Zero Trust: IT-Sicherheit in der öffentlichen Verwaltung

Sabine Kuch | Dezember 07, 2021

Die Interaktion zwischen Bürgerinnen, Bürgern und Unternehmen mit der Administration soll in Zukunft deutlich schneller, effizienter und nutzerfreundlicher werden. Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) verpflichtet Bund, Länder und Kommunen, ihre Verwaltungsleistungen seit Ende 2022 auch elektronisch über Verwaltungsportale anzubieten und diese miteinander zu einem Portalverbund zu verknüpfen. Um diese Dienste in Anspruch nehmen zu können, ist es wesentlich, dass sich Bürgerinnen und Bürger sowie Institutionen online sicher identifizieren und authentifizieren können. Doch wo Licht ist, ist auch Schatten – in Form von Cyberkriminalität.

Was ist Zero Trust?

Horst Seehofer, damalig Bundesminister des Innern, für Bau und Heimat (BMI), fasst im Vorwort des Lageberichts der IT-Sicherheit in Deutschland 2021 zusammen:

„Der Bericht […] zeigt, dass die Gefahren im Cyber-Raum weiter zunehmen und selbst Bereiche betreffen, die für unsere Gesellschaft elementar sind, wie etwa die Stromversorgung oder die medizinische Versorgung. Unsere Behörden stellen sich diesen Gefahren und arbeiten mit vollem Einsatz, um Bürgerinnen und Bürger, Unternehmen und Behörden bestmöglich zu schützen.“

Die Anforderungen des OZG und die allgemeine Bedrohungslage sind zwei zentrale Gründe, warum Zero Trust Network Access (ZTNA) in Behörden immer mehr an Bedeutung gewinnt. ZTNA bedeutet, weder einem Gerät noch einem Benutzer einen Vertrauensvorschuss zu geben, bevor es oder er sich nicht sicher authentifiziert hat. Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung weiter verfestigt, sind ebenfalls Gründe dafür, dass das Zero Trust-Prinzip auch in Zukunft ein wichtiger Bestandteil integrativer IT-Security-Lösungen in der öffentlichen Verwaltung sein muss. Eine digitale Gesellschaft braucht nicht nur eine moderne, sondern auch eine sichere IT-Infrastruktur.

Dazu Andreas Wendt macmon Experte für IT-Sicherheit im Behördenumfeld:

„Klassische Sicherheitskonzepte gehen davon aus, dass alle Endgeräte innerhalb des Behördennetzwerks vertrauenswürdig sind. Doch diese Vermutung trifft aufgrund von Mobilität, Bring your own device BYOD, Cyberattacken, Cloud-Diensten und behördenübergreifender Zusammenarbeit, nicht mehr zu. Mit ZTNA lässt sich ein durchgehendes Sicherheitskonzept zwischen Cloud und Rechenzentrum-Architektur realisieren. Eine mit ZTNA gesicherte, hybride IT-Architektur entspricht den Sicherheitsanforderungen des BSI und schützt den Zugriff in allen Anwendungen im Netzwerk. Somit wissen die Bediensteten einer Behörde jederzeit, welche Geräte sich in Ihrem Netzwerk befinden. Die IT-Administration kann eingesetzte PCs, Drucker, Laptops und andere technische Geräte jederzeit effizient überwachen.“

Die Sicherheitslösung von macmon erkennt, meldet und unterbindet den Betrieb von Fremdsystemen im behördeneigenen Netzwerk und verhindert den Einsatz von nicht autorisierten Geräten. Gast- und Mitarbeitergeräte (BYOD) können außerdem über das Gästeportal, mithilfe eines dynamischen Managements der Netzwerksegmente, einfach und sicher zugelassen werden. Das spart viel Zeit und erleichtert an vielen Stellen die Arbeit.

