Inhalt
Das Onlinezugangsgesetz (OZG) und IT-Sicherheit
Mit dem Onlinezugangsgesetz hat die Bundesregierung die Grundlage für eine moderne Verwaltung gelegt. Das E-Government-Angebot entspricht den Ansprüchen, die das bürgerliche Publikum mittlerweile an eine Behörde hat. In Zukunft sollen deutlich mehr Leistungen online angeboten werden.
Im internationalen Vergleich hat Deutschland bisher in drei Bereichen Defizite gegenüber anderen Ländern: Die Nutzerorientierung lässt zu wünschen übrig, und die Erreichbarkeit der Angebote ist verbesserungswürdig. Zusätzlich ist die Vernetzung auf verschiedenen Verwaltungsebenen noch in den Anfängen. Das „Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen“, auch Onlinezugangsgesetz (OLG) bietet eine substanzielle Neuorientierung, damit Bürger und die Unternehmen ihre Verwaltungsangelegenheiten mit Hilfe des Internet abarbeiten können.
Die Ziele des OZG
Verwaltungsportale von Bund, Ländern und Kommunen werden nach den Anforderungen des Onlinezugangsgesetzes weiter ausgebaut und zu einem Portalverbund zusammengeführt. Von einem jeden Portal aus sollen die Bürger und die betroffenen Unternehmen auf jede bundesweit und online verfügbare Leistung einer Verwaltung zugreifen können.
Voraussetzung für diese Möglichkeit ist, dass bis 2022 alle Verwaltungen ihre Leistungen online anbieten und zusätzlich im Portalverbund zur Verfügung stellen. Jeder Bürger und jedes Unternehmen wird dann über ein zentrales Nutzerkonto auf die Leistungen des Verbundes zugreifen können.
Der Bund gewinnt für die Gestaltung dieser drei Primärziele erheblich an Regelungskompetenz. Bisher sind die IT Strukturen der Verwaltungsangebote umstrukturiert und heterogen, sowohl auf Bundes-, Länder- und auf kommunaler Ebene. In Zukunft werden sie nach und nach harmonisiert und interoperabel gestaltet.
Der Bund kann Vorgaben für IT-Anwendungen und -Dienste per Rechtsverordnung erlassen. Dies gilt auch für das Umsetzen technischer Standards und Vorgaben für die IT Sicherheit. Abweichende Regelungen durch die Länder sind möglich, soweit sie im gemeinsamen Verbund geeignete IT-Komponenten vorhalten.
Für die IT Sicherheit wird das Bundesministerium des Innern (BMI) die notwendigen Sicherheits- und Kommunikationsstandards im Portalverbund definieren. Die Anbindung einzelner Verwaltungen und Verwaltungsverfahren an den Verbund werden von den zuständigen Ministerien festgelegt, wie es das Onlinezugangsgesetz fordert.
Handlungsbedarf der Verwaltungen
Das neue OZG bietet Behörden und Verwaltungen Gelegenheiten zum eigenen Vorteil, wenn sie die Vorgaben strukturiert und zielorientiert umsetzen. Die Verwaltungen sollen sich im Sinne der IT Sicherheit intern und mit Experten in Bund und Ländern koordinieren, um die Entwicklungen der Digitalisierung jederzeit im Blick zu haben.
Die Anforderungen des OZG sollten immer wieder auf die eigene Umsetzung bezogen sein. Bei allen Projekten des E-Government sind die Ziele des OZG zu beachten.
Standards und Architekturmanagement
Die vorhandenen technischen Komponenten werden regelmäßig im Sinne der Kompatibilität überprüft, um im Verbund sinnvoll eingesetzt werden zu können. Die Verwaltungen legen hier den Grundstein für die eigene E-Government-Struktur nach den Vorgaben des OZG. Zunächst liefert eine grundsätzliche Analyse Hinweise, ob vorhandene Fachverfahren bereits mit bundeseinheitlichen Standards vereinbar sind.
Anschließend werden die eigenen Portale überprüft einschließlich aller angebotenen E-Government-Angebote. Besonders zu beachten sind Fragen der Nutzerfreundlichkeit der Online-Dienste. Die eingesetzten Schnittstellen werden daraufhin analysiert, ob sie anschlussfähig sind für die Integration in den Online-Verbund der Behörden.
Verwaltungsverfahren als Online-Service
Auf der Basis der gewonnenen Erkenntnisse können zusätzliche Leistungen festgelegt werden, die online gehen sollten. Allerdings muss die Behörde den Status der Dienste, Fachverfahren und Dokumente immer in Bezug auf die Digitalisierung betrachten. In einem weiteren Schritt kann das Transformieren von Leistungen in ein digitales Angebot vorgenommen werden.
