der gemeinderat Oktober 2020
Unsere Themen in der Oktoberausgabe: Digitale Kommune, Lichtplanung, Luftreiniger
Unsere Themen in der Oktoberausgabe: Digitale Kommune, Lichtplanung, Luftreiniger
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Titel<br />
DIGITALE KOMMUNE<br />
Titel<br />
Bei <strong>der</strong> Arbeit vom Home-Office aus<br />
lauern zahlreiche digitale Gefahren, wie<br />
Malware und Hackerangriffe. Zero-<br />
Trust-Modelle können gegen diese<br />
Cyberbedrohungen helfen.<br />
Smart Working<br />
Mehr Digitalisierung,<br />
weniger Cyberrisiken<br />
Trotz <strong>der</strong> im Zuge des Onlinezugangsgesetzes unternommenen Anstrengungen<br />
zeigt die COVID-19-Pandemie deutlich den technischen Missstand <strong>der</strong><br />
Behörden beim Einsatz <strong>der</strong> Telearbeit. Es ist ein regelrechter Sprung vom Regen<br />
in die Traufe bezüglich des IT-Risiko-Managements und des Datenschutzes.<br />
Während die große Mehrheit <strong>der</strong><br />
Beschäftigten in <strong>der</strong> privaten<br />
Wirtschaft zu 100 Prozent von<br />
zu Hause aus arbeiten konnte, galt die unzureichende<br />
technische Ausstattung unter<br />
Verwaltungsangestellten als eine <strong>der</strong> häufigsten<br />
Herausfor<strong>der</strong>ungen für die Telearbeit.<br />
Anlässlich einer repräsentativen<br />
Studie <strong>der</strong> Universität Köln berichteten die<br />
Befragten unter an<strong>der</strong>em von fehlen<strong>der</strong><br />
„Verfügbarkeit von geeigneter Technik und<br />
Zertifikaten für VPN-Verbindungen“, von<br />
Foto: AdobeStock/tippapatt<br />
„eingeschränktem Zugriff auf Dienstprogramme<br />
und Datenbanken“ sowie von<br />
„stark ausgeprägtem analogem Arbeiten“.<br />
Viele richteten sich einen suboptimalen<br />
Heimarbeitsplatz mit vorhandenen Privatgeräten<br />
ein, doch durch den fehlenden<br />
digitalen Zugriff auf Programme und Unterlagen<br />
war es oft nicht möglich, einen<br />
ganzen Arbeitstag im Homeoffice vollständig<br />
mit Arbeitsaufträgen zu füllen – außer<br />
man nahm die zu bearbeitenden Dokumente<br />
kartonweise mit nach Hause, wovon<br />
ebenfalls berichtet wurde.<br />
„Mit den gegebenen Ausnahmen gingen<br />
Dringlichkeit und Datensicherheit noch<br />
nie Hand in Hand“, sagt Uwe Gries, Country-Manager<br />
DACH bei Stormshield, einem<br />
auf dem Schutz von Daten, Workstations<br />
und IT-/OT-Netzwerken spezialisierten<br />
Unternehmen des Airbus-Konzerns. Die<br />
notgedrungene Ausdehnung <strong>der</strong> digital<br />
verfügbaren Dienste <strong>der</strong> öffentlichen Verwaltung<br />
auf die Wohnungen <strong>der</strong> einzelnen<br />
Mitarbeiter hat <strong>der</strong>en Angriffsfläche ebenfalls<br />
ausgeweitet: Die Schwachstellen <strong>der</strong><br />
öffentlichen Infrastruktur wurden in die<br />
Wohnungen <strong>der</strong> Angestellten getragen,<br />
und umgekehrt genauso.<br />
GEFAHREN DURCH SCHATTEN-IT<br />
Die schnelle Anpassung <strong>der</strong> Infrastruktur<br />
an die neuen Bedürfnisse, die marktübergreifend<br />
zu einer Überlastung <strong>der</strong> IT-Abteilungen<br />
und -Lieferanten führte, war<br />
zum Teil in <strong>der</strong> öffentlichen Verwaltung<br />
gar nicht möglich, was bei den Arbeitgebern<br />
und bei den Anwen<strong>der</strong>n eine gefährliche<br />
Experimentierfreude för<strong>der</strong>te, und<br />
dadurch eine erhöhte Gefahr durch Malware<br />
und an<strong>der</strong>e Cyberbedrohungen. „Es<br />
reicht, einen einfachen Keylogger in den<br />
Privatrechner des Heimanwen<strong>der</strong>s einzuschleusen<br />
o<strong>der</strong> eine erfolgreiche Phishing-Kampagne<br />
durchzuführen, um sich<br />
die Zugangsdaten zum Netz <strong>der</strong> Behörde<br />
zu verschaffen o<strong>der</strong>, wie im Falle des Bundeslandes<br />
Nordrhein-Westfalen, damit die<br />
Behörde zum Opfer eines großangelegten<br />
Betrugs wird. Daran denken jedoch nur<br />
wenige, wenn es darum geht, wie gewohnt<br />
arbeiten zu können“, bestätigt Gries. Die<br />
restriktiven Maßnahmen <strong>der</strong> Regierung<br />
während <strong>der</strong> Gesundheitskrise beruhten<br />
