Sichere Verwaltung

Strategien für die Cybersicherheit
in Deutschland.

Die Handlungsfähigkeit von Staat und Wirtschaft in Deutschland ist elementar abhängig von einer funktionierenden Informationssicherheit. Denn die Bedrohungslage steigt. Schon heute registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) täglich 2.000 bis 3.000 Angriffe auf die Netze des Bundes. Und die Herausforderungen für die öffentliche Verwaltung wachsen, je mehr sie von IT und Internet durchdrungen wird – gerade auch infolge moderner E-Government-Strategien.

Wie kann umfassende Cyber- und Informationssicherheit vor diesem Hintergrund gestalten werden? Wie wehren Sie immer gezieltere Attacken ab? Und wie können sichere Prozesse in Ihrem Haus aussehen?

Cassini begleitet die öffentliche Verwaltung bei der Konzeption und Umsetzung umfassender Sicherheitsstrategien. Wir unterstützen Sie nicht nur bei der ISO 27001 nach IT-Grundschutz, sondern bringen darüber hinaus weitreichende Erfahrungen aus Themenfeldern wie IPv6 und der IT-Netzinfrastruktur des Bundes ein. Lesen Sie mehr über Strategien einer effektiven Informationssicherheit.

Von programmatischen Interviews bis zu wegweisenden Cases.

Mehr zum Thema:

Fokussierte Umsetzung der IT-Sicherheitsrichtlinien des Bundes
Download 380 KB
Bereitstellung einer hochverfügbaren RZ-Infrastruktur für Fremdnutzer
Download 68 KB
Rechenzentrum Quick-Check - baulich, fachlich, organisatorisch
Download 139 KB
Lesen Sie auch unsere Fachartikel

„Wir reden nur über die Spitze des Eisbergs.“

Für Sven Malte Sopha ist Informationssicherheit Führungsaufgabe und muss integraler Bestandteil der Kultur einer Organisation werden. Dabei ist auch die Zusammenarbeit aller Beteiligten in Staat, Wirtschaft und Gesellschaft gefragt. Ein Interview.

Mehr erfahren

Herr Sopha, der Cyberangriff auf den Deutschen Bundestag und nicht zuletzt der NSA-Skandal: Wie sicher ist Deutschland?

Sopha: Tatsächlich sprechen wir hier von schwerwiegenden Angriffen auf die digitale Souveränität Deutschlands. Gleichwohl muss man die beiden Vorfälle differenziert betrachten. Machen wir uns aber nichts vor: Das Ausspähen von Unternehmen und Organisationen wird weiter zunehmen. Angriffe werden immer komplexer und nur in den wenigsten Fällen bekannt bzw. bekannt gemacht. Wie sicher Deutschland ist, ist deshalb neben der technischen Absicherung eine Frage der Sicherheitskultur.

Den Zusammenhang zwischen Sicherheit und Kultur müssen Sie uns näher erläutern.

Die Beispiele, die Sie genannt haben, sind aufsehenerregend. Aber leider auch nur die Spitze des Eisbergs. Cybersicherheit ist ja nicht nur auf Einrichtungen des Bundes und die Regierungsnetze begrenzt. Sie ist viel alltäglicher. Jedes Bezirksamt, jedes Bürgerbüro ist gehalten, Informationssicherheit nach innen und außen, z.B. in der Kommunikation mit den Bürgern zu verwirklichen. Allein mit technologischer Absicherung ist es jedoch nicht getan. Es gilt, Sicherheit im Bewusstsein und im Handeln der Mitarbeiter, aber auch in den Prozessen und Strukturen zu verankern – Sicherheit also zum immanenten Teil der Kultur einer Organisation zu machen. Doch genau daran hapert es oft.

Wo liegt in Ihren Augen das Problem?

In vielen Organisationen wird Informationssicherheit noch immer zu sehr auf bloße IT-Sicherheit und damit ausschließlich auf die technische Dimension reduziert. Eine notwendige ganzheitliche Betrachtung findet nur gelegentlich statt. Es bedarf der konkreten Unterstützung durch die Führungsebenen. Das beginnt mit der Bereitstellung von Ressourcen bis hin zur Schaffung eines Klimas des offenen Austausches zu Sicherheitsfragen über alle Abteilungen und Hierarchiestufen hinweg. Informationssicherheit ist ein Querschnittsthema.

Wie kann Informationssicherheit konkret in Organisationen verankert werden?