Beispiele für Angriffe auf deutsche Behörden

2019 wurden die Verwaltungen in Frankfurt am Main, Neustadt am Rübenberge sowie das Berliner Kammergericht Ziel von Hackerangriffen.
Im April 2021 ermittelte die Kripo in Kammertal im Landkreis Günzburg. Kriminellehatten die Computer des Rathauses infiziert und versuchten die Gemeinde zu erpressen.
Im Juli wurde der Landkreis Anhalt-Bitterfeld angegriffen. Sämtliche Daten der Kreisverwaltung wurden infiziert und verschlüsselt; die Täter forderten ein Lösegeld.
Im Oktober 2021 traf es Verwaltungen in Mecklenburg-Vorpommern und Witten

Eine Meldepflicht von Cyberattacken auf Kommunalverwaltungen und Behörden besteht nicht – weder auf Bundes- noch auf Länderebene. Damit dürfte die Dunkelziffer hoch sein.

Netzwerksicherheit für lokale Infrastrukturen und Cloud Anwendungen im Fokus der Gefahrenabwehr

Die IT-Grundschutz-Kataloge des BSI stellen in der öffentlichen Verwaltung den Standard für die Informationssicherheit und den Aufbau eines funktionierenden IT-Sicherheitsmanagements dar. Für die Bundesbehörden ist es mittlerweile verbindlich, einen Grundschutz nach diesem Standard zu etablieren. In seinen Maßnahmenkatalogen werden vom BSI zum Thema Netzwerksicherheit eine Vielzahl von Empfehlungen ausgesprochen. Das Einbringen von nicht autorisierten und unsicheren Geräten ins Netz ist konsequent zu unterbinden. Entscheidend ist, dass diese Maßnahme heute nicht mehr nur lokale Infrastrukturen betrifft, sondern auch externe Ressourcen wie private oder public clouds.

Frau in Business Dress vor virtuellen Screens

Schutz von Behörden- und Verwaltungsnetzen kann realisiert werden durch:

Granulare Zugriffssteuerung und exakte Netzwerksegmentierung
Überwachung und Kontrolle aller im Netz befindlichen Geräte (Live-Bestandsmanagement)
Sicherstellung der Integrität des Netzwerkes
Ausschließliches Gewähren des Netzwerkzugangs für die definierten (eigenen und zugelassenen) Geräte
Bereitstellung von dezidierten und befristeten Internetzugängen für Besucher, ohne für Mitarbeiter und Gäste getrennte WLAN-Infrastrukturen aufbauen zu müssen
Unterstützung der Umsetzung des Datenschutzgesetzes des Bundes (BDSG) und der Länder (LDSG) und die Erfüllung der Auflagen des Basler Abkommens Basel II/III

Secure Defined Perimeter (SDP) schützen vor Angriffen auf sensible, personenbezogene Daten in der Cloud

Mit macmon SDP wird der Schutz auch auf sämtliche Cloud-Dienste ausgedehnt. Der SDP-Agent übernimmt transparent eine hochsichere Authentifizierung gegenüber dem SDP-Controller, um die Identität des Benutzers sowie des Gerätes und dessen Sicherheitszustand zu prüfen.

Das ermöglicht:

Überwachung und Kontrolle der Zugänge für Home-Office-Arbeitsplätze
Split-Tunneling out-of-the-box
Cloud Provider / Identity Access Management (IAM)
Individuelle Festlegung von Richtlinien auf Benutzer- und Geräteebene
Hohe Skalierbarkeit für jede Anzahl an Nutzern
Dokumentation aller Zugriffe auf das Behörden-/Verwaltungsnetz, auch bei breitgefächerten Organisationsstrukturen einschließlich der Nutzung von Cloud-Angeboten
Unterstützung bei der Umsetzung von Cloud Dienstmodellen
Erfüllung von Anforderungen an Datenschutz und Standort

Die DSGVO-konforme Lösung von macmon ist gehostet in einem ISO 27001 zertifizierten Rechenzentrum in Deutschland. Der Support wird von einem internen Experten-Team in Berlin-Mitte sichergestellt.

