IT-Sicherheit ist heute wichtiger denn je. Die moderne Verwaltung ist mehr und mehr mit Portalen im Internet präsent und sie betreibt zunehmend ebenenübergreifende Verfahren, die von Bund, Ländern und Kommunen genutzt werden. Beispielsweise wurde unter gemeinsamer Projektleitung der Innenministerien des Bundes und des Landes Baden-Württemberg das elektronische Waffenregister eingeführt – ein bundesweites Register, das höchsten Sicherheitsanforderungen genügen muss, da personenbezogene Daten und Waffendaten zentral in einer großen Datenbank liegen. Dass solche modernen übergreifenden IT-Lösungen auch mit großen Sicherheitsanforderungen realisiert werden können, wurde hier eindrucksvoll unter Beweis gestellt.

Diebstahl mit raffinierten Methoden

Digitale Informationen charakterisieren nicht nur unsere Identität, sondern auch unseren wirtschaftlichen Erfolg. Die immer weiter greifende Nutzung der IT und die weltweite Vernetzung ermöglichen es, dass digitale Informationen gezielt, in vollem Umfang und mit den raffiniertesten Methoden gestohlen werden können (siehe dazu auch den Beitrag von Klaus Henning Glitza auf Seite 15). Von der Sicherheitskonferenz „Black Hat“ in Las Vegas wird berichtet, dass man mittlerweile nicht einmal mehr seinem Smartphone-Ladekabel trauen darf. Schon gar nicht, wenn es in einen fremden Computer eingesteckt wird.

Wir sehen inzwischen professionell vorbereitete digitale Angriffe, die nichts mehr mit den Zeiten zu tun haben, als lediglich Jung-Programmierer, die sogenannten Script-Kiddies, ihre Kompetenz mit selbst programmierten Schädlingen beweisen wollten. Die Sache ist sehr ernst geworden. Angriffswerkzeuge lassen sich aus umfassenden Baukästen einfach zusammenstellen, gezielte Cyber-Angriffe finden täglich statt und Cyber-Kriminalität ist ein blühendes Geschäft.

Handlungsbedarf auf allen Ebenen

Es ist offensichtlich, dass mit zunehmender Nutzung der IT in der Öffentlichen Verwaltung permanent für eine angemessene und verlässliche Informationssicherheit gesorgt werden muss. Auch bei wechselnden Bedrohungslagen. Denn die öffentliche Verwaltung als Teil allumfassender und globalisierter Strukturen muss sich natürlich besonders vor dem Hintergrund der aktuellen Vorfälle vom Bürger fragen lassen: Wie sicher sind denn meine Daten wirklich?

Handlungsbedarf für Informationssicherheit besteht hier auf allen Ebenen: Bund, Ländern und Kommunen. Dies ergibt sich nicht erst aus den Beschlüssen des IT-Planungsrats, sondern schon aus den Datenschutzgesetzen und der generellen Sorgfaltspflicht im Umgang mit Bürgerdaten.

Informationssicherheitsleitlinie Bund-Länder

Einen wichtigen Impuls für die Informationssicherheit in der öffentlichen Verwaltung gab der IT-Planungsrat mit der Verabschiedung einer Informationssicherheitsleitlinie, die für den Bund und die Länder verbindlich ist. Den Kommunen wird die Umsetzung empfohlen.

Diese Leitlinie sieht die gemeinsame Strategie in der Etablierung eines einheitlichen und einvernehmlichen Mindestsicherheitsniveaus unter Berücksichtigung des Grundsatzes der Wirtschaftlichkeit. Die notwendigen Sicherheitsanforderungen können gemeinsam wirtschaftlicher realisiert werden, als es jeder Einzelne für sich könnte; das Risiko hoher Folgekosten aufgrund von Sicherheitsvorfällen lässt sich so reduzieren. Durch Etablierung eines einheitlichen Mindestsicherheitsniveaus können neue IT-Verfahren oder die elektronische Kommunikation auf diesem aufbauen und vorhandene Sicherheitsmaßnahmen gemeinsam genutzt werden. Kostenintensive Einzelmaßnahmen werden vermieden. Das gemeinsame Vorgehen etabliert zudem ebenenübergreifend ein einheitliches Verständnis und Wissen über Informationssicherheit.

