der gemeinderat Oktober 2020

Titel
DIGITALE KOMMUNE
Titel
Bei der Arbeit vom Home-Office aus
lauern zahlreiche digitale Gefahren, wie
Malware und Hackerangriffe. Zero-
Trust-Modelle können gegen diese
Cyberbedrohungen helfen.
Smart Working
Mehr Digitalisierung,
weniger Cyberrisiken
Trotz der im Zuge des Onlinezugangsgesetzes unternommenen Anstrengungen
zeigt die COVID-19-Pandemie deutlich den technischen Missstand der
Behörden beim Einsatz der Telearbeit. Es ist ein regelrechter Sprung vom Regen
in die Traufe bezüglich des IT-Risiko-Managements und des Datenschutzes.
Während die große Mehrheit der
Beschäftigten in der privaten
Wirtschaft zu 100 Prozent von
zu Hause aus arbeiten konnte, galt die unzureichende
technische Ausstattung unter
Verwaltungsangestellten als eine der häufigsten
Herausforderungen für die Telearbeit.
Anlässlich einer repräsentativen
Studie der Universität Köln berichteten die
Befragten unter anderem von fehlender
„Verfügbarkeit von geeigneter Technik und
Zertifikaten für VPN-Verbindungen“, von
Foto: AdobeStock/tippapatt
„eingeschränktem Zugriff auf Dienstprogramme
und Datenbanken“ sowie von
„stark ausgeprägtem analogem Arbeiten“.
Viele richteten sich einen suboptimalen
Heimarbeitsplatz mit vorhandenen Privatgeräten
ein, doch durch den fehlenden
digitalen Zugriff auf Programme und Unterlagen
war es oft nicht möglich, einen
ganzen Arbeitstag im Homeoffice vollständig
mit Arbeitsaufträgen zu füllen – außer
man nahm die zu bearbeitenden Dokumente
kartonweise mit nach Hause, wovon
ebenfalls berichtet wurde.
„Mit den gegebenen Ausnahmen gingen
Dringlichkeit und Datensicherheit noch
nie Hand in Hand“, sagt Uwe Gries, Country-Manager
DACH bei Stormshield, einem
auf dem Schutz von Daten, Workstations
und IT-/OT-Netzwerken spezialisierten
Unternehmen des Airbus-Konzerns. Die
notgedrungene Ausdehnung der digital
verfügbaren Dienste der öffentlichen Verwaltung
auf die Wohnungen der einzelnen
Mitarbeiter hat deren Angriffsfläche ebenfalls
ausgeweitet: Die Schwachstellen der
öffentlichen Infrastruktur wurden in die
Wohnungen der Angestellten getragen,
und umgekehrt genauso.
GEFAHREN DURCH SCHATTEN-IT
Die schnelle Anpassung der Infrastruktur
an die neuen Bedürfnisse, die marktübergreifend
zu einer Überlastung der IT-Abteilungen
und -Lieferanten führte, war
zum Teil in der öffentlichen Verwaltung
gar nicht möglich, was bei den Arbeitgebern
und bei den Anwendern eine gefährliche
Experimentierfreude förderte, und
dadurch eine erhöhte Gefahr durch Malware
und andere Cyberbedrohungen. „Es
reicht, einen einfachen Keylogger in den
Privatrechner des Heimanwenders einzuschleusen
oder eine erfolgreiche Phishing-Kampagne
durchzuführen, um sich
die Zugangsdaten zum Netz der Behörde
zu verschaffen oder, wie im Falle des Bundeslandes
Nordrhein-Westfalen, damit die
Behörde zum Opfer eines großangelegten
Betrugs wird. Daran denken jedoch nur
wenige, wenn es darum geht, wie gewohnt
arbeiten zu können“, bestätigt Gries. Die
restriktiven Maßnahmen der Regierung
während der Gesundheitskrise beruhten
auf der Notwendigkeit, die kollektive Sicherheit
zu gewährleisten. Könnte dieser
Ansatz nicht auch eine Lösung im Hinblick
auf die Cybersicherheit sein?
