Bundes-CIO: "100-prozentige IT-Sicherheit kann es nicht geben"
Dieser Beitrag ist die 10. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
Ein Ransomware-Angriff auf ein Unternehmen kann schlimme Folgen haben – der auf Regierungsorgane sogar katastrophale. Seit dem russischen Überfall auf die Ukraine stehen beim Stichwort Cyberangriff nicht mehr Kriminelle, sondern staatliche Akteure im Mittelpunkt.
Über diese Gefahr sprechen wir mit Markus Richter, dem Beauftragten der Bundesregierung für Informationstechnik – oder kurz: dem Bundes-CIO. Er empfiehlt, dass bis zu 20 Prozent der IT-Investitionen in die Härtung und Prüfung der Sicherheit fließen.
Außerdem haben wir die Leser von Golem.de gefragt, ob sie die vielbeschworene veränderte Bedrohungslage in ihrem Arbeitsalltag spüren.
Das Interview mit dem Bundes-CIO Markus Richter
Seit dem 1. Mai 2020 ist Markus Richter(öffnet im neuen Fenster) Beauftragter der Bundesregierung für Informationstechnik, im Beamtendeutsch kurz BfIT oder eben Bundes-CIO. Seit 2007 gibt es diesen Posten, um "die entscheidenden Weichen für eine moderne und sichere IT-Landschaft des Bundes zu stellen" . Vorher leitete Richter bereits die IT beim Bundesverwaltungsamt und beim Bundesamt für Migration und Flüchtlinge.
Golem.de: Wie bereiten sich Regierung und Ministerien angesichts einer verschärften Sicherheitslage auf einen Ernstfall vor?
Markus Richter: Die Cyber-Sicherheitslage verändert sich insbesondere durch die Zunahme der Abhängigkeit von der Digitalisierung stetig. Zugleich sehen wir im Zusammenhang mit dem Angriffskrieg auf die Ukraine die Bedeutung des Cyberraums im Rahmen militärischer Auseinandersetzungen.
Den stetigen Veränderungen begegnet die Bundesregierung an vielen Stellen mit weiteren unterschiedlichen Maßnahmen. So wurden beispielsweise mit dem IT-SiG 2.0 wichtige Weichen gestellt, um die Cybersicherheit bei Unternehmen und Bundesverwaltung zu erhöhen. Hier müssen zum Beispiel von bestimmten Teilen Systeme zur Angriffserkennung eingesetzt und technische Mindeststandards eingehalten werden.
Mit der kommenden NIS-2-Richtline werden europaweit neue Mindeststandards in der Cybersicherheit auch für Verwaltungen in Deutschland gesetzt. Diese wird voraussichtlich noch dieses Jahr in Kraft treten. Die vorne genannten Maßnahmen erhöhen die Resilienz von IT-Systemen in Deutschland insgesamt und somit auch für Ereignisse, wie wir sie derzeit in der Ukraine beobachten.
Golem.de: Bis dato gab es so gut wie keine erfolgreichen Ransomware-Attacken auf die Bundesverwaltung, die Sie strategisch zur IT beraten. Was ist Ihr Erfolgsrezept?
Markus Richter: Eine 100-prozentige IT-Sicherheit kann es nicht geben. IT-Systeme sind hoch komplex und werden ständig weiterentwickelt. Es wird immer Schwachstellen geben, die noch unentdeckt sind und ausgenutzt werden können. Daher spielt die Prävention bei der Bekämpfung von Cyberattacken eine besonders wichtige Rolle.
Golem.de: Sie sind als Bundes-CIO auch Ansprechpartner für die Ministerien und Länder, aber sind nicht weisungsbefugt. Entsprechen deren Umsetzungen Ihren Vorstellungen?
Markus Richter: Gemäß der Leitlinie des Bundes für Informationssicherheit in der Bundesverwaltung sind alle Bundesbehörden dazu verpflichtet, ihre Informationen angemessen zu schützen, damit Angriffe entweder gar nicht erst durchdringen oder im Ernstfall identifiziert und abgewehrt bzw. deren Auswirkungen minimiert werden können.
Die Umsetzung der Empfehlungen in den einzelnen Behörden liegt in der Verantwortung der jeweiligen Ressorts und ist nicht immer einfach, da Cybersicherheit zwar wichtig ist, ihr Mehrwert jedoch nicht gemessen werden kann und sie bei der Ressourcenverteilung in direkter Konkurrenz zu weiteren Aufgaben steht. Um die Risiken in der Cybersicherheit beherrschbar zu halten, sind entsprechende Investitionen dringend notwendig.
Als IT-Beauftragter des Bundes würde ich mir wünschen, dass angesichts der veränderten Sicherheitslage flächendeckend deutlich mehr in geprüfte Sicherheit bei der IT des Bundes investiert wird. Ein Richtwert sollte sein, dass etwa 15 bis 20 Prozent der Investitionen in IT in die Härtung und Prüfung der eingesetzten Systeme fließen.
Golem.de: Dafür sind auch die entsprechenden Fachkräfte nötig. Die Gehälter in deutschen Behörden können jedoch nicht mit der freien Wirtschaft mithalten.