Das muss man von Fall zu Fall betrachten. Im Kern geht es darum, aus einer reaktiven eine proaktive Organisation zu machen. Dafür gilt es, Prozesse und Verantwortlichkeiten vorab klar zu definieren – strategisch, taktisch, aber auch operativ. Für die Steuerung von Sicherheitsthemen hat sich zum Beispiel die Rolle des Informationssicherheitsbeauftragten bewährt, dem sinnvollerweise ein übergreifender Steuerkreis für Informationssicherheit zur Seite gestellt wird: ein Gremium, dem Vertreter aller zentralen Themenbereiche einer Behörde angehören und das Sicherheitsfragen ganzheitlich angeht. In größeren Organisationen führt die Etablierung eines CERT-Teams zu einer beschleunigten Reaktion auf Sicherheitsvorfälle. Die Praxis zeigt, dass all diese Steuerungsthemen in einem Managementsystem etwa nach dem Standard ISO 27001 oder IT-Grundschutz in der Organisation verankert und kontinuierlich ausgebaut werden sollten. Die Prozesse und festgelegten Sicherheitsmaßnahmen sollten nicht nur dokumentiert, sondern auch gelebt, stetig überprüft und bei Bedarf angepasst werden. 

Aber reicht es, Informationssicherheit allein aus der Perspektive einer einzelnen Organisation zu betrachten? 

Ganz bestimmt nicht. Was wir brauchen, ist ein Bewusstseinswandel im Sinne eines übergreifenden Austauschs aller Beteiligten – von Staat, Wirtschaft, Herstellern, aber auch Bürgern. Und zwar jenseits von Absichtserklärungen: Mit dem IT-Sicherheitsgesetz hat der Staat endlich seinen Anspruch formuliert und übergeordnete Rahmenbedingungen definiert. Das kann jedoch nur einer von mehreren Bausteinen sein. Die einzelnen Themen müssen nun operationalisiert werden. Das IT-Sicherheitsgesetz, das Meldepflichten bei Sicherheitsvorfällen vorschreibt, ist dabei nur ein Aspekt. Wenn sich Unternehmen nicht daranhalten, weil sie einen Reputationsverlust befürchten, ist das kontraproduktiv. Die Rahmenbedingungen müssen so geschaffen werden, dass es Mehrwerte bzw. Anreize für diesen übergreifenden Austausch gibt. Hier gibt es in meinen Augen noch Handlungsbedarf. Für eine ganzheitliche Informationssicherheit ist die  Gesellschaft in ihrer Gänze gefragt. Wir alle müssen an unserer Sicherheitskultur arbeiten. Das fängt schon im Privaten an. 

Ihr Ansprechpartner:
Sven Malte Sopha
Senior Consultant
public(@)no-spam.cassini.de 

Informationssicherheit beim ITDZ Berlin: Ein Perpetuum mobile.

Als einer der ersten öffentlichen IT-Dienstleister wurde das ITDZ Berlin mit dem BSI-Zertifikat ISO 27001 auf Basis von IT-Grundschutz für seine Informationssicherheit zertifiziert. Cassini begleitete den IT-Partner der Berliner Verwaltung auf dem Weg dorthin. Neben der Steuerung des Gesamtvorhabens hat Cassini fachlich beraten und seine Sicherheitsexpertise eingebracht. Ein Prozess der kontinuierlichen Verbesserung wurde in Gang gesetzt. 

Mehr erfahren

Im ITDZ Berlin schlägt das digitale Herz der Berliner öffentlichen Verwaltung. Hochsensible Bürger- und Verwaltungsdaten liegen im Rechenzentrum des zentralen IT-Dienstleisters der Hauptstadt. Sämtliche Geschäftsprozesse sowie der Schutz der Informationen und Daten müssen deshalb höchste Sicherheitsmaßstäbe erfüllen. 

Der Vorstand ergreift die Initiative.

Wie können wir unsere Sicherheit über den Status quo hinaus nachhaltig stärken und noch besser werden? Gemeinsam mit dem IT-Sicherheitsbeauftragten initiierte der Vorstand des ITDZ Berlin die Sicherheitszertifizierung seines Hauses. Die Informationssicherheit im ITDZ Berlin sollte ganzheitlich geprüft werden, angefangen von Geschäftsprozessen bis hin zur technischen Absicherung von IT-Komponenten. Das Ziel war die offizielle Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Cassini, über zentrale Rahmenverträge mit dem ITDZ Berlin verbunden, sollte die Erlangung des Zertifikats ISO 27001 auf Basis von IT-Grundschutz im engen Schulterschluss mit der Unternehmensführung und der Stabstelle für Informationssicherheit in Angriff nehmen.

Cassini leitet universelles Vorgehen ein.

