PwC Deutschland:
IT-Sicherheit für die öffentliche Verwaltung


[20.12.2021] Die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) gibt vor dem Hintergrund häufiger Cyber-Attacken grundlegende Tipps, wie Behörden und Ämter ihre Daten und Systeme vor solchen Angriffen schützen können.

PricewaterhouseCoopers (PwC) gibt Tipps zur Cyber-Sicherheit in Ämtern und Behörden. Um ihre Daten und Infrastrukturen vor Cyber-Attacken zu schützen, müssen Ämter und Behörden auch 2022 ihre IT-Sicherheit weiter stärken. Darauf weist die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) hin. Immer öfter würden kommunale Verwaltungen zum Ziel schlagkräftiger Cyber-Attacken. PwC verweist auf eine Umfrage von Zeit Online und dem Bayerischen Rundfunk, der zufolge in den vergangenen sechs Jahren insgesamt mindestens 100 Ämter und Behörden von Cyber-Attacken betroffen waren. Wie gravierend die Folgen solcher Attacken ausfallen können, zeige der Landkreis Anhalt-Bitterfeld. Dort hatten Unbekannte die Daten der Verwaltung verschlüsselt und damit für Wochen die gesamte IT lahmgelegt. Auch aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) bestätigten, dass Ämter und Behörden einem solchen Worst-Case-Szenario oft nur knapp entgingen, berichtet PwC. Von Juni 2020 bis Mai 2021 habe das BSI jeden Monat rund 44.000 E-Mails mit Schadprogrammen in den Regierungsnetzen abgefangen. Aufgrund der komplexen Organisationsstrukturen und knappen Ressourcen in der öffentlichen Verwaltung würden die Fachkräfte in den Behörden unter erschwerten Rahmenbedingungen gegen diese Gefahren kämpfen. Daher sei es von entscheidender Bedeutung, „gewisse Grundlagen“ beim Schutz der IT-Infrastrukturen zu beherzigen, so PwC. Der PwC-Experte für Cyber-Sicherheit im öffentlichen Sektor bei PwC Deutschland, André Glenzer, nennt fünf wichtigste Maßnahmen, die zu einer sichereren IT in der öffentlichen Verwaltung beitragen können.

Für den Worst Case gewappnet

Um alle sicherheitsrelevanten Parameter lückenlos abzustecken, sei es für Organisationen aus der öffentlichen Verwaltung wichtig, ein Management-System für die Informationssicherheit (ISMS) aufzustellen. Damit seien alle notwendigen Maßnahmen, Vorgaben und Hilfsmittel definiert, um die Informationssicherheit innerhalb der Organisation zu garantieren. So könnten verpflichtende Standards für sämtliche Mitarbeitende durchgesetzt und etwaige Verstöße und Sicherheitsrisiken frühzeitig erkannt werden. Für den öffentlichen Sektor biete sich dazu der IT-Grundschutz des BSI an (wir berichteten). Anknüpfend an das ISMS seien Behörden auch gut beraten, einen konkreten Notfallplan (Cyber Incident Response Plan) aufzustellen. Ein solcher Leitfaden definiere für den Fall eines Angriffs sämtliche Abläufe und Maßnahmen zur Begrenzung des Schadens. Wenn alle Notfallmaßnahmen richtig ineinandergriffen, könnten Behörden bei der Abwehr eines Angriffs wertvolle Zeit gewinnen und den Schaden eingrenzen. Ein solcher Notfallplan müsse regelmäßig geübt und die Übungen ausgewertet werden. Neben kriminellen Angreifenden können auch die eigenen Angestellten – ohne böse Absicht – ein Sicherheitsrisiko für die IT-Sicherheit darstellen. Dies zeige sich in verschiedenen Untersuchungen. So seien raffinierte Phishing- oder Social-Engineering-Kampagnen für ungeschulte Personen nur schwer zu identifizieren. Daher sei es wichtig, die gesamte Belegschaft regelmäßig hinsichtlich der Bedrohungsszenarien zu schulen. Alle Schulungen sollten ebenfalls dokumentiert werden.