Soweit die Perspektiven für 2022. Aktuell rumort es bereits in vielen Verwaltungen, denn das OZG wird zum zentralen Thema. Veränderungen und Mehrbelastungen sind die ungern gesehenen Folgen für die Mitarbeiter. Im vergangenen Jahr wurden bereits Prototypen der Öffentlichkeit vorgestellt, die Verwaltungshandeln im Zeitalter der Digitalisierung deutlich machten. Der Bürger kann sich auf eine digitalisierte Verwaltung einstellen, die das Onlinezugangsgesetz dann zuverlässig umsetzt. Die neu entwickelten Anträge sind verständlicher und einfacher auszufüllen, die Bearbeitung kann zügiger vollzogen werden.
IT Sicherheit und Verwaltungen
Besonders das Thema IT-Sicherheit in Verbindung mit dem Onlinezugangsgesetz verunsichert zunehmend die Mitarbeiter in den Verwaltungen. Denn die Verantwortlichkeit für sensible Daten, die bei Verwaltungshandlungen im Internet stehen, bereitet den Behörden Unbehagen. Die bayrische Landesregierung ist deshalb bereits 2019 aktiv geworden.
Das Kabinett befasste sich mit dem Thema „Digitale Verwaltung und Cybersicherheit“ und kam zu dem Ergebnis, eine Initiative mit dem Namen „Online – aber sicher“ ins Leben zu rufen. Das umfangreiche Maßnahmenpaket soll Kommunen, Bürgern und Unternehmen Hinweise geben, ihre Daten besser zu schützen. In einem konkreten Ernstfall soll unbürokratisch von Experten geholfen werden. Mit einem neuen Passwortcheck wird die Sicherheit von gewählten Passwörtern einfach und schnell überprüft. Die Sensibilität der Bürger für Fragen der Sicherheit im Internet soll in sozialen Medien thematisiert werden. Die Regierung plant beispielsweise Online-Vorträge und Videos.
Aber nicht nur die Bürger als Teilnehmer an der digitalen Kommunikation stehen im Fokus der Maßnahmen. Auch die Kommunen werden für die Cybersicherheit sensibilisiert. Deshalb forciert die Regierung die regionalen IT Sicherheitskonferenzen für Verwaltungsbedienstete weiter. Eine zentrale Informations- und Koordinationsplattform gibt bayrischen Behörden, die mit Sicherheitsaufgaben betraut sind, Gelegenheit, ihre Zusammenarbeit weiter zu intensivieren. Der unkomplizierte Informationsaustausch wird hiermit weiter verbessert. Auch dies eine Forderung, die im Onlinezugangsgesetz für die Kommunikation zwischen Bürgern und Verwaltung gefordert wird.
Erfahrungen der Wirtschaft
Probleme mit der IT Sicherheit sind in Unternehmen bereits seit geraumer Zeit geläufig. Gehackte Internetseiten, Lösegeldforderungen, die ganze Palette des Cybercrime wurde in der privaten Wirtschaft in den letzten Jahren immer wieder bekannt. Wenn nun auch Behörden zunehmend ihr Online-Angebot ausbauen, ist mit ähnlichen Phänomenen zu rechnen. Sogar Krankenhäuser blieben von kriminellen Attacken nicht verschont.
Schwachstellen sind besonders innerhalb der Verwaltungen zu suchen. Die mit Schadcode oder einem Link verseuchte E-Mail macht auch vor Behörden keinen Halt. Und mit zunehmender Entwicklung vernetzter Systeme im Portalverbund steigt naturgemäß das Risiko für Angriffe aus dem Internet.
Sorge bereiten muss aber das Vorgehen, auf bereits vorhanden Strukturen aufzusetzen und diese weiter in die digitale Kommunikation einzubinden. Denn hier lauern Gefahren von erheblicher Tragweite. Ältere Betriebssysteme und Programmkomponenten sind nach heutigen Kriterien modernen Strukturen in Sicherheitsfragen oft hoffnungslos unterlegen. Obwohl sie als kompatibel angesehen werden und rein technisch in die fortgeschrittenen Strukturen integriert werden können, ist ihre Sicherheitsarchitektur schlicht von gestern. Hier lauern interne Gefahren, die noch nicht ausreichend thematisiert wurden. Zusätzlich macht es Sinn, sich über die Datensicherheit innerhalb der Verwaltung auch mit Bezug auf den einzelnen Mitarbeiter Gedanken zu machen.
