Article

Cybersicherheit in der öffentlichen Verwaltung

Interview mit Peter J. Wirnsperger, Partner Risk Advisory, Government & Public Services Lead, Deloitte Deutschland

Cybersicherheit ist mehr als nur ein Thema außerhalb von Krisenzeiten. Die Gefahr von Cyberangriffen auf Behörden und Unternehmen ist insbesondere in Krisenzeiten hoch. An Professionalität zunehmende Angriffe stellen die Verantwortlichen vor große Herausforderungen, gerade wenn man gewohnte Umgebungen und sichere Strukturen verlassen muss. Einmal ein Sicherheitskonzept zu erstellen, reicht nicht aus. Cybersicherheit ist ein kontinuierlicher Prozess und muss stets an die Rahmenbedingungen angepasst werden.

Behörden und Unternehmen stehen vor großen Herausforderungen bei der Digitalisierung und der gleichzeitigen Erhöhung der Cybersicherheit. Wie unterstützt Deloitte bei diesen Vorhaben?

Wir beraten Bund, Länder, Kommunen, Städte und Unternehmen der öffentlichen Hand. Dabei entwickeln wir anwendungsorientierte Lösungen für die Verwaltung, die Finanzen und das Personal. Einen Schwerpunkt legen wir auf die Digitalisierung der Verwaltung, dabei konzentrieren wir uns auf Analytics-Lösungen, Cybersicherheit, Datenschutz und vor allem auch auf IT-Strategien. Unsere Beratung zur Erhöhung der Cybersicherheit richten wir an einschlägigen Standards aus. Der vom BSI entwickelte IT-Grundschutz steht dabei an vorderster Stelle. Wir schulen und zertifizieren unsere Berater regelmäßig in der Anwendung der Standards und halten sie mit ihren Projekteinsätzen am Puls der Anforderungen von Behörden und Unternehmen.

Digitale Desinformationskampagnen, insbesondere im Vorfeld von Wahlen und aktuell in der Corona-Krise, spielen eine bedeutende Rolle. Oft zielen sie darauf ab, Politik- und Wertesysteme zu delegitimisieren und zu untergraben. Wie bewerten Sie diesen Trend?

Im aktuellen Cyber Security Report haben wir festgestellt, dass die Manipulation der öffentlichen Meinung durch Fake-News die größte Cyber-Bedrohung darstellt. Fehlinformationen können einfacher, schneller und passgenauer an die Zielgruppe verteilt werden. Die Erstellung und Verbreitung ist zudem, ökonomisch betrachtet, erheblich günstiger. Das bedeutet, dass potenziell jeder Fake-News in Umlauf bringen und damit auch nahezu jeden erreichen kann. Problematisch sind hier insbesondere die Medienkonsumgewohnheiten. Die Bedeutung von klassischen Medien, die redaktionell unabhängig recherchierte und qualitativ hochwertige Informationen bereitstellen, ist gesunken. Insbesondere Jüngere informieren sich größtenteils in sozialen Medien, mit zunehmender Tendenz. Damit verschiebt sich die Verantwortung für eine faktenbasierte Meinungsbildung mehr in Richtung Konsument. Insbesondere bei Informationen aus dem Internet ist der Konsument dafür verantwortlich, die Quelle der Information zu hinterfragen und die Fakten zu prüfen. Unterstützend kann beispielsweise Künstliche Intelligenz helfen, Fake-Accounts und Botnets, von denen Fake-News verbreitet werden, zu identifizieren. Leider erzielen spätere Richtigstellungen von Fake-News oft keinen nennenswerten Erfolg, das falsch aufgenommene Bild richtigzustellen.

Cyber Security Report:

Hier können Sie sich den Cyber Security Report herunterladen:

open in new window Zum Report

Was halten Sie momentan für die größten Bedrohungen für Behörden und Unternehmen im Bereich Cybersicherheit?

Insgesamt nimmt die Gefahr von Cyber-Angriffen auf Behörden, Unternehmen aber auch Privatpersonen stetig zu. Die bereits angesprochene Bedrohung durch Desinformation ist wohl die weitreichendste Bedrohung, weil sie im schlimmsten Fall zum Nährboden für eine Destabilisierung unserer Gesellschaft werden kann. Abgesehen davon nimmt aber auch die Häufigkeit der gezielten Angriffe mittels Schadsoftware zu. So stellen Ransomware-Attacken nach wie vor für Behörden und Unternehmen eine erhebliche Bedrohung dar. Zwar werden die Sicherheitsmaßnahmen der Betroffenen besser, aber auch die Qualität, und somit das Bedrohungspotential, der Angriffe nimmt weiter zu. Hier gilt es, umfassende Sicherheitsmaßnahmen zu entwickeln, um den neuen Bedrohungen zu begegnen. Damit sind nicht nur technische Maßnahmen gemeint, sondern auch die Sensibilisierung der Mitarbeiter, insbesondere in Zeiten der Remote Work. Jeder Einzelne trägt durch verantwortungsvolles Handeln zur Sicherheit bei. Grundvoraussetzung bleibt aber das Bewusstsein für diese Gefahren auf Ebene der Behördenleitungen bzw. Geschäftsführungen. Ohne deren Unterstützung hilft Ihnen auch die motivierteste IT-Abteilung nur begrenzt weiter.

