von Redaktion IT-A…
Lesezeit
2 Minuten
IT-Sicherheit im öffentlichen Sektor strategisch denken
Öffentliche Einrichtungen nehmen in der Gesellschaft einen besonderen Stellenwert ein, um das Leben am Laufen zu halten. In der aktuellen Pandemie zeigt sich, wie wichtig digitale Infrastrukturen für einen reibungslosen Betrieb sind. Gleichzeitig wird deutlich, dass es in diesem Bereich Nachholbedarf gibt. Darunter fällt auch die IT-Sicherheit, die stets mitbedacht werden muss. Wie sich IT-Security im öffentlichen Sektor strategisch angehen lässt, erklärt der Fachartikel.
Ob virtuelle Behördengänge oder digitaler Impfausweis – Deutschland ist in Bezug auf die Digitalisierung noch weit von echter Effizienz entfernt. Nur 19 Prozent der Bürger nutzen elektronische Behördendienste, konstatiert der EU-Index für die digitale Wirtschaft und Gesellschaft (DESI) von 2020 und stellt hierzulande zugleich die EU-weit geringste Online-Interaktion zwischen Behörden und Bürgern fest.
Das Onlinezugangsgesetz (OZG), das die Digitalisierung bestimmter Verwaltungsleistungen bis zum Jahr 2022 vorschreibt, soll Abhilfe schaffen. Doch die Behörden unseres Landes, das sich in Sachen Digitalisierung konstant im EU-Mittelfeld tummelt, haben scheinbar erst durch die Pandemie die Dringlichkeit des Themas erkannt. Mit der Einrichtung von Home-Office-Arbeitsplätzen für ihre Angestellten und Beamten standen sie quasi über Nacht vor der Aufgabe, flexible und dennoch sichere Zugänge zu den Behördennetzwerken zu schaffen.
Die Frage, wie sich virtuelle Desktopinfrastrukturen (VDI) und die entsprechenden VPN-Verbindungen sicher betreiben lassen, stand hier im Vordergrund. Inzwischen können sich die öffentlichen Betreiber wieder auf die eigentlichen Herausforderungen der digitalen Verwaltung konzentrieren – etwa darauf, sensible Bürgerdaten zu verwalten und zur richtigen Zeit zur Verfügung zu stellen. Und zwar möglichst sicher im Sinne geltender Datenschutzbestimmungen.
Gefahr für KRITIS-Betreiber
Letzteres ist nicht nur wichtig, um das Vertrauen der Bürger in die digitale Verwaltung zu stärken. Es ist auch essenziell, denn die Daten von KRITIS-Betreibern sind in Gefahr. Stromversorgern, Gerichten, öffentlichen Betrieben oder Forschungseinrichtungen drohen Erpressung und Sabotage, wenn Cyberkriminelle Daten abgreifen oder Abläufe behindern. Wie ernst dies werden kann, zeigt der jüngste Hackerangriff auf den Landkreis Anhalt-Bitterfeld. Dessen Verwaltung sah sich gezwungen, den Katastrophenfall auszurufen, weil der Datenangriff unter anderem die Auszahlung von Sozial- und Unterhaltszahlungen verhinderte.
Dieser IT-Katastrophenfall ist keineswegs der erste Angriff auf KRITIS-Strukturen, also Anlagen oder Systeme, die für die Aufrechterhaltung gesellschaftliche Strukturen besonders wichtig sind. Auch wenn nicht alle Attacken ins Blickfeld der Öffentlichkeit geraten – sie alle haben das Potenzial, mindestens ebenso große Schäden anzurichten.
Aus diesem Grund verpflichtet das IT-Sicherheitsgesetz KRITIS-Betreiber, IT-Sicherheit nach dem "Stand der Technik" umzusetzen und erhebliche IT-Sicherheitsvorfälle wie bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme, Spear-Phishing sowie außergewöhnliche und unerwartete IT-Störungen an das BSI zu melden. Der Nachweis an das Bundesamt, dass die eigene IT für alle aktuellen Bedrohungen gewappnet ist, ist alle zwei Jahre gefordert.
Sicherheitsrisiken bedrohen den Klinikbetrieb
Krankenhäuser, die mehr als 30.000 stationäre Behandlungen im Jahr nachweisen können, zählen zu den KRITIS-Betreibern. Eine Studie des Berliner Beratungsunternehmens Alpha Strike Labs zeigt, dass diese Kliniken wesentlich wahrscheinlicher in Gefahr sind als kleinere Gesundheitseinrichtungen, Opfer einer Cyberattacke zu werden. Rund 36 der in der Untersuchung befragten Gesundheitseinrichtungen wiesen Angriffspunkte auf. Hacker versuchen nicht nur, mit Erpressungen Geld zu machen. Auch Patientenakten sind eine lukrative Ware, die im Darknet hohe Preise erzielt.
Ein wesentliches Eingangstor für Attacken sind die teilweise veralteten Strukturen im Gesundheitswesen, beispielsweise Windows-2003-Server, die nicht länger mit Sicherheitsupdates gepatcht werden. Aber auch das Zögern, in die IT-Sicherheit und -Struktur zu investieren, der Fachkräftemangel und ein zu geringes Risikobewusstsein sind Gründe dafür, warum die Kliniken weiterhin angreifbar bleiben.