Datenmanagement als zentrale Komponente der Cybersicherheit
Innerhalb der Verwaltung beginnt die Cybersicherheit mit der Bewertung der vorhandenen Daten und der Zuordnung zum jeweiligen Mitarbeiter. Mehrere Aspekte sind zu berücksichtigen, um die Daten ausreichend vor unberechtigten Zugriffen zu schützen.
Zunächst muss klar sein, welche Informationen als schützenswert eingestuft werden sollen. In der Wirtschaft sind im allgemeinen die Unternehmen häufig nicht im Besitz einer ausgearbeiteten Informationsstrategie. Damit entfällt aber die wesentliche Voraussetzung, um sensible Daten besser zu schützen und Missbrauch gar nicht erst entstehen zu lassen.
Das Benutzerrollenkonzept
Unbedingt ist im Vorfeld festzulegen, welcher Nutzer welche Datenklasse bearbeiten darf. Ist diese Zuordnung zwischen Datenklasse und Anwender nicht vorhanden, entstehen Sicherheitslücken bereits beim Zugriff auf Informationen, bei der Weitergabe und bei der Speicherung.
Sicherheitspatches regelmäßig aktualisieren
Der Administrator ist auch in Verwaltungen gehalten, die aktuellen Sicherheitspatches abzurufen. Dies gilt für alle Geräte, die in einer Behörde betrieben werden. Wird auch nur eine Komponente übersehen, entstehen Lücken in der IT-Sicherheit. Mobile Endgeräte sind auch in Sicherheitsfragen nicht ausgenommen.
Sämtliche Logfiles auf Angriffe auswerten
Um einen Übergriff zu verhindern, muss unmittelbar eingegriffen werden. Dies gelingt in den meisten Fällen nur, wenn in Echtzeit ein Server-Monitoring angewendet wird.
Die Enterprise-Mobility-Management-Lösung
Die größten Schwachstellen sind bei der heutigen Computernutzung die mobilen Endgeräte. Die Sicherheitsupdates sind bei den meisten Herstellern bereits nach zwei Jahren ausgesetzt. Bei der Übertragung von Daten, aber auch bei der Speicherung entstehen Risiken, besonders bei automatischer Datensynchronisation oder vorinstallierten Cloudlösungen.
Datenverschlüsselung bei der Übermittlung
Für den Datenaustausch im Datenverbund oder mit mobilen Endgeräten sollten die Daten durchgängig verschlüsselt werden, also während der Übertragung (die Channel Encryption), auf dem Server sowieso – selbstredend auch in der Cloud (Server-Side Encryption) -, und auf dem Endgerät des Mitarbeiters (Local Encryption).
Unsicherer Datenaustausch per E-Mail und FTP
Für den Datentransfer sollte eine sichere Collaboration-Plattform zur Verfügung stehen, auch für die Angestellten der Verwaltungen. Analog zu einer Business Cloud kann hier die interne Cloud der Verwaltung eingerichtet werden. Voraussetzung ist allerdings, dass die oben genannten Standards der Verschlüsselung Anwendung finden. Solche Einrichtungen sind wesentlich sicherer als E-Mail nebst Anlage, File-Server oder die privat oft genutzten kostenfreien Cloudspeicher. Eine sichere Lösung für den Datenaustausch bietet beispielsweise QIATA.
Den Angestellten mit dem Problem Cybersicherheit konfrontieren
Bei jeder Gelegenheit sollten die Angestellten für das Thema Sicherheit sensibilisiert werden. Denn den meisten ist nicht bewusst, welche Risiken im Internet lauern und dass auch sie selber Teil des Problems sein können: Durch bloße Unachtsamkeit oder Nachlässigkeit im Umgang mit Sicherheitsanforderungen. Regelmäßige Security Awareness Schulungen sind dabei unerlässlich. Die Aufmerksamkeit der Verwaltung muss stets präsent sein, wenn das Onlinezugangsgesetz nicht zu erheblichen Sicherheitsproblemen führen soll. Der ständige Austausch mit Behörden im Verbund komplettiert die Liste der Vorsichtsmaßnahmen. Hier finden Sie einfache Tipps und Tricks von unseren IT-Security Spezialisten.
Webinar zum Thema OZG und IT-Sicherheit
Weiterführende Links
Sicherheitstipps für Ihre Mitarbeiter
https://www.bristol.de/sicherheitstipps-sicherheitsbewusstsein/
Phishingmails erkennen und richtig handeln