Agile IT-Landschaften und IT-Sicherheit in Behörden und Verwaltung unter einen Hut zu bringen, ist für IT-Verantwortliche eine Gratwanderung. Denn die Angriffsflächen wachsen und ITSecurity muss neu gedacht werden.
Für die IT-Teams deutscher Behörden ist die zunehmende Digitalisierung und Öffnung der ihnen unterstellten Infrastruktur eine große Herausforderung. Einerseits gefährden steigende Komplexität und Fachkräftemangel die Beherrschbarkeit und erhöhen so die Verwundbarkeit. Andererseits wächst die Kritikalität der digitalisierten Daten und Prozesse und damit die Attraktivität als Angriffsziel. In diesem Konflikt müssen die Verantwortlichen Compliance-Vorgaben und Maßnahmen umsetzen, die die Informationssicherheit sicherstellen, ohne die Benutzbarkeit für die Anwender und die Effizienz der Arbeitsprozesse zu gefährden. Dies ist eine komplizierte Aufgabe, die schon in manch einer Behörde die digitale Transformation ins Stocken gebracht hat.
Agile IT-Landschaften aufbauen
Die Vorteile der Digitalisierung hinsichtlich des Komforts und der Effizienz von Arbeit und Kommunikation führen zu steigendem Innovationsdruck auf IT-Teams, sowohl seitens Politik und Bürger als auch durch die Mitarbeiter der Behörden. Der erfolgreiche Umbau von Arbeitsumgebungen in der letzten Pandemie hat gezeigt, was mit entsprechendem Einsatz und Mitteln möglich ist. Infolgedessen wird heute auch in Behörden erwartet, dass Mitarbeiter komfortabel im Home Office oder am Shared Desk arbeiten können und dabei durch moderne digitale Tools und reibungsarme Prozesse eine hohe Arbeitseffizienz erreichen. Diese Erwartung spiegelt sich auch im Wettbewerb um Talente auf dem Arbeitsmarkt wider. Und auch Bürger erwarten, den Behördenverkehr zunehmend komfortabel online erledigen zu können, so wie es das Onlinezugangsgesetz vorschreibt.
Keine Einschnitte bei der IT-Sicherheit
Gleichzeitig geraten Behörden verstärkt ins Fadenkreuz von Cyber-Kriminellen und staatlichen Hackern, denn dort liegen sensitive und teilweise als Verschlusssache (VS) eingestufte Datenschätze. Und Einschränkungen bei der Verfügbarkeit können erhebliche Auswirkungen auf die Bevölkerung haben. Entsprechend steigen die Anforderungen an IT-Sicherheit und Compliance, wie zum Beispiel durch Auflagen aus der EU-DSGVO.
IT-Teams benötigen daher moderne, aber regelkonforme Migrationsstrategien und vertrauenswürdige IT-Sicherheitskomponenten, um ihre IT-Landschaften Schritt für Schritt zu transformieren. Die gute Nachricht ist: Die IT-Security bietet bereits vielversprechende und bewährte Ansätze:
- Security im Design reduziert die Angriffsfläche,
- eine mehrschichtige Sicherheitsarchitektur (Defense in Depth) hält die Sicherheit selbst dann aufrecht, wenn in Infrastrukturkomponenten kritische Lücken auftreten,
- das Zero-Trust-Paradigma hilft durch granulare Zugriffskontrolle, vorhandene Infrastruktur zusätzlich präventiv zu härten,
- und Anomalie- und Angriffserkennung helfen, den Angreifer schnell unter Kontrolle zu bekommen.
Diese Konzepte im Rahmen einer VS-NfDkonformen Cyber-Sicherheitsarchitektur erfolgreich zu integrieren, ist der Schlüssel zum vertrauenswürdigen digitalen Staat.
Der Autor des Gastbeitrags ist Steffen Ullrich.
Gemeinsam mit genua veranstaltet der Behörden Spiegel am Freitag, den 14. April, von 10:30 bis 12 Uhr ein Partner-Webinar zum Thema “Agil, flexibel… sicher? Wie Behörden ihre IT-Infrastruktur cybersicher transformieren”. Die Möglichkeit zur Anmeldung gibt es hier.
