[datensicherheit.de, 04.12.2025] Derzeit wird hierzulande über den „Deutschland-Stack“ und die Digitale Souveränität der Verwaltung diskutiert. Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro, macht in seiner aktuellen Stellungnahme deutlich, dass Cybersicherheit mehr als nur ein bloßer Baustein, sondern eben das Fundament des gesamten Projekts ist: „Der ,Deutschland-Stack’ repräsentiert Deutschlands ambitionierte Vision einer souveränen digitalen Verwaltung. Wie die Beschlüsse der Digitalministerkonferenz zeigen, wird er wohl auch für die Länder und Kommunen eine wichtige Rolle spielen.“ Leider bleibe aber in der öffentlichen Diskussion ein kritischer Aspekt momentan unterbelichtet – die zentrale Rolle der Cybersicherheit als Fundament dieser nationalen Infrastruktur.

Foto: Trend Micro

Dirk Arendt mahnt: Nur mit einer robusten, durchgängigen Cybersicherheitsarchitektur kann der „Deutschland-Stack“ sein Versprechen einlösen!

Verfügbarkeit 2028 erscheint ambitioniert – doch Realität moderner Cyberbedrohungen duldet keinen Aufschub

Die bisherige Darstellung des sogenannten Deutschland-Stacks behandele Cybersecurity oft nur als einen von mehreren gleichwertigen Technologiebereichen neben „Cloud“ und Künstlicher Intelligenz (KI).

• „Diese Perspektive greift zu kurz: Cybersicherheit ist das Nervensystem der Digitalen Souveränität – ohne sie kollabiert das gesamte Konstrukt!“

Die geplante Verfügbarkeit 2028 möge ambitioniert erscheinen, doch die Realität moderner Cyberbedrohungen dulde keinen Aufschub. Staatliche APT-Gruppen, Ransomware-Kollektive und Cyberkriminelle entwickelten ihre Angriffsmethoden kontinuierlich weiter. „Ein ,Deutschland-Stack’ ohne robuste Cybersicherheitsarchitektur wäre eine Einladung für Angreifer!“, warnt Arendt.

Drei kritische Cybersicherheits-Imperative laut Trend Micro

1. Der „Deutschland-Stack“ muss Zero-Trust-Prinzipien von Grund auf implementieren!
   Die föderale Struktur zwischen Bund, Ländern und Kommunen schaffe naturgemäß komplexe Vertrauensgrenzen. Jede Schnittstelle, jeder Datentransfer müsse kontinuierlich verifiziert werden.
2. „Detection & Response“ und Cyberresilienz müssen integraler Bestandteil der Architektur werden!
   Es genüge nicht, Angriffe zu verhindern – der „Stack“ müsse auch „unter Beschuss“ funktionsfähig bleiben und sich schnell regenerieren können.
3. Die „Threat Intelligence“-Integration erfordert Echtzeitfähigkeiten!
   Der „Deutschland-Stack“ müsse aktuelle Bedrohungsdaten verarbeiten und adaptive Schutzmaßnahmen implementieren können.

„Deutschland-Stack“ als historische Chance für Cybersecurity auf allen Ebenen der Verwaltungsdigitalisierung

Die Kosten mangelnder Cybersicherheit überstiegen bei weitem die Investitionen in robuste Schutzmaßnahmen. Arendt stellt klar: „Ein erfolgreicher Cyberangriff auf den ,Deutschland-Stack’ würde nicht nur Bürgerdaten gefährden, sondern auch das Vertrauen in die Digitale Transformation und verlässliche Leistungsfähigkeit der öffentlichen Verwaltung fundamental erschüttern!“ Diese Gefahr sei indes real: Die Bundesrepublik stehe wie noch nie im Fokus hybrider Bedrohungen.

