Zero Trust: IT-Sicherheit in der öffentlichen Verwaltung

Sabine Kuch | Dezember 07, 2021 

Die Interaktion zwischen Bürgerinnen, Bürgern und Unternehmen mit der Administration soll in Zukunft deutlich schneller, effizienter und nutzerfreundlicher werden. Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) verpflichtet Bund, Länder und Kommunen, ihre Verwaltungsleistungen seit Ende 2022 auch elektronisch über Verwaltungsportale anzubieten und diese miteinander zu einem Portalverbund zu verknüpfen. Um diese Dienste in Anspruch nehmen zu können, ist es wesentlich, dass sich Bürgerinnen und Bürger sowie Institutionen online sicher identifizieren und authentifizieren können. Doch wo Licht ist, ist auch Schatten – in Form von Cyberkriminalität.

Was ist Zero Trust?

Horst Seehofer, damalig Bundesminister des Innern, für Bau und Heimat (BMI), fasst im Vorwort des Lageberichts der IT-Sicherheit in Deutschland 2021 zusammen: 

„Der Bericht […] zeigt, dass die Gefahren im Cyber-Raum weiter zunehmen und selbst Bereiche betreffen, die für unsere Gesellschaft elementar sind, wie etwa die Stromversorgung oder die medizinische Versorgung. Unsere Behörden stellen sich diesen Gefahren und arbeiten mit vollem Einsatz, um Bürgerinnen und Bürger, Unternehmen und Behörden bestmöglich zu schützen.“

Die Anforderungen des OZG und die allgemeine Bedrohungslage sind zwei zentrale Gründe, warum Zero Trust Network Access (ZTNA) in Behörden immer mehr an Bedeutung gewinnt. ZTNA bedeutet, weder einem Gerät noch einem Benutzer einen Vertrauensvorschuss zu geben, bevor es oder er sich nicht sicher authentifiziert hat. Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung weiter verfestigt, sind ebenfalls Gründe dafür, dass das Zero Trust-Prinzip auch in Zukunft ein wichtiger Bestandteil integrativer IT-Security-Lösungen in der öffentlichen Verwaltung sein muss. Eine digitale Gesellschaft braucht nicht nur eine moderne, sondern auch eine sichere IT-Infrastruktur.

Dazu Andreas Wendt macmon Experte für IT-Sicherheit im Behördenumfeld:

„Klassische Sicherheitskonzepte gehen davon aus, dass alle Endgeräte innerhalb des Behördennetzwerks vertrauenswürdig sind. Doch diese Vermutung trifft aufgrund von Mobilität, Bring your own device BYOD, Cyberattacken, Cloud-Diensten und behördenübergreifender Zusammenarbeit, nicht mehr zu. Mit ZTNA lässt sich ein durchgehendes Sicherheitskonzept zwischen Cloud und Rechenzentrum-Architektur realisieren. Eine mit ZTNA gesicherte, hybride IT-Architektur entspricht den Sicherheitsanforderungen des BSI und schützt den Zugriff in allen Anwendungen im Netzwerk. Somit wissen die Bediensteten einer Behörde jederzeit, welche Geräte sich in Ihrem Netzwerk befinden. Die IT-Administration kann eingesetzte PCs, Drucker, Laptops und andere technische Geräte jederzeit effizient überwachen.“

Die Sicherheitslösung von macmon erkennt, meldet und unterbindet den Betrieb von Fremdsystemen im behördeneigenen Netzwerk und verhindert den Einsatz von nicht autorisierten GerätenGast- und Mitarbeitergeräte (BYOD) können außerdem über das Gästeportal, mithilfe eines dynamischen Managements der Netzwerksegmente, einfach und sicher zugelassen werden. Das spart viel Zeit und erleichtert an vielen Stellen die Arbeit.

Beispiele für Angriffe auf deutsche Behörden

  • 2019 wurden die Verwaltungen in Frankfurt am Main, Neustadt am Rübenberge sowie das Berliner Kammergericht Ziel von Hackerangriffen.
     
  • Im April 2021 ermittelte die Kripo in Kammertal im Landkreis Günzburg. Kriminellehatten die Computer des Rathauses infiziert und versuchten die Gemeinde zu erpressen.
     
  • Im Juli wurde der Landkreis Anhalt-Bitterfeld angegriffenSämtliche Daten der Kreisverwaltung wurden infiziert und verschlüsselt; die Täter forderten ein Lösegeld.
     
  • Im Oktober 2021 traf es Verwaltungen in Mecklenburg-Vorpommern und Witten

Eine Meldepflicht von Cyberattacken auf Kommunalverwaltungen und Behörden besteht nicht – weder auf Bundes- noch auf Länderebene. Damit dürfte die Dunkelziffer hoch sein.

