Startseite > Security > Damit das digitale Bürger-Vertrauen nicht erodiert

Zero Trust

Damit das digitale Bürger-Vertrauen nicht erodiert

19. Juni 2023, 12:15 Uhr | Autorin: Silvia Knittl / Redaktion: Diana Künstler

Verschlüsselte Daten, koordinierte Angriffswellen oder der Diebstahl und die Veröffentlichung vertraulicher Dokumente: Die Cyberbedrohung für öffentliche Einrichtungen hat nicht nur viele Gesichter, sie nimmt auch stetig zu. Behörden und öffentliche Einrichtungen müssen neue Ansätze verfolgen.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Wie hat sich die Cyberbedrohungslage zuletzt entwickelt?
Wie haben sich deutsche Unternehmen darauf eingestellt?
Inwiefern kann der Zero-Trust-Ansatz hierbei Abhilfe schaffen?
Wie zeigt sich am Beispiel Estland die Anwendung des Zero-Trust-Prinzips im Behördenumfeld?
Welche Möglichkeiten haben öffentliche Institutionen generell, um ihre Angriffsfläche zu reduzieren?

Nach Daten des Security-Marktforschers Konbriefing Research¹ gab es 2023 schon über 70 Cyberangriffe auf deutsche Ziele, mehr als 30 davon auf öffentliche Einrichtungen und Behörden: Landesregierungen, Polizeidienststellen, Universitäten, Krankenhäuser. Der Trend ist nicht neu: Ein ebenso eindrucksvolles wie berüchtigtes Beispiel war bereits im Sommer 2021 die Kreisverwaltung von Anhalt-Bitterfeld: Sie rief als erste den Cyber-Katastrophenfall aus – ein Verschlüsselungstrojaner hatte sie so weit lahmgelegt, dass für mehr als eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen unmöglich wurde. Heikel: Obwohl der Angriff bereits am zweiten Juni begonnen hatte, wurde er erst am sechsten Juli entdeckt. Der Angriff hallt bis heute nach, denn unter anderem ging eine der größten deutschen Umweltdatenbanken dauerhaft verloren.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Staatliche Akteure bedingen staatliche Ziele

Seit Beginn des Ukrainekriegs hat sich die Situation weiter verschärft, die Trendkurve für Cyberangriffe zeigt steil nach oben. Insbesondere solche aus Russland und China sind sprunghaft angestiegen, wie bereits eine Studie des Branchenverbandes Bitkom²aus dem vergangenen Jahr zeigte. Gleichzeitig werden die Täter immer professioneller. Mehr als jeder zweite Angriff hat laut der gleichen Studie mittlerweile seine Wurzeln im organisierten Verbrechen, fast doppelt so viele wie noch 2021. Die Folgen – verheerend. Behörden werden attraktive Ziele, um die Verwaltungsinfrastruktur zu beeinträchtigen, vertrauliche Informationen zu stehlen oder persönliche Daten von Politiker:innen zu erlangen, um den öffentlichen Diskurs zu lenken. Geraten dann noch Krankenhäuser oder Energieinfrastruktur ins Fadenkreuz der Täterkreise, haben die Angriffe schnell auch Folgen für Leib und Leben.

Das ist insbesondere in Deutschland ein Problem. Denn hierzulande dominieren in der Verwaltung oft noch perimeterbasierte Sicherheitsstrategien. Diese legen ein besonderes Augenmerk auf die Außengrenzen des eigenen Netzwerks. Sobald Nutzer:innen, Services oder Geräte jedoch einmal den Eintritt zur Infrastruktur erlangt haben, gelten oft zeitlich unbegrenzte Berechtigungen. Böswillige Akteure können ihre Zugriffsprivilegien so oft unbemerkt und langfristig ausnutzen. Viele andere Länder haben sich dagegen oft schon auf die erhöhte Bedrohungslage eingestellt und setzen auf neue Ansätze, die auf einen solchen Vertrauensvorschuss nach der Erstprüfung verzichten. Die Devise: Zero Trust – kein Vertrauen. Das klingt hart, kann aber richtig implementiert helfen, Regularien umzusetzen, Effizienz aufzubauen und das Vertrauen in den öffentlichen Dienst zu stärken.

Never trust, always verify

Zero Trust beruht auf der Annahme, dass Angriffe „von außen“ eben nicht die einzige Gefahrenquelle darstellen. Die erhöhte Bedrohungslage in puncto Cybersicherheit macht sich längst international bemerkbar und hat im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine weiter an Fahrt aufgenommen. Blinde Flecken im eigenen Netzwerk sind mindestens genauso gefährlich – und das macht sie für böswillige Akteure besonders attraktiv. Deshalb stellt eine Sicherheitsinfrastruktur nach Zero Trust jede Interaktion und jeden Zugriff auf das Netzwerk oder die Daten eines Unternehmens auf den Prüfstand. Auch Mitarbeitende, Geräte und Dienste, die die Grenzlinie bereits überschritten haben und bereits Teil des Netzwerks sind, bleiben mögliche Angriffsvektoren. Deshalb muss jeder Prozess, jede neue Anfrage für Software oder Dienste und jede Änderung zuvor ausnahmslos authentifiziert werden. Dauerhaftes Vertrauen gibt es nicht.

Die eine Zero-Trust-Architektur gibt es nicht. Stattdessen müssen die Einrichtungen die eigenen Anforderungen mit denen der Bürger:innen als ihren wichtigsten Stakeholdern abgleichen und darauf aufsetzen. Dafür braucht es eine klare Vorgehensweise und ein umfassendes Verständnis von Prozessen, Daten und Anwendungen.