• Der „Deutschland-Stack“ biete die historische Chance, Cybersecurity nicht nachträglich aufzupfropfen, sondern als architektonisches Grundprinzip auf allen Ebenen der Verwaltungsdigitalisierung zu etablieren. „Dies erfordert jedoch einen Paradigmenwechsel: Sicherheit darf nicht als Kostenfaktor oder technische Hürde betrachtet werden, sondern als ,strategischer Enabler’ Digitaler Souveränität!“

Nur mit einer robusten, durchgängigen Cybersicherheitsarchitektur könne der „Deutschland-Stack“ sein Versprechen einlösen – nämlich eine sichere, souveräne und vertrauenswürdige digitale Infrastruktur für alle Bürger. Arendts Fazit: „Die Zeit für halbherzige Kompromisse ist vorbei. Deutschland muss Cybersicherheit zur Priorität Nummer 1 erklären!“

Weitere Informationen zum Thema:

TREND MICRO, Unternehmen
Geschichte, Vision und Werte

TREND MICRO, Dirk Arendt, 09.09.2025
Cyber-Kriminalität / Keine Souveränität ohne Sicherheit: In der Debatte um digitale Souveränität ist vielen die grundlegende Rolle der Cybersicherheit nicht klar. Es bedarf eines kooperativen Ansatzes, der Resilienz und Sicherheit in den Mittelpunkt stellt und die Vielfalt der verfügbaren Lösungen nutzt.

YouTube, Trend Micro Europa
Auf einen Espresso mit Dirk Arendt

eGovernment VERWALTUZNG DIGITAL, Manfred Klein, 04.11.2020
Trend Micro Dirk Arendt übernimmt Leitung des Behördenvertriebs

Deutschland-Stack
Der Deutschland-Stack ist die nationale souveräne Technologie-Plattform für die Digitalvorhaben in Deutschland

NETZPOLITIK.ORG, Timur Vorkul, 16.10.2025
Deutschland-Stack: Was ist drin, im Baukausten für die digitale Verwaltung? / Der Deutschland-Stack soll der lahmenden Verwaltungsdigitalisierung auf die Sprünge helfen. Doch was genau ist die Technologie-Plattform, wie kann sie dabei helfen und wer ist wofür verantwortlich? Eine Übersicht.

heise online, 09.10.2025
Deutschland-Stack: So soll die nationale souveräne Technologieplattform aussehen / Das Digitalministerium hat eine „Landkarte“ und Skizze für ein Gesamtbild des geplanten Deutschland-Stack veröffentlicht. Interessierte können Feedback geben.

Bundesministerium für Digitales und Staatsmodernisierung, 09.10.2025
Jetzt mitgestalten: Beteiligungsprozess für Deutschland-Stack offiziell angelaufen

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

datensicherheit.de, 09.09.2025
„Made in EU“ strategischer Erfolgsfaktor für IT-Sicherheit bei Unternehmen, Behörden und KRITIS / Wer IT-Systeme zuverlässig schützen will, muss sicher sein, auf welche Technologien er sich rechtlich, technisch und strategisch verlassen kann

datensicherheit.de, 02.08.2025
Cyberresilienz als Strategischer Imperativ der Unternehmen / Unternehmen sind nur so sicher wie ihr schwächster Endpunkt: Thomas Lo Coco stellt seinen „4-Punkte-Plan für effektive Endpoint-Security“ vor

datensicherheit.de, 30.09.2020
Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt / Verstärkt sollten laut Datenschutzkonferenz alternative Softwareprodukte sowie Open-Source-Produkte eingesetzt werden

[datensicherheit.de, 14.02.2025] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) soll am 28. und 29. April 2025 die 14. Auflage das „Speyerer Forum zur digitalen Lebenswelt“ stattfinden. Der inhaltliche Schwerpunkt liegt demnach auf der „Datennutzung und Datensicherheit in Justiz und Verwaltung“, veranstaltet von der Deutschen Universität für Verwaltungswissenschaften gemeinsam mit dem Ministerium für Arbeit, Soziales, Transformation und Digitalisierung Rheinland-Pfalz sowie den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Baden-Württemberg.