Schwachstellen schließen

Wenn Mittel wie Phishing oder Social Engineering nicht greifen, suchen sich Kriminelle gerne andere Hintertüren, um an die Daten von Ämtern und Behörden zu gelangen. Sogar Stellenausschreibungen können potenziellen Angreifenden Hinweise auf leichte Ziele geben, berichtet PwC. Suche eine Einrichtung beispielsweise nach Administratoren mit Kenntnissen für veraltete Systeme wie Windows 7 oder Windows Server 2008 R2, können Kriminelle davon ausgehen, dass die IT-Infrastruktur vor Ort nicht auf dem neuesten Stand und somit verwundbar sei. Es sei wichtig, den Angreifenden zuvorzukommen. Zunächst einmal bestehe die Möglichkeit, Anwendungen und Netzwerke mit einem Schwachstellen-Scanner automatisiert auf Sicherheitslücken zu überprüfen. Für tiefergreifende Analysen seien jedoch externe Fachleute erforderlich – so genannte Penetration Tester, die aus Angreiferperspektive versuchen, in die Kundensysteme einzudringen. Der PwC-Experte Glenzer weist darauf hin, dass einmalige Schwachstellen-Tests meist wirkungslos verpuffen. Es gelte also, diese langfristig zu planen und in Abhängigkeit des ermittelten Schutzbedarfs entsprechend zu wiederholen.
Behördliche Informationssicherheitsbeauftragte sollten sich auch nicht allein auf den Perimeterschutz etwa durch eine Firewall verlassen. Dieser Schutz könne jedoch bei Wartungsarbeiten oder durch Unachtsamkeit ausgehebelt werden – in einem solchen Moment könnten Angreifende umgehend in die Systeme eindringen. Daher sei es innerhalb des Risiko-Managements wichtig, IT-Systeme und Anwendungen grundsätzlich so zu behandeln, als wären diese jederzeit frei über das Internet erreichbar. Als Maßnahmen, um auch innerhalb geschlossener Netze das Sicherheitsniveau zu erhöhen, nennt PwC das Einsetzen eines Security Information and Event Managements (SIEM), Verschlüsselungsmaßnahmen und ein stringentes Patchmanagement. In Kombination könnten solche Maßnahmen die Auswirkungen neuer Schwachstellen wie jüngst Log4Shell deutlich mindern. (sib)

https://www.pwc.de

Stichwörter: IT-Sicherheit, PwC, Log4Shell

Bildquelle: zemkooo / 123rf.com

Druckversion    PDF     Link mailen


 Anzeige

handelsblatt2204-banner

 Anzeige

learntec2205-banner
Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
EnBW: Konzerntochter für Cyber Security
[27.5.2022] Um der wachsenden Bedrohung durch Cyber-Kriminalität etwas entgegenzusetzen, hat EnBW jetzt das Tochterunternehmen EnBW Cyber Security gegründet. Das Unternehmen analysiert IT- und OT-Prozesse sowie Architekturen von nicht-Kritischen und Kritischen Infrastrukturen (KRITIS). mehr...
Virtual Solution: Mobile Software sicher ausrollen
[23.5.2022] Immer mehr Behörden, auch jene mit strengen IT-Sicherheitsregeln, setzen auf mobile Arbeitsgeräte. Beim Roll-out und Update dort installierter Software kann einiges schief gehen. Virtual Solution, Spezialist für sichere Mobil-Apps, klärt über die gefährlichsten Stolpersteine auf. mehr...
Märkischer Kreis: Hoher Stellenwert der IT-Sicherheit
[19.5.2022] Wie wird die IT-Sicherheit in einer Kreisverwaltung gewahrt? Im Märkischen Kreis tagte der Digitalausschuss und gibt nun Einblicke in einen bereits länger zurückliegenden Trojaner-Angriff und die danach eingeleiteten Maßnahmen, berichtet aber auch über die aktuelle Bedrohungslage. mehr...
Die Bedrohungslage im Bereich IT-Security hat sich mit Beginn des Ukraine-Krieges weiter verschärft – auch im Märkischen Kreis.
OZG: Verpasste Chance für mehr IT-Sicherheit?  Bericht
[19.5.2022] Den Security-by-Design-Ansatz hat das OZG nicht beschrieben, eine Verordnung zur Sicherung der eingesetzten IT trat erst 2022 in Kraft. Dabei verarbeitet gerade die Verwaltung besonders sensible Daten. Behörden sollten die Bürgerkommunikation deshalb von sich aus durchgängig verschlüsseln. Ein Kommentar von FTAPI-COO Ari Albertini. mehr...
Digitaler Impfnachweis: Reichlich Lücken im System Bericht
[12.5.2022] Der digitale Impfnachweis wurde in Deutschland mit allzu heißer Nadel gestrickt – und zeigt daher in puncto Sicherheit und Zuverlässigkeit erschreckend viele Mängel. Die Sicherheitslücken nachträglich zu stopfen, ist schwierig bis unmöglich. mehr...
Mit heißer Nadel gestrickt: der digitale Impfnachweis.
Weitere FirmennewsAnzeige

E-Invoicing: Was 2022 auf Kämmereiabteilungen zukommt
[2.5.2022] Annahme und Verarbeitung von E-Rechnungen, Portallösungen und PEPPOL, das neue Umsatzsteuerrecht für Kommunen – mit einigen dieser Themen haben Kämmereiabteilungen schon seit längerem zu tun, andere sind neu bzw. werden weiter ausgebaut. So bringt das laufende Jahr für alle in der kommunalen Verwaltung, die mit Steuern, Haushalt und Finanzen zu tun haben, technische wie auch gesetzliche Neuerungen. mehr...
Suchen...

 Anzeige

vereon2204-cont

 Anzeige

vereon2204-cont

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 05/2022
Kommune21, Ausgabe 04/2022
Kommune21, Ausgabe 03/2022
Kommune21, Ausgabe 02/2022

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
GISA GmbH
06112 Halle (Saale)
GISA GmbH
Aktuelle Meldungen