PwC DeutschlandIT-Sicherheit für die öffentliche Verwaltung

[20.12.2021] Die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) gibt vor dem Hintergrund häufiger Cyber-Attacken grundlegende Tipps, wie Behörden und Ämter ihre Daten und Systeme vor solchen Angriffen schützen können.
PricewaterhouseCoopers (PwC) gibt Tipps zur Cyber-Sicherheit in Ämtern und Behörden.

PricewaterhouseCoopers (PwC) gibt Tipps zur Cyber-Sicherheit in Ämtern und Behörden.

(Bildquelle: zemkooo / 123rf.com)

Um ihre Daten und Infrastrukturen vor Cyber-Attacken zu schützen, müssen Ämter und Behörden auch 2022 ihre IT-Sicherheit weiter stärken. Darauf weist die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) hin. Immer öfter würden kommunale Verwaltungen zum Ziel schlagkräftiger Cyber-Attacken. PwC verweist auf eine Umfrage von Zeit Online und dem Bayerischen Rundfunk, der zufolge in den vergangenen sechs Jahren insgesamt mindestens 100 Ämter und Behörden von Cyber-Attacken betroffen waren. Wie gravierend die Folgen solcher Attacken ausfallen können, zeige der Landkreis Anhalt-Bitterfeld. Dort hatten Unbekannte die Daten der Verwaltung verschlüsselt und damit für Wochen die gesamte IT lahmgelegt. Auch aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) bestätigten, dass Ämter und Behörden einem solchen Worst-Case-Szenario oft nur knapp entgingen, berichtet PwC. Von Juni 2020 bis Mai 2021 habe das BSI jeden Monat rund 44.000 E-Mails mit Schadprogrammen in den Regierungsnetzen abgefangen. Aufgrund der komplexen Organisationsstrukturen und knappen Ressourcen in der öffentlichen Verwaltung würden die Fachkräfte in den Behörden unter erschwerten Rahmenbedingungen gegen diese Gefahren kämpfen. Daher sei es von entscheidender Bedeutung, „gewisse Grundlagen“ beim Schutz der IT-Infrastrukturen zu beherzigen, so PwC. Der PwC-Experte für Cyber-Sicherheit im öffentlichen Sektor bei PwC Deutschland, André Glenzer, nennt fünf wichtigste Maßnahmen, die zu einer sichereren IT in der öffentlichen Verwaltung beitragen können.

Für den Worst Case gewappnet

Um alle sicherheitsrelevanten Parameter lückenlos abzustecken, sei es für Organisationen aus der öffentlichen Verwaltung wichtig, ein Management-System für die Informationssicherheit (ISMS) aufzustellen. Damit seien alle notwendigen Maßnahmen, Vorgaben und Hilfsmittel definiert, um die Informationssicherheit innerhalb der Organisation zu garantieren. So könnten verpflichtende Standards für sämtliche Mitarbeitende durchgesetzt und etwaige Verstöße und Sicherheitsrisiken frühzeitig erkannt werden. Für den öffentlichen Sektor biete sich dazu der IT-Grundschutz des BSI an (wir berichteten). Anknüpfend an das ISMS seien Behörden auch gut beraten, einen konkreten Notfallplan (Cyber Incident Response Plan) aufzustellen. Ein solcher Leitfaden definiere für den Fall eines Angriffs sämtliche Abläufe und Maßnahmen zur Begrenzung des Schadens. Wenn alle Notfallmaßnahmen richtig ineinandergriffen, könnten Behörden bei der Abwehr eines Angriffs wertvolle Zeit gewinnen und den Schaden eingrenzen. Ein solcher Notfallplan müsse regelmäßig geübt und die Übungen ausgewertet werden. Neben kriminellen Angreifenden können auch die eigenen Angestellten – ohne böse Absicht – ein Sicherheitsrisiko für die IT-Sicherheit darstellen. Dies zeige sich in verschiedenen Untersuchungen. So seien raffinierte Phishing- oder Social-Engineering-Kampagnen für ungeschulte Personen nur schwer zu identifizieren. Daher sei es wichtig, die gesamte Belegschaft regelmäßig hinsichtlich der Bedrohungsszenarien zu schulen. Alle Schulungen sollten ebenfalls dokumentiert werden.

