topeins 3/2022

passiert, wie Udo Pawelczyk, Pres- sesprecher der Kreisverwaltung Anhalt- Bitterfeld, berichtet: „Wir tun alles, um die Vorgaben des Bundesamtes für Si- cherheit in der Informationstechnik, kurz BSI, zu erfüllen. Dazu gehört die Einfüh- rung einer Zwei-Phasen-Authentifizie- rung. Zudem lassen wir keine externen Geräte mehr zu. Der Stick von zu Hause ist verboten. Es gibt Beschränkungen bei der WLAN-Nutzung undwir arbeiten mit Exchange-E-Mail-Servern.“ Hier sind Mails verschlüsselt und vor dem Zugriff Dritter geschützt. Sowohl bei der Schadensregulierung als auch beim Neuaufbau ihrer IT griff die Kreisverwaltung auf externe Sachver- ständige zurück. „Zudem ist der Fach- bereich Informationstechnik und Di- gitalisierung jetzt direkt dem Landrat unterstellt. Auch wurde die Stelle des Informationssicherheitsbeauftragten geschaffen“, so Pawelczyk. IT-Kompetenz bei allen Beschäftigten aufbauen Der Kreisverwaltung war klar: Ein wei- terer wichtiger Hebel für eine höhere IT- Sicherheit sind die Beschäftigten selbst. Sie müssen genau wissen, wie sie sich sicher im Internet und in IT-Systemen verhalten. Anhalt-Bitterfeld setzt dabei auf Dienstanweisungenund Schulungen. „Für alle Beschäftigten gilt eine neu er- stellte Dienstanweisung zur Gewähr- leistung der Informationssicherheit. Sie regelt unter anderem, was erlaubt ist und was nicht, und steht der gesamten IT-Sicherheitsvorfall: Was tun? bsi.bund.de > IT-Sicherheitsvor- fall > Unternehmen » Belegschaft zur Verfügung. Die Inhalte der Dienstanweisung sowie Änderun- gen werden in regelmäßig stattfinden- denDienstbesprechungen vermittelt und erläutert“, erklärt Pawelczyk. Trotz aller Bemühungen steht fest: Eine hundertprozentige Sicherheit kann es nie geben – dennoch gilt es einen Total- ausfall in Zukunft unbedingt zu verhin- dern. Pawelczyk findet klareWorte: „Wir können nur jeder Verwaltung raten, das Problemsehr ernst zunehmen. Dazu soll- ten sie die notwendigen personellen und auch finanziellen Ressourcen vorhalten. Und natürlich sollte man sich an Stan- dard-Vorgaben des BSI halten.“ Datenlecks sind in der Regel meldepflichtig Führungskräfte sollten selbst IT-Schu- lungen besuchen, die vorgeschriebenen Sicherheitsregeln umsetzen und wis- sen, was bei einer Datenpanne zu tun ist. Laut Datenschutz-Grundverordnung (DSGVO) muss nämlich eine „Schutz- verletzung personenbezogener Daten“, etwa ein unbefugter Zugang oder eine unbefugte Offenlegung, bei der zustän- digen Aufsichtsbehörde (je Bundesland) gemeldet werden. Unter Umständen sind zudem die Betroffenen zu informieren. Wie nach einem Sicherheitsvorfall zu handeln ist, erfahren Führungskräfte etwa beim BSI. Die Kreisverwaltung Anhalt-Bitterfeld erhielt nach geglücktem Hacker- angriff Hilfe von der Bundeswehr. Bundeswehr/Marko Zörner 22 VERANTWORTLICH FÜHREN top eins 3 | 2022 GUT ZU WISSEN Häufige Arten von Cyber-Angriffen Bei einem Denial-of-Service- Angriff (DoS-Angriff ) bombar- dieren angreifende Personen ein IT-System mit so vielen Anfragen, dass das System sie nicht mehr bewältigen kann. Dadurch wird es außer Betrieb gesetzt. Phishing-Angriffe geschehen via E-Mails, die persönliche Informationen abgreifen oder zu einer bestimmten Hand- lung verleiten wollen. Häu- fig enthalten Phishing-Mails Anhänge, über die Schadsoft- ware auf den Rechner gelan- gen kann, oder einen Link zu einer Webseite, auf der per- sönliche Informationen einge- geben werden sollen. Schadsoftware (Malware) wird ohne Zustimmung auf ein IT-System installiert. Sie kann in Programmen lauern oder sich über das Internet ver- breiten. Malware kann Viren, Trojaner, Ransomware oder Würmer enthalten.