Gastbeitrag: Wie strategische Infrastrukturen sensible Daten vor Cyberangriffen schützen können, erklärt Peter Hermann.
Foto: NetApp
Der Autor Peter Hermann ist Country Manager Austria bei NetApp
Österreich treibt die Digitalisierung der Verwaltung voran – das zahlt sich während der Corona-Pandemie aus. Aber jede Behörde kann ins Visier von Angreifern aus dem Internet geraten. Sensible Daten dürfen keinesfalls in falsche Hände gelangen. Deshalb brauchen die Betreiber eine Abwehrstrategie mit einer sicheren Infrastruktur.
Die Digitalisierung der Verwaltung besitzt auch in Österreich einen hohen Stellenwert. 2005 richtete das Land die „Plattform Digitales Österreich“ ein, die E-Government-Projekte bündelt und koordiniert. 2021 und 2022 investiert die Bundesregierung insgesamt 160 Millionen Euro in einen Digitalisierungsfonds, um solche Vorhaben auszubauen.
Diese Bemühungen zahlen sich aus: Im EU-Vergleich liegt das Land bei der digitalen Verwaltung weit vorn – und erreicht Platz 8 von 28. Das ergibt sich aus dem Digital Economy and Society Index der EU, der den Digitalisierungsgrad der Mitgliedstaaten bei verschiedenen Aspekten vergleicht.
Die Bürger nehmen das Angebot an: 72 Prozent der Onlinenutzer in Österreich griffen 2020 auf digitale Verwaltungsangebote zu, so die Studie eGovernment MONITOR 2020. Die Pandemie hat die Motivation verstärkt: 81 Prozent der Befragten können sich vorstellen, zukünftig häufiger Behördengänge online durchzuführen.
Kein Wunder: Die digitale Verwaltung befreit die Bürger von der Pflicht, vor Ort erscheinen zu müssen, etwa um Anträge auszufüllen – in einer Pandemie ist das essenziell.
Das gilt ebenso für viele Services kritischer beziehungsweise strategischer Infrastrukturen. Dazu werden Energie- und Wasserversorger sowie Transport- und Verkehrsunternehmen gezählt – aber auch das Gesundheitswesen. Digitale Sprechstunden, Patienten-Apps oder virtuelle Monitoringprogramme für chronische Krankheiten gehören für viele Ärzte und Patienten inzwischen zum Alltag. Mit ELGA gibt es in Österreich seit 2016 eine elektronische Krankenakte.
Diese Digitalisierung birgt allerdings auch Risiken. Nicht nur Unternehmen, sondern auch Behörden stehen unter ständigem Beschuss von Cyber-Angriffen. 322.000 neue Schadprogramme werden jeden Tag entdeckt, so das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Angreifer versuchen mit immer ausgefeilteren Methoden, ihren Opfern zu schaden. Sie verschlüsseln Daten via Ransomware, um Geld zu erpressen, greifen via Phishing Daten ab oder verschaffen sich die Kontrolle über IT-Systeme.
Besonders gefährlich ist das für strategische Infrastrukturen. Werden sie attackiert, ist die öffentliche Ordnung in Gefahr und Menschenleben können bedroht sein. Außerdem können hochsensible Daten in falsche Hände geraten.
Attacken auf solche Organisationen nahmen während der Corona-Pandemie zu – auch im Gesundheitswesen. In Deutschland beispielsweise versuchten Hacker letztes Jahr 43-mal, sich Zugriff auf Systeme in Krankenhäusern und anderen Einrichtungen zu verschaffen. 2019 waren es noch 16 Angriffe.
In einem Fall hatte das drastische Auswirkungen. Das Universitätsklinikum Düsseldorf war im Herbst 2020 wochenlang teilweise lahmgelegt, nachdem Hacker 30 Server mit Ransomware verschlüsselt hatten. Sie hatten dafür eine Sicherheitslücke in VPN-Lösungen von Citrix ausgenutzt. Einige Patienten mussten abgewiesen und an andere Krankenhäuser verwiesen werden – eine Frau starb.
Solche Cyberangriffe halten Betreiber von strategischen Infrastrukturen deshalb für ihr größtes Sicherheitsrisiko, wie eine Umfrage von Microsoft ergab.
Organisationen müssen darum jede Ebene ihrer IT-Systeme angemessen absichern – und zwar gegen immer komplexere Angriffe von Phishing bis Ransomware. Zugleich müssen unbedingt alle Daten am Arbeitsplatz, in Rechenzentren und Netzwerken sowie bei Cloud-Diensten geschützt werden. Das ist umso wichtiger, wenn es sich wie im Gesundheitswesen um hochsensible Informationen handelt.
Zur Abwehr der Attacken benötigen Behörden eine agile Sicherheitsarchitektur, die sich ständig neuen Bedrohungen anpasst und vor Angriffen schützt. Wichtig sind außerdem strategische Maßnahmen, so wie ein Backup- und Recovery-Konzept, regelmäßige Schulungen und eine Datenmanagement-Richtlinie, die einen sicheren und konsistenten Datenumgang sowie Compliance-Maßnahmen durchsetzt.
Eine zentrale Rolle nimmt das Datenmanagement ein. Alle sensiblen Daten müssen lokal, in der Cloud und während der Übertragung verschlüsselt werden – mit einem sicheren AES-256-Algorithmus. In Kombination mit Authentifizierung, starker Zugriffssteuerung und kryptosignierter Protokollierung sorgt das für sehr hohe Sicherheit während gleichzeitig Datenschutzgesetze eingehalten werden.
Das Speicherbetriebssystem der digitalen Verwaltung sollte zudem über eine Compliance-Anwendung verfügen, die Daten revisionssicher und gerichtsfest ablegt. Die Datenmanagement-Software sollte zudem eine Data-at-Rest-Verschlüsselung mitbringen: Damit sind alle gespeicherten Informationen geschützt.
Öffentliche Einrichtungen können dafür verschiedene Technologien nutzen, die jeweils einzelne Aspekte abdecken. Einfacher und umfassender ist eine Datenmanagement-Lösung wie NetApp ONTAP: Die Software hat 30 wichtige Sicherheitsfeatures integriert und schützt so vor aktuellen und zukünftigen Gefahren.
Damit kann die Digitalisierung in Behörden mit kritischen Infrastrukturen weiter voranschreiten, ohne dass die Sicherheit in Gefahr ist. Daten können fließen und sind schnell zugänglich – aber sie bleiben integer und vertraulich.
