Sicher mobil arbeiten in Behörden – auch für VS-NfD

Magazin Remote Arbeiten

Mobile Arbeitsplätze auch für Behörden? Das war vor wenigen Wochen für einige Organisationen noch undenkbar. Inzwischen ist klar: Wer die Arbeitsfähigkeit seiner Behörde erhalten will, kommt um Remote Work nicht herum. Bei der Einrichtung der mobilen Arbeitsplätze sollten IT-Sicherheit und organisationsspezifische Bedingungen im Mittelpunkt stehen.

Flexibel und trotzdem geschützt

Mobiles Arbeiten bietet auch Behörden viel Flexibilität, stellt aber gleichzeitig vielfältige Anforderungen an die IT-Sicherheit und benötigt organisationsspezifische Lösungen. Vor allem, wenn Informationen bearbeitet werden sollen, die einer Geheimhaltungsstufe unterliegen.

Krisenbedingt werden Dienste und Software genutzt, die unsicher und datenschutzrechtlich nicht akzeptabel sind.
Quelle: Maja Smoltczyk, „Berliner Beauftragte für Datenschutz und Informationsfreiheit“

Auch Remote-Lösungen sollten – so wie die eigentlichen Arbeitsplätze in Behörden – allen Sicherheitsvorgaben der Organisation entsprechen. Denn Videokonferenzen, Cloud-Anwendungen und mobile Endgeräte bieten zwar Vorteile bei der dezentralen Zusammenarbeit, sind aber gleichzeitig auch Einfallstore für Angriffe von Cyber-Kriminellen.

Im Mai 2020 warnte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk1, dass sich bei der Nutzung digitaler Kommunikationstools innerhalb von und zwischen den Verwaltungseinheiten der Hauptstadt Wildwuchs breitmache und die Sicherheit von Bürgerdaten gefährde – schlichtweg weil sichere Angebote fehlen würden. Krisenbedingt würden Dienste und Software genutzt, die „unsicher und datenschutzrechtlich nicht akzeptabel“ seien. Sie warnte davor, dass die aktuelle Ausnahmesituation die Nutzung „derart bedenklicher Dienste“ verstetige und so zu einer „Reduzierung datenschutzrechtlicher Standards“ führen könne.

In vielen Organisationen müssen die Mitarbeiter bei der mobilen Arbeit private Geräte nutzen, weil der Arbeitgeber nicht ausreichend dienstliche Geräte zur Verfügung stellen kann. Oftmals sind private Geräte aber veraltet, die Router unsicher und die WLAN-Verbindungen nicht angemessen geschützt. Wenn darüber hinaus eingestufte Informationen bis hin zu VS-NfD (Verschlusssache – nur für den Dienstgebrauch) mobil verarbeitet werden sollen, steigt die Komplexität und Schutzanforderung.

Angesichts höchst unterschiedlicher Nutzungs- und Sicherheitsanforderungen kann es für Behörden keine „One fits all“-Universallösung geben. Ein guter Ansatz ist, die Maßnahmen für das mobile Arbeiten modular aufzubauen und auf ihren jeweiligen Einsatzzweck spezifisch auszurichten. Sollen Daten bis einschließlich der Geheimhaltungsstufe VS-NfD bearbeitet werden, müssen die Lösungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen sein.

Modulare Lösungen für jede Anforderung

Vor allem folgende Aspekte sollten mitgedacht werden:

Sichere Geräte

In jedem Fall muss der Laptop gesichert werden. Manche Geräte bieten sogar zwei getrennte Arbeitsumgebungen – eine für gewohnte Anwendungen wie Browser, E-Mail-Programm und Textverarbeitung, die andere ausschließlich zum Transfer, zur Bearbeitung und zur Speicherung sensibler Daten. Dies ermöglicht sicheres mobiles Arbeiten in der öffentlichen Verwaltung – bis hin zu VS-NfD.

Sicherer Zugriff

Für die meisten mobilen Arbeiter ist es notwendig, sich mit dem behördlichen Netzwerk zu verbinden, um auf Daten und Dokumente zugreifen und sie bearbeiten zu können. Dabei muss der Weg vom Endgerät zum Behördennetz ebenso gesichert werden wie der Zugriff auf die Daten. Dafür kann beispielsweise eine Smartcard oder Hardware wie die genucard verwendet werden, die an das mobile Gerät via VPN angebunden wird und auf der eine VPN-Software und eine Firewall installiert sind – beides BSI-zugelassen. Zusätzlich enthält die genucard ein Lesegerät für eine sichere Authentifizierung mittels Smartcard und PIN.

