Schutzschilde hoch: Cybersicherheitsstrategien für Kommunen
Im Kurzinterview mit der Komm.ONE spricht die Cybersicherheitspolitik-Analystin Julia Schütze über kommunale IT-Sicherheitsstrategien. Sie ist als Wissenschaftlerin mit dem Schwerpunkt Cybersicherheit für Kommunalverwaltungen international tätig.
1) IT-Sicherheitsstandards: Einmal etabliert, für immer geschützt?
Selbstverständlich ist es wichtig, dass zuerst ein IT-Sicherheitsstandard etabliert wird. Hier ist der vom Bundesamt für Informationssicherheit (BSI) entwickelte BSI-Grundschutz zu nennen oder der internationale Standard ISO 27001. Auf einem eingeführten Sicherheitsstandard darf man sich jedoch nicht ausruhen. Es gilt, immer wieder zu prüfen, wie die Richtlinien im Arbeitsalltag umgesetzt werden. Auch müssen sie stets den aktuellen Gegebenheiten angepasst werden. Informationssicherheit sollte als Prozess verstanden werden.
2) Wie lässt sich feststellen, ob die IT-Sicherheitsstandards den Anforderungen entsprechen?
Es gibt für die Überprüfung von technischen Maßnahmen sogenannte Penetrationstests und – analysen. Ob Passwortrichtlinien allen derzeitigen Erfordernissen entsprechen, kann man selbst überprüfen, indem man sich über aktuelle Angriffstaktiken und -tools informiert. Hier wird noch einmal der Prozess-Charakter deutlich. Informationssicherheitsstandards müssen fortlaufend geprüft und die Verbesserungen in den Arbeitsalltag integriert werden.
3) Warum müssen alle Mitarbeiterinnen und Mitarbeiter eingebunden werden?
Die Einbindung aller ist ein entscheidender Faktor für den Erfolg. Häufig wird Cybersicherheit als reines IT-Thema angesehen. Dabei handelt es sich jedoch um ein Missverständnis. Das Ziel muss vielmehr die Etablierung einer Cybersicherheitskultur sein, die alle Bereiche und Ebenen einbezieht, also beispielsweise Personal und Finanzen sowie Führungskräfte. Vor allem, wenn Dinge mal schiefgehen, kann es nicht nur alleine die IT regeln. Jeder und jedem wird eine Rolle zugewiesen.
4) Sollte Cybersicherheit trainiert werden?
Ja, vergleichbar ist dies mit einem Fitnesstraining – je häufiger Sport getrieben wird, desto besser arbeiten Muskeln. Um auf den Worst Case, wie eine Ransomware-Attacke, vorbereitet zu sein, sollten solche Szenarien durchgespielt werden. Wichtig ist, dass die Notfalltrainings auf die jeweiligen Gegebenheiten abgestimmt werden und realistisch sind. Tritt der Ernstfall ein, kennt jeder seine Aufgabe und die Abläufe – einen kühlen Kopf zu bewahren, fällt leichter.
5) Welcher sicherheitsrelevante Aspekt wird häufig unterschätzt?
Cybersicherheit muss aus verschiedenen Blickwinkeln betrachtet werden, um erfolgreich zu sein. Nur die technischen Aspekte zu beleuchten, greift zu kurz. Die Leitung muss Informationssicherheit als organisationssweites Risiko-Management verstehen – nicht als reines IT-Problem. Dabei kommt es auf organisatorische, finanzielle, technische und personelle Faktoren an, die Risiken vermindern können. All diese zusammenzuführen, ist die Aufgabe der Leitungsebene.