Wie Behörden mit Sicherheitsrisikos umgehen sollten
27/01/2020 |

Wie Behörden mit Sicherheitsrisikos umgehen sollten

Für kritische Infrastrukturen gelten verschärfte Sicherheitsmaßnahmen.
Wir geben Empfehlungen für ein Risikomanagement.

menu security mouse over

Eine kürzlich durchgeführte Studie der OTRS Gruppe unter IT-Experten hat ergeben: Die Mehrheit verzeichnet wöchentlich einen IT-Sicherheitsvorfall. Mit Hochdruck arbeiten Experten an Sicherheitsvorkehrungen, um kritische Vorfälle so gering wie möglich zu halten und die Bestimmungen der DSGVO einzuhalten. Doch trotzdem ist die Anzahl der Sicherheitsvorfälle erschreckend hoch.

Dabei kann ein Angriff auf öffentliche Institutionen verheerende Folgen haben. In diesem Fall wären nicht nur Kundendaten, sondern private Daten von unzähligen Bürgern betroffen.

Aktuelle Vorfälle zeigen das hohe Sicherheitsrisiko in öffentlichen Institutionen

Wie sieht es in Behörden und öffentlichen Institutionen aus? Können Sicherheitsverstöße hier möglicherweise noch viel größere Auswirkungen haben und noch mehr Menschen betreffen? Erst vor kurzem gab es einen Sicherheitsvorfall bei der Stadt Frankfurt am Main. Die Verantwortlichen wurden gezwungen, die städtischen Server herunterzufahren. Die Internetseiten mussten über einen längeren Zeitraum inaktiv bleiben. Ebenso wie in der Universität Gießen, die tagelang offline war, hat ein Schadprogramm die Systeme lahm gelegt. Experten kritisieren, dass das Thema IT-Sicherheit im öffentlichen Sektor noch zu kurz kommt, Projekte schlecht budgetiert oder als abgeschlossen betrachtet werden, sobald eine Anti-Malware-Lösung zum Einsatz kommt. Dabei kann ein Angriff auf öffentliche Institutionen verheerende Folgen haben. In diesem Fall wären nicht nur Kundendaten, sondern private Daten von unzähligen Bürgern betroffen.

Für KRITIS gelten verschärfte Sicherheitsmaßnahmen

Aus gutem Grund zählen Staat und Verwaltung deshalb zu den sogenannten Kritischen Infrastrukturen (KRITIS). Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen auch Energie, Telekommunikation, Transport, Gesundheit, Wasser, Ernährung, Finanz-und Versicherung, Medien und Kultur. Für diese Bereiche gelten verschärfte Sicherheitsmaßnahmen.

Empfehlung: Ein Risikomanagement sollte aus fünf Phasen bestehen

Das Risiko- und Krisenmanagement zum Schutz KRITISCHER Infrastrukturen sollte gut durchdacht werden und aus fünf Phasen bestehen:

Phase 1: Vorplanung zur Etablierung eines Krisenmanagements

Im Vorfeld des Auf- oder Ausbaus eines Risiko- und Krisenmanagements sollten grundsätzliche Festlegungen getroffen werden. Hierzu zählen:

  • die Etablierung des Risiko- und Krisenmanagements durch die Leitung der Einrichtung,
  • die Akzeptanz der Vorgehensweise,
  • die Festlegung von Zuständigkeiten,
  • die Bereitstellung von Ressourcen für die Etablierung
  • die Festlegung strategischer Ziele zum Schutz der Einrichtung

Bei der Planung eines Krisenmanagements kann ein ISMS (Information Security Management System) wie CONTROL sehr hilfreich sein. Damit erfolgt eine durchgängige, transparente und revisionssichere Dokumentation strukturierter Abläufe nach ISO/IEC 27001. Die Zeitersparnis eines guten durchstrukturierten ISMS liegt bei 30-40 Prozent.

Phase 2: Risikoanalyse

Bei der zweiten Phase, der Risikoanalyse, geht es darum, potenzielle Risiken in Einrichtungen zu evaluieren. Dabei sollten folgende Fragen beantwortet werden können.

  • Welche Arten von Gefahren können auftreten?
  • Mit welcher Wahrscheinlichkeit treten diese Gefahren an den Standorten der Einrichtung auf?
  • Welche Schwachstellen sind vorhanden, die die Einrichtung hinsichtlich einer Gefahreneinwirkung anfällig machen?
  • Mit welchem Schaden ist bei Eintritt unterschiedlicher Gefahren zu rechnen?
  • Welche Auswirkungen für die Funktionsfähigkeit der Einrichtung hat ein Ausfall von Prozessen aufgrund der Gefahreneinwirkung?
In der dritten Phase sollten vorbeugende Maßnahmen identifiziert werden, die zur Minderung von Risiken beitragen.

Phase 3: Beschreibung vorbeugender Maßnahmen

In der dritten Phase sollten vorbeugende Maßnahmen identifiziert werden, die zur Minderung von Risiken beitragen. Dabei ist es sinnvoll, eine Kosten-Nutzen-Analyse für die vorbeugenden Maßnahmen durchzuführen.

Phase 4: Aufbau eines Krisenmanagements

Das Krisenmanagement bietet deshalb eine Struktur zur Bewältigung von Krisen, die trotz Prävention nicht verhindert werden können.

Die wichtigsten Aufgaben eines Krisenmanagements sind:

  • die besten konzeptionellen, organisatorischen und verfahrensmäßigen Voraussetzungen zu schaffen, um die Krise bestmöglich zu bewältigen
  • spezielle Strukturen zur Reaktion im Krisenfall zu etablieren, insbesondere die Einrichtung eines Krisenstabes

Für die Phasen 3 und 4 ist eine Lösung wie STORM sehr sinnvoll, die Security-Prozesse für eine effektive Reaktion auf Angriffe bietet sowie den Austausch sicherheitsrelevanter Informationen ermöglicht.

Phase 5: regelmäßige Evaluierung

Die Evaluierung bezieht sich auf alle Phasen und sollte regelmäßig vorzugsweise jährlich erfolgen.

Meine dringende Empfehlung: Öffentliche Einrichtungen wie Behörden haben eine kritische Infrastruktur und sollten ihre Sicherheitsstrategie daher besonders überdenken. Bei Beachtung dieser fünf Phasen sollten sie gut gewappnet sein für 2020.

Mehr Infos mit allen Details finden Sie auch hier: https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Leitfaden_KRITIS.pdf?__blob=publicationFile

Bei weiteren Fragen oder Ratschlägen zum Thema Sicherheit stehe ich Ihnen gern auch persönlich zur Verfügung.

Text:
Photos: Pixabay auf Pexels

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Share the Story