Im Gespräch erläuterte Andreas Wendt weiter:

„Um heutige Netzwerke vollständig kontrollieren zu können, muss eine NAC-Lösung auch jede Authentifizierungstechnologie unterstützen. Nicht alle Anbieter stellen diese Möglichkeit bereit oder ermöglichen die Arbeit auch im gemischten Betrieb mit Technologien wie 802.IX und SNMP. Unsere Lösung bildet dies nicht nur ab, sondern skaliert mit dem Netzwerk. Die bestehende Infrastruktur kann einfach weiterverwendet werden, wie sie ist.“

Bei Änderungen sorgen das Regelwerk, Automatismen und Abläufe im Hintergrund dafür, dass keinerlei zusätzliche Maßnahmen in der NAC-Lösung erforderlich sind. Das ist gerade im Behördenumfeld ein großer Vorteil, da sich hier Verwaltungsbezirke und Organisationsstrukturen nach einer Legislaturperiode oft ändern können. Bei der Auswahl einer ZTNA-Lösung sind somit viele Aspekte zu berücksichtigen.

Fazit

IT-Sicherheit in der öffentlichen Verwaltung ist ein sensibles Thema, da für viele Dienstleistungen äußerst persönliche Daten der Bürgerinnen und Bürgern hinzugezogen werden. Auch bei internen Prozessen ist die Wahrung von datenschutzrechtlichen Leitlinien und Gesetzen außerordentlich wichtig. Durch eine Sicherung der dafür notwendigen IT-Infrastruktur können die positiven Effekte der Digitalisierung in der Öffentlichen Verwaltung realisiert werden. Dazu zählt die verbesserte Bürgerbetreuung, schnellere Abläufe, die Reduzierung administrativer Prozesse sowie revisionssichere Verfahren. Der Umstieg auf digitale Prozesse ist notwendig, um effizient, flexibel und unabhängig von Endgeräten und Standorten zu agieren, beispielsweise bei Aufgabenstellungen, die mehrere Bundesländer betreffen. Die Corona-Pandemie hat gezeigt, wie wichtig eine funktionierende Infrastruktur für die Erfüllung staatlicher Aufgaben ist – von der Online-Beantragung wichtiger Dokumente, über die Organisation von Home-Office in den Behörden, bis hin zum digitalen Online-Unterricht.

Empfohlene Artikel

31.08.2023 | Sarah Kolberg
Die Cyber-Resilienz im eigenen Unternehmen stärken
Was bedeutet Cyber-Resilienz? Wie sieht ein solches ganzheitliches Sicherheitskonzept aus? Wie hängt dies mit dem Cyber Resilience Act zusammen? Mehr hier.
more
28.04.2022 | Heiko Fleschen
Krisen – Hochkonjunktur für Cyber-Attacken
Die Zeit für Hacker-Attacken könnte in Krisenzeiten nicht idealer sein. IT-Sicherheitskonzepte sollten an eine NAC-Lösung denken.
more
22.02.2022 | Sabine Kuch
Mehr IT-Sicherheit im Krankenhaus durch NAC
Die IT-Sicherheit im Krankenhaus kann mithilfe einer Netwerkzugangskontrolle (NAC) KRITIS-konform gewährleistet werden.
more
29.06.2023 | Sabine Kuch
ESG in der IT-Branche am Beispiel von Belden
Mit ESG-Kriterien lässt sich Nachhaltigkeit im Unternehmen bewerten. Erfahren Sie wie Belden die Faktoren Environmental Social and Governance umsetzt.
more
02.02.2023 | Sabine Kuch
Green IT: Nachhaltigkeit in der IT-Branche
Was ist Green IT? Warum braucht es Nachhaltigkeit in der IT-Branche? Lernen Sie wie Green Computing funktioniert und wie Sie davon profitieren.
more

Factory of ZTNA

Partnerlocator

Navigieren durch NIS2