Zero Trust: IT-Sicherheit in der öffentlichen Verwaltung
Sabine Kuch | Dezember 07, 2021
Die Interaktion zwischen Bürgerinnen, Bürgern und Unternehmen mit der Administration soll in Zukunft deutlich schneller, effizienter und nutzerfreundlicher werden. Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) verpflichtet Bund, Länder und Kommunen, ihre Verwaltungsleistungen seit Ende 2022 auch elektronisch über Verwaltungsportale anzubieten und diese miteinander zu einem Portalverbund zu verknüpfen. Um diese Dienste in Anspruch nehmen zu können, ist es wesentlich, dass sich Bürgerinnen und Bürger sowie Institutionen online sicher identifizieren und authentifizieren können. Doch wo Licht ist, ist auch Schatten – in Form von Cyberkriminalität.
Was ist Zero Trust?
|
Die Anforderungen des OZG und die allgemeine Bedrohungslage sind zwei zentrale Gründe, warum Zero Trust Network Access (ZTNA) in Behörden immer mehr an Bedeutung gewinnt. ZTNA bedeutet, weder einem Gerät noch einem Benutzer einen Vertrauensvorschuss zu geben, bevor es oder er sich nicht sicher authentifiziert hat. Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung weiter verfestigt, sind ebenfalls Gründe dafür, dass das Zero Trust-Prinzip auch in Zukunft ein wichtiger Bestandteil integrativer IT-Security-Lösungen in der öffentlichen Verwaltung sein muss. Eine digitale Gesellschaft braucht nicht nur eine moderne, sondern auch eine sichere IT-Infrastruktur.
|
Die Sicherheitslösung von macmon erkennt, meldet und unterbindet den Betrieb von Fremdsystemen im behördeneigenen Netzwerk und verhindert den Einsatz von nicht autorisierten Geräten. Gast- und Mitarbeitergeräte (BYOD) können außerdem über das Gästeportal, mithilfe eines dynamischen Managements der Netzwerksegmente, einfach und sicher zugelassen werden. Das spart viel Zeit und erleichtert an vielen Stellen die Arbeit.
Beispiele für Angriffe auf deutsche Behörden
- 2019 wurden die Verwaltungen in Frankfurt am Main, Neustadt am Rübenberge sowie das Berliner Kammergericht Ziel von Hackerangriffen.
- Im April 2021 ermittelte die Kripo in Kammertal im Landkreis Günzburg. Kriminellehatten die Computer des Rathauses infiziert und versuchten die Gemeinde zu erpressen.
- Im Juli wurde der Landkreis Anhalt-Bitterfeld angegriffen. Sämtliche Daten der Kreisverwaltung wurden infiziert und verschlüsselt; die Täter forderten ein Lösegeld.
- Im Oktober 2021 traf es Verwaltungen in Mecklenburg-Vorpommern und Witten
Eine Meldepflicht von Cyberattacken auf Kommunalverwaltungen und Behörden besteht nicht – weder auf Bundes- noch auf Länderebene. Damit dürfte die Dunkelziffer hoch sein.
Netzwerksicherheit für lokale Infrastrukturen und Cloud Anwendungen im Fokus der Gefahrenabwehr
Die IT-Grundschutz-Kataloge des BSI stellen in der öffentlichen Verwaltung den Standard für die Informationssicherheit und den Aufbau eines funktionierenden IT-Sicherheitsmanagements dar. Für die Bundesbehörden ist es mittlerweile verbindlich, einen Grundschutz nach diesem Standard zu etablieren. In seinen Maßnahmenkatalogen werden vom BSI zum Thema Netzwerksicherheit eine Vielzahl von Empfehlungen ausgesprochen. Das Einbringen von nicht autorisierten und unsicheren Geräten ins Netz ist konsequent zu unterbinden. Entscheidend ist, dass diese Maßnahme heute nicht mehr nur lokale Infrastrukturen betrifft, sondern auch externe Ressourcen wie private oder public clouds.
