Titelthema

Informationssicherheit

Was bedeutet „sicher“ im Kontext von Gesetzen und gesundem Menschenverstand?

Informationssicherheit ist ein zentrales Thema, besonders für öffentliche Verwaltungen, die tagtäglich mit sensiblen Daten und vertraulichen Informationen arbeiten. Doch was heißt „sicher“ eigentlich genau? Und wie beeinflussen Gesetze, gesunder Menschenverstand und neue Bedrohungen wie Künstliche Intelligenz (KI) die Anforderungen an die Informationssicherheit?

Was bedeutet eigentlich „sicher“?

„Sicherheit“ in der Informationssicherheit bedeutet, Daten und Systeme vor unberechtigtem Zugriff, Manipulation, Verlust oder Zerstörung zu schützen. Dies umfasst drei Kernziele:

  • 1

    1. Vertraulichkeit

    Nur autorisierte Personen dürfen Zugang zu sensiblen Daten haben.

  • 2

    2. Integrität

    Daten müssen korrekt und unverändert bleiben.

  • 3

    3. Verfügbarkeit

    Informationen und Systeme müssen stets für autorisierte Nutzer zugänglich sein.

Anforderungen durch die Rechtslage

Öffentliche Verwaltungen unterliegen strengen rechtlichen Vorgaben:

DSGVO
Verpflichtet Organisationen, personenbezogene Daten durch technische
und organisatorische Maßnahmen zu schützen.

IT-Sicherheitsgesetz (IT-SiG)
Richtet sich an Betreiber kritischer Infrastrukturen und fordert eine systematische Absicherung der IT-Systeme.

BSI-Grundschutz
Stellt bewährte Methoden für die Umsetzung eines effektiven Informationssicherheitsmanagements bereit.

AI Act
Seit dem 21. Mai 2024 gibt es dieses Gesetz der EU. KI-Anwendungen dürfen nicht missbraucht werden und ebenso muss der Schutz der Grundrechte gewährleistet sein.

Eine gesetzeskonforme 
IT-Sicherheitsstrategie beinhaltet:  

  • Regelmäßige Risikoanalysen und Penetrationstests.  
  • Die Einführung eines Informationssicherheitsmanagementsystems (ISMS).
  • Dokumentierte Sicherheitsrichtlinien.

Doch was sagt der 
gesunde Menschenverstand dazu?


Natürlich ist dem gesunden Menschenverstand klar, dass personenbezogene Daten unbedingt geschützt werden müssen. Dem Verstand ist ebenso klar, dass die IT-Systeme, in denen sich personenbezogene Daten befinden, unbedingt gesichert werden müssen. Theorie vs. Praxis. Was bedeutet das für die Praxis?

Wir behaupten mal, dass ein Großteil der Mitarbeitenden das Windows-Passwort nicht mehr unter die Tastatur legt. Es wird nicht überall dasselbe Passwort verwendet. Bewegt sich jemand Fremdes im Büro, fragt man entweder die Person direkt oder erstmal KollegInnen, wer das denn ist und mit welcher Berechtigung sie/er im Büro ist. Schaut einem jemand im Café über die Schulter auf den Laptop-Monitor, wird man das unterbinden. Das sind noch relativ leichte Themen. Aber die Technik schreitet voran und es wird mit der Zeit immer schwerer, Angriffe zu erkennen und zu stoppen. 

Jede Verwaltung möchte beispielsweise gern, dass alle Mitarbeitenden nur sichere Passwörter nutzen. Das bedeutet, dass Verwaltungen dafür Hilfsmittel anbieten sollten:

Schulung und Sensibilisierung: 
Ein informierter Mitarbeiter ist die erste Verteidigungslinie gegen Cyberangriffe.

Sichere Passwörter: 
Einfach zu erratende Passwörter wie „123456“ sollten vermieden werden.

„Merken“ der Passwörter:  
Es gibt Anwendungen, in denen Passwörter sicher gespeichert werden können.

Aktualisierung von Software:
Sicherheitslücken entstehen oft durch veraltete Anwendungen.


Wie bedroht KI unsere Sicherheit? 

Künstliche Intelligenz wird zunehmend sowohl als Werkzeug für Angriffe als auch für die Verteidigung genutzt.

Angreifer verwenden KI, um IT-Systeme gezielt zu attackieren. Beispiele:

Automatisierte Phishing-Angriffe: 
KI generiert täuschend echte E-Mails, die Nutzer zum Anklicken von Schadlinks verleiten.

KI-basierte Malware:
Eine Software einzuführen, ist das eine. Die
Schädliche Software kann ihre Muster anpassen, um Antivirenprogramme zu umgehen.

Deepfake-Technologie:
Manipulierte Videos oder Audiodateien können zur Erpressung oder Täuschung genutzt werden.

Auf der anderen Seite bietet KI auch Chancen für den Schutz von IT-Systemen:  

Anomalie-Erkennung: 
KI analysiert Netzwerkaktivitäten und identifiziert ungewöhnliches Verhalten.

Automatisierte Reaktion:
Eine Software einzuführen, ist das eine. Die
KI kann Bedrohungen in Echtzeit erkennen und abwehren.

Fazit und Handlungsempfehlungen

Für die Mitarbeitenden in öffentlichen Verwaltungen ist es entscheidend, eine Balance zwischen gesetzlichen Anforderungen und pragmatischen Sicherheitsmaßnahmen zu finden. Der Einsatz von KI, sowohl als Bedrohung als auch als Verteidigungsmaßnahme, muss aufmerksam beobachtet und strategisch gesteuert werden.

Die ITEBO-ExpertInnen für IT-Sicherheit empfehlen eine jährliche Schulung zur IT-Sicherheit. Verwaltungen, die nach ISO 27001 zertifiziert sind, sind sogar verpflichtet, diese Schulung durchzuführen. ITEBO Lära stellt Basisinhalte für Mitarbeitende als individuelle Schulung zur Verfügung. Mit Hilfe von Abschlusstests wird der Lernerfolg garantiert und dokumentiert. Individuelle Inhalte können auf Wunsch integriert werden.

Mit einem bewussten und präventiven Ansatz kann die Sicherheit von IT-Systemen auch in Zeiten wachsender Bedrohungen gewährleistet werden.

Ihr Ansprechpartner zum Thema Informationssicherheit

Gerald Leitke
Mitarbeiter Außendienst

Erfahren Sie mehr »

Ihr Ansprechpartner zum Thema Informationssicherheit

Kevin Diekmeier
​Geschäftsbereich Vertrieb

Erfahren Sie mehr »

Veranstaltungsübersicht
Nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)