Abbildung: Deutsche Universität für Verwaltungswissenschaften

„14. Speyerer Forum zur digitalen Lebenswelt“
Präsenz- / Online-Veranstaltung zur Datennutzung und Datensicherheit in Justiz und Verwaltung
Programm s.u. (ohne Gewähr) – die Teilnahme ist anmelde- und gebührenpflichtig

Digitale Transformation verändert Justiz sowie Verwaltung und stellt neue Herausforderungen an Datenschutz sowie -sicherheit

„Die Digitalisierung verändert Justiz und Verwaltung grundlegend und stellt neue Anforderungen an rechtliche Rahmenbedingungen, technische Sicherheit und ethische Entscheidungsfindung.“ Dies betreffe auch die Mitarbeiter und erfordere einschlägige Schulungen. Das „Speyerer Forum“ soll diese Entwicklungen aufgreifen und sich aktuellen Fragestellungen widmen wie z.B.:

• Cyber-Angriffe und Schutz kommunaler Infrastrukturen,
• Digitalisierung der Justiz, einschließlich „eAkte“ und KI-Unterstützung,
• automatisierte Verwaltungsentscheidungen und deren rechtliche sowie moralische Implikationen,
• KI-Perspektiven für moderne Verwaltungsservices und Aufbereitung von Informationen.

Veranstaltung versteht sich als interdisziplinäre Plattform zur Erörterung aktueller Fragen zum Umgang mit Daten

Diese Veranstaltung versteht sich laut LfDI RLP als eine interdisziplinäre Plattform, welche Fachvorträge, Diskussionen und Austausch vereint. „Sie bietet die Gelegenheit, innovative Lösungen zu entwickeln und den Blick auf zukunftsweisende Fragestellungen der Digitalen Transformation zu schärfen.“

Neben den Fachvorträgen sollen die Teilnehmer die Möglichkeit haben, mit den Referenten in Dialog zu treten und Fragen zu stellen. „Die Veranstaltung dient dabei auch der Fortbildung im Sinne des § 15 FAO für den Fachanwalt für Verwaltungsrecht und Informationstechnologierecht.“

Weitere Informationen zum Thema und Anmeldung:

Deutsche Universität für Verwaltungswissenschaften
14. Speyerer Forum zur digitalen Lebenswelt: Datennutzung und Datensicherheit in Justiz und Verwaltung

Deutsche Universität für Verwaltungswissenschaften
14. Speyerer Forum zur digitalen Lebenswelt / PRÄSENZ-Veranstaltung Datennutzung und Datensicherheit in Justiz und Verwaltung

Deutsche Universität für Verwaltungswissenschaften
14. Speyerer Forum zur digitalen Lebenswelt / ONLINE-Veranstaltung Datennutzung und Datensicherheit in Justiz und Verwaltung

[datensicherheit.de, 25.11.2020] Mobiles Arbeiten kann die öffentliche Verwaltung beschleunigen und den Mitarbeitern mehr Flexibilität ermöglichen. Werden allerdings private Smartphones verwendet, gingen Länder, Städte und Gemeinden „große Risiken“ ein, warnt Virtual Solution und klärt in einer aktuellen Stellungnahme über die „entscheidenden Fallstricke“ bei „Bring Your Own Device“-Modellen (BYOD) auf.

Foto: Virtual Solution AG

Sascha Wellershoff empfiehlt eine sogenannte Container-Lösung

Bei BYOD stellen sich wichtige rechtliche und technische Fragen

Mitarbeiter in der öffentlichen Verwaltung müssten auch von unterwegs oder im Home-Office mobil auf Dokumente und Fachanwendungen zugreifen können. Für die Kommunikation und Erledigung dieser Aufgaben verwendeten daher viele ihr privates Smartphone oder Tablet.
„Und selbst wenn dienstliche Geräte bereitgestellt werden, wollen die meisten weder veraltete Hard- und Software ihres Arbeitgebers verwenden noch mehrere Mobilgeräte mit sich führen.“ Bei BYOD, also der Integration privater Endgeräte in die behördliche IT-Struktur, stellten sich aber wichtige rechtliche und technische Fragen.

