Die Bundesverwaltung bricht ins digitale Zeitalter auf. Ein wichtiger Pfeiler sind Cloud-Dienste, welche die Departemente vernetzen und überall Datenzugriff erlauben. Das bringt eine grosse Herausforderung mit sich: Wie kann ein Endgerät gleichzeitig auf öffentliche Daten und sensible Inhalte in einer gesicherten Umgebung zugreifen? Welche wichtige Rolle hierbei das Daten-Tagging sowie gleichzeitig smarte und sichere Tools spielen, erfahren Sie in diesem Blogpost.

Die Verantwortlichen bei der Schweizer Armee kamen in Erklärungsnot, als sie ein ehemaliger Rekrut anfangs Jahr auf ein Datenleck in ihrer E-Learning-Plattform aufmerksam machte. Durch die Sicherheitslücke waren über 400’000 Datensätze von Armeeangehörigen, Fedpol- und NDB-Mitarbeitenden einsehbar; darunter Namen, E-Mail-Adressen, Handy- und AHV-Nummern.

Dieser Vorfall bei der Schweizer Armee zeigt, wie schnell und unbemerkt es zu einer Datenpanne kommen kann – und wie wichtig die IT-Sicherheit im Behördenumfeld ist. Cyber Defence ist gerade jetzt ein wichtiges Thema, da sich die Verwaltung am Anfang ihrer digitalen Transformation befindet: Das Bundesamt für Informatik und Telekommunikation (BIT) soll die Informatik bis 2023 auf die zukünftigen Bedürfnisse einer digitalen Verwaltung ausrichten. So lautet sein Auftrag in Abstimmung mit der Strategie zur Digitalen Schweiz des Bundesrats.

Sensible Behördendaten: Cyber Security besonders wichtig

Geht es um die vernetzte Zukunft, stehen Cloud-Lösungen im Zentrum, welche die Departemente und Ämter optimal in ihren Geschäftsprozessen unterstützen. Ziel der digitalen Aufrüstung ist es, die Vorzüge der Cloud-Lösungen wie Verfügbarkeit, Skalierbarkeit und Datendurchgängigkeit departementsübergreifend zu nutzen. Denn für die Arbeit der Verwaltung ist eine gute Vernetzung entlang der Prozesse, aber auch mit Fachstellen, Wissenschaft, Wirtschaft, Parlament und Parteien zentral.

Zunehmend komplexe Dossiers wie etwa zur Klima- oder Gesundheitspolitik werden in Kommissionen erarbeitet, in denen Beamte, Politikerinnen, Interessensvertreter und Wissenschaftlerinnen zusammen arbeiten. Die Digitalisierung soll einen schnellen, permanenten und ortsunabhängigen Zugang zu den benötigten Informationen ermöglichen – auch über Geräte wie Notebook, Tablet oder Smartphone.

Das ist praktisch. Es bedeutet aber auch, dass zum Beispiel die Virologin des Gesundheitsdepartements plötzlich private und geschäftliche Daten auf einem portablen Endgerät hat. Hier will sie persönliche, öffentliche als auch sensitive Daten aus der Verwaltung abrufen, bearbeiten und speichern. Dafür müssen private, öffentliche und klassifizierte Daten sicher getrennt werden können. Fehlen Schutzmassnahmen und Tools, kann es zu gravierenden Datenlecks kommen, welche wiederum Angriffsvektoren für Hacker und Cyber-Attacken darstellen.

Daten-Tagging: Voraussetzung bei der Behandlung von klassifizierten Informationen

Um die Digitalisierung voranzutreiben, prüft das zuständige Bundesamt den Einsatz der sogenannten hybriden Cloud. Diese ist eine Kombination aus Public und Private Cloud, welche den Verwaltungseinheiten ausfallsichere, innovative und kostengünstige Cloud-Dienste zur Verfügung stellt.

Doch wie wird sichergestellt, dass die Daten den angedachten Schutz entsprechend der Klassifizierung erhalten? So sollen beispielsweise klassifizierte Daten nicht – oder zumindest nur geschützt – auf der Public Cloud liegen dürfen, oder klassifizierte Daten aus der Cloud sollen nur mittels definierten Endgeräten heruntergeladen und bearbeitet werden dürfen. Um solche Regeln der Datenbearbeitung durchsetzen zu können, benötigen die Daten eindeutige und systemweite Merkmale – ein sicheres Daten-Tag.