auf <strong>der</strong> Notwendigkeit, die kollektive Sicherheit<br />
zu gewährleisten. Könnte dieser<br />
Ansatz nicht auch eine Lösung im Hinblick<br />
auf die Cybersicherheit sein?<br />
ZERO-TRUST-MODELLE<br />
„Wir bei Stormshield halten es nicht für<br />
angebracht, aufgrund einer in <strong>der</strong> öffentlichen<br />
Verwaltung stark ausgeprägten Präsenzkultur<br />
Mitarbeiter mit Geräten auszustatten,<br />
die ihre Aktivitäten auf invasive<br />
Weise überwachen, wo <strong>der</strong>en Zeitkarte<br />
nach dem Login ins Amtsnetz gestempelt<br />
und <strong>der</strong>en Produktivität an Serverlogs gemessen<br />
wird“, meint Gries. Es ist jedoch<br />
notwendig, Zero-Trust-Modelle in Erwägung<br />
zu ziehen. Darunter fallen sowohl<br />
eine transparente Ende-zu-Ende-Verschlüsselung<br />
<strong>der</strong> Daten unabhängig von<br />
<strong>der</strong> verwendeten Speicherplattform und<br />
<strong>der</strong> Verwendung von VPN als auch <strong>der</strong> eingeschränkte<br />
Zugriff auf Netzwerkressourcen,<br />
<strong>der</strong> für einen bestimmten Benutzer<br />
aufgrund seiner Rolle, des verwendeten<br />
Gerätes, des Arbeitsortes und <strong>der</strong> eingesetzten<br />
Anwendung zu festgelegten Zeiten<br />
autorisiert wird. Diese Faktoren würden es<br />
ermöglichen, den Zugriff, die Verarbeitung<br />
und Weiterleitung sensibler Daten sowie<br />
die Privatsphäre <strong>der</strong> Benutzer zu schützen,<br />
indem Arbeitszeiten klar abgegrenzt und<br />
die Nutzung von Privatgeräten und -plattformen<br />
eingeschränkt werden, die nicht<br />
durch die hausinterne Sicherheitspolitik<br />
abgedeckt sind. Die Legitimität des gesamten<br />
Datenflusses sollte gründlich überprüft<br />
und <strong>der</strong> Datenverkehr im Fall von Anomalien<br />
in Echtzeit unterbunden werden. „Mit<br />
diesem Modell kann jede Organisation<br />
bestimmen, wer genau worauf, wie und in<br />
welchem Zeitraum Zugriff hat, und Daten<br />
sowie die gesamte Infrastruktur absichern“,<br />
bestätigt Gries.<br />
DIGITALE HYGIENE<br />
Neben dem Schutz vor Cyberbedrohungen<br />
und anormalem Datenflussverhalten ist es<br />
ebenfalls wichtig, eine Reihe von Einschränkungen<br />
für die agilen Arbeitsplätze<br />
<strong>der</strong> Mitarbeiter einzuführen. Das<br />
sollte jedoch im Rahmen eines Ansatzes<br />
geschehen, <strong>der</strong> einer Mitarbeitersensibilisierung<br />
für die Notwendigkeit <strong>der</strong> „digitalen<br />
Hygiene“ in Verbindung mit einer stärkeren<br />
Befähigung <strong>der</strong> Benutzer große Bedeutung<br />
beimisst. Eine <strong>der</strong> Lehren, die aus<br />
<strong>der</strong> Gesundheitskrise zu ziehen sind, besteht<br />
darin, dass Kompetenz, Regeln und<br />
persönliche Disziplin erfor<strong>der</strong>lich sind, um<br />
eine anhaltende Bedrohung abzuwehren.<br />
Dabei ist es egal, ob es sich um eine Gesundheits-<br />
o<strong>der</strong> um eine Cyberbedrohung<br />
handelt. In einem sich ständig weiterentwickelnden<br />
Umfeld sollte auch berücksichtigt<br />
werden, dass sich <strong>der</strong> Grad <strong>der</strong><br />
„Strenge“ dieser Regeln weiterentwickeln<br />
kann und muss. Anpassungsfähigkeit ist<br />
daher auch in diesem Fall <strong>der</strong> Schlüssel<br />
zum Erfolg, beson<strong>der</strong>s für IT-Infrastrukturen<br />
<strong>der</strong> öffentlichen Verwaltung.<br />
Gries kommt zu folgendem Schluss:<br />
„Die unter normalen Umständen gewährte<br />
Möglichkeit <strong>der</strong> Telearbeit kann tatsächlich<br />
für ein höheres Maß an Flexibilität in<br />
<strong>der</strong> öffentlichen Verwaltung sorgen. Wir<br />
haben nun die einmalige Gelegenheit, Modelle<br />
und Werkzeuge zu evaluieren, die<br />
geeignet sind, die Art und Weise, wie die<br />
öffentliche Verwaltung arbeitet, langfristig<br />
zu verän<strong>der</strong>n – und diesmal, so hoffen wir,<br />
nach den besten Vorsätzen <strong>der</strong> ‚Security<br />
by Design‘.“ <br />
Red.<br />
72 <strong>der</strong> gemein<strong>der</strong>at 10/20<br />
<strong>der</strong> gemein<strong>der</strong>at 10/20<br />
73