Schwachstellen schließen

Wenn Mittel wie Phishing oder Social Engineering nicht greifen, suchen sich Kriminelle gerne andere Hintertüren, um an die Daten von Ämtern und Behörden zu gelangen. Sogar Stellenausschreibungen können potenziellen Angreifenden Hinweise auf leichte Ziele geben, berichtet PwC. Suche eine Einrichtung beispielsweise nach Administratoren mit Kenntnissen für veraltete Systeme wie Windows 7 oder Windows Server 2008 R2, können Kriminelle davon ausgehen, dass die IT-Infrastruktur vor Ort nicht auf dem neuesten Stand und somit verwundbar sei. Es sei wichtig, den Angreifenden zuvorzukommen. Zunächst einmal bestehe die Möglichkeit, Anwendungen und Netzwerke mit einem Schwachstellen-Scanner automatisiert auf Sicherheitslücken zu überprüfen. Für tiefergreifende Analysen seien jedoch externe Fachleute erforderlich – so genannte Penetration Tester, die aus Angreiferperspektive versuchen, in die Kundensysteme einzudringen. Der PwC-Experte Glenzer weist darauf hin, dass einmalige Schwachstellen-Tests meist wirkungslos verpuffen. Es gelte also, diese langfristig zu planen und in Abhängigkeit des ermittelten Schutzbedarfs entsprechend zu wiederholen.
Behördliche Informationssicherheitsbeauftragte sollten sich auch nicht allein auf den Perimeterschutz etwa durch eine Firewall verlassen. Dieser Schutz könne jedoch bei Wartungsarbeiten oder durch Unachtsamkeit ausgehebelt werden – in einem solchen Moment könnten Angreifende umgehend in die Systeme eindringen. Daher sei es innerhalb des Risiko-Managements wichtig, IT-Systeme und Anwendungen grundsätzlich so zu behandeln, als wären diese jederzeit frei über das Internet erreichbar. Als Maßnahmen, um auch innerhalb geschlossener Netze das Sicherheitsniveau zu erhöhen, nennt PwC das Einsetzen eines Security Information and Event Managements (SIEM), Verschlüsselungsmaßnahmen und ein stringentes Patchmanagement. In Kombination könnten solche Maßnahmen die Auswirkungen neuer Schwachstellen wie jüngst Log4Shell deutlich mindern.



Stichwörter: IT-Sicherheit, Log4Shell, PwC


Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit

BSI/AWS: Kooperation für souveräne Cloud

[27.03.2025] Gemeinsam mit Amazon Web Services (AWS) will das Bundesamt für Sicherheit in der Informationstechnik (BSI) Cloudstandards entwickeln, um die Sicherheit digitaler Infrastrukturen zu erhöhen. mehr...

Tobias Keber übergibt den Datenschutzbericht 2024 an Landtagspräsidentin Muhterem Aras.

Baden-Württemberg: Tätigkeitsbericht zum Datenschutz 2024 vorgelegt

[26.03.2025] Der Landesdatenschutzbeauftragte Baden-Württemberg, Tobias Keber, hat seinen Tätigkeitsbericht 2024 vorgelegt. Schwerpunkte waren die Beratung zu KI und Datenschutz – insbesondere auch für die Verwaltung –, die Umsetzung europäischer Vorgaben sowie die Beteiligung an Gesetzesvorhaben. mehr...

Symbol Cloud Computing, Hand tippt auf digitale Wolke

Cloud Computing: BSI und Schwarz Digits kooperieren

[21.03.2025] Mit einer Analyse der Angebote verschiedener Cloud-Provider trägt das BSI den mit Cloud Computing verbundenen Risiken sowie geopolitischen Entwicklungen Rechnung. Kooperationsverträge bilden den Rechtsrahmen, um eingehende technische Prüfungen durchzuführen. Nun wurde eine solche Vereinbarung mit Schwarz Digits geschlossen. mehr...

v.l.: Thomas Caspers, designierter BSI-Vizepräsident; Friederike Dahns, BMI-Abteilungsleiterin Cyber- und Informationssicherheit; Claudia Plattner, BSI-Präsidentin; Gerhard Schabhüser, scheidender BSI-Vizepräsident.

BSI: Schabhüser geht, Caspers kommt

[25.02.2025] Gerhard Schabhüser scheidet nach sieben Jahren als BSI-Vizepräsident aus, Nachfolger wird Thomas Caspers. In seiner Abschiedsrede forderte Schabhüser eine stärkere Rolle des BSI, etwa als Zentralstelle für Cybersicherheit in Bund und Ländern sowie als Marktaufsicht für den Cyber Resilience Act. mehr...

Bundesverwaltung: Wie steht es um die digitale Souveränität?

