Die Zukunft der Cyber Security im Public Sector

Warum IP-basierte Security nicht den Sicherheitsanforderungen von heute gerecht wird.

EinwohnerInnen erwarten heute von ihrer lokalen Behörde die Bereitstellung digitaler Dienstleistungen, die sie aus anderen Lebensbereichen gewohnt sind. Sei es der Wohnortwechsel, der neue Reisepass oder die Anmeldung eines neuen Wagens – niemand möchte heute mehr Wartezeit als nötig auf dem Amt verbringen und zuerst eine Nummer ziehen. Die Digitalisierung schreitet angesichts der Erwartungshaltung der Bürgerinnen und Bürger auch in der öffentlichen Verwaltung oder in Behörden voran und die IT-Verantwortlichen sind demnach gefordert, sich Gedanken um die Sicherheit der digitalen Identität zu machen.

Wenn sich nun Behörden durch moderne Services und Arbeitsumgebungen neu im Internet aufstellen, dann stehen sie vor ähnlichen Herausforderungen wie die Industrie zu Beginn deren Digitalisierung. Die Hauptsorge in der öffentlichen Verwaltung im Zuge der Schaffung digitaler Angebote ist auch die Sicherheit der Daten und Informationen. Angesichts der Sensitivität der Einwohnerdaten sind diese Bedenken bei den Organisationen des öffentlichen Sektors in der Regel hoch. Herkömmliche IT-Sicherheitsarchitekturen auf Basis von Rechenzentrum und Netzwerk mit Perimetersicherheit stoßen angesichts der großen Mengen an Datenströmen, die Richtung Cloud gehen, an ihre Grenzen. Bei der Virtualisierung sind dementsprechend auch neue Sicherheitskonzepte gefragt. 

Eine Analogie zur traditionellen Netzwerksicherheit: Geht ein Einwohner zu seinem lokalen Rathaus, hat er dort in aller Regel die Möglichkeit, ungehindert ein- und auszugehen. Zu Pandemie-Zeiten wurde meist ein Kontrollposten im Eingangsbereich eingerichtet, an dem eine persönliche Akkreditierung zur Terminwahrnehmung erforderlich war, und dieses bewährte Prinzip wird vielfach fortgeführt. Nach der Autorisierung stand seiner ungehinderten Bewegung innerhalb des Rathauses nichts im Wege, so dass vom Sitzungssaal über Einwohnermelde- oder Passamt verschiedene Räumlichkeiten aufgesucht werden konnten. Ähnlich verhält es sich mit einer digitalen Identität, die sich im Modell der herkömmlichen Perimetersicherheit in einem Netzwerk ungehindert fortbewegen kann und auf verschiedene Anwendungen Zugriff erhält, wenn sie sich einmalig autorisiert hat. Doch dieser umfangreiche Zugang mit der lateralen Fortbewegung im Netzwerk birgt Gefahren für die Sicherheit von Daten.

Granularer Zugriff auf eine Anwendung

Solche Legacy-Infrastrukturen gehen angesichts der heutigen Bedrohungslage mit erheblichem Risiko für die Sicherheit vertraulicher Daten einher, wie unzählige Angriffe auf die IT-Infrastrukturen von Behörden verdeutlichen. IP-basierte Sicherheit macht IT-Systeme über ihre Schwachstellen angreifbar. Denn was an verwundbarer Hardware im Internet exponiert ist, kann von Angreifenden für ihre Zwecke missbraucht werden, so dass ein Eindringen in das Gesamtsystem möglich wird. 

Für die Mitarbeitenden in der öffentlichen Verwaltung ist der granulare Zugriff auf Ebene der einzelnen, datenschutzsensiblen Applikation ebenso ratsam wie in der Industrie. Dort setzt man bereits auf das Prinzip der am wenigsten privilegierten Zugangsrechte (Least privileged Access) und modernisiert die Sicherheitsarchitekturen durch Zero Trust-Modelle. Der Bund und die öffentliche Verwaltung haben jetzt die Chance, den Gestaltungsraum der Modernisierung zu nutzen und Cybersicherheit bereits in der Planungsphase von Digitalstrategien zu berücksichtigen.