Neue Bedrohungen erfordern neue Perspektiven

Das Umdenken hat bei internationalen Behörden bereits begonnen: So hat das Weiße Haus Anfang 2022 alle amerikanischen Bundesbehörden per Direktive bis Ende 2024 zu Zero-Trust-Strategien verpflichtet³. Ein straffer Zeitplan, der nicht nur einen Ruck durch die Budgets der Behördenlandschaft geschickt hat, sondern zeigt, wie weit oben das Thema auf der Regierungsagenda wirklich steht. Zudem könnte sich die Richtlinie noch als Katalysator für zeitgemäße, internationale Cyber-Security-Standards erweisen. Hierzulande verhält es sich derweil noch umgekehrt: Relevante Regulatorik auf deutscher oder europäischer Ebene – etwa zum Schutz kritischer Infrastrukturen (KRITIS) oder auf Basis des IT-Sicherheitsgesetztes (IT-SiG) und der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) – setzt Unternehmen und Behörden zwar Zielvorgaben für die Cybersicherheit, lässt den Weg dorthin dagegen allerdings offen. Zero Trust ist in diesem Kontext sogar eine Übererfüllung – je früher unsere Behörden also konsequent darauf setzen, desto leichter können sie auch künftigen Gesetzen in dem Umfeld entsprechen.

Zero Trust als Chance für den öffentlichen Dienst

Um zu sehen, welche Vorteile der Paradigmenwechsel mit sich bringt, braucht es jedoch nicht erst den Blick über den Atlantik. Denn auch Estland zeigt, wie gut eine Anwendung des Zero-Trust-Prinzips im Behördenumfeld funktionieren kann. Das dortige digitale ID-System wurde um eine besonders hohe Transparenz bei Datenschutz und Datenverwendung sowie naturgemäß besonders strenge Sicherheitsstandards entwickelt – „Trust by Design“. So behalten estnische Bürger:innen nicht nur ihr „Data Ownership“ und können jederzeit einsehen, wer die eigenen Daten wann und wie abruft und nutzt. Auch für die Behörden wird das Handling der eID bei Security-Vorfällen deutlich einfacher. 2017 ließen sich so über 600.000 fehlerhafte digitale Ausweise aus der Ferne nachbessern – ein Patch für den Personalausweis. Derweil mussten spanische Behörden, die auf die gleiche Hardware setzten, alle Ausweise physisch ersetzen.

Vertrauenseinschränkungen auf der einen Seite können Behörden also helfen, es auf der anderen Seite doppelt zurückzugewinnen – nämlich im digitalen Vertrauen der Bürgerinnen und Bürger. In einer Umfrage von e-estonia, der staatlichen Digitalisierungsinitiative Estlands⁴, gaben 99 Prozent der Bürger:innen an, die digitalen Funktionen ihrer ID-Karten zu nutzen. 80 Prozent der Estländer:innen vertrauen den digitalen Behördensystemen grundsätzlich.

Individuell transformieren, langfristig profitieren

Strikteres Identitäts- und Zugriffsmanagement, eine Segmentierung der eigenen Kommunikationsnetze, exklusives Whitelisting bestimmter Tools – öffentliche Institutionen haben viele Möglichkeiten, ihre Angriffsfläche zu reduzieren. Die eine Zero-Trust-Architektur gibt es nicht. Stattdessen müssen die Einrichtungen die eigenen Anforderungen mit denen der Bürger:innen als ihren wichtigsten Stakeholdern abgleichen und darauf aufsetzen. Dafür braucht es eine klare Vorgehensweise und ein umfassendes Verständnis von Prozessen, Daten und Anwendungen. Zudem müssen Einrichtungen der öffentlichen Verwaltung vorhandene Infrastrukturen und Anwendungen anpassen und organisatorische Veränderungen auf den Weg bringen. Dabei helfen Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeitenden, Partnerschaften mit spezialisierten Unternehmen oder eine schrittweise Umsetzung der entsprechenden Prinzipien. Denn erst, wenn Behörden Zero Trust iterativ umsetzen und alle Mitarbeitenden bei der Transformation so mitnehmen, dass diese den Nutzen des Paradigmenwechsels sehen und internalisieren, funktioniert der Cybersicherheitswandel auch strukturell nachhaltig.

Digitalisierung vertrauensvoll gestalten

Zero-Trust-Architekturen aufzusetzen ist aufwendig, lohnt sich im Nachgang aber dreifach. Estland zeigt, wie Zero Trust das Vertrauen der Bürger:innen in die Digitalisierung und den öffentlichen Sektor stärken kann, wenn Behörden demonstrieren, dass sie Sicherheit und Datenschutz ernst nehmen. Einmal etabliert, birgt das Paradigma zudem viel Potenzial für eine effizientere IT, die handfest Steuergelder spart: Ein sicheres Netzwerk bedeutet weniger Ausfallzeiten, Support-Aufwand und Reaktionszeit im Ernstfall. Und zu guter Letzt können Behörden bestehende und neue Regulatorik effizienter und konsequenter umsetzen, durch mehr Transparenz und Flexibilität, klarere Prozesse sowie erleichterte Audits.

All das macht Zero Trust nicht nur zum notwendigen Schutzmechanismus in Zeiten steigender Cyberangriffe, sondern zur Basis für eine vertrauenswürdige und effiziente staatliche Digitalisierung. Kurz: Kein Vertrauen, das ist in diesem Umfeld die Zukunft.

Dr. Silvia Knittl, Director im Bereich Cyber Security & Privacy bei PwC Deutschland

^{1 https://konbriefing.com/de-topics/cyber-angriffe.html

2 https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022

3 https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf

4 https://e-estonia.com/solutions/e-identity/id-card/}