Trusted Computing:
Sicherheit geht vor


[2.3.2012] Auch die IT-Systeme von öffentlichen Verwaltungen sind häufig Angriffen aus dem Netz ausgesetzt. Um hier Sicherheitsziele gewährleisten zu können, sollen künftig vermehrt Trusted-Computing-Technologien zum Einsatz kommen.

Cyber-Kriminalität trifft auch die öffentliche Verwaltung. Das Jahr 2011 war das Jahr der Cyber-Kriminalität. Zahlreiche Fälle der gezielten Manipulation von Informationen, dem Ausspähen vertraulicher Daten und des Diebstahls von Identitäten haben die Verwundbarkeit von IT-Systemen gezeigt. Davon betroffen sind auch Regierungen und Verwaltungen. Unbeabsichtigt wird Angreifern durch meist kleine Schwachstellen oder Fehlkonfigurationen eine Hintertür geöffnet. Beeinträchtigt wird dadurch nicht nur die Funktionsweise eines technischen Systems, sondern in erster Linie das Vertrauen, das Bürger in die Verlässlichkeit des Informations- und Kommunikationsangebots der öffentlichen Verwaltung setzen. Auch kommunale IT-Entscheider müssen sich der Frage stellen, ob ihre Online-Angebote effektiv gegen Angreifer geschützt sind.

Komplexität als Fluch und Segen

Die zunehmende Komplexität moderner IT-Systeme ist dabei Fluch und Segen zugleich. Auf der einen Seite ermöglicht die Verknüpfung unterschiedlicher Fachverfahren eine neue Qualität in der kollaborativen Prozessbearbeitung und eine Effizienzsteigerung in der medienbruchfreien und nutzerorientierten Service-Erbringung. Andererseits ergeben sich durch die Vernetzung zusätzliche Bedrohungen für das Gesamtsystem.
IT-Sicherheit ist ein Querschnittsthema, bei dem es politische, ökonomische, organisatorische, rechtliche und technologische Aspekte zu beachten gilt. Damit ein IT-System seinen Zweck sicher erfüllt, müssen alle Bereiche bezogen auf das Gesamtsystem frei von Schwachstellen sein. Verlagerte Zuständigkeiten in der öffentlichen Verwaltung bewirken jedoch, dass selten ein Akteur alle Fäden in einer Hand hält und mehrere Ebenen überschaut. Der fehlende Überblick führt zu einem Informationsvakuum und zu Intransparenz. Deshalb liegt die Vermutung nahe, dass die meisten IT-Entscheidungsträger, die angeben, nie, selten oder gelegentlich Ziel von Angriffen zu sein, kaum wirklich über alle notwendigen Informationen zur Beurteilung der Sicherheitslage verfügen. Denn Grundlage für die Beurteilung des Risikos ist die Kenntnis der Bedrohung. Es reicht nicht aus, sich darauf zu verlassen, dass jeder Vorfall bemerkt wird. Zudem ist es objektiv schwierig, auf technischer Ebene alle real geführten Angriffe zu erkennen.

Latent unsichere IT-Systeme

Eine weitere Ursache für latent unsichere IT-Systeme ist der Einsatz von gängigen Web Frameworks wie Drupal, Wordpress und TYPO3. Insbesondere von kleinen Internet-Agenturen realisierte Portale sind stark an der gewünschten Funktionalität des kommunalen Auftraggebers orientiert und vernachlässigen Sicherheitsbetrachtungen aus Kostengründen und aufgrund fehlender Sensibilisierung. Besonders gefährlich sind hier so genannte ungepatchte Monokulturen. Unter den Begriff fallen unter anderem Content-Management-Systeme, bei denen notwendige Sicherheitspatches nicht zeitnah eingepflegt werden. In diesen weit verbreiteten und auch im öffentlichen Sektor beliebten Systemen besteht ein erhöhtes Gefährdungspotenzial, da Angreifer automatisiert erkennen, ob notwendige Sicherheitspatches vergessen oder nicht zeitnah eingepflegt wurden. Ein anderes Problem sind Passwörter. Für diese werden in einigen Web Frameworks keine ausreichenden Sicherheitsmaßnahmen vorgegeben. Ohne entsprechend nachgerüstete Module können die Kennungen in kurzer Zeit entschlüsselt werden.

Was ist Trusted Computing?

Einen Paradigmenwechsel in der IT-Sicherheit öffentlicher Verwaltungen kann mittelfristig die von der Trusted Computing Group (TCG) entwickelte Trusted-Computing-Technologie einläuten. Sie wird als nachhaltig und kosteneffizient eingestuft. Bei diesem Prinzip wird die Ausführung von Basissystem und Anwendungen in einem vertrauenswürdigen Zustand vermessen (Referenzmessung). Vor jedem Start wird das ausführ­bare Programm einschließlich der Um­gebungsparameter erneut gemessen und abgeglichen. Bei einer schadhaften Veränderung stimmen die Messungen nicht mehr überein – das System wird als nicht mehr vertrauenswürdig behandelt. Der bei jedem Neustart des Systems für jede Software-Ebene durchgeführte Trusted-Computing-Mechanismus wird durch ein Hardware-Modul (Trusted Platform Module) und eine starke Kryptografie abgesichert.
Der Einsatz von Trusted-Computing-Systemen ist eine Schutzmaßnahme, die heute von kaum einer Verwaltung umgesetzt wird. Perspektivisch wird sich dies durch die in Windows 8 integrierten Trusted-Computing-Mechanismen ändern, die das Prinzip massenhaft verfügbar und verkehrsüblich machen werden. Damit wird es für Cloud-Service-Anbieter möglich, die von der öffentlichen Stelle benötigten Kontroll- und Steuerungsmöglichkeiten online zur Verfügung zu stellen, um den Anforderungen der Auftragsdatenverarbeitung gerecht zu werden. Andererseits wird es Bürgern als Nutzern möglich sein, online zu prüfen, ob sich die Services der Verwaltung in einem Zustand befinden, der von einer externen Prüfinstanz als vertrauenswürdig eingestuft wurde.

