E-Government und Datenschutz: Ein Fall für "Security by Design"
Die Schweiz will ihr E-Government stärken. Da in diesem Bereich hochsensible Daten ausgetauscht werden, ist der Schutz dieser Daten durch geeignete Sicherheitslösungen sowie die Transparenz über getroffene Cybersecurity-Massnahmen unabdingbar.
Die Digitalisierung wird im Unternehmen und im privaten Alltag zusehends selbstverständlicher. Im Firmenumfeld kristallisiert sich mittlerweile ein Zusammenhang zwischen digitalem Reifegrad und Geschäftserfolg heraus. Die digitale Transformation stellt also für Unternehmen einen Mehrwert dar. Diese Tatsache ist den Schweizer Behörden keineswegs entgangen: Noch im November 2018 wurde die "E-Government-Strategie Schweiz 2020–2023" vom Bundesrat mit dem Ziel gutgeheissen, auch hierzulande die Chancen der Digitalisierung optimal zu nutzen. Damit das E-Government zu einem Standortfaktor mit einem wachsenden Einfluss auf die Investitionsentscheide und die Wettbewerbsfähigkeit der Unternehmen wird, ist jedoch der Ausbau elektronischer Behördenleistungen nicht ausreichend. Laut der "Nationalen E-Government-Studie 2019" wird nämlich als überwiegender Grund für die Nichtnutzung der aktuell verfügbaren Online-Services der Verwaltung ein Mangel an Vertrauen in die Datensicherheitsmassnahmen genannt.
Umfassendes Sicherheitskonzept
Erstaunlicherweise findet man tatsächlich in den unzähligen Dokumenten über die E-Government-Strategie und deren Umsetzungsplan keine konkreten Hinweise darüber, wie man gedenkt, sowohl das vereinheitlichte Login-Plus-Verfahren als auch den elektronischen Austausch von sensiblen Informationen und Dokumenten wie die bei den Behörden abgespeicherten Daten abzusichern. Dabei sollte die Bereitstellung elektronischer Behördendienste eine sorgfältige Analyse der notwendigen Massnahmen zur Minderung der IT-Risiken durch Cyberbedrohungen voraussetzen. Nach dem Prinzip der "Security by Design" ist es sinnvoll, diese Schritte von vornherein in einem umfassenden Sicherheitskonzept zu berücksichtigen. Der Grund ist einfach: Ohne das Vertrauen des Endanwenders in den elektronischen Datenaustausch mit den Behörden und Ämtern sind E-Government-Vorhaben zum Scheitern verurteilt.
Zu berücksichtigende Punkte eines Security-by-Design-Ansatzes im E-Gov:
Geht es um kritische Infrastrukturen und sensible Daten, ist es unerlässlich, Lösungen einzusetzen, die den höchsten Grad der Zuverlässigkeit gewährleisten. Der Schutz vertraulicher Daten sollte auf mehreren Ebenen geboten werden, denn Schwachstellen im öffentlichen Verwaltungsnetz sind nicht zu akzeptieren.
Der Verlust von Informationen oder vertraulichen Daten hat im Bereich der öffentlichen Hand enorme Auswirkungen auf das Vertrauen der Anwender. Der Schutz von Anwendungen und insbesondere die Gewährleistung der maximalen Vertraulichkeit der ausgetauschten Daten über eine strenge Verschlüsselung sind daher empfehlenswert.
Für Behörden ist die Wahl einer Sicherheitslösung nicht nur komplex, sondern auch eine Frage der Verantwortung. Für die richtige Auswahl sind Garantien von Institutionen erforderlich, die für ihre Erfahrung und ihre neutrale Haltung sowohl national als auch international bekannt sind. Diese Zertifizierungen gelten als Nachweis für sauber konzipierte, geprüfte und realisierte Cybersecurity-Lösungen unter Beachtung von Anforderungen für den Einsatz durch staatliche Verwaltungen.
Der Erwerb einer Sicherheitslösung erfordert Investitionen, die über mehrere Jahre hinweg abgeschrieben werden. Cybersecurity-Massnahmen sollten (nicht nur) daher anhand eines Future-Ready-Ansatzes getroffen werden.
----------
Eine gut gesicherte Staatsverwaltung ist Garant für Souveränität
Security by Design ist für einige E-Government-Plattformen immer noch Neuland. Aber die öffentliche Verwaltung hat erkannt, dass kein Weg daran vorbeiführt. Uwe Gries von Stormshield erklärt im Interview, was es dafür genau braucht. Interview: Colin Wallace
Es gibt bereits viele E-Government-Anwendungen. Ist es da nicht etwas spät für "Security by Design"?
Uwe Gries: Viele Kantone und Behörden stellen heute eigens entwickelte Plattformen zur Verfügung, bei denen tatsächlich kein Security-by-Design-Ansatz mehr zu verfolgen ist. Allerdings gilt bei der Absicherung der Werkzeuge für den Datenaustausch zwischen allen Beteiligten das Prinzip "besser spät als nie". Bei der angestrebten und noch weit von der Umsetzung entfernten Vereinheitlichung der digitalen Behördenleistungen könnte man noch von der einmaligen Chance profitieren, den Fehler zu vermeiden, Sicherheitsaspekte mit gravierendem Verzug zu berücksichtigen und geeignete Schutzmassnahmen bereits in der Projektphase einzuplanen.
Gelten spezielle Anforderungen für Sicherheitslösungen, die von staatlichen Verwaltungen eingesetzt werden?
Eine funktionierende, gut abgesicherte Staatsverwaltung ist Garant für die Souveränität eines Landes. Gerade deshalb sollten die eingesetzten Lösungen zum Schutz der bereitgestellten Dienste, der darüber ausgetauschten Daten, der Server und der einzelnen Workstations über die höchste, von unabhängigen international anerkannten Institutionen zertifizierte Sicherheitsstufe und eine No-Backdoor-Garantie verfügen. Zusätzlich zu einer sehr hohen Modularität und Performance sind das die Anforderungen, die uns Regierungen auf der ganzen Welt stellen.
Sie schreiben im Fachbeitrag, dass der Schutz vertraulicher Daten auf mehreren Ebenen geboten werden muss. Welche sind das?
Zunächst muss zwischen dem internen Netzwerk und den nach aussen publizierten Diensten differenziert werden. Eine klare Unterteilung der zwei Bereiche via VLAN wäre genauso empfehlenswert wie den Verbindungsknoten dieser zwei Systemkomponenten adäquat zu beschützen und den darüber fliessenden Datenverkehr akribisch zu überprüfen. Die Unterbindung von SQL-Injections oder ähnlichen Cyberattacken sollte in Echtzeit gewährleistet sein. Man müsste die Plattform für die Übermittlung jeglicher Daten zudem mit modernen Authentifizierungsverfahren ausstatten. Eine gegen das Ausspähen schützende Punkt-zu-Punkt-Verschlüsselung der übermittelten Informationen sollte ebenfalls eingesetzt werden.
Was müssen Organisationen bei der Wahl einer Sicherheitslösung berücksichtigen?
Das ist eben der Punkt: Eine Sicherheitslösung allein wird die oben genannten Aufgaben nicht bewältigen. Vielfalt ist deshalb im E-Government-Umfeld die Devise: Die abzusichernden Bereiche sind sehr unterschiedlich und bedürfen der Einplanung von Sicherheitsmassnahmen, die miteinander interagieren und flexibel genug sind, dem Gesamtkonstrukt trotz möglicher Überlappungen der einzelnen Sicherheitsebenen keine Komplexität hinzuzufügen.
Anwender vertrauen nicht auf die Sicherheit von E-Government-Services. Wie kann die öffentliche Hand dieses Vertrauen gewinnen?
Die Furcht um die Wahrung der Vertraulichkeit bei ausgetauschten Informationen wundert uns nicht. Aktuell sind die Schutzmassnahmen für Anwender völlig unsichtbar. Abschreckend wirkt in manchen Fällen der Eindruck, jeder Missetäter könne spielend leicht mittels erspähter Daten manipulierte Einträge bei Unternehmen beziehungsweise Privatpersonen einspeisen. Dem kann man nur mit Transparenz entgegenwirken. Eine Freischaltung der Dienste nach erfolgreicher Zwei-Faktor-Authentifizierung würde sicherlich viel mehr zum Vertrauen der Anwender beitragen als die (mancherorts tatsächlich vorhandene) Empfehlung: "Bitte installieren Sie eine Antivirensoftware, die Behörde haftet nicht für durch die Nutzung dieser Dienste hervorgerufene Sicherheitsvorfälle."
Temenos stellt neuen CEO vor
Meta öffnet sein VR-Betriebssystem
Das Galaxy S24 Ultra zeigt: KI ist gut, Kontrolle ist besser
Competec sucht CIO
visiONstage – wo Business auf Zukunft trifft
Swisscom ärgert Stammkundschaft mit automatischem Abo-Wechsel
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
AOC lanciert Monitorserie für Kreative
Eiskunstlaufendes Hühnchen hebt ab
