In der IT-Sicherheitsstrategie der Stadt Osnabrück spielt der menschliche Faktor eine zentrale Rolle. Ziel ist es, die Mitarbeitenden für Risiken zu sensibilisieren und sie in die Lage zu versetzen, sich davor zu schützen. Im Interview erklärt Marwin Kemper aus dem Team IT-Betrieb das bisherige Vorgehen, weitere To Dos und welche Tipps anderen Kommunen bei der Stärkung ihrer Cyber-Sicherheit helfen können.
Behörden Spiegel: Wie kam es zu der Entscheidung, mehr für die Cyber-Awareness der Mitarbeitenden zu tun?
Marwin Kemper: Ransomware, Social Engineering, Datendiebstahl, DDoS-Attacken und Angriffe auf die Supply-Chain gehören längst zu den häufigsten Bedrohungen auf Kommunalverwaltungen.
Die Stadtverwaltung Osnabrück ist sich der Herausforderung von Cyber-Angriffen bewusst, denn tagtäglich arbeiten die Mitarbeitenden mit sensiblen Daten und Informationen. Umso wichtiger ist es daher für uns, besonders die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten und Informationen stets zu gewährleisten und diese vor Cyber-Angriffen zu bewahren.
Der Faktor Mensch ist ein elementarer Baustein unser IT-Sicherheitsstrategie. Die Mitarbeitenden müssen für die Risiken, die in diesem Zusammenhang existieren, sensibilisiert werden und müssen im Idealfall in der Lage sein, sich selbst und die von ihnen verarbeiteten Daten und Informationen zu schützen.
Behörden Spiegel: Welche Schritte folgten aus dieser Entscheidung?
Kemper: Bereits Ende 2020 haben wir uns auf den Weg gemacht, ein stadtweites IT-Sicherheitstraining anzubieten. Die Corona-Pandemie und dadurch verändertes Arbeiten haben auch bei uns das Thema IT-Sicherheit beschleunigt, denn Arbeitsprozesse mussten sofort digitalisiert werden und das Arbeiten im Homeoffice sowie die Nutzung von Videokonferenzen wurden ganz alltäglich.
Zunächst wurde das IT-Sicherheitstraining als freiwillige Schulung angeboten. Unter dem Motto „Pass auf!“ wurde dabei das Bewusstsein für das Thema IT-Sicherheit geweckt. Zum Start haben über 1000 Mitarbeitende teilgenommen. Unter den Kolleginnen und Kollegen, die das Training erfolgreich abgeschlossen und das Zertifikat eingereicht hatten, wurden zudem City-Gutscheine verlost. So wurde ein zusätzlicher Anreiz geschaffen, aktiv teilzunehmen.
Auch in den Folgejahren wurden und werden weiterhin Trainings zur IT- Sicherheit angeboten. Das ist mittlerweile ein fester Baustein für das Kollegium.
Behörden Spiegel: Was haben Sie noch umgesetzt?
Kemper: Um ein niederschwelliges Angebot zu machen, verdächtige E-Mails zu melden, steht den Mitarbeitenden ein Phishing-Meldebutton zur Verfügung. Dieser ermöglicht es, E-Mails an die zentrale IT zu melden, die Sie für bösartig halten. Durch das Melden solcher E-Mails kann sich ein direktes Feedback eingeholt werden, ob es sich dabei tatsächlich um eine Spam oder Phishing-E-Mail handeln könnte.
Behörden Spiegel: Wie messen Sie den Erfolg dieser Maßnahmen?
Kemper: Alle Mitarbeitenden sind dazu verpflichtet, innerhalb der regulären Arbeitszeit an der Kampagne teilzunehmen und die jeweiligen Module erfolgreich abzuschließen. Den direkten Führungskräften wird halbjährlich eine Übersicht über die Anzahl der absolvierten Module des jeweiligen Bearbeitungszeitraums zur Verfügung gestellt.
Behörden Spiegel: Was sind noch To Dos in der Cyber-Sicherheit der Stadt?
Kemper: Um einen angemessenen Schutz vor den zunehmenden, sich rasch weiterentwickelnden Bedrohungen und den potenziell disruptiven Auswirkungen neuer Technologien zu gewährleisten, ist eine hohe Agilität – sowohl der IT-Systeme als auch der Unternehmenskultur und Arbeitsmethoden – unabdingbar.
Dabei stellt sich fortlaufend die Frage, in welcher Zeit und auf welche Art und Weise auf neue Bedrohungen reagiert werden kann. Gleichzeitig gilt es, neue Erkenntnisse aus Prozessen, technischen Systemen sowie Aus- und Weiterbildung konsequent zu integrieren, um kontinuierlich auf dem neuesten Stand zu bleiben.
Auch das Thema Künstliche Intelligenz steht bei uns auf der Agenda. Dabei prüfen wir vor allem, in welchen Bereichen sich KI unter Berücksichtigung von Datenschutzkonformität bereits einsetzen lässt. Denn wir sind uns sicher, dass der der Einsatz von KI in naher Zukunft unumgänglich sein wird, um vor allem der steigenden Geschwindigkeit von Cyber-Angriffen standhalten zu können und somit auch die Geschäftsprozesse entsprechend sicherzustellen.
Behörden Spiegel: Was würden Sie anderen Kommunen empfehlen, um ihre Cyber-Sicherheit zu stärken?
Kemper: Ohne das notwendige Budget für IT-Sicherheits-Trainings und -Schulungen ist keine Cyber-Resilienz zu erzielen. Im Gegenteil vergrößern sich die Angriffsflächen weiterhin, weil mit zunehmender Digitalisierung zugleich die Zahl komplexer und verwundbarer Systeme steigt. Um sich hierbei auf einen guten Weg zu machen, empfiehlt es sich, sich eng an dem Stand der Technik zu orientieren, aktuelle Anforderungen und Regularien (unter anderem vom BSI) zu befolgen und seine Sicherheitsmaßnahmen mit stetigen Audits auf den Prüfstand zu stellen.
Auch sehen wir einen großen Mehrwert darin, einen engen Austausch mit anderen Kommunen zu haben, um voneinander zu lernen und aus den gemeinsamen Erfahrungen die besten Strategien für die eigene IT-Sicherheit zu entwickeln. Denn oftmals steht man hier von den gleichen Problemen und kann so gemeinsam eine Lösung finden.
Besonders wenn der Faktor Mensch im Vordergrund steht, sollten die Inhalte praxisnah und motivierend vermittelt werden. Dabei sollten also die Inhalte einem Storytelling, die Inhalte interaktiv gestaltet sind und die Lernplattform mit Gameifikation zum Weitermachen anregt. Auch sind die Inhalte zur IT-Sicherheit besonders im privaten Bereich nützlich.
Zudem hat sich die Durchführung der Cyber-Sicherheitsanalyse (B-Hard) vom Land Niedersachsen empfohlen, um zu sehen in welchen Bereichen bereits eine ausreichende Widerstandsfähigkeit besteht oder noch erforderlich wird.