmen arbeiten….

 

Im Gespräch erläuterte Andreas Wendt weiter:

„Um heutige Netzwerke vollständig kontrollieren zu können, muss eine NAC-Lösung auch jede Authentifizierungstechnologie unterstützen. Nicht alle Anbieter stellen diese Möglichkeit bereit oder ermöglichen die Arbeit auch im gemischten Betrieb mit Technologien wie 802.IX und SNMP. Unsere Lösung bildet dies nicht nur ab, sondern skaliert mit dem Netzwerk. Die bestehende Infrastruktur kann einfach weiterverwendet werden, wie sie ist.“

 

Bei Änderungen sorgen das Regelwerk, Automatismen und Abläufe im Hintergrund dafür, dass keinerlei zusätzlichen Maßnahmen in der NAC-Lösung erforderlich sind. Das ist gerade im Behördenumfeld ein großer Vorteil, da sich hier Verwaltungsbezirke und Organisationsstrukturen nach einer Legislaturperiode oft ändern können. Bei der Auswahl einer ZTNA-Lösung sind somit viele Aspekte zu berücksichtigen.

 

macmon_NAC_Newsletter-Teaser_2021-11_macmon_blog_A

 

Fazit

IT-Sicherheit ist gerade in der öffentlichen Verwaltung ein sensibles Thema, da für viele Dienstleistungen äußerst persönliche Daten der Bürger*innen hinzugezogen werden (die man nicht mit Cyberkriminellen teilen möchte). Auch bei internen Prozessen ist die Wahrung von datenschutzrechtlichen Leitlinien und Gesetzen außerordentlich wichtig. Durch eine Sicherung der dafür notwendigen IT-Infrastruktur können die positiven Effekte der Digitalisierung in der Öffentlichen Verwaltung realisiert werden. Dazu zählt die verbesserte Bürgerbetreuung, schnellere Abläufe, die Reduzierung administrativer Prozesse sowie revisionssichere Verfahren. Der Umstieg auf digitale Prozesse ist notwendig, um effizient, flexibel und unabhängig von Endgeräten und Standorten zu agieren, beispielsweise bei Aufgabenstellungen die mehrere Bundesländer betreffen (wie in meinem Auto-Beispiel, das hätte vor ein paar Jahren sicherlich viel länger gedauert und eine Menge Faxe wären zwischen drei Bundesländern hin und her geschickt worden). Die Corona-Pandemie hat gezeigt, wie wichtig eine funktionierende Infrastruktur für die Erfüllung staatlicher Aufgaben ist – von der Online-Beantragung wichtiger Dokumente, über die Organisation von Home Office in den Behörden, bis hin zum digitalen Online-Unterricht (wo es an vielen Stellen leider sehr geknirscht hat, aber das lag häufig am Mangel von Internetanschlüssen, Endgeräten und Lehrer*innen die sich nur mit Präsenzunterricht auskannten. Aber das ist ein anderes Thema…)