Schutz von Behörden- und Verwaltungsnetzen kann realisiert werden durch:
- Granulare Zugriffssteuerung und exakte Netzwerksegmentierung
- Überwachung und Kontrolle aller im Netz befindlichen Geräte (Live-Bestandsmanagement)
- Sicherstellung der Integrität des Netzwerkes
- Ausschließliches Gewähren des Netzwerkzugangs für die definierten (eigenen und zugelassenen) Geräte
- Bereitstellung von dezidierten und befristeten Internetzugängen für Besucher, ohne für Mitarbeiter und Gäste getrennte WLAN-Infrastrukturen aufbauen zu müssen
- Unterstützung der Umsetzung des Datenschutzgesetzes des Bundes (BDSG) und der Länder (LDSG) und die Erfüllung der Auflagen des Basler Abkommens Basel II/III
Secure Defined Perimeter (SDP) schützen vor Angriffen auf sensible, personenbezogene Daten in der Cloud
Mit macmon SDP wird der Schutz auch auf sämtliche Cloud-Dienste ausgedehnt. Der SDP-Agent übernimmt transparent eine hochsichere Authentifizierung gegenüber dem SDP-Controller, um die Identität des Benutzers sowie des Gerätes und dessen Sicherheitszustand zu prüfen.
Das ermöglicht:
- Überwachung und Kontrolle der Zugänge für Home-Office-Arbeitsplätze
- Split-Tunneling out-of-the-box
- Cloud Provider / Identity Access Management (IAM)
- Individuelle Festlegung von Richtlinien auf Benutzer- und Geräteebene
- Hohe Skalierbarkeit für jede Anzahl an Nutzern
- Dokumentation aller Zugriffe auf das Behörden-/Verwaltungsnetz, auch bei breitgefächerten Organisationsstrukturen einschließlich der Nutzung von Cloud-Angeboten
- Unterstützung bei der Umsetzung von Cloud Dienstmodellen
- Erfüllung von Anforderungen an Datenschutz und Standort
Die DSGVO-konforme Lösung von macmon ist gehostet in einem ISO 27001 zertifizierten Rechenzentrum in Deutschland. Der Support wird von einem internen Experten-Team in Berlin-Mitte sichergestellt.
|
Bei Änderungen sorgen das Regelwerk, Automatismen und Abläufe im Hintergrund dafür, dass keinerlei zusätzliche Maßnahmen in der NAC-Lösung erforderlich sind. Das ist gerade im Behördenumfeld ein großer Vorteil, da sich hier Verwaltungsbezirke und Organisationsstrukturen nach einer Legislaturperiode oft ändern können. Bei der Auswahl einer ZTNA-Lösung sind somit viele Aspekte zu berücksichtigen.
Fazit
IT-Sicherheit in der öffentlichen Verwaltung ist ein sensibles Thema, da für viele Dienstleistungen äußerst persönliche Daten der Bürgerinnen und Bürgern hinzugezogen werden. Auch bei internen Prozessen ist die Wahrung von datenschutzrechtlichen Leitlinien und Gesetzen außerordentlich wichtig. Durch eine Sicherung der dafür notwendigen IT-Infrastruktur können die positiven Effekte der Digitalisierung in der Öffentlichen Verwaltung realisiert werden. Dazu zählt die verbesserte Bürgerbetreuung, schnellere Abläufe, die Reduzierung administrativer Prozesse sowie revisionssichere Verfahren. Der Umstieg auf digitale Prozesse ist notwendig, um effizient, flexibel und unabhängig von Endgeräten und Standorten zu agieren, beispielsweise bei Aufgabenstellungen, die mehrere Bundesländer betreffen. Die Corona-Pandemie hat gezeigt, wie wichtig eine funktionierende Infrastruktur für die Erfüllung staatlicher Aufgaben ist – von der Online-Beantragung wichtiger Dokumente, über die Organisation von Home-Office in den Behörden, bis hin zum digitalen Online-Unterricht.