Warnung vor drei entscheidenden BYOD-Fallstricken und Empfehlungen zur Vermeidung:

1. Verbindliche Regelungen und Nutzungsvereinbarungen für Einsatz von Privatgeräten!
   Hat die Behörde die Nutzung privater Endgeräte nicht offiziell geregelt, gälten die gesetzlichen Bestimmungen. Daraus folge eine direkte Auswirkung auf die Haftung: Da die Nutzung des Privatgeräts für die Behörde und in deren Kenntnis und Interesse erfolge, sei sie auch dienstlich veranlasst. Bei einer Beschädigung oder dem Verlust des Geräts während der üblichen Arbeitszeit müssten Länder, Städte und Gemeinden grundsätzlich dafür aufkommen. Ein eventuelles Mitverschulden des Mitarbeiters, etwa wenn das Smartphone herunterfällt, sei aus Gründen der „beschränkten Arbeitnehmerhaftung“ ausgeschlossen. Aus diesem Grund sollten Behörden verbindliche Regelungen und Nutzungsvereinbarungen für den Einsatz von Privatgeräten am Arbeitsplatz festlegen.
2. Sicherheitsvorkehrungen und Datenschutz beachten!
   Neben den rechtlichen Problemen lauerten beim BYOD-Modell auch zahlreiche sicherheitstechnische und datenschutzrelevante Fallstricke. Veraltete Betriebssysteme, unsichere WLAN-Verbindungen „und die Nutzung von Apps, die es mit der Privatsphäre nicht so genau nehmen“, seien häufig Einfallstore für Cyber-Kriminelle und Gründe für die Verletzung der DSGVO. Bestes Beispiel sei „WhatsApp“, welche häufig für die informelle dienstliche Kommunikation innerhalb von Behörden genutzt werde: Diese App lese die Adressbücher der Mitarbeiter mit den Kontaktdaten von Kollegen und Lieferanten aus und gebe die Daten an die Konzernmutter Facebook weiter. Darüber hinaus erfasse „WhatsApp“ auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten. Viele Länder und Kommunen hätten für „WhatsApp und Co.“ keine Nutzungsregelungen aufgestellt oder duldeten sie stillschweigend.
3. Kontrollverlust durch mangelnde Trennung zwischen dienstlich und privat vorbeugen!
   Werden dienstliche und private Daten und Anwendungen auf dem Smartphone nicht strikt voneinander getrennt, stünden die IT-Verantwortlichen vor einem weiteren großen Problem: „Sie verlieren auf einem Privatgerät die Kontrolle über die dienstlichen Daten und Systeme.“ Dies gelte insbesondere im Notfall, wenn etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes schnell sensible Informationen aus der Ferne gelöscht werden müssten.

Keine BYOD-Strategie ohne klare und sichere Trennung privater und dienstlicher Daten sowie Anwendungen

„Ohne eine klare und sichere Trennung von privaten und dienstlichen Daten und Anwendungen sollte eine BYOD-Strategie nicht verfolgt werden. Jetzt aber den Mitarbeitern die schnelle und unkomplizierte Kommunikation über das eigene Smartphone zu verbieten, ist ineffizient und demotivierend“, erläutert Sascha Wellershoff, Vorstand von Virtual Solution in München.
Er empfiehlt eine sogenannte Container-Lösung (wie z.B. „SecurePIM Government“), welche demnach auf dem Mobilgerät des Mitarbeiters den dienstlichen strikt vom privaten Bereich trennt. Die Daten und Dokumente würden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Wellershoff: „Damit schützen sich Behörden und Ämter sicher vor Cyber-Angriffen und garantieren gleichzeitig die Einhaltung der DSGVO.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen / Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft / Ergebnisse der „2013 Mobile Enterprise Risk Survey“ von Absolute Software

datensicherheit.de, 24.08.2013
KASPERSKY-Umfrage 2013: Richtlinien für BYOD-Umgang in Unternehmen oft noch Mangelware / Laut der Studie „Global Corporate IT Security Risks: 2013“ hat jedes dritte deutsche Unternehmen hat noch gar keine Sicherheitsrichtlinien

datensicherheit.de, 11.04.2013
BYOD: Mitarbeiter verwenden ihre privaten Geräte für den Beruf / BITKOM veröffentlicht Leitfaden „Bring Your Own Device“

datensicherheit.de, 05.03.2013
BYOD: Hälfte der Unternehmen hat bereits ein Gerät mit wichtigen Daten verloren / Laut aktueller varonis-Studie seien 86 Prozent der Mitarbeiter sogar „süchtig nach mobilen Geräten“

[datensicherheit.de, 30.09.2020] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) setzt sich die Datenschutzkonferenz für Digitale Souveränität der öffentlichen Verwaltung ein.