In der COVID-19-Krise zeigt sich, dass die Abhängigkeit von internationalen Lieferketten auch Risiken für Deutschland birgt. Sehen Sie Parallelen in der digitalen Souveränität für Deutschland?

Globalisierung und Arbeitsteilung haben einen großen Anteil am wirtschaftlichen Wachstum der vergangenen Jahrzehnte. An diesen Prinzipen habe ich keinen Zweifel. Weder im traditionellen Handel, noch im Bereich IT und Dienstleistungen. Allerdings gilt es, klar zu priorisieren und abzuwägen: Welche IT-Services möchte ich on premise haben, welche in Europa und welche in Rechenzentren auf anderen Kontinenten? Im Rahmen einer risikobasierten Betrachtung sollte man diese Entscheidungen treffen. In manchen Fällen kann es eben auch sinnvoll sein, physischen Zugang zu Produktionsstätten zu haben oder im Bereich IT beispielsweise direkten Zugriff auf einen Server.

Der aktuelle Entwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) sieht eine Ausweitung der Befugnisse des BSI vor. Ein Trend zur zunehmenden Regulierung von IT-Sicherheit in Deutschland lässt sich auch erkennen. Wie bewerten Sie diese Entwicklung?

Das IT-SiG 2.0 ist die Reaktion auf die steigende Bedrohung durch Cyberkriminalität. Um die Cybersicherheit in Deutschland weiter zu verbessern, werden erhöhte Anforderungen an Staat und Verwaltung, die Betreiber von kritischen Infrastrukturen, aber auch die neu definierten „Unternehmen im besonderen öffentlichen Interesse“ gestellt. Sie müssen in Zukunft beispielsweise Systeme zur Angriffserkennung implementieren und dürfen nur noch solche Komponenten im Bereich KRITIS einsetzen, deren Hersteller eine Vertrauenswürdigkeitserklärung abgegeben haben. Das BSI fungiert dabei als zentrale Behörde, die nun auch aktiv IT-Sicherheitsrisiken identifizieren soll und dafür zusätzliche Befugnisse erhält. Damit erweitert der Staat seine Handlungsspielräume und richtet seine IT-Sicherheitspolitik offensiver aus. Ziel ist es, Angriffe rechtzeitig abzuwehren und effektive Mechanismen zum Schutz der staatlichen und kritischen IT-Infrastrukturen zu entwickeln. Angesichts der zunehmenden Qualität von Cyberattacken und der meist erst späten Detektion solcher Angriffe können diese Erweiterungen hilfreich sein, um die Widerstandsfähigkeit der IT zu erhöhen und die Funktionsfähigkeit der öffentlichen Verwaltung und der kritischen Infrastrukturen auch in Zukunft sicherzustellen.

Durch die Corona-Krise geraten viele Unternehmen und Behörden an ihre Grenzen. Für Behörden entsteht Mehrarbeit, wie beispielsweise durch die Bearbeitung von Anträgen auf finanzielle Unterstützung durch Unternehmen. Diese treffen auf IT-Infrastrukturen, die teilweise nicht auf Remote-Arbeit, wie sie aktuell eigentlich erforderlich ist, ausgelegt sind. Wie schätzen Sie die Situation ein?

Aktuell sehen wir, wie wichtig die Digitalisierung von Arbeitsabläufen ist, sei es in der öffentlichen Verwaltung oder in der Wirtschaft. Die Frage hat meines Erachtens zwei Aspekte: Erstens wird deutlich, dass solche Behörden und Unternehmen, die bereits vor dem Ausbruch der Pandemie über eine gute IT-Infrastruktur verfügten, klare Vorteile haben und besser dazu in der Lage sind, ihren Betrieb aufrechtzuerhalten. Zweitens muss aber auch klar sein, dass Digitalisierung nur sinnvoll funktionieren kann, wenn die IT-Systeme auch geschützt sind – gerade für die Behörden und die Betreiber Kritischer Infrastrukturen. Wenn die Sicherheit nicht gegeben ist, kann die Handlungsfähigkeit des Staates auf allen Ebenen gefährdet sein. Im Ergebnis kann dies beispielsweise zu einer Gefährdung der öffentlichen Sicherheit führen. Hier gilt es, Resilienz und Schutzniveau zu erhöhen.

Ihr Gesprächspartner

Peter Wirnsperger leitet das Marktsegment Government und Public Services innerhalb von Risk Advisory sowie das Marktsegment Civil Government deutschlandweit. Er ist seit 2003 bei Deloitte und setzt seine mehr als 20 Jahre Erfahrung bei Implementierungsprojekten bei Behörden und Unternehmen aller Sektoren und Größen um.

Peter J. Wirnsperger

Partner | Government & Public Services

pwirnsperger@deloitte.de

+49 40 320804675

Peter Wirnsperger leitet den Bereich Civil Government und ist als Mitglied des Führungsteams von Risk Advisory verantwortlich für die Themen strategische Entwicklung und Innovation. Er ist seit 2003 b... Mehr

Audit & Assurance

Risk Advisory

Tax

Legal

Financial Advisory

Consulting

Deloitte Private (Mittelstand)

Spotlight

Sustainability & Climate

Consumer

Energy, Resources & Industrials

Financial Services

Government & Public Services

Life Sciences & Health Care

Technology, Media & Telecommunications

Jobsuche

Berufserfahrene

Studierende

Karriere bei Deloitte

Schüler:innen

Absolvent:innen