Richter: Investitionsstau lösen
In Deutschland herrscht Investitionsstau. Das bestätigte auch Dr. Markus Richter, CIO der Bundesregierung und Staatssekretär im BMI: „Wir haben zu wenig in Verteidigung, innere Sicherheit, Zivilschutz und Katastrophenschutz investiert“, erklärte Richter auf der Public IT-Security Conference in Berlin. In der Rückschau hätte man viel früher starten müssen, um den Investitionsbedarf zu bedienen. Auch die Corona-Pandemie hätte Dynamiken beschleunigt.
Richter richtete den Fokus seiner Eröffnungsrede auf drei Themen. Als erstes widmete er sich den Kritischen Infrastrukturen (KRITIS). Hier sei Unterstützung auf allen Ebenen, zum Beispiel auch für die Energie- und Abfallwirtschaft, nötig: „All das ist für den alltäglichen Bedarf der Bürgerinnen und Bürger nötig“, so der Bundes-CIO. Er zeigte sich optimistisch, dass durch die NIS2-Richtlinie die Ausgangslage der KRITIS verbessert würde. Man könne die NIS2-Umsetzungsfrist zum 18. Oktober 2024 zwar nicht halten, aber sei „kurz danach“ bereit.
Als zweiten Fokuspunkt sprach Richter über die Wichtigkeit von wirksamen Kommunikationsinstrumenten: „Wir müssen in der Lage sein, mit Bündnispartnern, aber auch innerhalb Deutschlands sicher zu kommunizieren.“ Bisher fände noch zu viel mündliche Kommunikation statt. Für die künftige Frequenzvergabe solle auch auf den Sicherheitsbereich Rücksicht genommen werden.
Auch die Etablierung neuer Technologien ist ihm ein Anliegen. Man bewege sich in Zeiten, in der staatliche Infrastruktur nicht mehr „hermetisch auf einer Insel“ stattfände und nicht mehr von der Wirtschaft zu trennen sei. Der CIO forderte auf der PITS eine Öffnung der Schnittstellen, um flexibler zu werden. Auch beim 5G-Netz warb er für offene Standards: „Hier wäre mir eine Erarbeitung auf europäischer Ebene am liebsten“, folgerte Richter.
Dr. Markus Richter, Staatssekretär und CIO der Bundesregierung, sprach in seiner Eröffnungsrede drei Kernthemen an: Fokus auf den Schutz Kritischer Infrastrukturen, bessere Kommunikationsinstrumente für den nationalen und internationalen Austausch und neue Technologien insbesondere im Bereich der digitalen und physischen Infrastrukturen. (Foto: BS/Bildschön)
Häger: Behörden müssen ihre IT-Hausaufgaben machen
Resilienz ist mehr als nur Cyber-Resilienz. Das stellte Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI), im Rahmen der Konferenz Public-IT-Security 2024 klar. Ein Bewusstsein für Cyber-Angriffe seitens des Behördenpersonals sei nicht unwichtig – jedoch auch nicht entscheidend.
Zur gesamten Resilienz von Behörden und Unternehmen gehören laut Häger auch analoge Maßnahmen. Wichtig sei in erster Linie „ein Plan B, falls etwas schiefläuft“ – wie auch immer dieser aussehen mag. Die EU etwa lagere so manche Backups – ganz physisch – in einem Bergwerk in Österreich. Nationaler und lokaler wurde es bei der Rolle der Kommunen. Hier liefe laut Häger der wahre „Austausch zwischen Behörden und Bürgern“, nicht über die Bundesbehörden. Könnten Bürgerinnen und Bürger Verwaltungsservices nicht nutzen, weil kommunale Behörden-IT durch Denial of Service (DoS) lahmgelegt wurde, hätten die Behörden „ihre Hausaufgaben nicht gemacht“.
Stichwort Awareness
Um Cyber-Attacken bestmöglich zu verhindern und die behördliche Resilienz zu stärken, dürfe man die Basis nicht vernachlässigen, ergänzte Dr. Karoline Busse, Hochschuldozentin für Datenschutz und Informationssicherheit am Niedersächsischen Studieninstitut für kommunale Verwaltung: Es seien immerhin „die kleinen Angestellten“, die Phising-Mails bekämen und Hacker-Angriffen dadurch potenziell Tür und Tor öffneten. Das Schaffen von Awareness, also ein Bewusstsein des Personals für das Erkennen und den Umgang mit solchen Angriffsversuchen, sei ein wichtiger Baustein. Dirk Häger stimmte bedingt zu. Natürlich sei diese Awareness wichtig – sie sei aber auch teuer und es gebe keine validen Beweise, dass entsprechende Workshops und Weiterbildungen für die Mitarbeitenden die IT-Sicherheit von Behörden signifikant erhöht. Das Geld solle man lieber in die Administration stecken, so Häger: „Wenn Mitarbeitende IT-Fehler machen, hat die IT der Behörde versagt.“
Cyber-Resilienz als „Teamsport“ zu begreifen, hat für Dr. Dirk Häger vom BSI (3. v. r.) zunächst mehr Priorität als die Frage, ob Gegenmaßnahmen digital oder analog sein müssen. (Foto: BS/Bildschön)
Cyber-Kriminalität: Eine allgegenwärtige Bedrohung
Die Cyber-Sicherheitslage verschlechtert sich weltweit. Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) gab es im Jahr 2023 mehr als 250.000 neue Schadprogramm-Varianten und jeden Tag werden rund 70 Sicherheitslücken in Software-Produkten entdeckt. Diese Zahlen verdeutlichen die Bedeutung von Cyber-Resilienz.
