IT-Sicherheit in öffentlichen Einrichtungen und Behörden

Öffentliche Verwaltungsmaßnahmen werden zunehmend auf elektronische Geräte umgelagert. Anfangs wurden entsprechende Informationen separat gespeichert und auf traditionelle Art allen Zugangsberechtigten via Dokument zugestellt. Zur Beschleunigung von Verwaltungsmaßnahmen wird eine Zentralisierung angestrebt, durch welche die Zugangsberechtigten alle benötigten Informationen sofort einholen können. Entsprechende Änderungen lassen sich ebenfalls selbstständig eintragen. Eine solche Maßnahme mag im Sinne der Bevölkerung sein, insbesondere in Bezug auf die Beschleunigung und Vereinfachung von bürokratischen Angelegenheiten. Allerdings fordert sie auch ein erhöhtes Maß an Sicherheitsmaßnahmen. IT-Systeme bieten zwar ein beschleunigtes Vorgehen, gelten jedoch als angreifbar. Da das nicht nur der Bevölkerung, sondern auch den betroffenen Einrichtungen bekannt ist, gibt es eine Vielzahl an Dokumenten und Rechtstexten, welche für eine sichere Verwahrung sowie den ordnungsgemäßen Transport der persönlichen Informationen sorgen.

Für öffentliche Einrichtungen gelten die Vorschriften, welche sich in den IT-Grundschutz-Katalogen befinden. Es handelt sich um eine umfangreiche Sammlung von Dokumenten mit mehr als 4.000 Seiten. Sie behandeln die Erkennung sowie Bekämpfung von Sicherheitsproblemen innerhalb Informationstechnik-Umgebungen. Die Kataloge gelten als Grundlage für die Zertifizierung von IT-Sicherheit in Unternehmen und daher ebenfalls für Behörden und öffentliche Einrichtungen, bei denen sie Voraussetzung ist.

Schwachstellen in Systemen werden meist über eine Analyse der Risiken ermittelt. Mehrere Gleichartige werden in Gruppen zusammengefasst, bei denen ein Gefährdungspotenzial geschätzt wird. Im Rahmen der Risikoanalyse werden sowohl mögliche Schäden als auch die daraus folgenden Kosten ermittelt. Da jedes System individuell geprüft werden muss, ist eine solche Prüfung zeitaufwendig und teuer. Um die Kosten zu vermeiden, wurde der IT-Grundschutz erstellt. Dieser geht von einer Standard-Gefährdungslage abhängig vom Einsatz des Systems aus und trifft zu 80 Prozent zu. Die in den Katalogen vorgeschlagenen Gegenmaßnahmen sorgen daher für ein in den meisten Fällen ausreichendes Sicherheitsniveau, ohne dass eine teure Risikoanalyse durchzuführen ist. Falls der Sicherheitsbedarf über den Mittelwert hinausgeht, kann der IT-Grundschutz als Grundlage für weiterführende Maßnahmen dienen.