[17.02.2025] Die Bundesregierung berichtet über IT-Beschaffung und digitale Souveränität bei der Bundesverwaltung. Die genauen Details unterliegen Geheimhaltungsinteressen – die Regierung verweist jedoch unter anderem auf das OZG 2.0, Forschungs- und Förderprogramme und die geplante Vergabereform. mehr...

Hamburg: Kooperation mit dem BSI

[11.02.2025] Neue Technologien und eine zunehmende Digitalisierung der Verwaltung erhöhen die Anforderungen an die Abwehr von Cybergefahren. Die Freie und Hansestadt Hamburg und das Bundesamt für Sicherheit in der Informationstechnik haben nun eine Kooperationsvereinbarung unterzeichnet. mehr...

Eine Reihe von Flaggenmasten mit EU-Flaggen vor einer modernen Fassade.

Cyber Resilience Act: Stackable in Expertengruppe berufen

[15.01.2025] Das schleswig-holsteinische Unternehmen Stackable wurde von der Europäischen Kommission in die Expertengruppe zum Cyber Resilience Act aufgenommen. Die Gruppe soll die Umsetzung der Verordnung zur Cybersicherheit in der EU unterstützen. mehr...

Eine Reihe von Flaggenmasten mit EU-Flaggen vor einer modernen Fassade.

IT-Sicherheitsdienstleister: Schneller zum BSI-Zertifikat

[06.01.2025] Das BSI hat einige Zertifizierungsverfahren für IT-Sicherheitsdienstleister modernisiert, um sie zu beschleunigen. Solche Zertifikate sind für den Einsatz im öffentlichen Sektor verpflichtend, bieten aber auch Unternehmen im freien Markt Vorteile. mehr...

Schloss mit Schlüsselloch als Symbol für IT-Sicherheit

Baden-Württemberg/Bayern/Hessen: Kooperation für starke IT-Sicherheit

[11.12.2024] Die Cybersicherheitsagentur Baden-Württemberg, das bayerische Landesamt für Sicherheit in der Informationstechnik und Hessens CyberCompetenceCenter bündeln ihre Kräfte. Gemeinsam wollen sie eine schlagkräftige Allianz für mehr IT-Sicherheit bilden. mehr...

In Blautönen gehaltenes 3D-Rendering eines Vorhängeschlosses mit Schlüsselloch, überlagert von einer Schaltplan-Struktur.

Sachsen: Tausende Cyberattacken auf Landesbehörden

[02.12.2024] Der Jahresbericht Informationssicherheit bilanziert den Stand der Cybersicherheit in der sächsischen Verwaltung. Angriffe auf Behörden nehmen demnach zu – so wurde rund die Hälfte der eingehenden Mails blockiert. Maßnahmen wie die NIS2-Umsetzung und eine 24/7-Bereitschaft beim SAX.CERT stärken den Schutz. mehr...

Claudia Plattner (l.), Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), und Bundesinnenministerin Nancy Faeser präsentieren den Bericht zur Lage der IT-Sicherheit in Deutschland.

BSI: Bericht zur Lage der IT-Sicherheit

[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...

Ministerpräsident Michael Kretschmer und BSI-Präsidentin Claudia Plattner.

BSI: Sachsen testet Telefonie-Lösung für Verschlusssachen

[11.11.2024] Sachsens Ministerpräsident Kretschmer und Landes-CIO Popp informierten sich bei einem Besuch des BSI-Standorts Freital über hochsichere Kommunikationstechnik. Ein Testbetrieb für die Verschlusssachen-Telefonie-Lösung ist im Freistaat geplant. mehr...

Symbolbild: Blauer Hintergrund, davor Binärcode-Zahlenreihen und ein Ring aus gelben Sternen (EU-Flagge)

Niedersachsen: NIS2-Richtlinie umgesetzt

[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...

Innenminister Roman Poseck eröffnete den Cybersicherheitsgipfel im Regierungspräsidium Gießen vor mehr als 100 Vertreterinnen und Vertretern südhessischer Kommunen.

Hessen: Höhere Cybersicherheit

[01.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...

Zwei Männer mittleren Alters sitzen einander zugewandt auf Sesseln, im Hintergrund ein modernes Gemälde.

Thüringen: Datenschutzbericht übergeben

[30.10.2024] Thüringens Ministerpräsident Bodo Ramelow traf sich am Dienstagnachmittag, den 24. September, mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI) des Freistaats Thüringen, Tino Melzer. Im Rahmen des Gesprächs überreichte Melzer seinen Tätigkeitsbericht für das Jahr 2023 an den Ministerpräsidenten. mehr...