Gleich zwei Großveranstaltungen finden dieses Jahr kurz nacheinander in Europa statt. Sowohl bei der Fußball-EM in Deutschland als auch bei der Sommerolympiade in Paris spielt Cyber-Sicherheit eine ausschlaggebende Rolle. „Angesichts dieser Veranstaltungen und auch der angespannten Cyber-Sicherheitslage haben wir die Notwendigkeit, die Cyber-Resilienz zu stärken ganz klar vor Augen“, erklärte Dr. Daniel Meltzian, Referatsleiter für Grundsatz, Cyber- und Informationssicherheit im Bundesministerium des Innern und Heimat (BMI). Dafür beachte das BMI die Cyber-Sicherheit gemäß den Leitlinien des BSI: Prävention, Detektion und Reaktion.
Cyber-Kriminalität gehöre laut Meltzian zu den kriminalpolizeilichen Phänomenbereichen mit dem höchsten Schadenspotenzial. Die kriminellen Dienstleistungen würden im Geschäftsmodell „Crime as a service“ von den Tätern immer professioneller und spezialisierter angeboten. Zwar liege der Fokus meist auf finanzstarken Unternehmen und Institutionen mit hoher Öffentlichkeit, jedoch würden inzwischen auch immer wieder kommunale Einrichtungen angegriffen. „Wir haben zwei Ransomware-Angriffe pro Monat in den Kommunen. Das ist besorgniserregend“, verdeutlichte Daniel Meltzian die aktuelle Sicherheitslage.
Am Fundament ansetzen
Durch die ansteigende globale Vernetzung vergrößere sich auch die Angriffsfläche. Immer mehr digitalisierte Dienstleistungen seien miteinander verwoben. Somit entstünden Abhängigkeiten in der Lieferkette und in vernetzten Systemen. „So sind Angriffe auf das schwächste Glied damit verbunden, dass wir große Folgen für das Gesamtsystem sehen“, betonte Meltzian bei der diesjährigen Public-IT-Security (PITS). Dem müsse man entgegentreten und beim Fundament, also den gesetzlichen Rahmenbedingungen, ansetzen. Die Umsetzung der Richtlinie der Europäischen Union zur Netzwerk- und Informationssicherheit (NIS-2) liefere eine dieser Rahmenbedingungen, so der Referatsleiter. Durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz werde das erste Mal auch die Bundesverwaltung betroffen sein. Auch die Länder seien damit beschäftigt, ihre Cyber-Sicherheitsvorgaben zu erhöhen.
In den nächsten Wochen werden die kommenden Großveranstaltungen – die Fußball-EM in Deutschland und Olympia in
Frankreich – zeigen, wie stark die Abwehr in der Cyber-Sicherheit stehe, erklärte Dr. Daniel Meltzian, Referatsleiter für Grundsatz, Cyber- und Informationssicherheit im BMI. (Foto: BS/Bildschön)
Sicherheitsstrategien für die Cloud
Die Cloud-Nutzung erleichtert in der Verwaltung den Arbeitsalltag. Wie groß die Schwachstellen in puncto Sicherheit sind, zeigte ein Fachforum auf der PITS-Konferenz.
„Wir verfügen im öffentlichen Sektor immer noch nicht über die Cloud-Durchdringung, die man sich wünschen würde“, stellte Marc Danneberg, Bereichsleiter Public Sector beim Branchenverband Bitkom, fest.Dabei sei Cloud-Nutzung in der Regel auch eine Entscheidung für mehr IT-Sicherheit. Wenn in Verwaltungen hingegen die Nutzung von Cloud-Lösungen auf die lange Bank geschoben werde, führe das dazu, „dass die IT-Sicherheit sinkt“, sagte er. Denn die qualitativ hochwertigen IT-Sicherheitslösungen seien bereits cloudbasiert.
Aus Sicht von Stephan Flammersfeld sollte daher in Behörden das Augenmerk auf den hybriden Cloud-Gebrauch gelegt werden. „Eine On-premise-Infrastruktur macht keinen Sinn, wenn immer mehr Verwaltungsangestellte ihre Arbeit von zu Hause aus erledigen“, erläuterte der Senior Systems Engineer des Cloud-Sicherheitsunternehmens Skyhigh Security.
