Die versteckten Risiken einer isolierten Herangehensweise an die IT-Sicherheit staatlicher Behörden

0
569
(Foto: SailPoint)

Wie Anfang Mai dieses Jahres bekannt wurde, kam es in Österreich zum wohl größten Datenschutzskandal innerhalb der Republik – Daten von einer Million Bürgern seien zeitweise frei im Netz zugänglich gewesen sein, der Fall betraf auch Spitzenpolitiker. Die Informationen waren offenbar über ein auf der Homepage des Wirtschaftsministeriums zugängliches Register einsehbar. Konkret handelte es sich um Namen, persönliche Adressen und Geburtstage, aber auch einzelne Steuerdaten waren frei verfügbar. Offenbar existierte die öffentliche Datensammlung schon länger, fiel Abgeordneten der Oppositionspartei Neos aber erst im Zuge der Abwicklung eines Härtefallfonds wegen der derzeitigen Corona-Pandemie auf. Die Nutzung sei wohl mitunter durch das Finanzamt, das Finanzministerium und die Wirtschaftskammer erfolgt. Der Fall offenbart, wie schnell sensible Daten selbst in der staatlichen Verwaltung kompromittiert werden können. Doch wie können öffentliche Organisationen so einen Vorfall vermeiden?

Fachkräftemangel und Digitalisierung: Gefahrenniveau steigt

IT-Abteilungen von Regierungsbehörden werden notorisch vernachlässigt. Häufig fehlt es ihnen an Ressourcen oder Budget für ihren Betrieb, und die Angestellten sind am Ende sehr reaktiv, können nur grundlegende Anfragen bearbeiten und sind nicht in der Lage, proaktiv auf längerfristige Anforderungen zu reagieren.

Verhinderung von Informationsverlust hat oberste Priorität: Kontrolle ist wichtig

Eine kürzlich von EY durchgeführte Umfrage ergab, dass 56 Prozent der Befragten die Verhinderung von Datenlecks und Datenverlusten als hohe Priorität für ihre Organisation betrachten. 42 Prozent sind der Ansicht, eine zentrale Herausforderung für die Informationssicherheit sei es, zu wissen, wer Zugriff auf alle Ressourcen hat. Die Arbeit in Silos verschlimmert diese Herausforderung nur noch. Wenn Daten etwa unsachgemäß verarbeitet und verwaltet werden, kann dies enorme Risiken für die IT-Sicherheit einer Behörde darstellen. Ein Beispiel: Ein hochrangiger Beamter verlässt seinen Posten, wichtige Daten werden nicht weitergegeben und/oder sein Zugriff wird beim Verlassen seiner Position nicht ordnungsgemäß widerrufen. Die Tatsache, dass ein solches Szenario fatale Auswirkungen haben kann, liegt auf der Hand.

Deshalb ist es unerlässlich, dass die IT-Sicherheitsabteilungen in der öffentlichen Verwaltung wissen, wer und in welchem Umfang Zugang zu welchen Systemen und den darin enthaltenen sensiblen Daten hat. Jedes Benutzerkonto – privilegiert oder nicht – muss verifiziert und überwacht werden, um sicherzustellen, dass der Zugriff ordnungsgemäß geregelt ist und dass das Benutzerkonto nicht kompromittiert wurde. Das bedeutet, dass die Sicherheits- und IT-Teams eng zusammenarbeiten müssen, um alle Benutzer und deren Zugriffslebenszyklus zu verwalten, wenn sie beitreten, innerhalb von Ressorts wechseln und schließlich wieder gehen. In der Praxis ist dies jedoch oft noch weit von der Realität entfernt.

Der Autor des Gastbeitrags ist Ben Bulpett von SailPoint.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here