Entschließung der Datenschutzkonferenz zur Digitalen Souveränität

Vor dem Hintergrund einer wachsenden Abhängigkeit von marktbeherrschenden Softwareanbietern hat die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (Datenschutzkonferenz, DSK) eine datenschutzpolitische Positionierung zur Digitalen Souveränität der öffentlichen Verwaltung vorgenommen. Unter Digitaler Souveränität werde hierbei die Möglichkeit verstanden, in der digitalen Welt selbstständig, selbstbestimmt und sicher agieren zu können. In der Praxis könnten viele öffentliche Verwaltungen derzeit jedoch nicht selbstbestimmt handeln, weil sie von großen Software-Firmen abhängig seien und weil in der IT-Landschaft besondere technische Zwänge bestünden.
Die DSK sehe die Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und rege daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Produkte einzusetzen. Dadurch könne „die Unabhängigkeit der öffentlichen Verwaltung von marktbeherrschenden Softwareanbietern dauerhaft sichergestellt werden“, heiße es in der Entschließung, die nun vorliege und vergangene Woche auf der Datenschutzkonferenz beschlossen worden sei.

Datenschutzkonferenz verabschiedet Handlungsempfehlungen

Die DSK habe eine Reihe von Handlungsempfehlungen mit Blick auf die Digitale Souveränität verabschiedet. Konkret fordere sie Bund, Länder und Kommunen dazu auf, langfristig nur solche Hard- und Software-Produkte einzusetzen, welche „den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belässt“. Kurzfristig sollten Produkte und Dienstleistungen besser datenschutzrechtlich beurteilt werden – sowohl bei der Auswahl als auch im laufenden Betrieb.
Die DSK spreche sich für Zertifizierungen aus, welche Verantwortlichen die Prüfung und Kontrolle erleichtere, wenn sie sich nicht eigenständig ein valides Bild über die komplexe Funktionsweise von Informationstechnik machen könnten. Zudem sollten Produktentwickler offene Standards nutzen, damit die Verantwortlichen auch tatsächlich in die Lage versetzt würden, „Anbieter und Produkte zu wechseln, wenn sie mit deren Produkten und Dienstleistungen die Datenschutzanforderungen nicht mehr oder nur ungenügend umsetzen können“.

„Microsoft Office 365“ – datenschutzgerechte Nachbesserungen gefordert

Die DSK habe überdies eine vorläufige Bewertung von „Microsoft Office 365“ vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises „Verwaltung“ mehrheitlich zustimmend zur Kenntnis genommen. Dieses komme zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft (Stand Januar 2020) kein datenschutzgerechter Einsatz von „Microsoft Office 365“ möglich sei.
Die DSK habe daher beschlossen, eine Arbeitsgruppe einzurichten, welche auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen solle, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen bestehe in der DSK Einigkeit.

Schrems II: Datenschutzkonferenz setzt Taskforce zum EuGH-Urteil ein

Bei der DSK-Zwischentagung sei überdies beschlossen worden, zu dem wegweisenden Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in die USA (Schrems II) eine Taskforce zu gründen, welche eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die Durchsetzung erarbeiten solle.
Die DSK habe zudem ein überarbeitetes „Kurzpapier“ zum Beschäftigtendatenschutz verabschiedet: Es diene als erste Orientierung insbesondere für den nicht-öffentlichen Bereich und zeige, wie die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Zudem fordere die DSK, die erstinstanzliche Zuständigkeit der Landgerichte für Geldbußen über 100.000 Euro zu belassen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 22.09.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Digitale Souveränität der öffentlichen Verwaltung herstellen –Personenbezogene Daten besser schützen

DSK DATENSCHUTZKONFERENZ, 24.09.2020
Kurzpapier Nummer14 / Beschäftigtendatenschutz

DSK DATENSCHUTZKONFERENZ, 22.09.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Datenschutz braucht Landgerichte auch erstinstanzlich

datensicherheit.de, 07.04.2020
Digitale Souveränität: IT-Experten sehen starke Abhängigkeiten von außereuropäischen Anbietern

[datensicherheit.de, 16.06.2016] Die Vorteile von „Open Data“ liegen auf der Hand: Transparenz und Akzeptanz des Verwaltungshandelns sowie nicht zuletzt das immense wirtschaftliche Potenzial.

