Auf die richtige (Weiter-)Bildung kommt es an
⟩⟩⟩ von Matthias Lorenz, Behörden Spiegel
Jedes IT-Sicherheitskonzept ist nur so gut wie sein schwächstes Glied, und das schwächste Glied sind in diesem Kontext oftmals wir, der Mensch. Deswegen kamen die Referentinnen und Referenten auf der PITS immer wieder auf den menschlichen Faktor zu sprechen. Zwei wesentliche Punkte lassen sich an dieser Stelle unterscheiden. Zunächst muss der Mensch selbst als Sicherheitsrisiko betrachtet werden. Nicht minder zwingend ist jedoch die Gefahr der Handlungsunfähigkeit aufgrund des Mangels an qualifiziertem Personal.
Betrachtet man den ersten Punkt, wird schnell deutlich, dass Mitarbeitende der Öffentlichen Verwaltung im IT-Umgang geschult werden müssen, damit sie für die IT-Sicherheitsinfrastruktur ein möglichst geringes Risiko darstellen. Das Stichwort lautet “Awareness”. Eine Zahl, die in diesem Zusammenhang erschreckt: “60 Prozent der erfolgreichen Angriffe basieren auf bereits bekannten Sicherheitslücken, wo die erforderlichen Updates noch nicht installiert worden sind”, sagt Dr. André Schulz, Senior Strategic Account Executive bei VMware.
Dr. Heidrun Benda, Referatsleiterin Beratung Kritische Infrastrukturen im bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI), nennt im Zusammenhang mit Awareness das Beispiel Phishing-Mails. Ihrer Meinung nach reichten allein Schulungen nicht aus, die Mitarbeitenden müssten im Nachgang auch getestet werden. Dies gehe zum Beispiel mithilfe von seitens einer Teststelle verschickten Test-Phishing-Mails. “Wichtig ist, das Bewusstsein der Mitarbeiter dahingehend zu wecken, dass sie verdächtige Dinge im Zweifelsfall melden.”
Auch an anderer Stelle braucht es Awareness-Programme für die Angestellten. Gerade die Corona-Pandemie stellte nicht nur das Arbeiten auf den Kopf, sie sorgte durch die massenhafte, plötzliche Umstellung auf Homeoffice auch für neue Schwierigkeiten in der IT-Sicherheit. “Beispielsweise wurden von jetzt auf gleich Videokonferenzen von zu Hause aus durchgeführt, teilweise sogar mit Fremdgeräten”, erklärt Tom Pasternak, Abteilungsleiter Netze des Bundes – Strategie und Konzeption bei der Bundesanstalt für den Digitalfunk für Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS). Es sei eine große Herausforderung gewesen, in dieser Situation eine angemessene IT-Sicherheit zu gewährleisten.
Dies liegt daran, dass sich einige Mitarbeiterinnen und Mitarbeiter nicht bewusst sind, dass ihr Verhalten ein Sicherheitsrisiko für die IT-Infrastruktur darstellt. Manchmal werden die Sicherheitsrisiken schon durch die Homeoffice-Umgebung ausgelöst. “Bei mir entstehen ganz große Sorgen, wenn ich zum Beispiel mitkriege, dass Menschen im Homeoffice ihre Zimmertüren offenlassen und im Grunde jeder andere da hineingehen kann”, sagt Martin Wilske, Director R&D Network Encryption bei Rohde & Schwarz Cybersecurity. Diese Personen müssten dafür sensibilisiert werden, wie sie ihr Arbeitsmaterial auch zu Hause adäquat abstellen und sichern könnten.
Auch gibt es im Verhältnis Mensch und IT-Sicherheit Besonderheiten bestimmter Berufsgruppen, die beachtet werden müssen. Als Beispiel kann das Gesundheitswesen, und im Speziellen die Arztpraxen, dienen. Auch hier findet gerade ein Digitalisierungsschub statt. Also steigen auch die Anforderungen an die IT-Sicherheit in den Praxen. Allerdings gilt für diese auch: “Hier haben wir eine große Altersvielfalt”, beschreibt Dr. Andreas Bobrowski, Vorsitzender des Berufsverbands Deutscher Laborärzte, die demografische Struktur. Es gebe viele junge Ärztinnen und Ärzte, die sich den Anforderungen stellen würden. Ebenso gebe es jedoch ältere Kollegen, “die noch ein Loblied auf ihr Faxgerät singen“. Außerdem würden für bestimmte technische Neuerungen noch Anwendungsmöglichkeiten fehlen, weswegen Ärzte bei der Implementierung noch zögerten.
Der Faktor Mensch kann also eine große Gefahr für die Sicherheit der IT-Infrastruktur darstellen. Um genau jene zuverlässig zu gewährleisten, wird jedoch auch fähiges Personal benötigt. Deswegen nennt Dr. Jan Remy, Chief Information Security Officer (CISO) Bayerns, auch das Personal als einen der Erfolgsfaktoren für ein gutes IT-Sicherheitsniveau. Mehrere Referenten betonten auf der PITS jedoch: Es herrsche Personalmangel. Allen voran der Öffentliche Dienst hätte Probleme damit, qualifizierte IT-Sicherheitskräfte zu finden. Wenn es aber niemanden gibt, der Programme installiert und betreibt, nützt auch die beste Sicherheitstechnik nichts.
Auch müssen qualifizierte Kräfte gehalten werden. Die Problematik hierbei beschreibt Markus Grüneberg, IT Security & Data Privacy Advisor bei Proofpoint, wie folgt: Arbeiten in der IT-Sicherheit klängen meist zwar spannend, eigentlich sei es aber schnell ein langweiliger Job, weil man alles schon einmal gesehen habe. Eine hohe Personalfluktuation sei an der Tagesordnung. “Deswegen hat man viel damit zu tun, die Leute zu halten. Je besser die Kräfte sind, desto schneller wollen sie weg.” Dies bestätigt auch Oberstleutnant Rolf Lion aus dem “Zentrum für Cybersicherheit” der Bundeswehr, der dort das CERTBw leitet. Die Menschen wollten irgendwann raus aus der “Schlammzone”, wie Lion sie nennt. Um Leute zu halten, müssten sie Aufstiegsmöglichkeiten geboten bekommen. Zur Lösung der Personalprobleme kann das Auslagern von bestimmten Aufgaben an externe Dienstleister in Betracht gezogen werden. LSI-Referatsleiterin Dr. Benda weist jedoch darauf hin, dass auch bei externen Dienstleistern eine Personallücke existiere. Bei Sicherheitslücken sei man jedoch darauf angewiesen, dass der externe Dienstleister schnell reagieren könne.
Kein Weg wird jedoch daran vorbeiführen, neue Angestellte im IT-Sicherheitsbereich zu gewinnen. Nachwuchs muss “herangezüchtet” werden. Was Laborärzte-Verbandschef Dr. Bobrowski in Bezug auf das Gesundheitswesen sagt, trifft deswegen im Grunde auf beide beschriebenen Phänomene im Verhältnis Mensch und IT-Sicherheit zu: “Schulung ist das A und O.” Mitarbeitende müssen geschult werden, damit sie kein Sicherheitsrisiko darstellen. Gleichzeitig muss durch adäquate (Weiter-)Bildung dafür gesorgt werden, dass genügend qualifiziertes IT-Sicherheitspersonal vorhanden ist. Dr. Benda fordert eine IT-Bildungsoffensive, die schon in den Schulen starten solle.