ZERO-TRUST-MODELLE
„Wir bei Stormshield halten es nicht für
angebracht, aufgrund einer in der öffentlichen
Verwaltung stark ausgeprägten Präsenzkultur
Mitarbeiter mit Geräten auszustatten,
die ihre Aktivitäten auf invasive
Weise überwachen, wo deren Zeitkarte
nach dem Login ins Amtsnetz gestempelt
und deren Produktivität an Serverlogs gemessen
wird“, meint Gries. Es ist jedoch
notwendig, Zero-Trust-Modelle in Erwägung
zu ziehen. Darunter fallen sowohl
eine transparente Ende-zu-Ende-Verschlüsselung
der Daten unabhängig von
der verwendeten Speicherplattform und
der Verwendung von VPN als auch der eingeschränkte
Zugriff auf Netzwerkressourcen,
der für einen bestimmten Benutzer
aufgrund seiner Rolle, des verwendeten
Gerätes, des Arbeitsortes und der eingesetzten
Anwendung zu festgelegten Zeiten
autorisiert wird. Diese Faktoren würden es
ermöglichen, den Zugriff, die Verarbeitung
und Weiterleitung sensibler Daten sowie
die Privatsphäre der Benutzer zu schützen,
indem Arbeitszeiten klar abgegrenzt und
die Nutzung von Privatgeräten und -plattformen
eingeschränkt werden, die nicht
durch die hausinterne Sicherheitspolitik
abgedeckt sind. Die Legitimität des gesamten
Datenflusses sollte gründlich überprüft
und der Datenverkehr im Fall von Anomalien
in Echtzeit unterbunden werden. „Mit
diesem Modell kann jede Organisation
bestimmen, wer genau worauf, wie und in
welchem Zeitraum Zugriff hat, und Daten
sowie die gesamte Infrastruktur absichern“,
bestätigt Gries.
DIGITALE HYGIENE
Neben dem Schutz vor Cyberbedrohungen
und anormalem Datenflussverhalten ist es
ebenfalls wichtig, eine Reihe von Einschränkungen
für die agilen Arbeitsplätze
der Mitarbeiter einzuführen. Das
sollte jedoch im Rahmen eines Ansatzes
geschehen, der einer Mitarbeitersensibilisierung
für die Notwendigkeit der „digitalen
Hygiene“ in Verbindung mit einer stärkeren
Befähigung der Benutzer große Bedeutung
beimisst. Eine der Lehren, die aus
der Gesundheitskrise zu ziehen sind, besteht
darin, dass Kompetenz, Regeln und
persönliche Disziplin erforderlich sind, um
eine anhaltende Bedrohung abzuwehren.
Dabei ist es egal, ob es sich um eine Gesundheits-
oder um eine Cyberbedrohung
handelt. In einem sich ständig weiterentwickelnden
Umfeld sollte auch berücksichtigt
werden, dass sich der Grad der
„Strenge“ dieser Regeln weiterentwickeln
kann und muss. Anpassungsfähigkeit ist
daher auch in diesem Fall der Schlüssel
zum Erfolg, besonders für IT-Infrastrukturen
der öffentlichen Verwaltung.
Gries kommt zu folgendem Schluss:
„Die unter normalen Umständen gewährte
Möglichkeit der Telearbeit kann tatsächlich
für ein höheres Maß an Flexibilität in
der öffentlichen Verwaltung sorgen. Wir
haben nun die einmalige Gelegenheit, Modelle
und Werkzeuge zu evaluieren, die
geeignet sind, die Art und Weise, wie die
öffentliche Verwaltung arbeitet, langfristig
zu verändern – und diesmal, so hoffen wir,
nach den besten Vorsätzen der ‚Security
by Design‘.“
Red.
72 der gemeinderat 10/20
der gemeinderat 10/20
73