Für das Log-in empfiehlt sich eine Zwei-Faktor-Authentifizierung. Zentral gemanagte Client-Systeme oder ein sicherer virtueller Desktop haben den Vorteil, dass die Mitarbeiter nahtlos – sowohl für den Regelbetrieb am Standort als auch für das mobile Arbeiten  – ausgerüstet sind. Mit einer solchen Lösung wird vermieden, dass Mitarbeiter Daten auch auf der lokalen Festplatte ihres Geräts speichern, und sie hilft zudem, Belastungsspitzen abzufedern. Manche Lösungen unterbinden automatisch, dass Daten außerhalb der virtuellen Umgebung geteilt werden können.

Sicherer Datenaustausch

Um Daten jederzeit schnell austauschen und im Team bearbeiten zu können, eignen sich Cloud-Lösungen. Auch hier muss die Sicherheit oberste Priorität haben. Die Daten sollten bereits auf dem Laptop des Remote Workers verschlüsselt werden. Lösungen, die die RAIC-Technologie (redundante Anordnung unabhängiger Cloud-Speicher) nutzen, machen die Daten besonders sicher. Damit bleiben Behörden Compliance-konform und revisionssicher.

Sichere Verschlüsselung

E-Mails können mit Zertifikaten verschlüsselt und signiert werden. Denn insbesondere vertrauliche und sensible Informationen in der öffentlichen Verwaltung müssen vor unberechtigtem Zugriff geschützt werden und sowohl Sender als auch Empfänger einer E-Mail müssen zweifelsfrei authentifiziert werden können. Sowohl E-Mails als auch Dateien können auf höchstem Sicherheitsniveau – bis VS-NfD – verschlüsselt und signiert werden. Eine starke Schutzmethode für den E-Mail-Versand ist die sogenannte Ende-zu-Ende-Verschlüsselung. Dabei werden die Informationen auf dem System des Absenders verschlüsselt. Ausschließlich der beabsichtigte Empfänger ist in der Lage, die Nachricht zu entschlüsseln und zu lesen. Das verhindert, dass Kriminelle sie abfangen und ausspähen oder manipulieren können. Wenn die Verschlüsselungssoftware in die gewohnte Arbeitsumgebung, wie etwa Outlook oder Notes, integriert ist, sind die Lösungen besonders einfach zu bedienen.

Sichere digitale Unterschrift

Eine Fernsignatur ermöglicht Behörden, Dokumente mobil, sicher und rechtskonform digital zu unterschreiben. Dafür braucht man heute nur noch ein internetfähiges Endgerät und ein Mobiltelefon, um die Signatur zu autorisieren. Signatur-Karten und Karten-Lesegeräte oder gar Umlaufmappen und analoge Zeichnungsläufe sind passé.

Sichere Bausteine für mobiles Arbeiten unterstützen Behörden dabei, den Zugriff und Austausch von vertraulichen und sensiblen Daten effektiv zu schützen. So lassen sich moderne, flexible mobile Arbeitsformen in der öffentlichen Verwaltung schnell und sicher einführen.

1Quelle: Tagesspiegel Background, 6. Mai 2020.

Magazin-KI-Observatorium
Magazin-KI-Observatorium
Digitale Transformation

Vorher gestalten statt „Hinterher-Regieren“

Digitale Transformation

Mehr Power für die ENISA

Der jährliche European Cyber Security Month (ECSM) sensibilisiert für Gefahr von Cyberangriffen. Welche Rolle spielt dabei die ENISA?

Cyberkriminalität

Cyberkriminalität: Die Bedrohungslage ist ernst

Die Digitalisierung macht unser Leben bequemer – doch mit der zunehmenden Vernetzung steigt auch die Gefahr von Hackerangriffen und Trojanern. Die Beeinflussung der US-Wahl und Sicherheitslücken wie Spectre und Meltdown waren erst der Anfang – was wir jetzt ändern müssen.