Sicherheit

Mehr Sicherheit für eine moderne öffentliche Verwaltung

Dr. André Schulz, Strategic Account Executive

Die Verwaltung steht in den nächsten Jahren vor einer riesigen Herausforderung: Sie muss die digitale Souveränität des Staates wahren und die ihr anvertrauten persönlichen Daten der Bevölkerung schützen, zugleich aber auch trotz Fachkräftemangel modernere Verwaltungsstrukturen schaffen.

Im Prinzip hat die öffentliche Verwaltung dieselben Herausforderungen im Hinblick auf die  IT-Sicherheit wie jedes vergleichbare Unternehmen der Privatwirtschaft zu erfüllen. Hinzu kommt aber, dass die IT-Sicherheit gerade im öffentlichen Sektor eine wichtige Grundlage für das Vertrauen der Gesellschaft darstellt. Verfehlungen bei Datensicherheit und Datenschutz werden hier noch sensibler wahrgenommen und noch strenger kritisiert als in der freien Wirtschaft, weil es sich ja nicht nur um die Daten der Verwaltung, sondern um Daten der Bürger handelt.

Doch diese notwendige Sensibilität spiegelt sich nicht immer in den implementierten Sicherheitsstrukturen in der öffentlichen Verwaltung wider. Denn wir beobachten seit Jahren eine stetig steigende Zahl an Angriffen und Sicherheitsvorfällen bei Unternehmen, zunehmend aber auch in Verwaltungseinrichtungen sowohl auf Bundes- und Länderebene als auch im kommunalen Umfeld. Diverse Sicherheitsvorfälle, beispielsweise aktuell der Fall um das Kammergericht Berlin, haben gezeigt, dass in Sachen Sicherheit ein erhöhter Handlungsbedarf besteht, den nicht jede Verwaltung in der notwendigen Weise umsetzen kann.

Es reicht beispielsweise bei Weitem nicht aus, um eine Rechenzentrumsinfrastruktur eine einzige große Firewall zu ziehen. Denn neben dem Schutz des Rechenzentrums nach außen muss es auch eine Absicherung der einzelnen Infrastrukturkomponenten im Inneren des Systems geben. Man muss deutlich mehr tun – die gesamte Infrastruktur einerseits, aber auch die einzelnen Endgeräte, die Storage-Komponenten und Server andererseits absichern. Sicherheit muss hier insbesondere über verschiedene Standorte gedacht werden und sollte auch Konzepte wie Netzwerksegmentierung oder Least-Privilege-Modelle beinhalten. VMware NSX und AppDefense ermöglichen so beispielsweise auf der Basis von Safelisting einen hohen Grad an Sicherheit auf Applikations- und Endgeräte-Level und sichern jeden einzelnen Workload gesondert ab.

Neben externen Attacken, seien sie gezielt auf bestimmte Verwaltungseinheiten oder Netzwerke gerichtet oder auch unspezifisch, nehmen nämlich auch Sicherheitsvorfälle durch unbedarfte Mitarbeiter zu, die beispielsweise auf der Basis von Social Engineering ungewollt Angriffe unterstützen. Diese machen heute bereits rund die Hälfte der Vorfälle aus. Es passiert also gar nicht so selten, dass Mitarbeiter unachtsam auf einen Mailanhang klicken, der sich fälschlicherweise durch die Sicherheitsmaßnahmen durchgeschleust hat. Auch die stetig wachsende Zahl an mobilen Endgeräten, die das Büro verlassen, führt zu einer Erweiterung der Angriffsflächen und  somit zu vermehrten Risiken.

Intrinsic Security: Automatisierung schafft Effizienz

Die Verwaltungen stehen dabei vor einer Herkulesaufgabe, da sie einerseits eine stetig wachsende Zahl an Regeln und Prozessen mit immer mehr Geräten verwalten müssen, andererseits hierfür aber oft gar nicht ausreichende Personalressourcen haben. Denn der Fachkräftemangel, ein aktuelles Problem im IT-Kontext unterschiedlicher Branchen, trifft die öffentliche Verwaltung besonders hart. Schließlich konkurriert diese mit der freien Wirtschaft, die aber naturgemäß oftmals die attraktiveren Gehälter zahlen kann. Die Folge: Viele Verwaltungseinrichtungen können derzeit offene Stellen nicht besetzen und sind am Limit ihrer Ressourcen.

