Cisco Blog Deutschland

3x Digital: Im Gespräch mit Lars Kukuk

3 min read



Das Thema Cybersicherheit hat gerade in den letzten Jahren an enormer Bedeutung gewonnen. Dabei müssen sich nicht nur Wirtschaftsunternehmen vor Angriffen durch Cyberkriminelle schützen, auch Behörden und öffentliche Organisationen müssen sich schützen. Warum dies so wichtig ist und was dabei zu beachten ist, dazu haben wir im aktuellen Deutschland Digital Expertentalk mit Oberstaatsanwältin Jana Ringwald und dem Chief Security Information Officer der Bundesagentur für Arbeit (BA) Lars Kukuk gesprochen. Im Anschluss haben wir nochmals mit Lars über das Thema Cybersecurity bei der BA und allgemein gesprochen. Die wichtigsten Erkenntnisse:

  1. IT-Sicherheit ist Vorstandssache.
  2. Cybersecurity wird auch 2023 weiter an Bedeutung gewinnen.
  3. Zero-Trust ist das Gebot der Stunde.

Hier das ganze Gespräch. 

Welche Bedeutung hat das Thema Cybersecurity bei der Bundesagentur für Arbeit?

IT-Sicherheit nimmt einen elementaren Part in der Geschäftspolitik ein und ist ein wichtiger Bestandteil für die Erfüllung des gesetzlichen Auftrags der Bundesagentur für Arbeit (BA). Als Betreiberin einer kritischen Infrastruktur unterliegt die BA den gesetzlichen Vorgaben des BSI-Gesetzes, weshalb die IT-Infrastruktur auch durch verbindlich umzusetzende Rechtsvorgaben im Fokus liegt. Besondere Bedeutung hat Cybersecurity für den Vorstand der BA: Hier liegt die Gesamtverantwortung für die Informationssicherheit. Der Vorstand agiert in Vorbildfunktion für alle Mitarbeitenden und stellt dem Bereich der Informationssicherheit benötigte personelle und finanzielle Ressourcen zur Verfügung.

Wie hat sich die BA aufgestellt, um sich vor Cyberangriffen bestmöglich zu schützen?

Um ein angemessenes Informationssicherheitsniveau zu erreichen bedarf es einer angemessenen organisatorischen Struktur. Der Bereich der IT-Sicherheit der Zentrale als Governance-Einheit übernimmt die Führung und hat durch den Vorstand der BA die Richtlinienkompetenz übertragen bekommen.

Das operative IT-Sicherheitsmanagement im IT-Systemhaus ist für die Umsetzung bzw. Einhaltung der Vorgaben der Informationssicherheit der Zentrale verantwortlich. In dieser Organisationseinheit werden Bedrohungsszenarien beobachtet und Handlungskonsequenzen abgeleitet. Das Application Security Competence Center beaufsichtigt die Berücksichtigung von Anforderungen der Informationssicherheit bereits im Softwareentwicklungsprozess, sodass bereits bei der Entwicklung ein präventiver Ansatz für datenschutzkonforme und sichere Produkte gewählt wird. Im Security-Management werden alle operativen Themen bearbeitet. Es unterstützt beispielswiese bei der Erstellung von IT-Sicherheitskonzepten nach BSI-Standards 200-2 und 200-3 oder kümmert sich um den geordneten Ablauf und die Nachhaltung bei etwaig auftretenden IT-Sicherheitsvorfällen. Der gesamte Verbund der Informationssicherheit arbeitet eng zusammen. Prozesse und Abläufe innerhalb dieser Struktur befinden sich fortlaufend in Weiterentwicklung.

Das größte Einfallstor für Cyberangriffe stellt der Faktor Mensch dar. Die BA hat daher eine Awarenesskampagne für die Sensibilisierung der Mitarbeitenden erarbeitet und diese mit einem eigenen Budget ausgestattet. Zur Kampagne gehört auch der Aufbau einer Kommunikationsstruktur, um wichtige Informationen zielgerichtet und schnell in der Organisation streuen zu können. So gibt es in allen Dienststellen der Agentur für Arbeit Informationssicherheitsverantwortliche, welche als Multiplikatoren und als erste Ansprechpartner vor Ort im Einsatz sind.

Neben der organisatorischen Struktur müssen angemessene IT-Sicherheitsmaßnahmen umgesetzt werden, welche wirksam, geeignet und praktikabel sind. Die Zero-Trust-Strategie wird durch die voranschreitende Digitalisierung und für einen sicheren Cloudeinsatz in der öffentlichen Verwaltung zur grundlegenden IT-Unternehmensphilosophie. Im Rahmen der Allgefahrenabwehr wird ein proaktiver Ansatz in der Informationssicherheit verfolgt, daher sind die durch den Einsatz von Clouddiensten veränderten Bedrohungsszenarien bereits im Fokus. Der Schlüsselfaktor wird zukünftig die kontinuierliche Verifizierung und Visibilität sämtlicher Aktivitäten im eigenen Netzwerk sein.

Welche Entwicklungen sehen und erwarten Sie für 2023?

Im Jahr 2022 kam es vermehrt zu Sabotageakten gegen wichtige kritische Infrastrukturen in Deutschland. Im Zusammenhang mit dem Ukrainekonflikt und den wachsenden Spannungen zwischen den USA und China gehen wir von einer weiterhin angespannten Bedrohungslage mit steigender Tendenz aus. Vor allem Betreiber kritischer Infrastrukturen werden noch stärker in den Fokus internationaler Akteure bzw. Angreifer geraten. Auch in Anbetracht des Klimawandels einhergehend mit immer extremeren Wetterphänomenen verändern sich Bedrohungsszenarien.

Demzufolge arbeitet die Politik am KRITIS-Dachgesetz, welches im Koalitionsvertrag vereinbart wurde. Hieraus werden sich neue Aufgaben für Betreiber Kritischer Infrastrukturen ergeben, um den physischen Schutz dieser noch besser absichern zu können.

Durch die global angespannte politische Situation werden Lieferketten und geopolitische Risiken eines der Hauptthemen für die Informationssicherheit darstellen.

Die Zero-Trust-Strategie und die damit verbundene Sicherheitsarchitektur der IT-Infrastruktur wird die Informationssicherheitsprozesse für alle Behörden und Unternehmen definieren.

Der Wandel der Softwareentwicklung zu einer Agilen Entwicklungswelt wird ein weiteres wichtiges Thema sein. Der DevSecOps-Ansatz wird weiter an Bedeutung gewinnen. Die Aspekte der Sicherheit werden im Jahr 2023 aufgrund der bekannten globalen Situation immer wichtiger, wodurch dieser ganzheitliche Ansatz zu einem geschäftskritischen Prozess vieler Behörden und Unternehmen heranwachsen wird. Aufgrund der Digitalisierung und Cloudifizierung von Behörden und Unternehmen wird zudem die Cloud-Security zukünftig einen wesentlichen Bestandsteil der Cybersicherheitsstrategie darstellen. Durch immer variabler werdende Angriffsmöglichkeiten und die damit verbundene notwendige schnelle Reaktionszeit wird die Automatisierung im Bereich der Security Operations weiter ausgebaut werden müssen.

Authors

Susanne Fleissner

Direktorin Bundesbehörden

Öffentlicher Sektor Deutschland

Kommentar hinterlassen