Regemäßige Sicherheitstests

Das Unternehmen init empfiehlt öffentlichen Stellen, sich bei der Erstellung von Ausschreibungsunterlagen bis zur Umsetzung ihrer IT-Verfahren am aktuellen Stand der Technik bezüglich vertrauenswürdiger Infrastrukturen zu orientieren. Das Engagement darf jedoch nicht mit der Inbetriebnahme der Plattform enden. Ist das Portal erst einmal online, sollte es regelmäßig automatisiert getestet werden. Dabei kann der einem Viren-Scan ähnliche Testablauf entlang mittlerweile gut kategorisierter Gefahrenschwerpunkte durch einen externen Dienstleister erfolgen, der die Sicherheits- und Datenschutzanforderungen der veröffentlichten E-Government-Dienste sehr gut kennt. init bietet hierfür zum Beispiel im Rahmen eines Security-Engineering-Prozesses drei abgestufte IT-Sicherheitstests an.
Im Unterschied zu Kraftfahrzeugen ist die ASU für Internet-Portale weitaus komplizierter, da es zwar eine limitierte Anzahl verschiedener Autotypen gibt, aber nahezu jede Website ein Einzelfall ist. Letztlich ist die Politik gefragt, durch sinnvolle Verbindlichkeiten dazu beizutragen, dass ein annehmbares Sicherheitsniveau informationstechnischer Systeme in Bund, Ländern und Kommunen gewährleistet ist.

Christian Breitenstrom ist Senior Software Developer bei der init AG für Digitale Kommunikation, Berlin.

http://www.trustedcomputinggroup.org

Stichwörter: IT-Sicherheit, init, Trusted Computing, Datensicherheit, Datenschutz

Bildquelle: MEV Verlag/PEAK

Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Baden-Württemberg: Führungsduo für Cybersicherheitsagentur
[22.9.2021] Beim Aufbau der Cybersicherheitsagentur Baden-Württemberg (CSBW) ist mit der Ernennung eines Führungsduos ein weiterer Meilenstein erreicht. Die CSWB ist ein zentrales Element der Cybersicherheitsarchitektur des Landes. Sie soll bestehende Cybersicherheitsstrukturen vernetzen. mehr...
Das neue Führungsduo der Cybersicherheitsagentur Baden-Württemberg
Hamburg: BfDI warnt vor Zoom-Einsatz
[8.9.2021] In Hamburg hat der Beauftragte für Datenschutz und Informationsfreiheit die Senatskanzlei offiziell gewarnt, die Videokonferenzlösung von Zoom in der On-demand-Variante zu verwenden. Die Lösung könne nicht DSGVO-konform genutzt werden. mehr...
Fuldatal: Sichere E-Mail-Kommunikation Bericht
[8.9.2021] Eine sichere E-Mail-Kommunikation will die Gemeinde Fuldatal gewährleisten. Die bislang eingesetzte Lösung war jedoch aufwendig, weshalb eine DSGVO-konforme und nutzerfreundliche neue Anwendung gesucht wurde. Die schweiz-deutsche Secure E-Mail-Lösung SEPPmail von atecto erfüllt diese Anforderungen. mehr...
Fuldatal ist eine sichere E-Mail-Kommunikation mit den Bürgern wichtig.
BNetzA: Neuer Katalog mit Sicherheitsanforderungen
[31.8.2021] Im Einvernehmen haben die Bundesnetzagentur (BNetzA), das BSI und der Bundesdatenschutzbeauftragte den neuen Katalog von Sicherheitsanforderungen festgelegt. Erstmals werden darin die Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial eingestuft. mehr...
Starnberg: Sichere Bürgerdaten
[13.7.2021] Das Landratsamt Starnberg hat als erste Kreisverwaltung in Deutschland das ISO 27001 Zertifikat erhalten. Damit kann es für die Daten ihrer Bürgerinnen und Bürger höchste Sicherheitsstandards garantieren. mehr...
Landrat Stefan Frey (l.) und IT-Leiter Thomas Eberhard (r.) nehmen die Zertifizierungs-Urkunde von Franz Obermayer von der complimant AG entgegen.
Suchen...

 Anzeige



Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 9/2021
Kommune21, Ausgabe 8/2021
Kommune21, Ausgabe 7/2021
Kommune21, Ausgabe 6/2021

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
GISA GmbH
06112 Halle (Saale)
GISA GmbH
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
procilon GmbH
04425 Taucha bei Leipzig
procilon GmbH
Aktuelle Meldungen