Mitte 2023 tritt das neue Informationssicherheitsgesetz in Kraft. Dieses soll die Cyber Security beim Bund markant verbessern. Der neue rechtliche Rahmen strebt unter anderem eine einheitliche Klassifizierung sensibler Daten an – ein wichtiger Schritt in Richtung Informationssicherheit. Welche Rolle dabei «Security by Segmentation» spielt und welche Vorteile die Bundesbehörden davon haben, lesen Sie in diesem Blogbeitrag.
Die Bundesverwaltung wurde in der Vergangenheit mehrmals Opfer von Cyber-Attacken. Das Problem: Die aktuelle Rechtsgrundlage für die IT-Sicherheit des Bundes ist ein Flickenteppich. Etliche gesetzliche und organisatorische Lücken bieten Cyber-Kriminellen ein vergleichsweise leichtes Spiel. Das wird sich allerdings bald ändern: Mitte 2023 tritt das neue Informationssicherheitsgesetz in Kraft – und damit ein einheitlicher Rahmen für alle Bundesbehörden.
Das Gesetz schliesst die bestehenden Lücken und regelt den Schutz von Informationen und die Sicherheit beim Einsatz von Informatikmitteln. Dafür gibt es neu zum Beispiel eine Akkreditierungspflicht. Zudem erhalten Amtsleiterinnen und Amtsleiter in der Bundesverwaltung neue Aufgaben für mehr Informationssicherheit. Und: Die Klassifizierungsschwelle für Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit wird gesenkt. Für das neue Gesetz hatte der Bundesrat vier Verordnungen in die Vernehmlassung geschickt.
Die einheitliche Klassifizierung ist ein wichtiger Schritt in Richtung Informationssicherheit. Durch eine umfassende Klassifizierung – zum Beispiel in die Kategorien «INTERN», «VERTRAULICH» und «GEHEIM» – werden schutzbedürftige Daten gekennzeichnet. Zudem definiert man so ihre Handhabung. Dies setzt natürlich voraus, dass es ein departementsübergreifendes Verständnis davon gibt, wie die verschiedenen klassifizierten Informationen gehandhabt werden müssen.
Für die Klassifizierung wiederum absolut zentral ist «Security by Segmentation». Gemeint ist die Segmentierung der Daten in voneinander isolierte Security-Zonen. Dies ermöglicht zum Beispiel, dass nur Personen mit bestimmten Rollen auf bestimmte Informationen zugreifen können. Diese Segmentierung und Zonierung sollen vor Cyber-Angriffen schützen. Die Zonentrennung muss also nicht nur in den verschiedenen Rechenzentren geschehen, sondern auch auf den Endgeräten.
Endgeräte stellen beim Bund ein speziell hohes Sicherheitsrisiko dar. Denn in unserem Milizsystem bearbeiten Schweizer Parlamentarierinnen und Parlamentarier vertrauliche Strategiekonzepte teils auf demselben Gerät, auf dem sie auch ihr Social Media-Profil aufrufen. Aber auch die Mitarbeitenden der Bundesverwaltung müssen auf ihren Geräten sowohl klassifizierte wie auch öffentliche Daten effizient bearbeiten können. Eine konsequente Zonentrennung ist daher zentral.
Eine bewährte Methode dazu ist die Virtualisierung. Dabei definiert eine Software auf einem Computer «virtuelle Maschinen», die wie vollwertige Computer agieren, sich aber die Hardware teilen. Auf diese Weise lassen sich unabhängige Arbeitsumgebungen, Zonen, auf einem Gerät betreiben.
Noch einen Schritt weiter geht «Virtual Desktop Infrastructure» (VDI). Bei sensiblen Daten wird der Computer auf ein simples Ein- und Ausgabegerät reduziert, bestehend aus Maus, Tastatur und Bildschirm. Weder Betriebssystem, Applikationen noch Datenspeicherung befinden sich lokal auf dem Computer, sondern ausschliesslich in der zentralen IT-Infrastruktur der Organisation. Damit wird verhindert, dass Informationen auf dem Endgerät gespeichert, auf ein USB-Memory-Device ausgegeben oder ausgedruckt werden können.
Software «ab der Stange» für Virtualisierungslösungen können Sicherheitslücken aufweisen, birgt beispielsweise das Risiko von Virtual Machine Breakouts. Volle «Security by Segmentation» für eine sichere und resiliente Trennung hingegen bietet das 9400 Officebook: Es verbindet sich automatisch und verschlüsselt mit der IT-Infrastruktur des Bundes. So erhalten Mitarbeitende Online-Zugriff auf die zentrale Infrastruktur und weitere Applikationen – komplett geschützt und sicher. Dabei verfügt das 9400 Officebook über bis zu vier vollständig voneinander isolierte Zonen bzw. Betriebsumgebungen (Compartments), die auf einer virtuellen Maschine laufen. Damit kann der User mit dem gleichen Notebook sowohl öffentliche als auch vertrauliche Informationen bearbeiten, ohne die IT-Infrastruktur und damit die sensiblen Behördendaten zu gefährden.
Der Wechsel von der einen zur anderen Zone erfolgt über einen einfachen Mausklick. Parlamentarierinnen und Behördenmitarbeiter können bequem und sicher auf verschieden klassifizierte Daten zugreifen, und zwar jederzeit und von überall her. Das System ist einfach konfigurierbar und lässt sich problemlos in die bestehende IT-Umgebung integrieren.
Um die Cyber-Risiken zu eliminieren, hat die CyOne Security eine Technologie entwickelt, welche die unterschiedlichen Betriebsumgebungen (Compartments) sicher voneinander trennt, sodass sensible Daten sicher bearbeitet werden können.
Erfahren Sie im Whitepaper «Datensicherheit für verschiedene Rollen – durch konsequente Zonentrennung» mehr über die zentralen Punkte einer innovativen und sicheren, auf dem «Cyber Defence in Depth»-Ansatz basierenden Arbeitsumgebung.
Bildquelle: Keystone-sda
Beitrag teilen