Ein solcher Wechsel von Netzwerk-basierter Sicherheit auf autorisierten Zugriff auf Applikationsebene geht mit weiteren Vorteilen für die öffentliche Verwaltung einher:

Eliminieren der Angriffsfläche

Ein Security Broker in Form einer Sicherheitsplattform gewährt im Zero Trust-Ansatz granularen Zugriff auf Ebene der benötigten Applikation – und nicht mehr des Netzwerks. Die Plattform reguliert den Zugriff auf Basis von definierten Richtlinien, die festlegen, welche Identität die Rechte für den Zugang erhält. Durch ein solches Inside-Out-Modell des Zugriffs müssen Anwendungen nicht mehr im Internet exponiert werden, wodurch sich die Angriffsfläche und damit einhergehend auch die Möglichkeiten für eine Kompromittierung eindämmen lassen.

Gewähren von Adaptiven Zugriff

Durch das beschriebene Modell des am wenigsten privilegierten Zugriffs dürfen nur vertrauenswürdige Quellen miteinander kommunizieren. Dieser vertrauenswürdige Zugang zu Informationen wird kontinuierlich in Echtzeit bewertet und gesteuert durch ein adaptives Zugriffsmodell. Dabei werden Kontextfaktoren zur Bewertung der Vertrauenswürdigkeit herangezogen wie beispielsweise der Standort des Anwenders oder der Sicherheitszustand des Gerätes.

Eindämmen von unkontrollierten Netzwerk Bewegungen

Durch ein auf Zero Trust-Prinzipien basierendes Sicherheitsmodell lässt sich ebenfalls die Fortbewegung von Angreifenden in einer Netzwerkumgebung ausschalten. Da nicht mehr ein VPN oder eine Firewall den Zugang zum Netzwerk regeln, sondern die User-Identität und Richtlinien den Zugang auf Anwendungen definieren, erfolgt aus-schließlich der Zugriff zu autorisierten Anwendungen. Somit ist es unmöglich, sich unautorisiert im Netzwerk zu bewegen und das IP-basierte Modell wird abgelöst.

Datenverlust ausschalten

Wenn die freie Kommunikation unterbunden wird durch zielgerichtete Punkt zu Punkt-Anbindung ist nicht nur die Wahrscheinlichkeit eines ungewollten Zugriffs auf Informationen massiv reduziert, sondern damit auch der erste Schritt für ein ungewolltes Abfließen getan. Werden Daten nach ihrer Kritikalität kategorisiert, hat ein Echtzeit-Sicherheitsservice die Möglichkeit, das ungewollte Abfließen von vertraulichen Informationen zu unterbinden. 

Reduzieren von Komplexität

Durch ein solches Plattform-basiertes Modell für Sicherheit werden Hardware-Infrastrukturen obsolet, die aufwändig in der Verwaltung sind. Infrastrukturen werden vereinfacht durch die Punkt-zu-Punkt-Anbindung, die nicht mehr auf die Sicherheit am Perimeter angewiesen ist. Durch den Zero Trust-Ansatz entsteht eine Standardisierung in der Verwaltung, die über eine einheitliche Benutzeroberfläche kontinuierlich überwacht werden kann. Zudem lassen sich Prozesse auch mit Hilfe von KI automatisieren, und dadurch dem Fachkräftemangel begegnen und den Kostendruck senken.

Nicht nur mehr Anwenderfreundlichkeit durch die Schaffung digitaler Abläufe steht für die öffentliche Verwaltung im Raum, sondern ebenso der moderne Arbeitsplatz für die Mitarbeitenden. Eine moderne Cloud-basierte Arbeitsumgebung auf Basis neuester Technologien kann zum Jobmagnet werden und dem demografischen Wandel der IT-Arbeitsplätze in Behörden und Kommunen entgegensteuern.

Mehr zum Thema Zero Trust-Sicherheit erfahren IT-SA-Besucher am Donnerstag, den 24.10.2024 von 11:00 bis 11:15 Uhr, Forum 6-A oder am Stand von Zscaler in Halle 6-324.