Entsprechend umfassend war der Ansatz von Cassini. Neben dem internen IT-System zur Abwicklung aller kaufmännischen Prozesse wurden alle wesentlichen IT-Komponenten und Dienste in die Analyse mit einbezogen. Dem High Security Data Center und den Dienstgebäuden galt ebenso das Augenmerk wie der Beleuchtung der kritischen Geschäfts- und Sicherheitsprozesse. Dabei unterstützte Cassini das ITDZ Berlin auch fachlich auf breiter Ebene. Um IT-Grundschutz zu etablieren, prüfte und bewertete Cassini im Austausch mit den einzelnen Fachbereichen Risiken, entwickelte gezielte Sicherheitsmaßnahmen und führte begleitende Coachings durch.
Der wichtigste Fokus neben der Gesamtbetrachtung der Abläufe und Technik lag jedoch auf der Einbindung und Sensibilisierung der Beschäftigten. Sie mitzunehmen und aktiv einzubinden war ein wesentlicher Erfolgsfaktor des Vorhabens.

Informationssicherheit wird zur Unternehmenskultur.

Was Cassini in die Wege leitete, sollte das Denken und Handeln des ITDZ Berlin langfristig prägen. Elementare Verbesserungen fassen dauerhaft Fuß: Aus den Steuerungskreisen, die Cassini im Zuge der Projektsteuerung zur Zertifizierung einrichtete, wurde eine feste Institution. Hier tagen Vorstand, IT-Sicherheitsbeauftragter sowie die Abteilungs- und zentralen Fachbereichsleiter regelmäßig zu strategischen und aktuellen Sicherheitsfragen. Was an Rahmenbedingungen und Maßnahmen für ein integriertes strategisches, taktisches und operatives Informationssicherheitsmanagement (ISMS) definiert wurde, wird laufend weiterentwickelt. Verantwortlichkeiten und Abläufe sowie die Absicherung der Gesamtorganisation und der IT erfolgen nun auf Basis von IT-Grundschutz. Auch die Berliner Verwaltung profitiert maßgeblich von dem hohen Sicherheitsstandard.

Bestätigung der Zertifizierung im Jahresrhythmus.

Das BSI bescheinigte dem ITDZ Berlin im Juli 2015 initial die Umsetzung der Anforderungen des IT-Grundschutzes. Bis heute wurde jährlich bestätigt, dass die Sicherheitsstandards im ITDZ Berlin nicht nur eingehalten werden, sondern das sich das Sicherheitsniveau auch weiter erhöht hat: Zeugnis für den Anspruch des ITDZ Berlin, Informationssicherheit als wesentlichen Bestandteil der Digitalisierung und fortlaufenden Prozess der Verbesserung zu begreifen. 

 

Ihr Ansprechpartner:
Sven Malte Sopha
Senior Consultant
public(@)no-spam.cassini.de 

Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie

Wirtschaftsschutz wird insbesondere für die Industrie immer wichtiger. Der Digitalverband Bitkom hat zu dem Thema einen eigenen Studienbericht veröffentlicht. Rund 500 Unternehmen des produzierenden Gewerbes ab 10 Mitarbeitern wurden befragt.

Zahlreiche Experten aus der Wirtschaft waren bei der Erstellung des Studienberichts beteiligt. So auch Sven Malte Sopha, Senior Consultant bei Cassini und Vorstandsmitglied des Bitkom Arbeitskreises Wirtschaftsschutz. Das Thema Notfallmanagement wird von Sopha im Bericht kommentiert.

Großangelegte Studie: Wie Unternehmen IPv6 einführen und über seine Risiken denken.

Wie planen öffentliche Verwaltung und Unternehmen die Einführung von IPv6? Wie lauten ihre Strategien und was sind ihre Erfahrungswerte – zumal Sicherheits- und Betriebskonzepte umfassend überarbeitet werden müssen? Cassini führte eine große Studie zur IPv6-Strategie durch. Befragt wurden 800 Teilnehmer verschiedener Branchen sowie aus der öffentlichen Verwaltung. Eine Erkenntnis: Vielfach wird das Risiko bei der IPv6-Einführung gescheut. Der Grund: Es fehlt an internem Know-how.

IPv6-Migrationsleitfaden: Wie Sie strukturiert auf das neue Internetprotokoll umstellen.

Die Umstellung von IPv4 auf IPv6 stellt Behörden vor Herausforderungen: einerseits ist sie zwingend notwendig, andererseits gibt es europaweit kaum Erfahrungswerte. Klarheit bringt der IPv6-Migrationsleitfaden mit detaillierten Handlungsanweisungen und Checklisten – entstanden unter Mitwirkung von Cassini Berater Tahar Schaar.