Mit gutem Beispiel voran und doch versagt?

PrintMailRate-it

veröffentlicht am 7. Januar 2019

 

​Immer mehr Behörden mit Digitalisierungskonzept, jedoch mit fehlendem Informationssicherheits-Management-System

„Every business will be (is already) a digital business”. Bedeutet nichts anderes, als dass alle Unternehmen, egal welcher Branche, zwangsläufig zu IT-Firmen werden. Das wachsende Aufkommen an Daten, Informationen, cloudbasierten Anwendungen, der Vormarsch künstlicher Intelligenz und die digitale Verknüpfung sämtlicher Prozesse macht es auch für Behörden unmöglich, diese Entwicklung zu ignorieren. Die Aufbruchstimmung ist spürbar und eine positive Entwicklung. Bei allen Digitalisierungsvorhaben kommt jedoch oft ein Thema zu kurz: ein stabiles Informationssicherheits-Management-System.

 

Die bayerische Landesregierung hat nach den zuletzt stattgefundenen Landeswahlen einen über 50-seitigen Koalitionsvertrag vorgelegt. Darin enthalten: Ganze 63-mal das Wörtchen „digital”. Nicht nur Tourismus, öffentlicher Verkehr und Schulen sollen digitaler werden, sondern auch die Kommunen, Gemeinden, Behörden und Verwaltungsvorgänge. Die digitale Modellstadt Gelsenkirchen trumpft mit dem großflächigen Ausbau der Glasfaserinfrastruktur und Baden-Württemberg will für rund 800.000 Euro in die Ausbildung zum „Kommunalen Digitallotsen” der Verwaltungsangestellten investieren. Eine – wenn auch späte – Aufbruchstimmung in Sachen Digitalisierung ist im ganzen Land spürbar. Das ist vom Grundsatz her eine tolle Entwicklung und zeigt, dass auch das vermeintlich eingestaubte Thema „Verwaltung” daran teilnimmt. Bei aller Begeisterung erkennt man jedoch einen großen Nachteil:

 

Die wachsende Cyber-Kriminalität

Straftaten im Umfeld der Cyber- und IT-Kriminalität sind das derzeit am stärksten wachsende Delikt, wohingegen die Tätergruppen relativ klein sind. Ein Täter kann auf diesem Gebiet nur weitaus größeren Schaden bewirken, als ein Täter in einem klassischen Deliktumfeld wie dem Ladendiebstahl. Angriffe auf Unternehmen, Einrichtungen und Behörden sind leider längst kein zufälliges Phänomen von einigen wenigen, sondern tatsächliche Realität. Was die wenigsten wissen ist, dass selbst das Installieren eines Virus bzw. Computersabotage im Strafgesetzbuch, in diesem Fall § 303b StGB, mit bis zu 5 Jahren Freiheitsentzug unter Strafe gestellt werden kann.

 

kriminelle Erfahrungen im Internet 

 

Bitkom Research, n=503

 

 

 

Arten von digitalen Daten im Unternehmen 

 

Bitkom Research, n=178


Allein im Jahr 2017 hat IT-Kriminalität in Deutschland für einen geschätzten wirtschaftlichen Schaden von 55 Milliarden Euro gesorgt, Privathaushalte und Unternehmen zusammengerechnet. Da das Datenaufkommen täglich durch den simplen Gebrauch von Smartphones, Smart-Uhren, dem Surfen im Internet, durch das Nutzen von Apps etc. massiv steigt, steigt damit einhergehend leider auch das Interesse von Hackern und Datendieben. Dabei besonders im Fokus: Finanzdaten und personenbezogene Daten.

 

Eine Behörde ist gern genommenes Ziel bei Hackerangriffen und Datendiebstählen

Das zeigt nicht nur ein im November veröffentlichter Artikel des Landesbeauftragten für Informationssicherheit Sachsen, indem deutlich wird, dass der Freistaat mit rund 26.000 E-Mail-Viren zu kämpfen hat. Thomas Popp, ebengenannter Landesbeauftragter für Informationssicherheit drückt es so aus: „Das sei Cyberkrieg.” Und damit hat er damit nicht Unrecht. Gemeinden und behördliche Einrichtungen arbeiten und verwalten im höchsten Maße vertrauliche Daten von Bürgern, auch Kindern, Kunden und Unternehmen. Elterngeld, Steuererklärungen, Beantragungen von Sozialleistungen oder die Gewerbeanmeldung sind nur einige Beispiele, die man anführen könnte. Kriminelle Hacker haben es genau auf derlei sensible Daten abgesehen.

 

Wie sieht ein typischer Hackerangriff aus?