Zentrale Verfügbarkeit und bessere Nutzbarkeit von Verwaltungsinformationen

Gemeint sind die zentrale Verfügbarkeit und bessere Nutzbarkeit von Verwaltungsinformationen. „GovData – das Datenportal für Deutschland“ soll einen einheitlichen zentralen Zugang zu offenen Verwaltungsinformationen liefern (derzeit aus Bund, einigen Kommunen und noch nicht allen Bundesländern). Mit einer gemeinsamen Entschließung vom 15. Juni 2016 hat die Konferenz der Informationsfreiheitsbeauftragten in Deutschland an alle Bundesländer appelliert, sich an diesem Datenportal zu beteiligen.

Ein weiterer Beitrag zu mehr Transparenz

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und diesjährige Vorsitzende der Konferenz der Informationsfreiheitsbeauftragten in Deutschland, Helga Block, unterstreicht, dass „GovData“ als zentrales Datenportal mit Suchfunktion zur besseren Nutzbarkeit von amtlichen Informationen beitragen soll. Damit sei es sowohl ein wichtiger Bestandteil von „Open Data“ als auch ein weiterer Beitrag zu mehr Transparenz.

Erst in zwölf Bundesländern Informationsfreiheitsbeauftragte

Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) beschäftigt sich mit aktuellen Fragen der Informationsfreiheit, also mit dem Zugang zu und der Veröffentlichung von amtlichen Informationen. Der IFK gehören die Informationsfreiheitsbeauftragten des Bundes und der Länder an. Bislang gibt es in zwölf Bundesländer Informationsfreiheitsbeauftragte.

Weitere Informationen zum Thema:

GOVDATA
Das Datenportal für Deutschland

Von unserem Gastautor Jochen Koehler

[datensicherheit.de, 12.07.2013] IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. Eine manuelle Änderung dieser privilegierten Benutzerkonten ist extrem zeitaufwändig und fehlerbehaftet – und somit kaum realisierbar. Gefragt ist hier eine Lösung zur automatischen Verwaltung von Passwörtern. Bei der Auswahl und Implementierung einer solchen Lösung sind jedoch einige elementare Aspekte zu berücksichtigen:

1. Identifizierung der privilegierten Accounts
   Alle unternehmenskritischen Systeme, Applikationen und Datenbanken sollten identifiziert werden, einschließlich der vorhandenen Zugänge von Administratoren. Es ist konkret zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.
2. Entwicklung von Rollenmodellen
   Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten müssen Prozesse für IT-Berechtigungsvergaben definiert werden. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte besitzen, die für ihren Tätigkeitsbereich erforderlich sind. Unerlässlich für die Verwaltung privilegierter Benutzerkennungen ist zudem auch die Implementierung einer rollenbasierten Zugriffskontrolle.
3. Zentrale Speicherung der Passwörter
   Es sollte eine Lösung zur zentralen Speicherung aller Passwörter und privilegierten Aktivitäten gewählt werden. Dies ermöglicht eine zentrale Administration und Überwachung des gesamten Passwortmanagements. Mögliche Sicherheitslücken durch Insellösungen, die in der Vergangenheit installiert wurden, werden damit geschlossen.
4. Eliminierung von Application Accounts
   Ein zentrales Sicherheitsproblem besteht generell auch bei Software oder Application Accounts, das heißt bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Dies ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Die eingebetteten statischen Passwörter sollten folglich in den Applikationen und Skripten eliminiert werden. Es empfiehlt sich, auch diese Zugangsdaten zentral abzulegen und zu überprüfen sowie regelmäßig zu ändern.
5. Einführung eines automatischen Passwort-Managements
   Eine Passwortmanagement-Lösung sollte auf jeden Fall eine automatische Verwaltung und Änderung privilegierter Accounts ermöglichen. Der Anwender muss dabei die Komplexität und den Änderungszyklus – abhängig von den Vorgaben der jeweiligen Security-Policy – beliebig festlegen können. Keinesfalls ausreichend ist der Einsatz eines Tools zur Erstellung von Passwort-Datenbanken, das zwar eine Speicherung der Kennwörter ermöglicht, aber keine automatische Änderung.
6. Berücksichtigung von Remote-Zugriffen
   Im Hinblick auf die unternehmensinterne Datenintegrität und -sicherheit sollten externe Zugriffe auf IT-Systeme zuverlässig überwacht werden. Dabei sollte eine Lösung implementiert werden, die es ermöglicht, dass externe Dienstleister oder Administratoren Passwörter nie einsehen können. Realisierbar ist das zum Beispiel durch die Implementierung eines Jump-Servers für die administrativen Verbindungen. Nur er „kennt“ die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden – so verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.
7. Hohe Sicherheitsstandards
   Die zentrale Speicherung von Passwörtern erfordert die Implementierung einer Lösung, die mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.
8. Protokollierung privilegierter Sessions
   Die Passwortnutzung sollte revisionssicher protokolliert werden. Dabei sollten privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden, das heißt, es ist eine komplette Protokollierung von Admin-Sessions empfehlenswert. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Idealerweise bietet die eingesetzte Passwortmanagement-Lösung auch eine Realtime-Überwachung, die es ermöglicht, bei verdächtigen Aktivitäten direkt einzugreifen und einzelne Sessions zu beenden.

