Eine kürzlich durchgeführte Studie der OTRS Gruppe unter IT-Experten hat ergeben: Die Mehrheit verzeichnet wöchentlich einen IT-Sicherheitsvorfall. Mit Hochdruck arbeiten Experten an Sicherheitsvorkehrungen, um kritische Vorfälle so gering wie möglich zu halten und die Bestimmungen der DSGVO einzuhalten. Doch trotzdem ist die Anzahl der Sicherheitsvorfälle erschreckend hoch.
Dabei kann ein Angriff auf öffentliche Institutionen verheerende Folgen haben. In diesem Fall wären nicht nur Kundendaten, sondern private Daten von unzähligen Bürgern betroffen.
Aktuelle Vorfälle zeigen das hohe Sicherheitsrisiko in öffentlichen Institutionen
Wie sieht es in Behörden und öffentlichen Institutionen aus? Können Sicherheitsverstöße hier möglicherweise noch viel größere Auswirkungen haben und noch mehr Menschen betreffen? Erst vor kurzem gab es einen Sicherheitsvorfall bei der Stadt Frankfurt am Main. Die Verantwortlichen wurden gezwungen, die städtischen Server herunterzufahren. Die Internetseiten mussten über einen längeren Zeitraum inaktiv bleiben. Ebenso wie in der Universität Gießen, die tagelang offline war, hat ein Schadprogramm die Systeme lahm gelegt. Experten kritisieren, dass das Thema IT-Sicherheit im öffentlichen Sektor noch zu kurz kommt, Projekte schlecht budgetiert oder als abgeschlossen betrachtet werden, sobald eine Anti-Malware-Lösung zum Einsatz kommt. Dabei kann ein Angriff auf öffentliche Institutionen verheerende Folgen haben. In diesem Fall wären nicht nur Kundendaten, sondern private Daten von unzähligen Bürgern betroffen.
Für KRITIS gelten verschärfte Sicherheitsmaßnahmen
Aus gutem Grund zählen Staat und Verwaltung deshalb zu den sogenannten Kritischen Infrastrukturen (KRITIS). Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen auch Energie, Telekommunikation, Transport, Gesundheit, Wasser, Ernährung, Finanz-und Versicherung, Medien und Kultur. Für diese Bereiche gelten verschärfte Sicherheitsmaßnahmen.
Empfehlung: Ein Risikomanagement sollte aus fünf Phasen bestehen
Das Risiko- und Krisenmanagement zum Schutz KRITISCHER Infrastrukturen sollte gut durchdacht werden und aus fünf Phasen bestehen:
Phase 1: Vorplanung zur Etablierung eines Krisenmanagements
Im Vorfeld des Auf- oder Ausbaus eines Risiko- und Krisenmanagements sollten grundsätzliche Festlegungen getroffen werden. Hierzu zählen:
- die Etablierung des Risiko- und Krisenmanagements durch die Leitung der Einrichtung,
- die Akzeptanz der Vorgehensweise,
- die Festlegung von Zuständigkeiten,
- die Bereitstellung von Ressourcen für die Etablierung
- die Festlegung strategischer Ziele zum Schutz der Einrichtung
Bei der Planung eines Krisenmanagements kann ein ISMS (Information Security Management System) wie CONTROL sehr hilfreich sein. Damit erfolgt eine durchgängige, transparente und revisionssichere Dokumentation strukturierter Abläufe nach ISO/IEC 27001. Die Zeitersparnis eines guten durchstrukturierten ISMS liegt bei 30-40 Prozent.
Phase 2: Risikoanalyse
Bei der zweiten Phase, der Risikoanalyse, geht es darum, potenzielle Risiken in Einrichtungen zu evaluieren. Dabei sollten folgende Fragen beantwortet werden können.
- Welche Arten von Gefahren können auftreten?
- Mit welcher Wahrscheinlichkeit treten diese Gefahren an den Standorten der Einrichtung auf?
- Welche Schwachstellen sind vorhanden, die die Einrichtung hinsichtlich einer Gefahreneinwirkung anfällig machen?
- Mit welchem Schaden ist bei Eintritt unterschiedlicher Gefahren zu rechnen?
- Welche Auswirkungen für die Funktionsfähigkeit der Einrichtung hat ein Ausfall von Prozessen aufgrund der Gefahreneinwirkung?
In der dritten Phase sollten vorbeugende Maßnahmen identifiziert werden, die zur Minderung von Risiken beitragen.
Phase 3: Beschreibung vorbeugender Maßnahmen
In der dritten Phase sollten vorbeugende Maßnahmen identifiziert werden, die zur Minderung von Risiken beitragen. Dabei ist es sinnvoll, eine Kosten-Nutzen-Analyse für die vorbeugenden Maßnahmen durchzuführen.
Phase 4: Aufbau eines Krisenmanagements
Das Krisenmanagement bietet deshalb eine Struktur zur Bewältigung von Krisen, die trotz Prävention nicht verhindert werden können.
Die wichtigsten Aufgaben eines Krisenmanagements sind:
- die besten konzeptionellen, organisatorischen und verfahrensmäßigen Voraussetzungen zu schaffen, um die Krise bestmöglich zu bewältigen
- spezielle Strukturen zur Reaktion im Krisenfall zu etablieren, insbesondere die Einrichtung eines Krisenstabes
Für die Phasen 3 und 4 ist eine Lösung wie STORM sehr sinnvoll, die Security-Prozesse für eine effektive Reaktion auf Angriffe bietet sowie den Austausch sicherheitsrelevanter Informationen ermöglicht.
Phase 5: regelmäßige Evaluierung
Die Evaluierung bezieht sich auf alle Phasen und sollte regelmäßig vorzugsweise jährlich erfolgen.
Meine dringende Empfehlung: Öffentliche Einrichtungen wie Behörden haben eine kritische Infrastruktur und sollten ihre Sicherheitsstrategie daher besonders überdenken. Bei Beachtung dieser fünf Phasen sollten sie gut gewappnet sein für 2020.
Mehr Infos mit allen Details finden Sie auch hier: https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Leitfaden_KRITIS.pdf?__blob=publicationFile
Bei weiteren Fragen oder Ratschlägen zum Thema Sicherheit stehe ich Ihnen gern auch persönlich zur Verfügung.
Kategorien
- Allgemein (90)
- Corporate Security (26)
- Customer Service (31)
- Digitale Transformation (54)
- ISMS (1)
- ITSM (39)
- Leadership (21)
- Mit OTRS arbeiten (15)
- OTRS im Einsatz (8)
- Über die OTRS Group (21)
- Unternehmenskultur entwickeln (13)