Eine Lösung dieser Herausforderung kann in der Automatisierung von Prozessen bestehen. Denn Prozesse in Rechenzentren waren und sind oftmals manuell getrieben, wenig automatisiert und dauern in der Administration sehr lange. Dabei ist die Auslagerung an dritte Unternehmen oftmals keine adäquate Lösung, vor allem aus Privacy- und Compliance-Gesichtspunkten.

Für die Verwaltung eröffnen daher intrinsische Security-Lösungen von VMware einen Effizienzgewinn und helfen dabei, trotz der Ressourcenknappheit mit den steigenden Anforderungen an die IT-Abteilungen Schritt zu halten. Prozesse und Workflows im Tagesgeschäft werden dabei regelbasiert automatisiert oder gar mit Hilfe von Machine-Learning-Lösungen so optimiert, dass die Mitarbeiter wieder mehr Zeit fürs Wesentliche und für anspruchsvolle Aufgaben bekommen – die deutlich smartere Lösung im Kampf gegen den Fachkräftemangel.

On-Premise oder Cloud? Die Verwaltung entscheidet selbst

In den meisten Fällen ist es die erklärte Maßgabe im öffentlichen Sektor, im Sinne der digitalen Souveränität die IT der öffentlichen Verwaltung in einem eigenen Rechenzentrum, also On-Premise zu betreiben. Doch immer häufiger kommen Ressourcen in der Cloud hinzu, bei denen die Daten meist in Deutschland und stets nach deutschen Datenschutzvorgaben abgelegt werden. Projekte wie die geplante Deutschland-Cloud können hier eine geeignete Ergänzung zu den bestehenden eigenen Infrastrukturen sein. Cloud-Lösungen sind einerseits flexibel hinzubuchbar und gut skalierbar, gewährleisten andererseits aber auch ein Maximum an Sicherheit. Wichtig sind bei Initiativen wie der Deutschland-Cloud die grundlegenden Entscheidungen, etwa welche Bundesländer hier federführend sein sollen und nach welchen Rahmenbedingungen eine solche Cloud-Lösung arbeitet.

Wir von VMware sind dabei unabhängiger Produktanbieter, ermöglichen mit unserer Software stets die On-Premise-Nutzung, aber auch die Einbeziehung von Public- oder Hybrid-Clouds in die eigene On-Premise-Infrastruktur. Eine Verwaltung, die sich also oft aus bestimmten Gründen gegen eine Ablage von Daten in der Cloud entschieden hat, kann mit unseren Management-Tools weiterhin auf das eigene Rechenzentrum setzen. Sie kann in Zukunft aber auch Hybrid- und Public-Clouds hinzuziehen und Anwendungen nach Bedarf in die Cloud transferieren. Der Kunde hat mit VMware die Wahl, ob er seine eigenen Rechenzentren mit entsprechender Absicherung betreibt oder ob er sich auf das Sicherheitskonzept eines der Cloud-Anbieter verlässt.

Eine weitere Herausforderung in Sachen Sicherheit ist der über die Jahre entstandene Wildwuchs an Sicherheitslösungen, die teilweise zueinander inkompatibel sind oder gar Fehlalarme produzieren, weil sie die eigenen Signatur-Muster als vermeintliche Schadsoftware erkennen. In manchen Fällen kommen 60 bis 100 verschiedene Tools unterschiedlicher Hersteller zum Einsatz. Die Intention, sich nicht von einem einzigen Anbieter abhängig zu machen, wird hier falsch verstanden und führt statt zu mehr zu weniger Sicherheit. VMware empfiehlt, die Tools im Security-Umfeld drastisch zu konsolidieren und auf eine integrierte Sicherheitsplattform-Lösung wie VMware NSX zu setzen, da die Sicherheit ansonsten nicht mehr zu managen ist. Dadurch kann die Anzahl der Sicherheitstools auf wenige reduziert werden.

Verwaltungen müssen die richtigen Weichen stellen

Verwaltungen müssen in Zukunft mehr denn je in die Sicherheit der eigenen IT-Infrastruktur investieren – vom Rechenzentrum bis hin zum Endgeräteschutz. Angesichts der fortschreitenden Digitalisierung, in deren Rahmen die Bürger immer mehr Verwaltungsvorgänge online abwickeln können, ist ein derartiger ganzheitlicher Sicherheitsansatz unbedingt notwendig, will man verhindern, dass Sicherheitslücken von außen oder innerhalb der Behörden ausgenutzt werden können.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube