Ich komme aus dem Bereich und ich interessiere mich für

Interviews

New Work in Behörden

"Wir sorgen ganzheitlich für eine sichere VS-NfD-Infrastruktur"

Praktikable und zugleich hochsichere Remote-Arbeitsumgebungen für als VS-NfD eingestufte Kommunikation aufzubauen, stellt eine besonders anspruchsvolle Aufgabe dar. Woran IT-Verantwortliche denken müssen, wie sie die neue Komplexität beherrschen und wie sich sichere, stabile Infrastrukturen effizient aufbauen lassen, erklärt Dominik Kammerloher, Strategic Sales Manager bei genua.

Herr Kammerloher, vor welchen Herausforderungen stehen IT-Sicherheitsverantwortliche im VS-NfD-Umfeld derzeit?

Dominik Kammerloher: An erster Stelle sehe ich die hohen Bedarfe in den Organisationen hinsichtlich Home Office und Telearbeit. Vor der COVID-19-Pandemie war das Arbeiten von unterwegs oder daheim bei Behörden und im Geheimschutzbereich eher eine Ausnahme. Insofern besteht nach wie vor ein enormer Aufholbedarf, für mehrere hundert oder gar tausend Mitarbeiter Remote-Kapazitäten zu schaffen. An dieser Stelle wird häufig die zweite große Herausforderung spürbar, der Ressourcenengpass in den Teams.

Aber es gibt einen dritten Punkt, der häufig zu spät berücksichtigt wird: über die IT-Perspektive hinaus die vielfältigen Anforderungen auf organisatorischer, technologischer und rechtlicher Ebene im Blick zu haben, die das "Remote Work" mit sich bringt. Und ihre Zusammenhänge zu verstehen. Zwar können Technologien zum Beispiel bei der Überwachung der Infrastrukturen für Entlastung sorgen. Das darf aber nicht losgelöst von anderen Sicherheitsaspekten vorangetrieben werden.

Wie verändert dieser Perspektivenwechsel den Aufgabenbereich der IT Security?

Dominik Kammerloher: Ein gutes Beispiel ist der dienstliche Laptop, der bislang für den Einsatz in unterschiedlichen Standorten, aber nicht für das Home Office vorgesehen war. Jeglicher Austausch mit der Dienststelle, sei es über Videokonferenzen, E-Mail oder interne Arbeitsprogramme, muss die VS-NfD-Sicherheitskriterien erfüllen. Bereits hier stellen sich eine Menge neuer, wichtiger Fragen: Sollte man die Geräte nachrüsten? Oder besser gleich neue Hardware einkaufen, da nun ohnehin viele Mitarbeiter für die Arbeit im Home-Office-Einsatz neu ausgerüstet werden müssen? Wie erweitert man das Netzwerk der Organisation technisch so, dass es den geschützten Zugriff einer drei- oder vierstelligen Zahl neuer Geräte abbilden kann? Entspricht die VPN-Verbindung im Home Office der Mitarbeiter den rechtlichen Vorgaben der Behörde?

Remote Work erfordert von der IT Security, technologische Lösungswege auf organisationale und rechtliche Rahmenbedingungen abzustimmen.


Dabei haben wir noch gar nicht über die Mitarbeiter selbst gesprochen, deren Arbeitsabläufe sich erheblich verändern. Dies wirft weitere sicherheitsrelevante Fragen auf: Was geschieht mit dem Laptop nach Dienstschluss? Wie funktionieren User-Support und Softwareupdates per Fernzugriff der IT-Abteilung? Für die IT und IT Security verschärft sich das genannte Kapazitätsproblem damit natürlich zusätzlich.

Außerdem sind rechtliche Vorgaben wie der IT-Grundschutz und VS-NfD-Richtlinien zu beachten …

Dominik Kammerloher: So ist es. Allerdings sind diese als Orientierungsrahmen zu verstehen, um aktiv zu werden. Sie enthalten keinen Blueprint für das ideale mobile VS-NfD-System. Dessen Gestaltung hängt auch vom technologischen und prozessualen Reifegrade der Organisation ab. Erschwerend kommt hinzu, dass die gesetzlichen Vorgaben nicht immer deckungsgleich sind. Zum Beispiel unterscheiden sich die Vorgaben des Bundes für seine eigenen Behörden von denen, die ein Land seinen Behörden zum VS-Schutz macht. Im Falle geheimschutzbetreuter Unternehmen können Wirtschaftsministerien mit zusätzlichen eigenen Vorgaben eine weitere Rolle spielen.
Als adäquate IT-Security-Technologie hat das BSI übrigens schon vor längerer Zeit den Einsatz von Detection-Systemen empfohlen. Aber einerseits sind diese Systeme rein technisch sehr komplex strukturiert und daher schwierig zu implementieren. Und andererseits ist nicht klar, wie die Behörde bzw. die IT-Verantwortlichen konkret vorgehen müssten. Neben dem IT-Grundschutz gibt es schließlich noch eine Zulassungsanforderung und Anschlusspflichten für die Regierungsnetze.

Die Menge der Vorgaben kann die Entwicklung einer IT-Sicherheitsstrategie für Remote Work eher erschweren als unterstützen. Wie sollte man mit dieser Situation umgehen?

Dominik Kammerloher: "Slice the elephant" – die Komplexität in kleine Teilprobleme zu zerlegen und somit Schritt für Schritt aufzulösen, ist unserer Erfahrung nach fast immer die richtige Vorgehensweise. Also z.B. je Prozess, System, Verantwortlichkeit herunterbrechen: Was ist die konkrete Konsequenz der Verordnung oder des Gesetzes in der praktischen Umsetzung? Etwa eben beim Einsatz der Dienstlaptops im Home Office.

Das hilft, um als Grundlage ein eigenes Bild zu skizzieren, in welchen Handlungsfeldern man mit welcher Priorität aktiv werden sollte. Hier wird man recht schnell feststellen, dass es wie gesagt nicht nur um IT-Lösungen geht, sondern zusätzliche Expertise zu Compliance-, Risk-, Prozess- und weiteren sicherheitsrelevanten Themen notwendig ist. Dazu braucht man Partner, die diese Themengebiete inhaltlich beherrschen. Nur so lässt sich letztendlich eine schlüsselfertige, bedarfsgerechte Lösung entwickeln.


Slice the elephant! Wer die Komplexität rechtlicher Vorgaben in kleine Teilprobleme zerlegt erkennt schneller, was mit welcher Priorität zu tun ist, um die Vorgaben zu erfüllen.


Inwiefern unterstützt genua dabei, sichere und stabile VS-NfD-Arbeitsprozesse im Remote Work aufzubauen?

Dominik Kammerloher: Wir sorgen ganzheitlich für eine sichere Infrastruktur. Das bedeutet, dass wir eben nicht nur IT Security Tools liefern, sondern unsere Kunden dabei unterstützen, ein sicheres Telearbeit Service System nach ihrer individuellen Anforderungslage zu konzipieren und zu realisieren. Unser Anspruch ist, eine schlüsselfertige, hochperformante Infrastruktur zu übergegeben. Die hohe Leistungsfähigkeit hat für uns sowohl beim Schutz der Daten als auch bei der Anwendungsfreundlichkeit der Security Tools oberste Priorität. Dabei bringen wir neben technologischer Expertise – zum Beispiel zum Netzwerkaufbau und VPN Verschlüsselung – unsere Erfahrungen aus vielen VS-NfD-Projekten bei staatlichen Institutionen und Unternehmen im Geheimschutzbereich mit ein, wie Compliance-Anforderungen rechtssicher erfüllt werden.