Markus Richter: Wir haben die tarifvertraglichen Grundlagen in den vergangenen Jahren deutlich verbessert – etwa was die Einstiegsgehälter angeht. Auch die Rekrutierung von Quereinsteigenden ist unproblematisch möglich. Zudem haben wir weitere übertarifliche Instrumente zur Fachkräftegewinnung und -bindung geschaffen, die weitere passgenaue Lösungen ermöglichen.
Ein Beispiel unter vielen ist die Fachkräftezulage, mit der die Dienststellen einer gesuchten Fachkraft bis zu 1.000 Euro monatlich zusätzlich zahlen können. Wo besonderer Bedarf besteht, kann insofern im Einzelfall pragmatisch nachgesteuert werden.
Zur Unterstützung bei der Gewinnung von Fachkräften gibt es die Möglichkeit, attraktive und flexibel einsetzbare Prämien in Höhe von bis zu 30 Prozent des jeweiligen Grundgehalts zu gewähren, und zwar für die Dauer von maximal 48 Monaten – mit zudem zweimaliger Verlängerungsmöglichkeit. Das kann sich sehen lassen.
Die Einschätzung, dass sich der öffentliche Dienst verstecken muss, teile ich insofern nicht. Es gilt, die Möglichkeiten bei Bewerbermangel auch anzuwenden und dafür offensiv zu werben.
Golem.de: Wie finden Fachkräfte ihren Weg in den öffentlichen Dienst?
Markus Richter: Der Zugang zum öffentlichen Dienst ist auf vielfältige Weise möglich. Im Beamtenbereich gibt es spezielle Vorbereitungsdienste, die auf eine Tätigkeit im öffentlichen Dienst gezielt vorbereiten. Daneben finden sich zum Beispiel für über 400 Studienabschlüsse und über 1.000 Ausbildungsberufe entsprechende Laufbahnen, die die Vorzüge des Beamtentums mit sich bringen. So rekrutiert etwa das BVA, das Bundesverwaltungsamt, seinen IT-Nachwuchs vollständig aus diesen Bewerbenden ohne verwaltungsspezifischen Vorbereitungsdienst.
Mittlerweile sind es 50 Prozent, die das BVA mit einem Onboarding-Programm an ihre spezifischen Aufgaben heranführt. Darüber hinaus gibt es auch noch Möglichkeiten für Quereinsteigende mit Berufserfahrung, verbeamtet zu werden, die nicht über die entsprechende Vorbildung verfügen.
Golem.de: Welche Vorteile kann eine Verbeamtung IT-Fachkräften im Vergleich zur Privatwirtschaft bieten?
Markus Richter: Was die Arbeitsbedingungen angeht, kann der öffentliche Dienst punkten: flexible Arbeitszeiten, Teilzeitmöglichkeiten, mobiles Arbeiten sowie Vereinbarkeit von Familie und Beruf seien hier beispielhaft genannt. Zusammen mit der Sinnhaftigkeit unserer Aufgaben ist das ein echtes Pfund, das wir auf dem Arbeitsmarkt haben.
Golem.de: Was meinen Sie mit Sinnhaftigkeit?
Markus Richter: Im öffentlichen Dienst leisten wir mit unserer Arbeit nicht weniger als einen Beitrag für das Wohlergehen dieses Landes. Das ist für viele eine hohe Motivation für eine Bewerbung im öffentlichen Dienst. Im IT-Bereich bietet insbesondere der Bund eine unvergleichliche Vielfalt an möglichen und spannenden Arbeitsgebieten, etwa bei der zentralen Stelle für Informationstechnik im Sicherheitsbereich oder dem Bundesamt für Sicherheit in der Informationstechnik.
Golem.de: Welche Tipps geben Sie Unternehmen, die ähnliche Budget-Einschränkungen haben?
Markus Richter: Kleinere und mittlere Unternehmen mit eigener Unternehmensphilosophie und Teambindungsmaßnahmen haben sicherlich einen Wettbewerbsvorteil bei der Personalrekrutierung gegenüber Unternehmen, die weniger oder gar keinen Wert auf diese Maßnahmen legen.
Denn wie wir feststellen, sind bei den jüngeren Generationen monetäre Aspekte nur zweitrangig. Wichtiger als die Spitzengehälter sind gute Arbeitsbedingungen, ein konstruktives Arbeitsklima und vor allem gute Onboarding- und Teambindungsmaßnahmen.
Ergebnis der Golem.de-Leserumfrage
Eine deutlich erhöhte Bedrohungssituation seit Beginn des Ukrainekriegs sehen 45,5 Prozent der Befragten. Fast genau die Hälfte erkennt keine Veränderung – und wenig überraschend glaubt so gut wie niemand, dass die Gefahr von Cyberangriffen gerade niedrig ist.
Markus Richter spricht auch deshalb über die notwendige Resilienz von IT-Systemen. Doch was genau ist diese Resilienz? So ganz einig sind sich unsere Leserinnen und Leser nicht. Knapp über die Hälfte versteht darunter defensive Maßnahmen, der Rest ist sich nicht ganz sicher, ob resiliente Maßnahmen nun defensiv oder offensiv oder beides sind. Begriffe klar zu definieren, hilft aber, dafür zu sorgen, dass das ganze Team von derselben Sache spricht.