Eine klassische Vorgehensweise von Kriminellen: Über täuschend echt gestaltete E-Mails, wird der Mitarbeiter gebeten, den Anhang zu öffnen. Es wird eine säumige Rechnung oder ähnliches vorgetäuscht. Sobald ein Mitarbeiter den Anhang öffnet, installiert sich eine Schadsoftware auf dem lokalen PC. Ziel ist es, tiefer in das Netzwerk einzudringen und so Zugang zu sämtlichen Daten und Informationen zu erhalten. Nicht selten werden diese dann geklaut oder das Netzwerk so manipuliert, dass ein Weiterarbeiten für die Gemeinde, die Behörde oder das Unternehmen unmöglich ist. Zumeist wird ein Lösegeld von den Hackern gefordert, um die Systeme wieder freizugeben.

 

Ein stabiles INFORMATIONSSICHERHEITS-MANAGEMENT-SYSTEM ist daher zwingend notwendig!

Und das alleine schon aus Sicht des Datenschutzes, dessen Gesetzeslage sich seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes, deutlich verschärft hat. Die Erforderlichkeit eines Informationssicherheits-Management-Systems (ISMS) ergibt sich unter anderem aus Art. 32 DSGVO. Einfach ausgedrückt, handelt es sich um die Implementierung von technischen und organisatorischen Maßnahmen, die die Sicherheit der Verarbeitung von (personenbezogenen) Daten gewährleisten sollen. Einfache Beispiele dazu: die entsprechende Schulung jedes Mitarbeiters, das Verschlüsseln von E-Mails oder die zweifache Authentifizierung bei der Nutzung eines Rechners, der ebendiese sensiblen Daten verarbeitet. Aus Gesprächen mit unseren (potenziellen) Mandanten wissen wir, dass die Komplexität und die Verhältnismäßigkeit eines Informationssicherheits-Management-Systems in der Praxis nur schwer einzuschätzen sind. Oftmals scheitert es im ersten Schritt schon daran, dass eine saubere Dokumentation über Richtlinien, Anweisungen und Konzepte der jeweiligen Behörde, Einrichtung, Kommune oder Stadt bisher nicht vorgenommen wurde. Weiterhin scheitert es an dem technischen Verständnis eines ISMS. Und das, obwohl der Gesetzgeber Pflichten zur Einführung von Management-Systemen erlassen hat, wie man beim Betrachten der jeweiligen E-Government-Gesetze feststellen wird.

 

Rödl & Partner ist zertifizierter Berater bei der Einführung von ISIS12

Ein Informationssicherheits-Management-System in 12 Schritten, das sich aufgrund seiner einfachen Zusammensetzung speziell in KMUs und Behörden sowie Kommunen etablieren lässt. Mit den 12 Schritten lässt sich ein zeitlicher Horizont zur Projektumsetzung abbilden und transparent umsetzen. Zum Beispiel beschäftigt sich Schritt 1 mit der Erstellung einer Leitlinie für Informationssicherheit. Die Leitlinie ist das zentrale Strategiepapier, in dem Ziele sowie die daraus abgeleiteten und abzuleitenden Konzepte und Maßnahmen festgehalten werden. Die Mitarbeiter müssen zur Einhaltung und Umsetzung motiviert werden, weshalb in Schritt 2 die Mitarbeitersensibilisierung erfolgt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. In einem speziellen ISIS12-Vortrag, der sowohl von der internen Projektleitung wie durch einen Berater von Rödl & Partner gehalten werden kann, sollen alle Mitarbeiter über den ISIS12-Workflow und die spezifische Bedeutung der Informationssicherheit hingewiesen werden. In den folgenden 10 Schritten werden IST-Zustände und der strukturelle Aufbau der IT abgefragt, woraufhin eine SOLL-IST-Analyse zu Maßnahmen führt, deren Umsetzung Gegenstand der angestrebten Zertifizierung ist.

 

Die Erfahrungen bei unseren bisherigen Mandanten haben gezeigt, dass – vor allem bei Landkreisen – zunächst eine gesunde Skepsis bei den einzelnen Kommunen gegenüber der Einführung von ISIS12 herrschte. Nach einer allgemeinen Informationsveranstaltung, die zum Beispiel durch das Landratsamt kommuniziert wurde und wozu die Verantwortlichen aus den Kommunen eingeladen waren, ließ sich jedoch eine nahezu hundertprozentige Überzeugung resümieren.

 

Prozessablauf

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Jonas Dikau

B.Sc. Informationsmanagement

+49 221 9499 094 24

Anfrage senden

Deutschland Weltweit Search Menu