Informationssicherheit: Was in Rheinland-Pfalz passiert

Bedrohung durch Ransomware

Die Bedrohung durch Ransomware wie Verschlüsselungstrojaner bleibt leider weiterhin aktuell. Nahezu jede Kommunalverwaltung hat mittlerweile von einem Virenbefall in der Nachbarschaft gehört oder war selbst davon betroffen. Vielerorts wurden verschiedenste Sicherheitsmaßnahmen diskutiert und ergriffen und die Mitarbeiter für die Problematik Ransomware sensibilisiert.

Neue Angriffe sollten also die meisten Kommunalverwaltungen nicht gänzlich unvorbereitet treffen. Doch selbst wenn eine Kommunalverwaltung nun sicherer ist als vorher, so ist sie nicht automatisch sicher genug. Informationssicherheit auch unabhängig von akuten Bedrohungsszenarien (wie Locky und Co.) kontinuierlich umzusetzen, stellt eine Herausforderung für die Kommunalverwaltungen des Landes dar. In diesem Artikel wird aufgezeigt, welche Anforderungen dabei beachtet werden sollten und wie sie erfüllt werden können.

Herausforderung
In jeder Kommunalverwaltung müssen eine Vielzahl von Bedrohungen betrachtet und behandelt werden. Die Abwehr der vorgenannten Ransomware ist nur eine davon. So sollte beispielsweise auch regelmäßig überprüft werden, dass nur unterstützte Versionen der genutzten Betriebssysteme und Programme zum Einsatz kommen. Auch kann es passieren, dass Serverräume im Laufe der Zeit zum inoffiziellen Lager erweitert werden, was z. B. aus Sicht des Brandschutzes eine zusätzliche Gefährdung darstellt, die durch entsprechende Regelungen einfach zu vermeiden wäre. Gerade in Bereichen mit Publikumsverkehr sollte verstärkt darauf geachtet werden, dass niemand unbefugt Einsicht in Verwaltungsvorgänge oder Unterlagen erhält. Dies muss nicht einmal vorsätzlich geschehen, es reicht schon, dass sich ein Besucher in ein offenes, aber gerade nicht besetztes Büro „verirrt“, in dem entsprechende Unterlagen offen auf dem Schreibtisch liegen. Um diese und andere potenzielle Gefährdungen zu behandeln, werden Sicherheitsmaßnahmen umgesetzt. Dies ist stets mit Arbeit verbunden. Technische Lösungen müssen beschafft werden, Maßnahmen sind in die organisatorischen Abläufe einzubinden, Mitarbeiter müssen dafür sensibilisiert werden und die handelnden Personen müssen ausreichend Zeitanteile zur Umsetzung erhalten. Diese und andere Aufwände sollten als notwendige Prävention verstanden werden, denn je effektiver Informationssicherheit umgesetzt ist, desto geringer sind sowohl Eintrittswahrscheinlichkeit als auch Auswirkungen von Sicherheitsvorfällen. Im obigen Beispiel wäre dies die Anweisung an die Mitarbeiter gewesen, die Büros beim Verlassen zu verschließen.

Leider wird der Wert einer solchen präventiven Herangehensweise oft erst dann erkannt, wenn ein Sicherheitsvorfall eintritt. Dann erst, wenn der Schaden nur noch begrenzt, aber nicht mehr verhindert werden kann, erhalten Sofortmaßnahmen oberste Priorität. Je sorgfältiger man sich auf solche Situationen vorbereitet hat (z. B. durch die Ausarbeitung von Melde- und Eskalationswegen oder die Definition von Entscheidungsprozessen im Notfall), desto geringer ist die Gefahr, in der konkreten Situation Fehlentscheidungen zu treffen. Denn gerade im Sicherheitsvorfall kann sich der Eindruck verstärken, überfordert oder auf sich allein gestellt zu sein, auch da sich gemeinsame Kommunikationsstrukturen derzeit noch im Aufbau befinden (siehe Artikel zum kommunalen CERT). Abzuwarten, bis man selbst betroffen ist und Sicherheitsmaßnahmen erst im Nachgang zu einem konkreten Schadensereignis anzustoßen, ist ebenfalls kritisch zu sehen. Denn allzu oft tritt die Fortentwicklung geeigneter Sicherheitsmaßnahmen hinter die Anforderungen des Normalbetriebs zurück. Vor allem, wenn man noch einmal mit einem „blauen Auge“ davongekommen ist.