Die Notwendigkeit einer solchen Leitlinie ergab sich u. a. aus folgenden Gründen:

• Ein unzureichendes Sicherheitsniveau oder Sicherheitslücken bei einer Behörde und Einrichtung können über die Netzinfrastrukturen und ebenenübergreifenden IT-Verfahren die Sicherheit aller beeinträchtigen. Ein einheitliches Mindestsicherheitsniveau gewährleistet, dass sich alle Beteiligten auf ein gemeinsames Basisniveau für Informationssicherheit einigen und dadurch dieses Risiko minimieren.
• Es müssen ebenenübergreifend bei der elektronischen Kommunikation oder bei IT-Verfahren auch sensible und eingestufte Informationen vom Absender bis zum Empfänger mit einem einheitlichen Sicherheitsniveau ausgetauscht werden können.
• Zur gemeinsamen Abwehr von IT-Angriffen ist eine rasche Reaktionszeit von Bund und Ländern unerlässlich. Ein einheitliches Mindestsicherheitsniveau bei allen Beteiligten senkt das Risiko, dass die für die Zusammenarbeit vorgesehenen elektronischen Kommunikationskanäle zwischen Bund und Ländern bei IT-Angriffen ausfallen oder kompromittiert werden.

Die Bundesregierung hat ferner 2011 das „Nationale Cyber-Abwehrzentrum“ beim Bundesamt für die Sicherheit in der Informationstechnik eingerichtet – ebenso den „Nationalen Cyber-Sicherheitsrat“ mit der Aufgabe, die übergreifenden Politikansätze für Cybersicherheit zu koordinieren.

Kooperation auf Länderebene

Auf Länderebene haben Baden-Württemberg und Bayern am 31. 07. 2013 eine Vereinbarung zur Zusammenarbeit von Bayern und Baden-Württemberg bei der Informations- und Kommunikationstechnologie unterzeichnet. Von dieser künftigen Kooperation verspricht man sich wesentliche Synergien in verschiedenen Bereichen – auch hier steht die IT-Sicherheit als wichtigstes Thema im Vordergrund.

Das baden-württembergische Landeskriminalamt hat seine Abteilung für Cyber-Kriminalität in jüngster Vergangenheit stark ausgebaut, um der immer stärkeren Verlagerung von Straftaten in den Cyber-Raum Rechnung zu tragen. Damit wird Wirtschaftsunternehmen dann, wenn IT-Sicherheitsmechanismen nicht den erwarteten Erfolg zeigten, die Möglichkeit geboten, sich rund um die Uhr im Falle eines Angriffs auf IT-Systeme direkt mit einer kompetenten Stelle bei den Strafverfolgungsbehörden in Verbindung zu setzen. Außerdem hat die Polizei – wie zwischenzeitlich andere Behörden auch – bereits seit 2002 damit begonnen, einen Sicherheitsprozess nach den Grundschutzregeln des BSI zu implementieren. Der Erfolg dieser Maßnahme wird regelmäßig in Audits nachgewiesen, die die Polizeien des Bundes und der Länder gegenseitig durchführen.

Informationssicherheitsleitlinie Land-Kommunen

Mehr Sicherheit entsteht erst, wenn IT-Nutzer und besonders auch Führungskräfte die sicherheitsrelevanten Vorgänge kennen und verstehen. Im Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 ist dieses Transparenzgebot wie folgt formuliert: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“

In Baden-Württemberg will das Land gemeinsam mit den Kommunen eine Informationssicherheitsleitlinie erarbeiten. Damit folgt es einer bewährten Praxis der staatlich-kommunalen Zusammenarbeit in der Informationstechnik. Verankert im Datenzentrale-Gesetz [ADVZG] gibt es als regelmäßig tagendes Gremium eine Arbeitsgruppe zur Abstimmung der IT zwischen Land und Kommunen, die die notwendigen Maßnahmen, etwa zur Fortschreibung der e-Government Standards, voranbringt.

Seit 2006 betreibt die Landesverwaltung Baden-Württemberg ein Computer-Emergency-Response-Team – kurz „CERT-BWL“ – beim Informatikzentrum der Landesverwaltung Baden-Württemberg [IZLBW]. Dieses steht in laufendem Kontakt mit dem CERT beim Bundesamt für Sicherheit in der Informationstechnik [BSI]. Seit 2008 organisiert das CERT-BWL regelmäßig Veranstaltungen zur IT-Security Awareness [IT-SecA]. Diese haben zum Ziel, das Sicherheitsbewusstsein zu schärfen sowie den Informationsaustausch und das Networking zwischen Sicherheitsexperten, IT-Entscheidern und Organisationsverantwortlichen in Verwaltung und Wirtschaft voranzubringen.