Um die mit privilegierten Benutzerkonten verbundene Sicherheitsproblematik in den Griff zu bekommen, sollte man eine Lösung implementieren, mit der diese Accounts automatisch verwaltet und überwacht werden können. Wenn man bei der Lösungsauswahl und -implementierung die genannten Aspekte berücksichtigt, kann man die Gefahren des Datenmissbrauchs und -diebstahls zuverlässig ausschließen. Außerdem erfüllt man damit die Anforderungen im Hinblick auf Revisionssicherheit, gängige Compliance-Vorschriften und gesetzliche sowie aufsichtsrechtliche Bestimmungen effizient und ohne hohen Administrationsaufwand.

Quelle: Cyber-Ark

Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark, hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

[datensicherheit.de, 05.03.2013] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) Edgar Wagner begrüßt die Freischaltung des „Open-Government-Data-Portals Rheinland-Pfalz“:
Er wünscht diesem Portal und den daran beteiligten Behörden eine breite und interessierte Nutzerschaft – mit der Aufnahme des Testbetriebs des rheinland-pfälzischen „Open-Government-Data-Portals“ werde ein erster wichtiger Schritt hin zu verstärkter Transparenz staatlichen Handelns getan, so Wagner. Mit Hilfe des Internets werde der Dialog zwischen Staat und Bürger erweitert und gesellschaftliche Politikbeteiligung erleichtert.
Auch der LfDI RLP, der das Projekt der Staatsregierung von Beginn an nachdrücklich unterstützt hat, leistete einen ersten Beitrag zum „Open-Government-Data-Portal“ und stellte zahlreiche Informationen und Dokumente aus dem Bereich der Informationsfreiheit dort ein, um sie allen Bürgerinnen und Bürgern frei und einfach zugänglich zu machen – weiteres Informationsmaterial auch aus dem Bereich des Datenschutzes werde in Kürze folgen.
Wagner betont aber auch, wie wichtig es sei, in den nächsten Wochen und Monaten möglichst viele öffentlichen Stellen – und insbesondere die rheinland-pfälzischen Kommunen – dafür zu gewinnen, Dokumente und Daten über das Portal frei zugänglich zu machen, um dem hohen Anspruch des Namens „Open-Government-Data-Portal“ gerecht zu werden. Diese neue Initiative der Landesregierung für mehr Transparenz habe am 5. März 2013 einen beeindruckenden Start hingelegt. Er freue sich schon darauf, als Informationsfreiheitsbeauftragter weitere Meilensteine der Öffnung staatlicher Stellen initiieren und unterstützen zu können, betont Wagner.