Netzwerksicherheit für lokale Infrastrukturen und Cloud Anwendungen im Fokus der Gefahrenabwehr

Die IT-Grundschutz-Kataloge des BSI stellen in der öffentlichen Verwaltung den Standard für die Informationssicherheit und den Aufbau eines funktionierenden IT-Sicherheitsmanagements dar. Für die Bundesbehörden ist es mittlerweile verbindlich, einen Grundschutz nach diesem Standard zu etablieren. In seinen Maßnahmenkatalogen werden vom BSI zum Thema Netzwerksicherheit eine Vielzahl von Empfehlungen ausgesprochen. Das Einbringen von nicht autorisierten und unsicheren Geräten ins Netz ist konsequent zu unterbinden. Entscheidend ist, dass diese Maßnahme heute nicht mehr nur lokale Infrastrukturen betrifft, sondern auch externe Ressourcen wie private oder public clouds.

Schutz von Behörden- und Verwaltungsnetzen kann realisiert werden durch:

  • Granulare Zugriffssteuerung und exakte Netzwerksegmentierung
  • Überwachung und Kontrolle aller im Netz befindlichen Geräte (Live-Bestandsmanagement)
  • Sicherstellung der Integrität des Netzwerkes
  • Ausschließliches Gewähren des Netzwerkzugangs für die definierten (eigenen und zugelassenen) Geräte
  • Bereitstellung von dezidierten und befristeten Internetzugängen für Besucherohne für Mitarbeiter und Gäste getrennte WLAN-Infrastrukturen aufbauen zu müssen
  • Unterstützung der Umsetzung des Datenschutzgesetzes des Bundes (BDSG) und der Länder (LDSG) und die Erfüllung der Auflagen des Basler Abkommens Basel II/III

Secure Defined Perimeter (SDP) schützen vor Angriffen auf sensible, personenbezogene Daten in der Cloud

Mit macmon SDP wird der Schutz auch auf sämtliche Cloud-Dienste ausgedehnt. Der SDP-Agent übernimmt transparent eine hochsichere Authentifizierung gegenüber dem SDP-Controller, um die Identität des Benutzers sowie des Gerätes und dessen Sicherheitszustand zu prüfen.

Das ermöglicht:

  • Überwachung und Kontrolle der Zugänge für Home-Office-Arbeitsplätze
  • Split-Tunneling out-of-the-box
  • Cloud Provider / Identity Access Management (IAM)
  • Individuelle Festlegung von Richtlinien auf Benutzer- und Geräteebene
  • Hohe Skalierbarkeit für jede Anzahl an Nutzern
  • Dokumentation aller Zugriffe auf das Behörden-/Verwaltungsnetz, auch bei breitgefächerten Organisationsstrukturen einschließlich der Nutzung von Cloud-Angeboten
  • Unterstützung bei der Umsetzung von Cloud Dienstmodellen 
  • Erfüllung von Anforderungen an Datenschutz und Standort

 

Die DSGVO-konforme Lösung von macmon ist gehostet in einem ISO 27001 zertifizierten Rechenzentrum in Deutschland. Der Support wird von einem internen Experten-Team in Berlin-Mitte sichergestellt.

Im Gespräch erläuterte Andreas Wendt weiter:

„Um heutige Netzwerke vollständig kontrollieren zu können, muss eine NAC-Lösung auch jede Authentifizierungstechnologie unterstützen. Nicht alle Anbieter stellen diese Möglichkeit bereit oder ermöglichen die Arbeit auch im gemischten Betrieb mit Technologien wie 802.IX und SNMP. Unsere Lösung bildet dies nicht nur ab, sondern skaliert mit dem Netzwerk. Die bestehende Infrastruktur kann einfach weiterverwendet werden, wie sie ist.“

Bei Änderungen sorgen das Regelwerk, Automatismen und Abläufe im Hintergrund dafür, dass keinerlei zusätzliche Maßnahmen in der NAC-Lösung erforderlich sind. Das ist gerade im Behördenumfeld ein großer Vorteil, da sich hier Verwaltungsbezirke und Organisationsstrukturen nach einer Legislaturperiode oft ändern können. Bei der Auswahl einer ZTNA-Lösung sind somit viele Aspekte zu berücksichtigen.

Fazit

IT-Sicherheit in der öffentlichen Verwaltung ist ein sensibles Thema, da für viele Dienstleistungen äußerst persönliche Daten der Bürgerinnen und Bürgern hinzugezogen werden. Auch bei internen Prozessen ist die Wahrung von datenschutzrechtlichen Leitlinien und Gesetzen außerordentlich wichtig. Durch eine Sicherung der dafür notwendigen IT-Infrastruktur können die positiven Effekte der Digitalisierung in der Öffentlichen Verwaltung realisiert werden. Dazu zählt die verbesserte Bürgerbetreuung, schnellere Abläufe, die Reduzierung administrativer Prozesse sowie revisionssichere Verfahren. Der Umstieg auf digitale Prozesse ist notwendig, um effizient, flexibel und unabhängig von Endgeräten und Standorten zu agieren, beispielsweise bei Aufgabenstellungen, die mehrere Bundesländer betreffen. Die Corona-Pandemie hat gezeigt, wie wichtig eine funktionierende Infrastruktur für die Erfüllung staatlicher Aufgaben ist – von der Online-Beantragung wichtiger Dokumente, über die Organisation von Home-Office in den Behörden, bis hin zum digitalen Online-Unterricht.

Empfohlene Artikel

© macmon secure GmbH