Forschung nach neuen Sicherheitstechniken

Von entscheidender Bedeutung ist auch die Forschung nach neuen Sicherheitstechniken. Das Karlsruher Institut für Technologie etwa hat diese Herausforderung angenommen. Das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) ist eines von deutschlandweit drei Forschungszentren für Cybersicherheit, die vom Bundesministerium für Bildung und Forschung (BMBF) im März 2011 initiiert wurden. Das Ziel von KASTEL ist die Entwicklung sicherer Anwendungen in einem durchgängigen Prozess. Bislang stehen leider keine Methoden zur Erzeugung fehlerfreier Software zur Verfügung; deshalb versucht man bei KASTEL erneut, Lösungen für einen Nachweis über die Sicherheit eines Systems zu finden beziehungsweise zu entwickeln. Für dieses ehrgeizige Vorhaben kooperieren elf Lehrstühle des Karlsruher Instituts für Technologie aus den Fachbereichen Informatik, Wirtschaftswissenschaften und Rechtswissenschaften.

Besondere Herausforderung: das mobile Business

Eine besondere Herausforderung beim Thema IT-Sicherheit ist das mobile Business. Denken wir an Berichte aus Großbritannien, in denen die Boulevardpresse SMS aus Handys gelesen hat. Schnell wird klar, dass es sich bei Smartphones um keine Technik handelt, die von der Architektur her sicher ist. Vielmehr ist es so, dass das Mobiltelefon mit SMS für unbedeutende private Kontakte konzipiert worden ist und aufgrund der einfachen Benutzung, den vielen damit inzwischen verbundenen geistreichen Funktionen, den Apps, und den geringen Kosten auch in der Geschäftswelt schnell als unverzichtbar angesehen wurde.

Der Gedanke, fast beliebige private mobile Geräte an ein Unternehmensnetzwerk anzuschließen, klingt verlockend. Der größte Vorteil, auch aus der vorherigen Überlegung zur Verständlichkeit der IT heraus gesehen, wäre: Jeder hätte die Arbeitsumgebung, die er kennt und schätzt. Fehlbedienungen wären fast auszuschließen. Zudem: Die Kosten der Ausstattung wären vom Unternehmen – zumindest teilweise – auf die Mitarbeiter verlagert worden. Forrester hat dieses Jahr festgestellt, dass Mitarbeiter bereit wären, bis zu 1.200 Pfund pro mobilem Gerät selbst zu übernehmen.

Sicherheitstechnisch lässt sich das nachvollziehen, wenn auf den mobilen Geräten private und dienstliche Nutzung streng voneinander getrennt werden. Die Industrie bietet hier Lösungsansätze, um mobile Geräte nach dem Grundsatz „Bring Your Own Device (BYOD)“ für Unternehmensnetze zuzulassen. In Verbindung mit einer sicheren Netzarchitektur mit Zugriffsbegrenzungen für die geschützten personenbezogenen Daten und die Betriebsgeheimnisse, die auch kontrolliert werden können, kann eine derartige Architektur sicherheitstechnisch eine gute Lösung sein.

Datenschutzrechtlich wäre natürlich noch sicherzustellen, dass die Mitarbeiter auch vollständig und verständlich erfahren, inwieweit sie mit dem Anschluss an das Firmennetzwerk von der dort wirkenden Administrationstechnik überwacht werden, also welche ihrer privater Daten ins Firmennetzwerk fließen. Das ist genau eine Umsetzung des bereits zitierten Volkszählungsurteils.

Risiken erkennen, um sie vermeiden zu können

Ein wichtiger Schritt für uns alle ist, zu erkennen, dass und wie unsere Informationssicherheit gefährdet ist. Darauf aufbauend können angemessene Sicherheitsmaßnahmen entwickelt und wirkungsvoll eingesetzt werden. Jeder, der im Beruf mit anvertrauten Daten Dritter umgeht, muss sich der Verantwortung bewusst sein. Jeder, der im Alltag elektronische Wege nutzt, muss die Risiken kennen und gut abwägen, was er von sich preisgibt.