Die von Markus Richter beschriebenen Bemühungen des Bundes, begehrte IT-Fachkräfte zu gewinnen, scheint derweil noch nicht bei allen IT-Profis angekommen zu sein: 55 Prozent unserer Leserinnen und Leser empfinden die deutsche Verwaltung als unattraktiven Arbeitgeber.
An der Umfrage haben mehr als 500 Leserinnen und Leser von Golem.de teilgenommen.
Die endlose Ransomware-Geschichte
Es beginnt vor über einem Jahr. Am 6. Juli 2021 sollen die Beamten der Kreisverwaltung in Köthen, Bitterfeld und Zerbst ihre Computer herunterfahren. Der Grund: Ein Ransomware-Angriff durch Ausnutzen einer nur wenige Tage vorher bekanntgewordenen Sicherheitslücke in Windows.
Der Angriff folgt dem typischen Drehbuch. Die Hacker fordern Lösegeld , die Behörde weigert sich , auf die Erpressung einzugehen, Daten landen im Internet . Die Verwaltung ist derweil damit beschäftigt , rund 1.000 Rechner neu aufzusetzen. "Im besten Fall können wir alsbald wieder anfangen, im schlimmsten Fall reden wir von Wochen" , sagte Kreissprecher Udo Pawelczyk im Juli 2021.
Ein Jahr später ist der Neuaufbau der IT noch immer nicht abgeschlossen. Zwar können wieder neue Angelscheine beantragt werden, ein paar hundert alte Führerscheine konnten aber noch nicht umgetauscht werden.
Selbst heute, 16 Monate, nachdem die Angestellten ihre Computer heruntergefahren haben, kämpft die Kreisverwaltung noch immer mit den Folgen des Cyberangriffs. Bis Oktober 2022 konnte vieles noch nicht wiederhergestellt werden – darunter eine Datenbank für Umweltdaten der in DDR-Zeiten von der chemischen Industrie dominierten Region.
Save the date: Tech Talks am 9. November ab 16:30
Im Rahmen der Zeit Online Tech Talks am 9. November 2022(öffnet im neuen Fenster) wird Tobias Eggendorfer, Leiter der Abteilung Sichere Systeme bei der Cyberagentur, über IT-Sicherheit Auskunft geben. Im Gespräch mit Benjamin Sterbenz, Chefredakteur von Golem.de, wird Eggendorfer unter anderem zur Frage Stellung nehmen: Wie müssen wir IT-Security neu denken?
Die Zeit Online Tech Talks finden von 16:30 bis 20:30 Uhr online statt. Die Anmeldung ist kostenlos. Mehr Informationen findet ihr hier .
Auf Golem Plus von Erfahrungsberichten lernen
Kein IT-Verantwortlicher spricht gerne über Sicherheitsvorfälle – und doch ist es der einzige Weg dazuzulernen. Einige solcher schmerzhaften Erfahrungsberichte findet ihr bei Golem Plus.
Unser Redakteur Moritz Tremmel sprach mit Peter Karwowski, dem CEO und CTO von Klopotek . Im Februar 2022 entdeckte Karwowski verschlüsselte Dateien im System. "Wir wissen heute nicht zuletzt durch den Vorfall, dass die größte Schwachstelle unsere Mitarbeiter sind" , sagte er – und investiert seitdem stärker in Fortbildungen.
Ähnlich erging es im April 2022 der Deutschen Windtechnik. Im Gespräch mit Golem.de berichtete Head of IT Klaas Feldmann , wie der Windenergie-Versorger angesichts eines vermuteten russischen Cyberangriffs vorgegangen ist: Pragmatisch. "Die Schuldfrage kam eigentlich gar nicht auf, sondern es ging konzentriert um die Frage: Wie kriegen wir das System wieder zum Laufen?"
Mehr von Chefs von Devs
Für die nächste Ausgabe des Golem.de-Newsletters für IT-Entscheider sprechen wir mit dem Leiter der Produktionsdigitalisierung über die papierlose Fertigung, interdisziplinäre Teams und seine Suche nach Fachkräften.
Wenn ihr jemanden kennt, den dieser Newsletter interessieren könnte, leitet ihn doch einfach weiter. Und wenn ihr ihn noch nicht in den Posteingang bekommt: Das Abo von Chefs von Devs ist kostenlos!
Lob, Fragen und Kritik könnt ihr wie immer gerne direkt an Daniel Ziegener senden. Diese Ausgabe wurde von Lennart Mühlenmeier redaktionell unterstützt.
Dieser Beitrag ist die 10. Ausgabe von Chefs von Devs, dem Golem.de-Newsletter für CTO, Technical Directors und IT-Profis. Alle zwei Wochen erscheint eine neue Ausgabe. Chefs von Devs kann hier kostenlos abonniert werden .
- Anzeige Hier geht es zu den konfigurierbaren Golem-PCs bei Systemtreff Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.