Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Informationssicherheit als Prozess und liefert mit dem Grundschutz-Kompendium eine exzellente fachliche Grundlage für die Absicherung von IT-Systemen in der Verwaltung – und darüber hinaus. Angesichts der zuletzt massiven Angriffe auf IT-Systeme, auch im behördlichen Umfeld, sind wir jedoch auch zu der Überzeugung gelangt, dass es dringend geboten ist, mit der IT-Sicherheit vor die Lage zu kommen: mit Zero Trust-Architekturen.
Angriffe sind in der überwältigenden Mehrheit erst wegen der Unwissenheit und Unbekümmertheit der Anwender erfolgreich. Der technische und organisatorische Schutz wird umgangen, indem menschliche Fehler bzw. die privilegierten Zugänge von Anwendern ausgenutzt werden. Angriffe durch sogenanntes “Social Engineering” lassen sich folglich nur dann abwehren, wenn alle Mitarbeiterinnen und Mitarbeiter mitdenken und mitwirken. Alle müssen sich bewusst sein, dass die Sicherheit der behördlichen Daten und Informationen stark vom eigenen Verhalten abhängt. Das beginnt mit der Aufmerksamkeit beim Surfen im Internet oder beim Öffnen von Dateianhängen in E-Mails, aber auch beim Verhalten innerhalb der Behörde, also bei ganz alltäglichen Arbeitsvorgängen. Bereits kleine Veränderungen in der täglichen Routine können erheblich zum Schutz der internen Informationen beitragen. Die Sensibilisierung für Informationssicherheit bleibt daher ein Schlüsselfaktor für eine erfolgreiche Informationssicherheitsstrategie und findet sich unter anderem auch als Vorgabe im IT-Grundschutz-Kompendium und der ISO-270xx-Reihe.
Cyber-Attacken werden dennoch immer professioneller bei der Ausnutzung privilegierter Zugänge. Es braucht neben der besonderen Aufmerksamkeit für Informationssicherheit zusätzliche Brandmauern. Wir wollen deshalb hier einen Weg skizzieren, wie wir den herausfordernden Spagat aus Sicherheit und zunehmender Vernetzung meistern können. Denn die Anforderungen an Fachverfahren bzw. IT-Infrastrukturen, stärker im behördlichen Verbund zu kommunizieren sowie Schnittstellen für Wirtschaft und Bürger zu schaffen, steigen.
Zero Trust-Architektur
Autarkie ist deshalb keine Lösung für moderne Verwaltungssysteme. Der Ansatz, der sich dazu in der Industrie herauskristallisiert hat, heißt: “Zero Trust-Architektur”. Es geht darum, Informationssysteme selbst gegen unbekannte Attacken zu härten und gleichzeitig Schnittstellen und Kommunikationswege offenhalten zu können. Dass dies nicht zulasten des Bedienkomforts und der Anwenderfreundlichkeit gehen darf, ist die wohl wichtigste Rückmeldung, die uns in der Beratung vom Öffentlichen Dienst zurückgespiegelt wird.
Alle IT-Dienste werden einzeln und verursacherunabhängig geprüft. Das kann bis runter zum einzelnen Prozess innerhalb der Fachaufgabe umgesetzt werden. Dieser Services-Ansatz macht “Zero Trust” erst möglich. Der Zugriff des Prozesses auf Daten und Informationen wird erst nach einer erfolgreichen Identifizierung und Authentifizierung autorisiert. Die Schritte im Einzelnen: Zunächst muss ein Service sich eindeutig identifizieren. Im übertragenen Sinne seinen Namen, seine Identität, preisgeben. Um verlässlich die eigene Identität nachzuweisen, muss eine Authentisierung erfolgen. So wie wir es gewohnt sind, einen Ausweis, möglicherweise mit Lichtbild, persönlichen Angaben oder gar biometrischen Mustern vorzulegen, so können auch Dienstevertrauenswürdige Nachweise vorlegen. So, wie das Zollpersonal die Echtheit unseres Personalausweises prüft, kann auch die Gegenstelle die Echtheit oder Unveränderbarkeit von Zertifikaten, Tokens oder anderen sogenannten Credentials prüfen. Diese Methoden werden noch sicherer durch eine Zwei- oder Multi-Faktor-Authentifizierung. Erst wenn diese Phase absolviert ist, prüft das System die Berechtigungen der Anfrage oder des Dienstes. Das ist vergleichbar mit der Passkontrolle, bei der geprüft wird, ob die Person tatsächlich zugangsberechtigt ist. Je kleinteiliger diese Schritte in der Architektur hinterlegt werden, desto schwieriger werden der unberechtigte Zugriff und das weitere Eindringen gemacht. Das gilt insbesondere für die Endpunkte des Netzes, bspw. Endgeräte im öffentlichen Netz, vernetzte Haustechnik, Schnittstellen wie E-Mail oder Web- Applikationen oder Ähnliches.
