Kommunale Cyber-Sicherheit: Proofpoint fordert stärkeren Fokus auf Risikofaktor Mensch

Technische Schutzmaßnahmen nach wie vor Rückgrat jeder Cyber-Sicherheitsstrategie – jedoch ohne den Menschen nur Teilaspekt der Gesamtbetrachtung

[datensicherheit.de, 20.06.2023] Laut einer aktuellen Meldung von Proofpoint hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich eine Initiative angekündigt, mit der es Kommunen beim Thema Cyber-Sicherheit stärker unterstützen möchte. Die dabei angedachten Maßnahmen sind laut Proofpoint zwar ein Schritt in die richtige Richtung – sie gehen demnach allerdings noch nicht weit genug. Das Unternehmen plädiert nach eigenen Angaben dafür, dass Kommunen und Organisationen – unabhängig von ihrer Branche – bei der IT-Sicherheit einen Fokus auf die Angestellten richten sollten. Begründet wird dies mit Verweis auf die Tatsache, dass mehr als neun von zehn Cyber-Attacken durch die Aktionen eines Angestellten – beispielsweise in Form eines Klicks – begünstigt würden. Technische Schutzmaßnahmen bildeten zwar nach wie vor das Rückgrat jeder Cyber-Sicherheitsstrategie, seien jedoch nur ein Teilaspekt bei der Gesamtbetrachtung, um die Öffentliche Hand nachhaltig vor Cyber-Attacken zu schützen. Bert Skaletski, „Resident CISO“ für die „EMEA“-Region bei Proofpoint, kommentiert in seiner Stellungnahme das BSI-Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA):

Foto: Proofpoint

Bert Skaletski rät, in sämtliche Kommunen die IT-Sicherheit nicht als Nebensache zu erachten, sondern sie muss auf der Prioritätenliste einen der obersten Plätze einnehmen!

Der Mensch muss umfassend für moderne Cyber-Gefahren sensibilisiert werden!

Skaletski führt aus: „Cyber-Kriminelle greifen nicht nur Unternehmen oder Kritische Infrastrukturen an, sondern immer wieder auch die Öffentliche Hand, beispielsweise unsere Gemeindeverwaltungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will die Kommunen dabei unterstützen, besser gegen diese Attacken geschützt zu sein.“ Dafür sei im Mai 2023 das Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA) mit sechs deutschen Modellkommunen gestartet worden. Die Erfahrungen aus diesem „Piloten“ sollten dann insgesamt den Grundschutz der IT der Gemeinden verbessern.

Mit dieser Initiative mache das BSI zweifellos „einen wichtigen Schritt in die richtige Richtung“. Allerdings werde wie so oft in der Cybersecurity-Debatte der Fokus vor allem auf technische Maßnahmen gerichtet. „Diese dürfen zwar nicht vernachlässigt werden, aber der primäre Unsicherheitsfaktor in der IT-Sicherheit ist und bleibt der Mensch“, betont Skaletski und erläutert: „Nur wenn es gelinge, die eigenen Beamten und Mitarbeiter umfassend für moderne Cyber-Gefahren zu sensibilisieren, werden kommunale und andere Behörden ein bestmögliches Schutzniveau erzielen können.“

Der Mensch als größtes Cyber-Risiko ihrer Organisation einzustufen…

Insbesondere mangelnde Kenntnisse in Sachen IT-Sicherheit und ein fehlendes Problembewusstsein unter Angestellten seien hierbei die größten Risikofaktoren. Laut Proofpoints diesjährigem „State of the Phish“-Report könnten hierzulande beispielsweise nur etwas mehr als die Hälfte der Anwender (53%) den Begriff „Phishing“ korrekt zuordnen. Noch schlechter sehe es beim Thema „Ransomware“ aus – „dabei gelang es nur einem Drittel (33%) der in Deutschland befragten Angestellten diesen Begriff richtig einzuordnen“.

Daher sei es kaum verwunderlich, dass im Rahmen des „Voice of the CISO Report 2023“ fast die Hälfte (45%) der deutschen „Chief Information Security Officers“ (CISOs) den Menschen als größtes Cyber-Risiko ihrer Organisation eingestuft hätten. „Weltweit stimmten sogar 60 Prozent der befragten Security-Verantwortlichen dieser Aussage zu“, berichtet Skaletski.

Hochsensible Daten und Prozesse bestmöglich im Sinne der Menschen schützen!

„Hinzukommt, dass selbst bei einer ausgereiften Cyber-Sicherheitsstrategie die entsprechenden Maßnahmen auch wirklich umgesetzt werden müssen – leider ist dies nicht immer und überall der Fall.“ Nach Angaben des „Voice of the CISO“-Reports hätten hierzulande nur zwei von fünf (39%) der Befragten bestätigt, „dass sie mit ihrer Geschäftsführung auf Augenhöhe kommunizieren“. Wenig überraschend forderten daher mehr als die Hälfte (51%), dass Kenntnisse im Bereich Cybersecurity eine Voraussetzung für Mitglieder des Vorstands sein sollten – „weltweit sprachen sich sogar 62 Prozent der CISOs dafür aus“. Diese Zahlen lassen sich laut Skaletski zweifelsohne auch auf den öffentlichen Sektor übertragen.

Zudem sei es wichtig, „dass auch möglichst sämtliche Kommunen in Deutschland das Thema IT-Sicherheit nicht als Nebensache erachten, sondern es auf der Prioritätenliste einen der obersten Plätze einnimmt“. Es müsse darum gehen, hochsensible Daten und Prozesse bestmöglich im Sinne der Bürger zu schützen. „Wenn persönliche Daten, die die Kommunen von uns allen haben (müssen), in die Hände von Cyber-Kriminellen gelangen, sind die Folgen unermesslich. Sicherlich ein Albtraum für alle!“, warnt Skaletski abschließend.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 06.06.2023
BSI und kommunale Spitzenverbände starten Pilotprojekt für bessere IT-Absicherung in Kommunen / Bundesweit sechs Modellkommunen ausgewählt – Kommunale Cyber-Sicherheit ist unverzichtbar für zuverlässige staatliche Leistungen für Bürgerinnen und Bürger sowie Wirtschaft
Bild-Dokument für das Frontend

prootpoint
White Paper: Voice of the CISO Report 2023

proofpoint
Top Resources