Prozessdigitalisierung mit Hilfe der Cloud So wappnen sich deutsche Behörden für Digitalisierung und Cybersicherheit

Ein Gastbeitrag von David Friend*

Anbieter zum Thema

Veraltete Faxgeräte, Papierakten, analoge Umlaufmappen: Prozessdigitalisierung im öffentlichen Sektor ist notwendig, um Bürgern einen modernen und sicheren Service zu bieten, der sie und die Ämter gleichermaßen entlastet. Für das Handeln der Verwaltung sind dazu der digitale Datenaustausch und remotes, kollaboratives Arbeiten entscheidend.

Die Modernisierung der IT-Infrastruktur im öffentlichen Sektor spart den Verwaltungen nicht nur erhebliche Kosten, sondern erhöht auch die Cybersicherheit.
Die Modernisierung der IT-Infrastruktur im öffentlichen Sektor spart den Verwaltungen nicht nur erhebliche Kosten, sondern erhöht auch die Cybersicherheit.
(Bild: rogerphoto - stock.adobe.com )

Seit Jahren zeigen Mittelstand und Behörden in Deutschland deutliche Rückstände in Sachen Prozessdigitalisierung auf: Die deutsche Verwaltung belegt in der aktuellen EU-Auswertung „Digital Economy and Society Index 2021“ im Bereich der öffentlichen Dienstleistungen für Bürger gerade mal Rang 18 von 28 Länderbeteiligten. Bei digitalen Angeboten für Unternehmen hingegen macht Deutschland auf immerhin Platz zwölf eine etwas bessere Figur. Was muss sich also tun?

Zeitgemäße Verwaltung braucht Cloud-Computing

Innerhalb der sechzehn deutschen Bundesländer ist man sich bereits einig, dass die Lösung in einer souveränen Verwaltungscloud liegt. Zwar gab es bereits im Rahmen der „IT-Konsolidierung Bund“ frühere Anstrengungen zum Aufbau einer Bundes-Cloud, allerdings ist eine flächendeckende Nutzung bisher nicht der Fall.

Doch gerade in der Verwaltung kämpft Deutschland mit enormen Hürden: Eine massive Hürde ist die Budgetierung bei der Weiterbildung von Mitarbeitenden in der Administration. Mit gerade einmal 418 Euro im Jahr ist das Budget pro Person für entsprechende Maßnahmen knapp bemessen. Das zeigt ein aktuelles Paper vom Stifterverband in Zusammenarbeit mit McKinsey & Company. Zum Vergleich: In Unternehmen ist das Budget mit 974 Euro pro Person im Jahr mehr als doppelt so hoch.

Eine weitere, maßgebliche Herausforderung beim Aufbau einer modernen Cloud-Infrastruktur ist, dass für Einrichtungen des öffentlichen Sektors andere Regelungen als für Unternehmen gelten: Durch den Cloud Act und das Schrems-II-Urteil des EuGHs verhindern datenschutzrechtliche Anforderungen bisher die Nutzung von Service-Angeboten außerhalb der EU. Der Grund: Als Public Cloud können außereuropäische Anbieter die Trennung der Datensynchronisierung nicht in dem Maße garantieren, wie es für die öffentliche Hand und für die Erfüllung hoheitlicher Aufgaben erforderlich wäre. Zuletzt gab es jedoch einen Vorstoß zum Aufbau einer souveränen Cloud-Plattform für den öffentlichen Sektor unter Beteiligung von Hyperscalern.

Ransomware-Angriffe erreichen Höchstwert

Doch nicht nur aus Service- und Modernisierungsgründen, sollten sich deutsche Behörden immer weiter in Richtung Cloud-Computing entwickeln. Auch vor dem Hintergrund der Cybersicherheit sollte die Verwaltung veraltete Systeme überdenken. Aktuell sind viele Kommunen nicht ausreichendem gegen Cyberattacken geschützt: So wies das Bundesamt für Sicherheit in der Informationstechnik (BSI) für 2021 einen rasanten Anstieg von Schadprogrammen aus und verzeichnete mit bis zu 553.000 neuen Varianten pro Tag den höchsten jemals gemessenen Wert.

Neben finanziellen Schäden bedeutet ein erfolgreicher Cyberangriff auf Verwaltungen auch, dass sensible Daten verloren gehen oder veröffentlicht werden können. Darüber hinaus besteht das Risiko, dass wichtige Dienstleistungen der öffentlichen Verwaltung nur eingeschränkt wahrgenommen werden können. Dies ist etwa die Folge von Ransomware-Angriffen, bei denen Schadprogramme unbemerkt auf dem Computer einer fremden Person installiert werden. Sie werden häufig über E-Mail-Anhänge oder Download-Links in E-Mails, Social-Media-Accounts oder auf Webseiten versteckt. Für die Freigabe von Programmen oder Systemen wird ein Lösegeld gefordert.

Diversifizierte Sicherungsstrategie zum Schutz sensibler Daten

Um sich vor Cyberattacken und dem Risiko von Datenverlusten verursacht durch Mitarbeitende zu schützen, sind entsprechende Präventivmaßnahmen essenziell. Mit diesen schützen Behörden sich nicht nur vor gezielter Manipulation, sondern ebenfalls vor unbeabsichtigten Pannen wie Störungen, Ausfällen oder Bedienungsfehlern. Eine entscheidende Maßnahme ist die Anfertigung von Backups. Doch so wichtig Backups sind, bieten sie allein noch keinen ausreichenden Schutz vor Cyberattacken.

