Die Anforderungen an eine gute IT-Infrastruktur im Behördenumfeld sind hoch. Sicher und effizient in der Nutzung und gleichzeitig kosteneffizient muss sie sein. Bei Endgeräten, Server-Hardware, Software, Drucker und Co. setzen Behörden daher häufig auf bewährte Produkte aus dem gängigen Standardsortiment (COTS). Das ist vernünftig – birgt aber auch Cyber-Risiken. Mithilfe welcher Massnahmen auch Standard-IT schliesslich den hohen Sicherheitsanforderungen von Behörden genügen kann, erfahren Sie in diesem Blogpost.

Behördenmitarbeitende verarbeiten oftmals besonders sensible Informationen – etwa vertrauliche Protokolle, Infrastrukturpläne oder Strategiekonzepte. Gelangen diese Daten in falsche Hände, können unvorhersehbare Folgen bis hin zu staatspolitischen Krisen entstehen. Deshalb ist es für Behörden besonders wichtig, ihre IT-Infrastruktur vor Cyber-Attacken zu schützen. Gleichzeitig ist der Kostendruck enorm. Aus Gründen der Effizienz und um Ressourcen optimal zu nutzen, kaufen Behörden bei Hard- und Software häufig seriengefertigte Standardprodukte, sogenannte COTS (Commercial off-the-shelf).

COTS-Geräte bergen hohe Cyber-Risiken

Der Einsatz von COTS-Geräten stellt Behörden vor zusätzliche Herausforderungen: Zum einen sind die Standardprodukte üblicherweise nicht ausreichend gehärtet und oft sind nicht benötigte Softwarepakete vorinstalliert. Zum anderen sind für Standard-IT-Komponenten die Lieferketten (Supply Chains) generell schwer nachverfolg- und kontrollierbar. Mit Fehlen dieser notwendigen Sicht- und Prüfbarbarkeit können sich die Cyber-Risiken für die Behörden erhöhen, da zukünftig immer häufiger mit Supply-Chain-Attacken gerechnet werden muss. Hardware oder Software können bereits werkseitig kompromittiert sein; zusätzliche Gefahr droht auch durch manipulierte Updates, welche auf Behördenendgeräte installiert werden können.

Einfallstor für Cyber-Kriminelle

Grundlegende Veränderungen in der Arbeitswelt verschärfen diese Bedrohungslage: Neue smarte Zusammenarbeitsformen halten zusehends auch bei Behördenorganisationen Einzug – nicht nur als Folge der Coronapandemie arbeiten Behördenmitarbeitende vermehrt im Homeoffice. Damit Behördenmitarbeitende ihre Aufgaben jederzeit wahrnehmen können, erhalten sie von zu Hause aus oder von unterwegs Zugriff auf sensible Informationen – dies, obwohl gerade Mobilgeräte oftmals nicht angemessen geschützt sind. Gleiches gilt für peripher genutzte Geräte wie etwa Drucker. Schwaches Gerätemanagement, unzulänglich Konfigurations- und Sicherheitseinstellungen oder nicht erfolgte Sicherheits-Updates sind zusätzliche Schwachstellen und können durch Cyber-Kriminelle als Einfallstor genutzt werden.

Standard-IT braucht zusätzliche Security-Massnahmen

IT-Verantwortliche von Behörden stehen vor der Herausforderung, dass sie den Datenzugriff von extern ermöglichen, gleichzeitig aber eine hohe Cyber-Resilienz ihrer IT-Landschaft garantieren müssen. Die gute Nachricht: Ein hohes Level an Security ist auch mit bestehender Standard-IT möglich. Die vorhandene Hardware muss dazu aber mit zusätzlichen, sicher konfigurier- und überwachbaren Sicherheitsfunktionalitäten wie Sicherheits-Hardware und Sicherheits-Firmware-Elementen erweitert werden. Diese ergänzen die bestehenden Standard-Sicherheitsmechanismen und werden damit zusätzlich gehärtet und gemanagt. Mit diesen zusätzlichen Security-Massnahmen kann auch mit Standard-IT Komponenten ein Top-Sicherheitsniveau bis in die Peripherie erreicht werden. Und das kostengünstig, da mit der bestehenden Infrastruktur gearbeitet werden kann.

Die CyOne Security unterstützt Behörden dabei, ihre Informationen zu schützen. Auf der Basis von Sicherheits-Hardware werden Peripherie und mobile IT-Komponenten sicher über IP / VPN an die zentrale IT-Infrastruktur angebunden. Mit höchster kryptografischer Kompetenz und langjähriger Erfahrung von 360°-Sicherheitskonzepten und -lösungen bis Stufe «Geheim» können sämtliche notwendigen Sicherheitsanforderungen erfüllt werden, sodass auch Standard-IT von Behörden maximal vor Cyber-Attacken geschützt ist.

Wollen auch Sie Ihre bestehende IT-Infrastruktur auf ein Top-Level bezüglich IT-Sicherheit bringen? Zusammen mit Ihnen erarbeiten wir individuelle Lösungen für Ihre spezifischen Sicherheitsanforderungen und setzen diese professionell um.