Das heisst: Der Ersteller der Information setzt das Daten-Tag entsprechend der Klassifikation. Auf den automatischen Datenschnittstellen wird aufgrund von Herkunft oder Inhalt das Daten-Tag durch einen Gateway gesetzt. Nun kann die korrekte Datenablage gemäss Datenschutzverordnung unterstützt durch technische Massnahmen durchgesetzt werden.

Grosse Datenmengen können zwischen der Private und der Public Cloud abgeglichen werden. Dabei stellt das Daten-Tag sicher, dass klassifizierte Informationen vor dem Transfer in die Cloud kryptografisch geschützt werden. Via Audit kann sichergestellt werden, dass Daten nur in der entsprechend ihrem Daten-Tag erlaubten Form in der jeweiligen Cloud gespeichert werden.

Schliesslich stellt das Data-Tag sicher, dass der Zugriff auf diese geschützten Daten in der Public Cloud wiederum nur von einem definierten Endgerät, also einem «Bundesarbeitsplatz», aus möglich ist.

So ist technisch sichergestellt, dass die Informationen in der Public Cloud zwar vorhanden sind, aber nur von einem Benutzer mit entsprechender Bearbeitungsberechtigung geöffnet und bearbeitet werden können und dies nur auf einem verwalteten Endgerät, welches über kryptografische Fähigkeiten für das Öffnen und Bearbeiten der Daten verfügt.

4 häufige Hürden bei der Sicherheit und Benutzerfreundlichkeit

Die Planung und der Betrieb einer hybriden Cloud sind komplex. Zu den häufigsten Herausforderungen zählen:

  • Eine einheitliche, integrierte Verwaltung, welche die Sicherheit über das Gesamtsystem gewährleistet
  • Eine konsistente Datenplattform, die den Datenaustausch zwischen Cloud und Servern erlaubt
  • Eine konsequente Durchsetzung des Datenschutzes wie von der Informationsschutzverordnung (ISchV) vorgegeben bezüglich des Orts der Datenhaltung
  • Eine einheitliche und sichere Markierung der Daten entlang ihrer Klassifikation (Tagging). So können der Datenabgleich zwischen Cloud und internem Datacenter automatisiert und kontrolliert und Daten in der Cloud basierend auf dem Tag auditiert werden.

Sind diese Hürden einmal genommen, geht es darum, die digitale Arbeitswelt in einer hybriden Cloud für die Anwender möglichst sicher und einfach zu gestalten. Anbieter wie die CyOne Security verfügen hierzu über sichere und gleichzeitig benutzerfreundliche Lösungen, welche Behörden in der reibungslosen und einfachen Gestaltung der Abläufe unterstützen.

«Security in Depth» mit dem CyOne Workplace System

Volle «Security in Depth» bietet das CyOne Workplace System: Es erlaubt die authentifizierte Anforderung sensitiver Daten in der Cloud und deren Bearbeitung auf einer geschützten Plattform. Dabei gewährleistet das 9400 Officebook den sicheren Online-Zugriff auf eine Private Cloud. Das Notebook verbindet sich automatisch über eine verschlüsselte Kommunikationsverbindung mit der Private Cloud-Infrastruktur. Die Sicherheitsarchitektur und vorhandenen kryptografischen Elemente lassen sich erweitern, um gesichert die Daten-Tags zu erstellen, aber auch, um Datenzugriffe auf die Public Cloud und die sichere Bearbeitung von kryptografisch geschützten Inhalten umzusetzen.

Komplett voneinander abgetrennte Compartments mit Zugang zu verschiedenen Zonen erlauben es schon heute, die Büroumgebung und klassifizierte Systeme auf derselben Hardware laufen zu lassen. Der Wechsel zwischen den Zonen funktioniert ganz einfach per Mausklick – das sorgt für effiziente und gleichzeitig bequeme Workflows.

Welches sind die zentralen Punkte einer innovativen und sicheren Arbeitsumgebung mit einer Cloud-Infastruktur? Wie ein ganzheitlicher «Cyber Defence in Depth»-Lösungsansatz auf Basis der Virtualisierungstechnologie aussehen kann, erfahren Sie im kostenlosen Whitepaper «Datensicherheit für verschiedene Rollen – durch konsequente Zonentrennung».

Whitepaper herunterladen und mehr zum «Cyber Defence in Depth»-Lösungsansatz  erfahren