Weitere Informationen zum Thema:

Rheinland-Pfalz, DIE LANDESREGIERUNG
Willkommen auf dem Open-Government-Data-Portal Rheinland-Pfalz

[datensicherheit.de, 17.06.2012] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) begrüßt den Entwurf für ein Hamburger Transparenzgesetz, auf den sich die Bürgerschaftsfraktionen der SPD, CDU, GAL, FDP und DIE LINKE gemeinsam mit der Volksinitiative „Transparenz schafft Vertrauen“ geeinigt haben:
Dieses neue Transparenzgesetz schaffe nicht nur die Voraussetzungen für einen bürgerfreundlichen Informationszugang – Hamburg belege damit in Sachen transparente Verwaltung auch einen Spitzenplatz im Vergleich der Bundesländer. Entscheidend komme es nun künftig darauf an, dieses Gesetz mit Leben zu füllen und es in der Verwaltungspraxis auch wirksam
umzusetzen, so HmbBfDI Johannes Caspar.
Kernstück des Entwurfs ist das öffentliche Informationsregister, in das die Verwaltung zukünftig eine Vielzahl von Daten, Dokumenten, Statistiken, Verträgen und Vorschriften einstellt. Das Gesetz gibt konkret vor, welche Daten im Informationsregister zu veröffentlichen sind. In Zukunft können dann Bürgerinnen und Bürger ohne individuellen Antrag dort Einsicht nehmen und sich über das Verwaltungshandeln informieren. Auch die Grundlagen, die zu den Entscheidungen geführt haben, erfahren sie so aus Erster Hand. Für Interessierte ohne Internetzugang soll ein Zugang über öffentliche Terminals, zum Beispiel in den Bücherhallen, ermöglicht werden. Das Informationsregister bietet nicht zuletzt auch der Presse ganz neue Recherchemöglichkeiten. Weiter wird durch das Transparenzgesetz der antragsgebundene Informationszugang, der bisher durch das Hamburgische Informationsfreiheitsgesetz geregelt war, noch einmal ausgeweitet, indem die Ablehnungsgründe reduziert werden.
Allerdings kann der Zugang zu Informationen nicht völlig uneingeschränkt gewährt werden – wo persönliche Daten des Einzelnen und damit das informationelle Selbstbestimmungsrecht betroffen sind, muss eine Grenze gezogen werden. Der Schutz der Daten von Bürgerinnen und Bürger müsse gewahrt bleiben. Ihnen falle als Datenschutz- und Informationsfreiheitsbehörde die wichtige Aufgabe zu, bei der Umsetzung sowohl die Belange der Transparenz als auch des Datenschutzes miteinander auszugleichen. Hierfür würden sie sowohl den Bürgerinnen und Bürgern als auch den auskunftspflichtigen Stellen beratend und rechtswahrend zur Verfügung stehen, betont Caspar.

Auf dem diesjährigen „eGovernment“-Wettbewerb in Berlin habe die einheitliche Behördennummer 115 den ersten Preis in der Kategorie „Innovation“ gewonnen und sich damit gegen die starke Konkurrenz aus Österreich und der Schweiz durchgesetzt, berichtete hamburg.businesson.de am 09.11.2009:
Der Wettbewerb verfolge das Ziel, den Einsatz moderner Technologien in der öffentlichen Verwaltung zu stärken. 2009 habe es fünf Wettbewerbskategorien gegeben, in denen Bundes-, Landes und Kommunalverwaltungen aus Deutschland, Österreich und der Schweiz gegeneinander angetreten seien.
Seit etwas mehr als einem halben Jahr befinde sich die einheitliche Behördennummer 115 nun im Pilotbetrieb. Zu den Modellregionen gehörten neben Berlin, Hessen und Nordrhein Westfalen auch Hamburg. Die Jury habe das Projekt „D115“ als erstes übergreifendes Projekt von Bund, Ländern und Kommunen „mit großer Öffentlichkeitswirkung“ gewürdigt.

Quelle: hamburg.businesson.de, 09.11.2009
Originalartikel unter: Behördennummer 115 / Einheitliche Behördennummer 115 gewinnt Innovationspreis

Weitere Informationen zum Thema:

datensicherheit.de, 04.07.2009
Einheitliche Behördenrufnummer 115 ab 2010 auch in Frankfurt/Main / Datenbanken mit gesammeltem Behördenwissen der Republik erforderlich