E-Government und Datenschutz: Ein Fall für die „Security by Design”

Die Digitalisierung wird im Unternehmen und im privaten Alltag zusehends selbstverständlicher. Im Firmenumfeld kristallisiert sich mittlerweile ein Zusammenhang zwischen digitalem Reifegrad und Geschäftserfolg heraus. Die digitale Transformation stellt allerdings nicht nur für Unternehmen einen Mehrwert dar. 

Diese Tatsache ist den Behörden keineswegs entgangen: das E-Government Gesetz wurde bereits 2013 mit dem Ziel verabschiedet, auch hierzulande die Chancen der Digitalisierung optimal zu nutzen.

Damit das E-Government zu einem Standortfaktor mit einem wachsenden Einfluss auf die Investitionsentscheide und die Wettbewerbsfähigkeit der Unternehmen wird, ist jedoch der Ausbau elektronischer Behördenleistungen notwendig, der in den verschiedenen Bundesländern bis dato sehr unterschiedlich voranschreitet. Dabei sollte die Bereitstellung elektronischer Behördendienste eine sorgfältige Analyse der notwendigen Maßnahmen zur Minderung der IT-Risiken durch Cyberbedrohungen voraussetzen. „Nach dem Prinzip der ‚Security by Design‘ ist es sinnvoll, diese Schritte von vornherein in einem umfassenden Sicherheitskonzept zu berücksichtigen“, bestätigt Uwe Gries, Country Manager DACH bei Stormshield. Der Grund ist einfach: Ohne das Vertrauen des Endanwenders (sei es ein privater Nutzer oder ein Unternehmen) in den elektronischen Datenaustausch mit den Behörden und Ämtern sind E-Government-Vorhaben zum Scheitern verurteilt. Viele Länder und Behörden stellen heute eigens entwickelte Plattformen zur Verfügung, bei denen tatsächlich kein Security-by-Design-Ansatz mehr zu verfolgen ist. Allerdings gilt bei der Absicherung der Werkzeuge für den Datenaustausch zwischen allen Beteiligten das Prinzip „besser spät als nie“. Bei der Implementierung neuer digitaler Behördenleistungen hingegen könnte man noch von der einmaligen Chance profitieren, den Fehler zu vermeiden, Sicherheitsaspekte mit gravierendem Verzug zu berücksichtigen und geeignete Schutzmaßnahmen bereits in der Projektphase einzuplanen.

Zu berücksichtigende Punkte eines Security-by-Design-Ansatzes im E-Government

• Geht es um kritische Infrastrukturen und sensible Daten, ist es unerlässlich, Lösungen einzusetzen, die den höchsten Grad der Zuverlässigkeit gewährleisten. Der Schutz vertraulicher Daten sollte auf mehreren Ebenen geboten werden, denn Schwachstellen im öffentlichen Verwaltungsnetz sind nicht zu akzeptieren. Zunächst muss zwischen dem internen Netzwerk und den nach außen publizierten Diensten differenziert werden. Eine klare Unterteilung der zwei Bereiche via Virtual Local Area Network (VLAN) wäre genauso empfehlenswert wie den Verbindungsknoten dieser zwei Systemkomponenten adäquat zu beschützen und den darüber fließenden Datenverkehr akribisch zu überprüfen. Die Unterbindung von SQL-Injections oder ähnlichen Cyberattacken sollte in Echtzeit gewährleistet sein. Man müsste die Plattform für die Übermittlung jeglicher Daten zudem mit modernen Authentifizierungsverfahren ausstatten. Eine gegen das Ausspähen schützende Punkt-zu-Punkt-Verschlüsselung der übermittelten Informationen sollte ebenfalls eingesetzt werden, denn der Verlust von Informationen oder vertraulichen Daten hat im Bereich der öffentlichen Hand nicht nur rechtliche Folgen sondern auch enorme Auswirkungen auf das Vertrauen der Anwender.
   
• Für Behörden ist die Wahl einer Sicherheitslösung nicht nur komplex, sondern auch eine Frage der Verantwortung, denn eine funktionierende, gut abgesicherte Staatsverwaltung ist Garant für die Souveränität eines Landes. Gerade deshalb sollten die eingesetzten Lösungen zum Schutz der bereitgestellten Dienste, der darüber ausgetauschten Daten, der Server und der einzelnen Workstations über die höchste, von unabhängigen international anerkannten Institutionen zertifizierte Sicherheitsstufe und eine No-Backdoor-Garantie verfügen. Diese Zertifizierungen gelten als Nachweis für sauber konzipierte, geprüfte und realisierte Cybersecurity-Lösungen unter Beachtung der Ansprüche für den Einsatz der IT-Sicherheitsmaßnahmen durch staatliche Verwaltungen. Zusätzlich zu einer sehr hohen Modularität und Performance sind das die Anforderungen, die uns Regierungen auf der ganzen Welt stellen.
   
• Der Erwerb geeigneter Sicherheitslösungen erfordert Investitionen, die über mehrere Jahre hinweg abgeschrieben werden. Cybersecurity-Maßnahmen sollten (nicht nur) daher anhand eines Future-Ready-Ansatzes getroffen werden. Zudem zeigt unsere Erfahrung, dass eine Sicherheitslösung allein den oben genannten Aufgaben (Endpoint-Sicherung, Verschlüsselung, Firewalling und Intrusion Prevention) nicht bewältigen kann. Vielfalt ist deshalb ebenfalls im E-Government-Umfeld die Devise: Die abzusichernden Bereiche sind sehr unterschiedlich und bedürfen der Einplanung von Sicherheitsmaßnahmen, die miteinander interagieren und flexibel genug sind, dem Gesamtkonstrukt trotz möglicher Überlappungen der einzelnen Sicherheitsebenen keine Komplexität hinzuzufügen.