Damit das Risiko von Datenverlusten durch Cyberangriffe so gering wie möglich gehalten wird, ist ein diversifizierter Strategieansatz für Datensicherung ratsam:

Unveränderliche Speicheroptionen nutzen: Eine strikte Trennung zwischen aktiven Daten und Sicherungskopien ist zwingend erforderlich, um einen Datenverlust zu verhindern. Einer der effektivsten Schutzmaßnahmen gegen Ransomware-Angriffe ist das Kriterium der Unveränderbarkeit von Daten. Durch die Unveränderbarkeit von Daten sind sämtliche Informationen, die sich einem Datencontainer befinden, während einer bestimmten Aufbewahrungsdauer vor Änderungen oder Löschungen durch Dritte geschützt. Solche unveränderlichen Buckets in Cloud-Speichern können dadurch von niemandem manipuliert oder verändert werden. Nicht einmal ein Systemadministrator kann einen gesperrten unveränderlichen Bucket bearbeiten. Zusätzlich lassen sie sich so konfigurieren, dass Daten nach Ablauf bestimmter Aufbewahrungszeiträume gelöscht werden. Unveränderliche Kopien von sensiblen Daten in der Cloud zu speichern, minimiert daher das Risiko vor Ransomware-Angriffen – und damit einen Datenverlust.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

3-2-1-Regel als Orientierung, um Verlustrisiko zu minimieren: Verwaltungen sollten immer mindestens drei verschiedene Sicherungskopien der gleichen Daten aufbewahren. Um das Risiko zu streuen, sollten diese geografisch voneinander getrennt werden. Das heißt: Zwei Sicherungskopien sollten auf unterschiedlichen Medienformate aufgeteilt werden und eine Kopie sollte sich außerhalb der jeweiligen Behörde befinden. Die Aufbewahrung eines Backups außerhalb der eigenen Organisation ist von entscheidender Bedeutung, da diese physisch getrennte Lagerung einen größeren Datenschutz bedeutet, das Risiko von Datenunterbrechungen verringert und eine höhere Sicherheit gewährleistet. Dazu können Unternehmen zum Beispiel die Backup-Lösungen eines Cloud-Storage-Anbieters in Anspruch nehmen, der die behördlichen Richtlinien bei Datenschutz und -sicherheit erfüllt. Durch die Kombination eines dedizierten Speichersystems vor Ort für die lokale Sicherung und seiner regelmäßigen Synchronisierung mit einem Cloud-Backup-Dienst wird die Datenkontinuität aufrechterhalten und die Gefahr, dass eine Störung alle Quellen ausschaltet, deutlich verringert.

Hybride Cloud-Strategie einsetzen, um Störungen und Ausfälle zu vermeiden: Bei einer hybriden Cloud-Strategie kann ein lokales Speichersystem für Vor-Ort-Backups mit einem Cloud-Backup-Service kombiniert werden. Fällt der lokale Speicher aus, stellen regelmäßig synchronisierte und aktualisierte Cloud-Backups die verlorenen Daten wieder her. So wahren Behörden ihre Geschäftskontinuität. Eine zusätzliche, unveränderliche Datenspeicheroption verhindert, dass Personen, egal ob aus der eigenen Administration oder auf Dienstleisterseite, die gespeicherten Daten verändert oder löscht. Falls der hybride Strategieansatz kein eigenes Rechenzentrum berücksichtigt, sollten Behörden bei der Zusammenarbeit mit externen Anbietern darauf achten, dass es sich um verschiedene Dienstleister handelt, die an unterschiedlichen Orten sitzen. Auf diese Weise lässt sich vermeiden, dass Hacks oder Softwarefehler in einem System zu einem weitreichenden Datenverlust führen.

Mut zur Moderne!

Deutsche Verwaltungen kämpfen seit Jahren mit fehlender Prozessdigitalisierung. Im Vergleich zu Unternehmen in der freien Wirtschaft, fehlt es an Weiterbildungsbudgets, um Mitarbeitende zu schulen – und sie mit neuem Wissen maßgeblich an der Verbesserung digitaler Angebote zu beteiligen. Andererseits gelten für Behörden andere gesetzliche Voraussetzungen, um eine Cloud-Strategie auf die Beine zu stellen. Zwar sind sich die Bundesländer zu einer cloud-basierten Strategie einig, werden jedoch durch die Gesetzgebung ausgebremst.

Folglich müssen Digitalisierungsanstrengungen durch alle Beteilige erhöht werden. So kann nicht nur die IT-Infrastruktur im öffentlichen Sektor modernisiert werden, sondern Verwaltungen sparen zusätzlich erhebliche Kosten. Um Sicherheitsrisiken zu minimieren, müssen entsprechende Maßnahmen wie die Anfertigung von Backups und unveränderliche Speicherungsoptionen implementiert werden. Denn nur mit einer ganzheitlichen Modernisierungs- und Sicherheitsstrategie kann das Ziel einer modernen, effizienteren Verwaltung erreicht werden, die die Grundlage für eine schnellere Kommunikation auch über interne Behördengrenzen hinweg bildet.

* Über den Autor
David Friend ist Mitbegründer und CEO von Wasabi Technologies, ein US-amerikanisches Hot-Cloud-Storage-Unternehmen, welches seinen Kunden eine schnelle, zuverlässige und kostengünstige On-Demand-Lösung zur Cloud-Speicherung anbietet. Als erfahrener Serienunternehmer hat David Friend insgesamt sieben Technologie-Startups gegründet, darunter neben seinem ersten Unternehmen ARP Instruments, gründete Friend fünf weitere (mit): ComPictures Corporation, Pilot Software, Faxnet, Sonexis und Carbonite. David Friend machte seinen Abschluss in Yale und besuchte die Princeton University Graduate School of Engineering, wo er ein David Sarnoff Fellow war.

Bildquelle: Wasabi Technologies

(ID:48486475)