Die Statistik belegt auch hier, wie leicht den Hackern ihr Geschäft gemacht wird: Die Studie zählt allein im Jahr 2020 insgesamt 43 Attacken auf die untersuchten Kliniken. Darunter fällt auch der schlagzeilenträchtige Angriff auf das Universitätsklinikum Düsseldorf. Dieser wäre vermutlich zu verhindern gewesen, denn bereits acht Monate vorher hatte das BSI bereits vor eklatanten Schwachstellen in Citrix-Systemen gewarnt.
ln/Tim Heine, Director Public Sector & Healthcare bei NetApp
Das Onlinezugangsgesetz (OZG), das die Digitalisierung bestimmter Verwaltungsleistungen bis zum Jahr 2022 vorschreibt, soll Abhilfe schaffen. Doch die Behörden unseres Landes, das sich in Sachen Digitalisierung konstant im EU-Mittelfeld tummelt, haben scheinbar erst durch die Pandemie die Dringlichkeit des Themas erkannt. Mit der Einrichtung von Home-Office-Arbeitsplätzen für ihre Angestellten und Beamten standen sie quasi über Nacht vor der Aufgabe, flexible und dennoch sichere Zugänge zu den Behördennetzwerken zu schaffen.
Die Frage, wie sich virtuelle Desktopinfrastrukturen (VDI) und die entsprechenden VPN-Verbindungen sicher betreiben lassen, stand hier im Vordergrund. Inzwischen können sich die öffentlichen Betreiber wieder auf die eigentlichen Herausforderungen der digitalen Verwaltung konzentrieren – etwa darauf, sensible Bürgerdaten zu verwalten und zur richtigen Zeit zur Verfügung zu stellen. Und zwar möglichst sicher im Sinne geltender Datenschutzbestimmungen.
Gefahr für KRITIS-Betreiber
Letzteres ist nicht nur wichtig, um das Vertrauen der Bürger in die digitale Verwaltung zu stärken. Es ist auch essenziell, denn die Daten von KRITIS-Betreibern sind in Gefahr. Stromversorgern, Gerichten, öffentlichen Betrieben oder Forschungseinrichtungen drohen Erpressung und Sabotage, wenn Cyberkriminelle Daten abgreifen oder Abläufe behindern. Wie ernst dies werden kann, zeigt der jüngste Hackerangriff auf den Landkreis Anhalt-Bitterfeld. Dessen Verwaltung sah sich gezwungen, den Katastrophenfall auszurufen, weil der Datenangriff unter anderem die Auszahlung von Sozial- und Unterhaltszahlungen verhinderte.
Dieser IT-Katastrophenfall ist keineswegs der erste Angriff auf KRITIS-Strukturen, also Anlagen oder Systeme, die für die Aufrechterhaltung gesellschaftliche Strukturen besonders wichtig sind. Auch wenn nicht alle Attacken ins Blickfeld der Öffentlichkeit geraten – sie alle haben das Potenzial, mindestens ebenso große Schäden anzurichten.
Aus diesem Grund verpflichtet das IT-Sicherheitsgesetz KRITIS-Betreiber, IT-Sicherheit nach dem "Stand der Technik" umzusetzen und erhebliche IT-Sicherheitsvorfälle wie bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme, Spear-Phishing sowie außergewöhnliche und unerwartete IT-Störungen an das BSI zu melden. Der Nachweis an das Bundesamt, dass die eigene IT für alle aktuellen Bedrohungen gewappnet ist, ist alle zwei Jahre gefordert.
Sicherheitsrisiken bedrohen den Klinikbetrieb
Krankenhäuser, die mehr als 30.000 stationäre Behandlungen im Jahr nachweisen können, zählen zu den KRITIS-Betreibern. Eine Studie des Berliner Beratungsunternehmens Alpha Strike Labs zeigt, dass diese Kliniken wesentlich wahrscheinlicher in Gefahr sind als kleinere Gesundheitseinrichtungen, Opfer einer Cyberattacke zu werden. Rund 36 der in der Untersuchung befragten Gesundheitseinrichtungen wiesen Angriffspunkte auf. Hacker versuchen nicht nur, mit Erpressungen Geld zu machen. Auch Patientenakten sind eine lukrative Ware, die im Darknet hohe Preise erzielt.
Ein wesentliches Eingangstor für Attacken sind die teilweise veralteten Strukturen im Gesundheitswesen, beispielsweise Windows-2003-Server, die nicht länger mit Sicherheitsupdates gepatcht werden. Aber auch das Zögern, in die IT-Sicherheit und -Struktur zu investieren, der Fachkräftemangel und ein zu geringes Risikobewusstsein sind Gründe dafür, warum die Kliniken weiterhin angreifbar bleiben.
Die Statistik belegt auch hier, wie leicht den Hackern ihr Geschäft gemacht wird: Die Studie zählt allein im Jahr 2020 insgesamt 43 Attacken auf die untersuchten Kliniken. Darunter fällt auch der schlagzeilenträchtige Angriff auf das Universitätsklinikum Düsseldorf. Dieser wäre vermutlich zu verhindern gewesen, denn bereits acht Monate vorher hatte das BSI bereits vor eklatanten Schwachstellen in Citrix-Systemen gewarnt.
| Seite 1 von 2 | Nächste Seite >> |
ln/Tim Heine, Director Public Sector & Healthcare bei NetApp
