Die Sicherheit von IT-Infrastrukturen und Daten entwickelt sich in der öffentlichen Verwaltung zur zentralen Herausforderung der kommenden Jahre. Das sagen 95 Prozent der Entscheider aus 100 deutschen Bundes-, Landes- und Kommunalverwaltungen. 53 Prozent sehen die eigenen Abläufe und Systeme bereits gut aufgestellt, um auch künftige Cyberrisiken in den Griff zu bekommen sowie die Anforderungen des Datenschutzes zu erfüllen. 46 Prozent arbeiten an der Modernisierung. Das sind Ergebnisse der Studie "Branchenkompass Public Services 2018" von Sopra Steria Consulting und dem F.A.Z.-Institut.
Im Vergleich zu 2016 rückt das Thema IT- und Datensicherheit noch mehr in den Mittelpunkt. Vor zwei Jahren befanden 86 Prozent der Entscheider die Sicherheit als zentrale Zukunftsaufgabe. Grund für die Zunahme an Relevanz ist nicht nur der Anstieg illegaler Handlungen im Computer- und Telekommunikationsbereich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht auch die Einflussnahme auf politische Prozesse durch Cyberangriffe als ein relativ neues Phänomen, vor dem sich öffentliche Verwaltungen schützen müssen.
Die Dominanz von Sicherheitsthemen ist zudem eine direkte Folge des fortschreitenden Ausbaus der Digitalisierung. Der Aufbau einer digitalen Verwaltung zählt für mehr als acht von zehn befragten Verwaltungsentscheidern zu den derzeit wichtigsten Aufgaben. Unmittelbar damit verbunden sind die sicherere Verarbeitung wachsender Datenmengen. Gegenüber der Untersuchung von 2016 haben die neuen Möglichkeiten der Datennutzung, beispielsweise durch Analysen und Prognosen sowie die Öffnung im Rahmen von Open Data, an Relevanz gewonnen.
Netz aus Sicherheitsmaßnahmen soll es Hackern schwer machen
Die öffentlichen Verwaltungen begegnen den wachsenden Datenschutz- und IT-Sicherheitsanforderungen mit einem Mix unterschiedlicher Maßnahmen, um mögliche Lücken zu schließen. Drei von vier Behörden (73 Prozent) passen ihre Sicherheitskonzepte derzeit an den neuen IT-Grundschutz des BSI an. Im Herbst 2017 wurde diese Methodik modernisiert. Zugleich rückte damit die Basisabsicherung kleiner Behörden auf kommunaler Ebene in den Fokus. Ihnen mangelt es häufig an Ressourcen, weil sie nicht immer mit IT-Dienstleistern zusammenarbeiten.
Darüber hinaus investieren Behörden auf allen Verwaltungsebenen in die weitere Professionalisierung ihrer IT-Sicherheitsvorkehrungen. 57 Prozent entwickeln eine neue Cyberabwehrstrategie, um Hackerangriffe gezielter zu bekämpfen und präventiv tätig werden zu können. Ebenso viele Verwaltungen verstärken ihren Schutz durch regelmäßig durchgeführte Penetrationstests von IT-Sicherheitsexperten. 24 Prozent der befragten Verwaltungen planen den Aufbau eines Security Operation Center (SOC) für die Cyber-Security-Arbeit. 31 Prozent wollen diese Aufgaben an externe Sicherheitsspezialisten auslagern. Die Entlastung der IT-Sicherheitsexperten durch Bots und künstliche Intelligenz planen zehn Prozent der befragten Entscheider.
Bedrohungsradar einrichten
Eine Schlüsselanforderung an künftige Sicherheitssysteme ist, dass sie Cyberangriffe und andere Sicherheitsereignisse aus der Vergangenheit, der Gegenwart sowie Prognosen verknüpfen und gemeinsam auszuwerten können. "Die Erstellung von Sicherheitskonzepten in Verbindung mit der Umsetzung der enthaltenen Maßnahmen ist zu statisch, um jederzeit eine effektive Abwehr zu gewährleisten", sagt Olaf Janßen, IT-Sicherheitsexperte für die öffentliche Verwaltung von Sopra Steria Consulting. "Das neue Zielbild ist ein dynamisches Cyber-Defence-System: ein Instrument, das Transparenz über die aktuelle Bedrohungslage in Verbindung mit dem Sicherheitsstatus der Infrastruktur schafft. Im Idealfall sind Behörden und Hacker damit gleichauf", so Janßen.