Thought Leadership
In der aktuell vorgestellten Bedarfsanalyse „Wie sich die Informationssicherheit von deutschen Städten verbessern lässt“ wurden 34 verschiedene Städteverwaltungen befragt, welche Bedarfe sie bei Informationssicherheit haben. Die Untersuchung ist vor allem durch die Ergebnisse in den zwei Fokusgruppen, die sich mit Informationssicherheit beschäftigen, interessant.
Zu den dort aufgeführten 11 und 10 wichtigsten Punkten schaffte es „Awareness bei Mitarbeiter:innen schaffen“ einmal auf Platz 3 und einmal sogar auf Platz 1. Lediglich der Punkt Implementierung Business Continuity Management/ISMS: Steuerung/Aufgabenverteilung interner und externer Stakeholder (Dienstleister, Bund, Landesbehörden, Fachabteilungen etc.) wurde von den beiden Gruppen als gewichtiger eingestuft.
Daraus lassen sich eine Reihe von Erkenntnissen ableiten. Erstens, auch in Behörden gibt es nach wie vor einen Nachholbedarf aus den IT-Abteilungen und den Informationssicherheits-Behörden heraus, mehr für die Awareness der Kolleginnen in den Verwaltungen tun zu müssen. Zweitens, die Einführung eines BCMs und die Umsetzung eines ISMS bleiben – sicherlich aufgrund der Herausforderungen rund um Ransomware und andere Schadsoftware – eine wichtige Aufgabe. Letzteres wird mit der im nächsten Jahr anstehenden Verschärfung durch NIS2-Richtlinie sicherlich noch an Dynamik gewinnen.
Welche Auswirkungen Cyberattacken auf städtische Verwaltungen haben können, wurde vor allem in den USA angesichts der massiven Störungen durch Ransomware-Gruppen bereits untersucht. Die Studie „„The Economic Impact of Cyber Attacks on Municipalities“ von der KnowBe4 zeigt auf, welche Schäden solche Attacken auslösen können. Allein im Jahr 2020 waren 71 Millionen Menschen von Ransomware-Angriffen auf US-Regierungsorganisationen betroffen. Geschätzt wird, dass sie Kosten von knapp 19 Milliarden US-Dollar für Ausfallzeiten und Wiederherstellung der IT-Systeme verursachten. Die US-Untersuchung kommt zu dem Schluss, dass der Mangel an finanziellen Mitteln für Cybersicherheitsinitiativen nachteilig ist. Zwar sind Rechtsvorschriften und Regularien zur Erhöhung der Cyberresilienz wichtig, aber letztlich sind Schulungen für das Personal entscheidend. Gesetze reichen nicht aus, sie sind nur eine oberflächliche und vorübergehende Lösung für ein langfristiges, anhaltendes Problem. Ohne Initiativen wie Awareness-Schulungen für die Mitarbeiter in den städtischen Verwaltungen bleiben sie anfällig für Social Engineering-Angriffe.
Sicherheitsschulungen leisten einen entscheidenden Beitrag zur Cyber-Resilienz von Organisationen. Mit der Hilfe dieser Trainings lassen sich Mitarbeiter in wachsame Hüter verwandeln. Angesichts der ausgefeilten Cyber-Bedrohungen ist sicheres, umsichtiges und schnelles Handeln gefragter denn je. Finden diese Bildungsmaßnahmen regelmäßig statt, befähigen sie Mitarbeiter dazu, Risiken zu erkennen, zu melden und letztlich abzumildern. Organisationen investieren dann nicht nur in die Prävention, sondern bereiten sich auf unvermeidliche Vorfälle vor. Die Schulung der Security Awareness sollte weiterführenden Zielen dienen, als der reinen Erfüllung von Compliance. Sie ist ein Grundpfeiler der Cyber-Resilienz, die es Organisationen ermöglicht, sich auf ständige neue Bedrohungen vorzubereiten, ihnen zu widerstehen, auf Vorfälle zu reagieren und sich neuen Anforderungen anzupassen.
Kai Wittenburg, Geschäftsführer der NEAM IT-Services GmbH pflichtet bei: „Wir betreuen viele mittelständische Unternehmen bei der Umsetzung von ISMS nach ISO 27001. Unsere Erfahrungen laufen in eine ähnliche Richtung wie hier geschildert, zu Beginn der Umsetzung eines Informationssicherheits-Managements steht in der Regel die Awareness. Die Priorisierung in der Studie deckt sich also branchenübergreifend.“
Fazit
Der Blick über den Atlantik zeigt auf, was hierzulande in den kommenden Jahren zu erwarten ist und anhand zahlreicher negativer Beispiele ja bereits sichtbar wurde. Die städtische Verwaltung ist aufgrund vieler Faktoren nicht auf die Herausforderung dynamischer Cyber-Bedrohungen eingestellt. Darüber hinaus fehlen die Mittel zur Aufstockung der IT-Budgets durch anstehende Einsparungen für Digitalisierungsprojekte. Diese Entwicklung lässt die Sorgenfalten um die Informationssicherheit bei städtischen Verwaltungen eher wachsen. Beide Untersuchungen kommen dann zu dem Schluss, dass aus der IT-Abteilung kommend der Wunsch nach mehr Awareness-Training Abhilfe schaffen kann. Hier müssen Maßnahmen ansetzen, um das Risiko einer Kompromittierung der IT-Systeme zu verhindern.
