Trotz der im Zuge des Onlinezugangsgesetzes unternommenen Anstrengungen zeigte die COVID-19-Pandemie deutlich den technischen Missstand der Behörden beim Einsatz der Telearbeit. Es ist ein regelrechter Sprung vom Regen in die Traufe bezüglich des IT-Risiko-Managements und des Datenschutzes.
Herausforderungen für die Arbeit von zu Hause
Während die große Mehrheit der Beschäftigten in der privaten Wirtschaft zu 100 % von zu Hause aus arbeiten konnte, galt die unzureichende technische Ausstattung unter Verwaltungsangestellten als eine der häufigsten Herausforderungen für die Telearbeit. Anlässlich einer repräsentativen Studie der Uni Köln berichteten die Befragten unter anderem von fehlender „Verfügbarkeit von geeigneter Technik und Zertifikaten für VPN-Verbindungen“, von „eingeschränktem Zugriff auf Dienstprogramme und Datenbanken“ sowie von „stark ausgeprägtem analogem Arbeiten“. Viele richteten sich einen suboptimalen Heimarbeitsplatz mit vorhandenen Privatgeräten ein, doch durch den fehlenden digitalen Zugriff auf Programme und Unterlagen war es oft nicht möglich, einen ganzen Arbeitstag im Homeoffice vollständig mit Arbeitsaufträgen zu füllen – außer man nahm die zu verarbeitenden Dokumente kartonweise mit zu sich nach Hause, wovon ebenfalls berichtet wurde.
„Mit den gegebenen Ausnahmen gingen Dringlichkeit und Datensicherheit noch nie Hand in Hand“, sagt Uwe Gries, Country-Manager DACH bei Stormshield, einem auf dem Schutz von Daten, Workstations und IT-/OT-Netzwerken spezialisierten Unternehmen des Airbus-Konzerns. Die notgedrungene Ausdehnung der digital verfügbaren Dienste der öffentlichen Verwaltung auf die Wohnungen der einzelnen Mitarbeiter hat deren Angriffsfläche ebenfalls ausgeweitet: Die Schwachstellen der öffentlichen Infrastruktur wurden in die Wohnungen der Angestellten getragen, und umgekehrt genauso.
Gefahren durch Schatten-IT in der öffentlichen Verwaltung
Die schnelle Anpassung der Infrastruktur an die neuen Bedürfnisse, die marktübergreifend zu einer extremen Überlastung der IT-Abteilungen und -Lieferanten führte, war zum Teil in der öffentlichen Verwaltung gar nicht erst möglich, was sowohl bei den Arbeitgebern als auch bei den Anwendern eine gefährliche Experimentierfreude förderte, und dadurch eine erhöhte Gefährdung durch Malware und andere Cyberbedrohungen. „Es reicht, einen einfachen Keylogger in den Privatrechner des Heim-Anwenders einzuschleusen oder eine erfolgreiche Phishing-Kampagne durchzuführen, um sich die Zugangsdaten zum Netz der jeweiligen Behörde zu verschaffen oder – wie im Falle des Bundeslandes Nordrhein-Westfalen – damit die Behörde zum Opfer eines großangelegten Betrugs wird. Daran denken jedoch nur wenige, wenn es darum geht, einigermaßen wie gewohnt arbeiten zu können“, bestätigt Gries.
Das Zero-Trust-Modell in der öffentlichen Verwaltung: eine mögliche Lösung
Die restriktiven Maßnahmen der Regierung während der Gesundheitskrise beruhten auf der Notwendigkeit, die kollektive Sicherheit zu gewährleisten. Könnte dieser Ansatz nicht auch eine Lösung im Hinblick auf die Cybersicherheit sein?
„Wir bei Stormshield halten es nicht für angebracht, aufgrund einer in der öffentlichen Verwaltung stark ausgeprägten Präsenzkultur Mitarbeiter mit Geräten auszustatten, die ihre Aktivitäten auf invasive Weise überwachen, wo deren Zeitkarte nach dem Login ins Amtsnetz gestempelt und deren Produktivität an Serverlogs gemessen wird“, behauptet Gries.
Es ist jedoch notwendig, Zero-Trust-Modelle in Erwägung zu ziehen. Darunter fallen sowohl eine transparente Ende-zu-Ende-Verschlüsselung der Daten unabhängig von der verwendeten Speicherplattform und der Verwendung von VPN als auch der eingeschränkte Zugriff auf Netzwerkressourcen, der für einen bestimmten Benutzer aufgrund seiner Rolle, des verwendeten Gerätes, des Arbeitsortes und der eingesetzten Anwendung zu festgelegten Zeiten autorisiert wird.
Diese Faktoren würden es ermöglichen, den Zugriff, die Verarbeitung und Weiterleitung sensibler Daten sowie die Privatsphäre der Benutzer zu schützen, indem Arbeitszeiten klar abgegrenzt und die Nutzung von Privatgeräten und -plattformen eingeschränkt werden, die nicht durch die hausinterne Sicherheitspolitik abgedeckt sind. Die Legitimität des gesamten Datenflusses sollte gründlich überprüft und der Datenverkehr im Fall von Anomalien in Echtzeit unterbunden werden. „Mit diesem Modell kann jede Organisation bestimmen, wer genau worauf, wie und wann Zugriff hat, und Daten sowie die gesamte Infrastruktur absichern“, bestätigt Gries.
Sensibilisierung und stärkere Befähigung der Mitarbeiter
Zu guter Letzt ist es neben dem Schutz vor Cyberbedrohungen und anormalem Datenflussverhalten ebenfalls wichtig, eine Reihe von Einschränkungen für die „agilen“ Arbeitsplätze der Mitarbeiter einzuführen. Das sollte jedoch im Rahmen eines Ansatzes geschehen, der einer Mitarbeitersensibilisierung für die Notwendigkeit der „digitalen Hygiene“ in Verbindung mit einer stärkeren Befähigung der Benutzer große Bedeutung beimisst. Eine der Lehren, die aus der Gesundheitskrise zu ziehen sind, besteht darin, dass Kompetenz, Regeln und persönliche Disziplin erforderlich sind, um eine anhaltende Bedrohung abzuwehren. Egal ob es sich um eine Gesundheits- oder um eine Cyberbedrohung handelt. In einem sich ständig weiterentwickelnden Umfeld müssen wir auch berücksichtigen, dass sich der Grad der „Strenge“ dieser Regeln weiterentwickeln kann und muss. Anpassungsfähigkeit ist daher auch in diesem Fall der Schlüssel zum Erfolg – besonders für IT-Infrastrukturen der öffentlichen Verwaltung.
Gries kommt zu folgendem Schluss: „Die unter normalen Umständen gewährte Möglichkeit der Telearbeit kann tatsächlich für ein höheres Maß an Flexibilität in der öffentlichen Verwaltung sorgen. Wir haben nun die einmalige Gelegenheit, Modelle und Werkzeuge zu evaluieren, die geeignet sind, die Art und Weise, wie die öffentliche Verwaltung arbeitet, langfristig zu verändern – und diesmal, so hoffen wir, nach den besten Vorsätzen der ‚Security by Design‘.“
Silvia Amelia Bianchi