Von:
Silvia Knittl,
Director bei PwC Deutschland
im Bereich Cyber Security & Privacy
Am 5. Juli 2021 rief der Landkreis Anhalt-Bitterfeld den Cyber-Katastrophenfall aus: Eine Ransomware hatte weitreichend Daten verschlüsselt und ganze Ämter arbeitsunfähig gemacht. Die Regierung entschied sich gegen die Zahlung des geforderten Lösegeldes, die Daten blieben verschlüsselt. Mit kritischen Folgen: So ging bei dem Angriff etwa der Zugriff auf eine der umfangreichsten Umweltdatenbanken Deutschlands verloren.
Seitdem hat sich die Bedrohungslage nur verschärft: Nach einer Studie des Branchenverbandes Bitkom sind mit Beginn des Ukrainekriegs insbesondere Angriffe aus Russland und China sprunghaft angestiegen. Zugleich professionalisieren sich die Täterkreise – mehr als die Hälfte aller Angriffe erfolgten aus dem Umkreis des organisierten Verbrechens, 2021 waren es noch 29 Prozent. Die Folgen sind verheerend: Krankenhäuser werden lahmgelegt, behördliche Informationen gestohlen, oder persönliche Daten von Politikern veröffentlicht, um die öffentliche Meinung zu beeinflussen.
Nicht nur in Deutschland ein Problem. Doch in anderen Ländern haben sich Behörden bereits auf eine erhöhte Bedrohungslage eingestellt und setzen auf wirksame Sicherheitskonzepte. Eines davon: Zero-Trust. Konsequent angewendet, können solche Architekturen helfen, künftige Regularien effektiver umzusetzen, effizienter zu werden und das Vertrauen in den öffentlichen Dienst zu stärken.
Never trust, always verify
Zero-Trust impliziert die Annahme, dass ein Angriff von innen genauso wahrscheinlich ist wie von außen. Im Gegensatz zu traditionellen, Perimeter-basierten Überwachungsansätzen geht es bei Zero-Trust darum, jede Interaktion und jeden Zugriff auf das Netz oder die Daten eines Unternehmens zu überprüfen und zu authentifizieren. Auch Mitarbeitende, Geräte und Dienste, die die Grenzlinie bereits überschritten haben und sich innerhalb des Netzwerks befinden, bleiben mögliche Angriffsakteure – ausnahmslos. Vertrauen wird mit Zero-Trust zu einem dauerhaften und iterativen Prozess.
Neuen Bedrohungslagen zuvorkommen
Das Bewusstsein dafür, dass ein Umdenken notwendig ist, hat bei internationalen Behörden bereits begonnen. So hat das Weiße Haus Anfang 2022 eine Direktive veröffentlicht, die für alle Bundesbehörden Zero-Trust-Strategien bis Ende 2024 verpflichtend macht. Damit ging ein Ruck durch die Budgetplanung der amerikanischen Behördenlandschaft. Eine Entscheidung, die sich noch als Katalysator für neue internationale Cyber-Security-Standards erweisen könnte.
In Deutschland verhält sich der Fall noch umgekehrt: Mit neuer nationaler und europäischer Regulatorik – etwa zum Schutz kritischer Infrastrukturen (KRITIS), mit dem IT-Sicherheitsgesetz (IT SiG) und der EU-NIS2-Richtlinie – schreibt der Gesetzgeber zwar ein gewisses Sicherheitsniveau vor, lässt den Weg dorthin allerdings relativ offen. Zero-Trust kann dabei entscheidend helfen. Je früher unsere Behörden Cybersicherheitsstrategien entlang dieses Paradigmas etablieren, desto leichter können sie auch künftig neuer Regulatorik entsprechen.
Zero-Trust als Chance für den öffentlichen Dienst
Ein gutes Beispiel für die Anwendung von Zero-Trust-Infrastrukturen ist Estland. Das digitale ID-System des Staates zeichnet sich durch eine besonders hohe Transparenz in Sachen Datenschutz und Datenverwendung sowie sehr strenge Sicherheitsstandards aus. Wird das Vertrauen auf der einen Seite eingeschränkt, gewinnen es Behörden auf der anderen Seite doppelt zurück – nämlich von Seiten der Bürger:innen. Laut einer Umfrage von e-estonia, der staatlichen Digitalisierungsinitiative, nutzen 99 Prozent der Bürger:innen die digitalen Funktionen ihrer ID-Karten und acht von zehn vertrauen den digitalen Behördensystemen.
Transformationspfade richtig nutzen
Strikteres Identitäts- und Zugriffsmanagement, Netzwerksegmentierung, exklusives Tool-Whitelisting – öffentliche Institutionen haben viele Möglichkeiten, ihre Angriffsfläche zu verringern. Dafür braucht es eine klare Vorgehensweise und ein umfassendes Verständnis für Prozesse, Daten und Anwendungen. Zudem müssen die betroffenen Einrichtungen vorhandene Infrastrukturen und Anwendungen anpassen und organisatorische Veränderungen auf den Weg bringen, etwa mit Schulungen und Sensibilisierungsmaßnahmen, Partnerschaften mit spezialisierten Unternehmen oder einer schrittweisen Umsetzung der entsprechenden Prinzipien. Das ist nicht leicht, aber lohnt sich.
So kann die Implementierung von Zero-Trust das Vertrauen der Bürger:innen in die Digitalisierung und den öffentlichen Sektor stärken. Die Verantwortlichen zeigen damit, dass sie Sicherheit und Datenschutz ernst nehmen. Zudem kann Zero-Trust im Sinne von Trust-by-Design nach dem Startaufwand deutliche Effizienzgewinne für die IT-Infrastruktur mit sich bringen – etwa indem es eine solide Grundlage für ein sicheres und stabiles Netzwerk schafft und Ausfallzeiten verringert.
Schließlich hilft Zero-Trust, mit klaren Verantwortlichkeiten und transparenten Prozessen, bestehende Compliance-Anforderungen zu erfüllen, Audits zu vereinfachen und schnell auf künftige Regulatorik zu reagieren. Alles gute Argumente für ein Umdenken. Denn wenn wir auf eine Sache vertrauen sollten, dann, dass das Umfeld für Cybersicherheit zukünftig noch herausfordernder und dynamischer wird.
