Laut einer aktuellen Umfrage des TÜV-Verbandes bewerten mehr als 90 Prozent der Unternehmen ihre Cyber-Sicherheit als gut. Von den Befragten war knapp ein Fünftel aus Öffentlicher Verwaltung oder Gesundheitswesen. Dieser generelle hohe Glaube an die eigene Nichtverwundbarkeit für Cyberangriffe kommt aber nicht nur der Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, arg sorglos vor.
Das hohe Vertrauen deckt sich auch nicht unbedingt mit meiner Erfahrung mit Projekten in der Öffentlichen Verwaltung. Weil Glaube allein im Schadensfall nicht reicht, gilt es schon vorab ein paar Aspekte im Hinblick auf Cyber-Sicherheit richtigzumachen – dann braucht es kein Bitten, Betteln und Hoffen, wenn mal etwas schiefgeht.
Zwei einfache Beispiele ohne Anspruch auf Vollständigkeit zeigen, wie die Öffentliche Verwaltung bereits heute systematisch für mehr Cyber-Sicherheit sorgen kann. Einerseits um besser im Notfall gerüstet zu sein, andererseits um weniger Angriffsfläche zu liefern.
IT-Infrastruktur in öffentlichen Verwaltungen wird zusehends vielfältiger. Neben Installationen von Software auf Amtsrechnern, setzen Verwaltungen inzwischen immer mehr auf Softwaredienste als Software as a Service, entweder in Cloudumgebungen oder selbst gehostet im eigenen Rechenzentrum. Nicht selten kommt es dabei auch zur sagenumwobenen Schatten-IT, die mehr oder weniger heimlich von Abteilungen auf Servern oder Rechnern installiert wird, um ohne großen bürokratischen Aufwand „mal schnell“ etwas Neues nutzen zu können.
Aus Cyber-Sicherheitsperspektive ist es am Ende egal, wie eine mögliche verwundbare Software oder ein Gerät in eine Verwaltung gekommen ist – wichtig ist es vor allem, sein gesamtes Software- und Geräteinventar auf dem Schirm zu haben. Welche Software läuft auf Desktop-Rechnern, Mobilgeräten oder Servern? Was sind die verwendeten Unterkomponenten, etwa Open Source Bestandteile? Dabei helfen technische Möglichkeiten wie Software Bill of Materials (SBOMs), eine Art Sofware-Zutatenliste. Im Falle eines Falles, wie einer besonders schwerwiegenden Sicherheitslücke in einer Software etwa, fällt es dann auch viel einfacher, schnell und besonnen zu reagieren – weil klar ist, welche Systeme genau betroffen sind. Oft fehlt meiner Erfahrung nach in öffentlichen Verwaltungen hier der tiefergehende Überblick, der im Notfall aber entscheidend wäre.
Cyber-Sicherheitsvorfälle sind in ihren Ursachen oftmals vielfältig. Betrachten wir aber die häufigsten Ursachen, fällt laut der TÜV Umfrage besonders Phishing als Einfallstor für Angriffe unangenehm auf. Knapp 84 Prozent aller Angriffe haben den Ursprung in mehr oder weniger gut gemachten Phishing-Attacken, bei denen jemand versucht, deine Anmeldedaten abzugreifen. Nun könnten Verwaltungen darauf vertrauen, dass ihre Mitarbeitenden guten Glaubens schon nicht auf obskure Mails klicken werden, vielleicht gibt es sogar noch ein Awareness-Training gegen Phishing. Das ist sind aber nicht alle Schutzmaßnahmen, die man dagegen ergreifen kann. Es gibt z. B. inzwischen auch gut nutzbare Anmeldeverfahren, die Phishing schon auf technischer Ebene verhindern.
Anmeldeverfahren über Passkeys etwa, bei denen bei jeder Anmeldung für einen Dienst oder eine Webseite eine individuelle Antwort auf eine Anfrage gegeben wird, sind technisch schwerlich abfischbar und funktionieren nur für die Anmeldung an einer ganz bestimmten Stelle. Dazu sind diese Verfahren durch weitere Faktoren wie PINs oder Biometrie absicherbar und dazu auch noch einfach für euch zu nutzen, sei es über FIDO-Stick oder Smartphone. Immer mehr Dienste bieten dieses sichere und bequeme Verfahren zur Anmeldung an und minimieren so die Risiken für eine der immer noch sehr häufig auftretenden Angriffsarten auf Verwaltungen. Das sind zwei einfache von vielen weiteren Möglichkeiten, wie Ihr eure aktuelle Sicherheit schrittweise zu echter Cyber-Sicherheit weiterentwickeln könnt, ganz ohne auf das bloße Glauben vertrauen zu müssen.
Bianca Kastl ist Entwicklerin und unterstützt seit Beginn der Corona-Pandemie Gesundheitsämter bei der Digitalisierung. Von dort aus schaut sie kritisch auf die digitale Infrastrukturen, die in der öffentlichen Verwaltung und Gesundheitswesen genutzt werden – vor allem auf deren Schwachstellen, wie etwa bei der elektronischen Patientenakte.
