Bewusstsein für Cybersecurity schaffen
Unsere Gesellschaft ist unverändert einer beständig zunehmenden Bedrohung durch Cyberkriminelle und „staatliche Hacker“ ausgesetzt. Diese Gefahr macht auch vor der Berliner Verwaltung, dem Senat, dem Abgeordnetenhaus, den Gerichten und den kommunalen Unternehmen nicht halt.
Während eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz dieser Institutionen unerlässlich ist, nutzen erfolgreiche Cyberattacken im Regelfall menschliche Schwächen aus.
Der wirksamste Schutz besteht deshalb darin, bei den Menschen ein Bewusstsein für die Risiken und Gefahren zu schaffen, die durch Cyberattacken drohen. Unternehmen haben sich immer wieder dann als besonders resilient gegen Cyberattacken erwiesen, wenn sie eine Unternehmenskultur der Cybersicherheit etabliert haben. Eine solche Kultur ist auch für die öffentliche Hand notwendig.
Wir Freie Demokraten fordern:
Kultur der Cybersicherheit ist „Chefsache“
Es ist Aufgabe der Leitung der jeweiligen Behörde oder Institution, ein Bewusstsein für die Bedeutung resilienten Verhaltens im Arbeitsalltag zu verankern. Nur wenn die Führungsebene ein solches Verhalten vorlebt, fördert, erwartet und ermöglicht, wird es im Arbeitsalltag der Beschäftigten umgesetzt. Mit jeder Leiterin, jedem Leiter einer Institution der öffentlichen Hand muss als Ziel vereinbart werden, ein Kultur der Cybersicherheit zu etablieren. Der Fortschritt bei der Erreichung dieses Ziels muss regelmäßig evaluiert werden.
Es reicht nicht aus, den Beschäftigten per Arbeitsanweisung mitzuteilen, wie sie sich in Bezug auf Cybersicherheit verhalten sollen, da dadurch kein Bewusstsein geschaffen würde. Vielmehr müssen die Beschäftigten regelmäßig zu Cybersecurity-Themen geschult werden. Außerdem müssen die Aufgaben der Informationssicherheitsbeauftragten so weiterentwickelt werden, dass sie den Beschäftigten als direkte Ansprechpartner zur Verfügung stehen, die die Etablierung der Kultur der Cybersicherheit umsetzen.
Neben der Kultur muss jedoch verstärkt auch eine Informationssicherheitsmanagement-Steuerung durch die CDO und zentrale IT-Steuerung stattfinden. Die Informationssicherheitsmanagementteams in den Behörden sollen nach BSI Vorgabe nicht nur beraten, sondern auch aktiv eingreifen können.
Verhalten bei Sicherheitsvorfällen regelmäßig üben
Es ist notwendig, dass alle Beschäftigten wissen, wie sie sich im Falle einer Cyberattacke verhalten müssen.
Deswegen müssen Notfallpläne regelmäßig eingeübt werden. Nur durch Praxistraining ähnlich einer Brandschutzübung kann sichergestellt werden, dass in diesem Fall alle Beteiligten die notwendigen Schritte sicher beherrschen und anwenden können. Auch kann durch Übungen entdeckt werden, welche Notfallprozesse unzureichend funktionieren oder verbessert werden können.
Heimarbeit und mobiles Arbeiten sicher ausgestalten
Heimarbeit und mobiles Arbeiten sind in der modernen Arbeitswelt angekommen, jedoch sind diese Arbeitsmodelle mit besonderen Risiken für die Sicherheit behaftet. Die öffentliche Hand muss sicherstellen, dass ihre Beschäftigten auch im Homeoffice und mobil tätig sein können, ohne dass die Sicherheit darunter leidet.
Dazu muss eine strikte Trennung von Daten zwischen privaten und dienstlich genutzten Endgeräten vorgenommen werden. Die Verbindung mit dem dienstlichen Netzwerk ist kryptografisch (durch ein VPN) zu schützen. In besonders sicherheitskritischen Bereichen (z.B. bei der Polizei) dürfen private und dienstliche Endgeräte weder untereinander verbunden oder Daten zwischen ihnen ausgetauscht werden, noch dürfen private Geräte mit dem dienstlichen Netzwerk verbunden werden.
Netzwerke segmentieren, „Zero Trust“-Architektur umsetzen
Das Konzept, Netzwerke nach außen möglichst gut abzusichern, während man sich innerhalb einer Institution frei in den Netzwerken bewegen kann, ist technisch überholt. Zum einen berücksichtigt es nicht das Risiko durch Innentäter, die bereits Zugriff auf das interne Netzwerk haben. Zum anderen kann ein externer Angreifer maximalen Schaden anrichten, sobald er erst einmal in das interne Netzwerk eingedrungen ist. Da es keinen hundertprozentigen Schutz vor einem Eindringen in interne Netzwerke gibt, gilt es, in diesem Fall zumindest den Schaden zu minimieren.
Die öffentliche Hand muss daher ihre internen Netzwerke segmentieren, also in gegeneinander abgesicherte Teilnetze zerlegen. Weiterhin muss sie eine „Zero Trust“- Sicherheitsarchitektur umsetzen, wie sich bereits aus bestehenden rechtlichen Anforderungen für Berechtigungskonzepte (z.B. DSGVO, NIS2) ergibt. „Zero Trust“ bedeutet hierbei nicht, dass Beschäftigten nicht vertraut würde, sondern bezeichnet ein Konzept, demzufolge Geräte und Benutzerinnen/Benutzer im internen Netzwerk keinen Vollzugriff auf alle Daten und Dienste haben, sondern bei jedem Zugriff ihre Berechtigung nachweisen müssen. Dieser Nachweis läuft im Regelfall vollkommen automatisch ab.
Sicherheitsvorfälle nicht verheimlichen
Es gibt keine hundertprozentige Sicherheit. Trotz aller Maßnahmen werden daher auch zukünftig Berliner Institutionen der öffentlichen Hand Opfer erfolgreicher Cyberattacken sein. Tritt dieser Fall ein, muss der Schaden minimiert und die vollständige Arbeitsfähigkeit möglichst schnell wiederhergestellt werden.
Unternehmen sind hierin dann besonders erfolgreich, wenn sie nicht verheimlichen, dass sie Opfer einer Cyberattacke geworden sind, sondern dies öffentlich kommunizieren. In der Praxis hat sich erwiesen, dass eine solche Offenheit keineswegs dazu führt, dass der gute Ruf leidet, sondern sie im Gegenteil die Unterstützung von Kunden, Lieferanten und Partnern sichert. Auch die öffentliche Hand muss daher
Sicherheitsvorfälle offenlegen. Ausnahmen dürfen nur dann gemacht werden, wenn dadurch, z.B. bei der Polizei oder Justiz, die innere Sicherheit gefährdet würde. Auch diesem Fall müssen so viele Informationen veröffentlicht werden, wie es ohne Gefährdung der inneren Sicherheit möglich ist.