Lösungsansatz
Bürgerinnen und Bürger, ansässige Unternehmen und der Gesetzgeber erwarten zu Recht von jeder Verwaltung den sorgsamen Umgang mit den dort verarbeiteten und vorgehaltenen Daten. Gleichzeitig ist jede Verwaltung durch die allgemein herrschende Finanzlage in ihrem Aktionsradius eingeschränkt. Gerade weil nicht alle Maßnahmen gleichzeitig umgesetzt werden können, sollte ein Plan erarbeitet werden, der die notwendigen Maßnahmen priorisiert und – Schritt für Schritt – zur Umsetzung bringt. Dabei sollte stets bedacht werden, dass Sicherheit nicht einmalig komplett erreicht werden kann. Sicherheit ist stattdessen als fortlaufender Verbesserungsprozess zu verstehen. Um ein angemessenes Sicherheitsniveau dauerhaft zu gewährleisten, ist es notwendig, eine ausgewogene Mischung aus organisatorischen, personellen, infrastrukturellen und technischen Informationssicherheitsmaßnahmen zu finden, aufeinander abzustimmen und kontinuierlich zu verbessern. Dies ist die Aufgabe eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS).

Die Umsetzung eines ISMS wird mittlerweile auch von den Rechnungshöfen des Bundes und der Länder gefordert. In deren >>> Grundsatzpapier wird es als eine notwendige Grundvoraussetzung für den Schutz der von den öffentlichen Verwaltungen verarbeiteten Informationen identifiziert. Die mit einem ISMS verbundenen Aufwände werden als notwendige Investitionen identifiziert.

Die kommunalen Spitzenverbände in Rheinland-Pfalz wollen ihre Mitglieder durch das Projekt „Informationssicherheit bei den Kommunalverwaltungen in Rheinland-Pfalz (ISK.RLP)“ bei der Etablierung eines ISMS unterstützen.

Im Projekt werden, unter Mitarbeit von kommunalen Praktikern, kommunalspezifische Hilfestellungen erarbeitet und Grundlagen für eine kontinuierliche und nachhaltige Verbesserung der Informationssicherheit geschaffen. Auf der kontinuierlich aktualisierten Plattform „https://informationssicherheit-kommunal.rlp“ (erreichbar nur im Kommunalnetz) werden alle Projektergebnisse zur kostenfreien Nutzung durch die Kommunalverwaltungen des Landes veröffentlicht. Die dort veröffentlichten Hilfestellungen sind modular aufgebaut und werden in einem Baukasten gesammelt und bereitgestellt. Sie werden fortlaufend aktualisiert und um neue Themenbereiche erweitert.

Dem Projekt ist bewusst, dass die Etablierung eines ganzheitlichen ISMS für die Kommunalverwaltungen unseres Landes eine Herausforderung darstellt. Informationssicherheit wird nicht „über Nacht“ und auch nicht „nebenbei“ umgesetzt. Sich dessen bewusst zu sein, erleichtert die Umsetzung erheblich, darf aber nicht abschreckend wirken. Tatsächlich ist die größte Herausforderung im gesamten Prozess oftmals der erste Schritt. Neben den Überlegungen, ob Informationssicherheit umgesetzt werden soll, wird überlegt, wie man dabei am besten vorgeht. Man möchte ja keinen Fehler machen, möchte möglichst viel erreichen, ohne sich dabei zu „überheben“. Hier vertritt das Projekt die Meinung, dass Informationssicherheit auch in angemessenen, für die Kommunalverwaltung zu bewältigenden Etappen sukzessive erreicht werden kann. So können vor allem die Kommunalverwaltungen gezielt unterstützt werden, die erst beginnen, sich mit ISMS zu befassen. Im Baukasten des Projektes finden sich bereits heute alle Informationen und Muster, die für die Vorbereitung und die ersten Schritte zum Aufbau eines ISMS benötigt werden.

Marcus Schröder, Berater für Informationssicherheit SECURiON Rheinland-Pfalz GmbH

Wir nutzen Cookies, um Ihre Online-Erfahrung zu verbessern und um Ihnen Inhalte und Angebote vorzustellen, die Ihren Interessen entsprechen. Indem Sie unsere Homepage nutzen, akzeptieren Sie die Verwendung von Cookies. Weitere Informationen zu Datenschutz und Cookies können Sie unserer Datenschutzerklärung entnehmen.
ok