Informationssicherheits-Management

Risiken minimieren, um Chancen zu nutzen

Im Dezember 2021 ist das Thema Informationssicherheit einmal mehr in den Fokus gerückt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte vor einer extrem kritischen Sicherheitslücke in einer Bibliothek für Java-Anwendungen, die weltweit mehrere Milliarden Computer für unerlaubte Zugriffe angreifbar macht. Über „Log4Shell“ – so der Name der Schwachstelle – konnte mit Hilfe einer einfachen Webanfrage ein Code eingeschleust werden, der dem Hacker unter Umständen die Kontrolle über das entsprechende System ermöglicht.

Eine besondere Bedrohung stellte „Log4Shell“ für Server und Rechenzentren dar, die Dienste übers Internet anbieten. Das Informationssicherheitsmanagement der HZD hat maßgeblich daran mitgewirkt, die Log4Shell- Schwachstelle zu schließen und somit ein Risiko für alle verantworteten Produkte und Services auszuschließen. Nach Vorgaben des Computer Security Incident Response Teams (CSIRT) wurden von unterschiedlichsten Fachbereichen die zum Schließen der Sicherheitslücke nötigen Updates und Konfigurationsänderungen vorgenommen. Durch die enge Abstimmung mit dem CERT-Hessen, dem Hessen CyberCompetenceCenter (Hessen 3C) und weiteren Stellen des Hessischen Ministeriums des Innern und für Sport konnten die zeitkritischen Aufgaben zur großen Zufriedenheit aller Beteiligten abgeschlossen werden.

Zertifizierungsvorhaben zentral managen

Um den steigenden Anforderungen der Landes- IT gerecht zu werden, hat die HZD im Rahmen einer gesamtheitlichen Strategie das Programm Zertifizierungsmanagement (Pro- Zert) gestartet. Besonderes Augenmerk liegt dabei auf dem Aspekt Informationssicherheit. Zur Etablierung geeigneter Prozesse, zur Vermittlung des benötigten Know-hows und zur praktischen Unterstützung der involvierten Teams wurde außerdem das Zentrale Zertifizierungsmanagement (ZZM) eingerichtet, das beim Informationssicherheitsmanagement der HZD angesiedelt ist. Das Aufbauprojekt hat seine Arbeit im November 2021 aufgenommen. Zur Erfüllung der Anforderungen, die das BSI an zu zertifizierende Verfahren stellt, kam auch das zentrale Logmanagement verstärkt zum Einsatz. Dieser bereits etablierte Service unterstützt die Betriebsteams bei Aufgaben, die zur Wahrung der Schutzziele Vertraulichkeit und Integrität das Definieren, Sammeln, Speichern und Auswerten von Protokolldaten erfordern.

Sicherheitskonzepte im Fokus

Die Basis für die Vielzahl neuer Aufgaben, die durch die fortschreitende Digitalisierung auf das Team Informationssicherheitsmanagement zukommen, wurde durch die Vorbereitung neuer Rahmenverträge geschaffen. Mit diesen wird u. a. die Zusammenarbeit mit externen Spezialistinnen und Spezialisten für die Erstellung von Sicherheitskonzepten geregelt, die für die meisten der HZDProjekte erforderlich sind.

Awareness-Kampagne zur Sensibilisierung

Neben den vielen technischen Maßnahmen und Einrichtungen zur Gewährleistung der Informationssicherheit bedarf es natürlich auch der organisatorischen Einbettung dieser Zielsetzung in den Geschäftsbetrieb. Die Notwendigkeit dafür leitet sich nicht zuletzt aus den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Grundschutz- Kompendiums des BSI ab. Ein wesentlicher Punkt dabei ist, das Bewusstsein zu etablieren, dass das Thema Informationssicherheit ausnahmslos alle angeht. Die Anforderungen erstrecken sich dabei sogar auf den Umgang mit Akten und anderen Unterlagen, die – möglicherweise bewusst – abseits der elektronischen Datenverarbeitung verwaltet werden. Ganz besonders trifft es aber auf den alltäglichen Umgang mit den Computern am Arbeitsplatz zu. In der IT-Branche hat sich hierfür der Begriff der „Awareness“ etabliert.

Um auch ihre Mitarbeiterinnen und Mitarbeiter zu sensibilisieren, bei denen Informationssicherheit nicht zu den Kernaufgaben gehört, hat die HZD eine breit angelegte Security- Awareness-Kampagne gestartet. Die Basis für das Konzept von #stayaware bildete eine Umfrage quer durch alle Abteilungen und Bereiche, um den bestehenden Informationsbedarf zu ermitteln. Um diesen entsprechend zu decken, wurden verschiedene Bausteine entwickelt, die nun als fester Bestandteil des HZD-Schulungsprogramms zum Einsatz kommen.

Die ersten Angebote des Maßnahmenpakets wurden 2021 umgesetzt. Den Auftakt der Aktionsreihe bildeten zwei Basisseminare, die die Aspekte Informationssicherheit und Datenschutz beleuchteten. Um allen Beschäftigten die Teilnahme zu ermöglichen, wurde eine ganze Serie von Online-Veranstaltungen angeboten. Ergänzend dazu konnten sich die HZD-Beschäftigten während der Awareness-Woche weiterbilden. Videos im Mitarbeiterportal gaben Tipps zum Umgang mit Phishing-Mails und anderen Praktiken des so genannten Social Engineering.

Aufgrund der sorgfältigen Abstimmung der Inhalte wurden die Veranstaltungen von den Teilnehmenden sehr gut angenommen und stießen auch bei der Finanzverwaltung und den Verantwortlichen für die Awareness- Planung auf Landesebene auf positive Resonanz. 2022 werden weitere Bausteine der Awareness-Kampagne in unterschiedlichen Formaten folgen. Neben fachspezifischen Informationen für die verschiedenen Aufgabengebiete soll es auch weiterhin Angebote für alle geben. Unter anderem ist eine Reihe von sogenannten „Learning Nuggets“ geplant – digitale Selbstlernangebote mit einer Bearbeitungszeit von zwei bis fünf Minuten, die entsprechend problemlos in den Arbeitsalltag eingebunden werden können.