Brandmauern
Um die Angriffsvektoren kleinzuhalten, gilt überall: Zero Trust für alle Nutzergruppen. Es darf nicht mehr vorkommen, dass Angreifer privilegierte Identitäten übernehmen, Administratorrechte ergattern und dann langanhaltend und unbemerkt größten Schaden verursachen können. Darüber hinaus kann Netzwerksegmentierung zusätzliche Brandmauern schaffen. Netze, die keine oder wenig Schnittstellen haben, werden physisch oder virtuell getrennt. Damit werden sogar Innentäter eingehegt und Zero Day-Attacken kommen nicht weit. Bei Zero Day-Angriffen nutzen Kriminelle oder Dienste Sicherheitslücken aus, die bis dato unbekannt waren.
Schließlich dient ein Security Operations Center (SOC) dazu, Sicherheitsvorfälle zu erkennen, nachzuvollziehen, zu analysieren und auch zu dokumentieren. Moderne KI-Unterstützung erlaubt es, Muster zu erkennen, Auffälligkeiten zu identifizieren und den Menschen bei der Sichtung von Daten und Logs zu unterstützen. Zum SOC zählen unter anderem das bereits vorgeschriebene Security Information and Event Management (SIEM), das als zentrales Archiv dient und das mit dem IT-Sicherheitsgesetz 2.0 nochmals gestärkt wurde (vgl. § 2 Absatz 9b BSIG).
Hinzu kommt die Endgeräteund Schnittstellenabsicherung, die sich heute zum Extended Detection and Response (XDR) fortentwickelt hat. Als zentrales Tool mit breitem Überblick können valide Warnungen he– rausgeben werden und Fehlalarme reduziert werden. Weil die Angriffsvektoren komplexer oder kombiniert gestresst werden, muss auch die Angriffserkennung möglichst breit aufgestellt sein und Transparenz bieten. Gleichwohl müssen SOC, SIEM oder XDR selbst vor unbefugtem Zugriff geschützt sein und sollten durch ein kluges Berechtigungsmanagement selbst keine neuen Gefahren erzeugen.
Resilient, souverän, sicher
Trotz aller Brandmauern: Sicherung und Wiederherstellung bleiben unverzichtbar. Daten müssen unveränderbar und schnell wiederherstellbar gesichert werden. Teilweise über lange Zeiträume hinweg, weil Angreifer möglicherweise in den Systemen verweilen, bevor sie später mit Schaden oder Aktionen auf sich aufmerksam machen.
Profitieren Sie von den Erfahrungen der geheimschutzbetrauten Spezialisten in Deutschland. Viele versammeln sich, wie auch SVA, unter dem Label “IT-Security made in Germany” von TeleTrusT. Es wird darauf ankommen, IT-Sicherheit stetig weiterzuentwickeln und die vorhandenen Lösungen möglichst effizient zum Einsatz zu bringen. Damit die Verwaltungsdigitalisierung in Deutschland gelingt: resilient, souverän, sicher.
Der Autor des Gastbeitrags ist Daniel Straßburg. Er ist Managing Consultant bei SVA System Vertrieb Alexander GmbH und leitet dort die Community Cyber Security, die auf digitale Sicherheit für die Öffentliche Verwaltung spezialisiert ist.
