Verbandsgemeindeverwaltung Bernkastel-Kues

Management Summary

Mehrwerte für den Kunden

Projektumfeld

Die IT-Infrastruktur im kommunalen Bereich hat sich in den letzten 20 Jahren massiv verändert. Nahezu alle kommunalen Aufgaben und Verwaltungsbereiche werden durch IT unterstützt. Damit einher geht eine wachsende Bedrohung durch Cyberangriffe, zumal veränderte Arbeitsweisen wie Homeoffice und Co. neue Angriffsflächen schaffen. So kam es in jüngster Zeit vermehrt zu IT-Sicherheitsvorfällen, bei denen die kommunale Verwaltung in Deutschland betroffen war. Wird deren Arbeit durch eine Cyberattacke beeinträchtigt oder sogar lahmgelegt, trifft dies letztlich auch die Bürger – zum Beispiel dann, wenn wichtige Dienstleistungen nur eingeschränkt oder gar nicht angeboten werden, amtliche Dokumente nicht mehr ausgestellt werden können, persönliche Daten in falsche Hände gelangen, Büros geschlossen bleiben oder Mitarbeiter nicht erreichbar sind.

Um sensible Bürger- und Unternehmensdaten so effektiv wie möglich zu schützen und einen unterbrechungsfreien Geschäftsbetrieb zu gewährleisten, muss IT-Sicherheit als zentrale Aufgabe der Verwaltung begriffen werden. Zu den grundlegenden Vorbeugemaßnahmen gegen Cyberangriffe gehören etwa die fortlaufende Aktualisierung von Applikationen und Virenscannern, regelmäßige Backups, die Installation von Software nur aus offiziellen Quellen, Vorsicht im Umgang mit Mails unbekannter Herkunft sowie entsprechende Richtlinien und Schulungen der Beschäftigten. Angesichts der zunehmenden Komplexität der IT wird es jedoch gerade für kleine Kommunen mit wenig Kapazitäten vor Ort immer schwieriger, notwendige Maßnahmen zu erkennen und umzusetzen.

Um mögliche Schwachstellen bzw. Sicherheitslücken aufzudecken und anschließend entsprechende Maßnahmen einzuleiten, hat sich die Verbandsgemeindeverwaltung Bernkastel-Kues professionelle Unterstützung ins Boot geholt: Mit der IT-HAUS GmbH wurde ein langjähriger IT-Partner beauftragt, eine umfassende Analyse der gegenwärtigen IT-Sicherheit, den sogenannten Cyber Security Check, durchzuführen.

Projekterfolg

Der Cyber Security Check ist ein Pauschalangebot der IT-HAUS GmbH, das bei überschaubarem Aufwand ein ganzheitliches Bild der IT-Sicherheit im Unternehmen sowie konkrete Handlungsempfehlungen liefert. Letztere sollen als Grundlage dienen, um das Sicherheitsniveau am überprüften Standort kontinuierlich und nachhaltig zu verbessern.

Der Check ist in drei Teile aufgegliedert, die jeweils unterschiedliche Aspekte der IT-Sicherheit beleuchten und komplett aus der Ferne durchgeführt werden können. Teil 1 ist ein Fragebogen, der darauf abzielt, die technisch-operative Sicherheit des Kunden zu analysieren. Er besteht aus 20 Modulen, die verschiedene technische Bereiche abdecken – von der Rechenzentrumsumgebung und ihrer Verfügbarkeit über die Virtualisierungs- bis hin zur Anwendungsebene. Teil 2 umfasst vornehmlich Fragen zur strategischen IT-Sicherheit, darunter Aufbau und Organisation der IT, Sicherheitsrichtlinien und -relevante Rollen (Datenschutzbeauftragte etc.) im Unternehmen sowie Notfallmanagement. Auch der diesbezügliche Kenntnisstand bzw. Ausbildungsgrad der Mitarbeiter wird hier erhoben.

Die Fragebögen wurden von IT-HAUS entwickelt und orientieren sich maßgeblich am IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), der neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Beide konnten vom IT-Verantwortlichen der Verbandsgemeindeverwaltung ganz bequem online über das IT-HAUS Assessment-Tool beantwortet werden. Das nimmt in der Regel wenige Stunden, bei Abstimmungs- bzw. Klärungsbedarf höchstens ein paar Tage in Anspruch.

Des Weiteren wurde im Rahmen des Cyber Security Checks ein einmaliger automatisierter Penetration Test (Pentest) beim Kunden durchgeführt, der seine IT-Systeme in Form von simulierten Cyberangriffen auf mögliche Sicherheitslücken untersucht. Dabei wird sowohl von außen als auch von innen getestet, um nicht nur mögliche Einfallsvektoren für einen externen Angreifer zu finden, sondern auch die Frage zu klären, welchen Schaden ein Hacker im internen Netzwerk des Kunden anrichten kann. Auch dieser Test findet per Fernzugriff statt und dauert nur etwa einen Tag.

Als die Daten aus allen drei Erhebungen gesammelt und ausgewertet waren, ging IT-HAUS an die Beurteilung des momentanen Sicherheitsstatus der Behörde und leitete daraus individuelle, erfahrungsbasierte Handlungsempfehlungen ab. Diese wurden priorisiert und den Verantwortlichen in einem gemeinsamen Abschlussgespräch in Form eines ausführlichen Ergebnisberichts präsentiert.

Der Bericht zeigt nicht nur auf, welche Maßnahmen in welchem Zeitraum zur Erhöhung des Sicherheitsniveaus erforderlich bzw. sinnvoll wären, sondern auch, welche Risiken und Herausforderungen andernfalls drohen.

Dabei reichen die Abstufungen von Sachverhalten mit hoher Priorität, die umgehend oder schnellstmöglich angegangen werden sollten, bis zu mittel- und langfristigen Maßnahmen, die zwar empfohlen werden, jedoch nicht dringlich sind. Neben den detaillierten Empfehlungen wird auch skizziert, wie IT-HAUS zur Erreichung dieser Ziele beitragen kann. Tabellarische Auflistungen der Handlungsempfehlungen, welche die Verbandsgemeindeverwaltung als Check- bzw. To-do-Liste nutzen kann, sowie aller im automatisierten Pentest gefundener Schwachstellen runden das Ergebnisdokument ab.

Da es sich beim Cyber Security Check um einen standardisierten Prozess handelt, kann ihn IT-HAUS, unabhängig vom Aufwand, zu einem fixen Preis pro Standort anbieten. Das schließt den automatisierten Pentest mit ein, sodass dieser im Vergleich zu Tests, die mögliche Angriffspunkte manuell aufspüren, eine sehr kosten- und zeiteffiziente Alternative darstellt. Als Full-Service-Provider ist IT-HAUS zudem in der Lage, sämtliche im Zuge des Checks empfohlenen Maßnahmen aus einer Hand umzusetzen.

Gleichzeitig bleibt es dem Kunden überlassen, ob er den Empfehlungen folgt und an welchen Dienstleister er sich gegebenenfalls wendet. Im Fall der Verbandsgemeindeverwaltung Bernkastel-Kues waren sich die Verantwortlichen einig, erneut IT-HAUS zu beauftragen, sodass in der Folge gleich mehrere potenzielle Sicherheitslücken geschlossen werden konnten.