Eine immer wieder gestellte Frage in puncto Cloud-Nutzung lautet: Was passiert mit den Daten? „Gerade bei einem hybriden Cloud-Gebrauch sind die Herausforderungen immens“, erklärte Sikes. Viele Unternehmen würden sich über Jahre hinweg mit Datenschutzkonzepten befassen. Sind sie schließlich „damit durch“, seien die Konzepte häufig schon veraltet. Die Empfehlung der BSI-Fachbereichsleiterin: „Wir müssen Schritt für Schritt beginnen.“
Für mehr Verhältnismäßigkeit plädierte auch Marc Danneberg vom Bitkom. „Es hilft nichts, Souveränitätsanforderungen zu stellen, die den Markt klein machen“, sagte er. Zwischen Souveränität und
Autarkie zu unterscheiden, sei wesentlich, ergänzte Sikes. Es gebe zwar viele Cloud-Lösungen, aber zu wenig Erfahrung im öffentlichen Sektor. Daran müsse man arbeiten.
Wie gelingt mehr Sicherheit in der Cloud? Darüber diskutierten Moderator Andreas Könen, Vera Sikes vom BSI, Bitkom-Bereichsleiter Marc Danneberg, Georg Hermann von Netskope Germany, Christian Eisenried von secunet Security Networks und Stephan Flammersfeld von Skyhigh Security (v. l.). (Foto: BS/Walter)
VPNs als Einfallstore
Man stelle sich folgende Situation vor: Alle Mitarbeitenden der Verwaltung sind aware. Die Patchsysteme sind automatisiert und es sind keine Legacy-Systeme im Einsatz. Ein perfekt umgesetztes ISMS. „Eine schöne Tagträumerei“, resümiert Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit im Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Realität sieht leider anders aus.
Die Einfallstore für Cyber-Gefahren sind vielfältig. Diese können bösartige E-Mail-Anhänge, Phishing-Mitteilungen via Anrufe oder SMS sein oder Drive by Downloads. Diese Einfallstore sind gängige Angriffsformen, um Malware an Anwenderinnen und Anwender zu verteilen. Wenn Schwachstellen dazu noch ungepatcht seien, man schwache Passwörter verwende und Fehlkonfigurationen Teil des Systems sind, gebe man Cyber-Kriminellen freie Hand, erklärt Häger auf der Public IT-Security Conference (PITS).
Auch VPN-Zugänge würden mittlerweile gezielt angegriffen werden. So warnte Check Point Anfang des Monats vor Angriffen auf seine VPN-Produkte. Bei einem erfolgreichen Angriffe könnten Kriminelle Daten abgreifen, so Häger. Das BSI warnte vor der Schwachstelle und erklärte: „Aufgrund ihrer exponierten Position stellen Sicherheitsgateways attraktive Ziele für Cyber-Angriffe dar.“
Nach Häger würde Cyber-Kriminelle gezielt Produkte angreifen, die direkt mit dem Internet verbunden seien. Und: „Es werden Sachen angegriffen, die uns schützen sollen“, so der Abteilungsleiter Operative Cyber-Sicherheit.
Hoffnungen für die Zukunft machen geplante Regelungen. Neben NIS2 soll der Cyber Resilience Act für mehr Sicherheit im Netz sorgen. „Hier werden mehr Pflichten für Hersteller eingeführt“, sagte Häger. Neben den gesetzlichen Regelungen forderte er auch, dass Institutionen die Automatisierung von Cyber-Sicherheit nach vorne treiben sollen.
Dr. Dirk Häger warnte vor Schwachstellen bei VPN-Produkten. (Foto: BS/Bildschön)
CIO und CISO als Dolmetscher
Der CIO der Hessischen Landesregierung, Ralf Stettner, glaubt, dass der CIO und der CISO eng zusammenarbeiten sollten, um Management-Aufmerksamkeit für Cyber-Sicherheit zu gewinnen. Ohne Rückhalt von oben sei schließlich keine effektive Umsetzung von Sicherheitsmaßnahmen möglich. Stettner zufolge agierten CIO und CISO als Dolmetscher zwischen den unterschiedlichen Abteilungen.
Weiterhin sollten die Beauftragten für Informationssicherheit nach Ansicht Stettners direkten Zugang zu Staatssekretären und Ministern haben, um effektiv arbeiten zu können. Außerdem müssten die CISOs von Anfang an in Projekte eingebunden werden und dürften nicht erst bei Krisen konsultiert werden. Sie müssten hingegen ständig präsent sein und ernstgenommen werden.
Ralf Stettner, CIO der Hessischen Landesregierung und ehemaliger CISO, betonte die enge Verzahnung der beiden Rollen. (Foto: BS/Bildschön)
