Der öffentliche Sektor, einschließlich staatlicher und bundesstaatlicher Behörden, ist genauso stark von Cyberangriffen bedroht wie der private Sektor. Dennoch ist der öffentliche Sektor bekannt dafür, dass er bei der Einführung von Technologien hinter dem privaten Sektor zurückbleibt, was dazu führt, dass einige Regierungsorganisationen nicht in der Lage sind, sich angemessen gegen Bedrohungsakteure zu schützen.

In den letzten Jahren haben die Bundesregierung und einige Drittorganisationen eine Reihe von Standards eingeführt, um die Bemühungen des öffentlichen Sektors im Bereich der Cybersicherheit zu unterstützen. Im Folgenden gehen wir auf einige dieser Standards ein und erläutern, was Behörden und Organisationen des öffentlichen Sektors (und ihre Auftragnehmer) tun können, um sie einzuhalten.

Cybersicherheitsstandards für den öffentlichen Sektor

Es gibt eine lange Liste von Cybersicherheitsstandards, die in gewisser Weise auch für den öffentlichen Sektor gelten. Die folgenden Standards sind entweder von der Regierung vorgegeben oder haben Auswirkungen auf Einrichtungen des öffentlichen Sektors:

• Die Nationale Institut für Standards und Technologie (NIST) Cybersecurity Framework (CSF) bietet einen Leitfaden für das Management von Cybersicherheitsrisiken. Obwohl es keine spezifischen Maßnahmen vorschreibt, ist es ein Leitfaden, der häufig von Bundesbehörden sowie staatlichen und kommunalen Stellen verwendet wird. 
• Der Federal Information Security Management Act (FISMA) sieht vor, dass die Bundesbehörden angemessene Sicherheitskontrollen zum Schutz ihrer Informationen und Systeme einführen und aufrechterhalten müssen. Die Behörden müssen die NIST CSF neben anderen NIST-Richtlinien und -Standards befolgen. 
• Der Payment Card Industry Data Security Standard (PCI DSS) gilt für Organisationen, die Zahlungskartendaten verarbeiten, speichern oder übertragen. Dazu gehören auch Organisationen des öffentlichen Sektors, die mit sensiblen Zahlungskartendaten umgehen. Die PCI-Konformität erfordert die Einhaltung der Spezifikationen des Standards - und die Nichteinhaltung kann zu Geldstrafen führen. 
• Der Health Insurance Portability and Accountability Act (HIPAA) gilt für alle Organisationen, die mit geschützten Gesundheitsinformationen (PHI) umgehen. Es schreibt vor, dass die betroffenen Organisationen angemessene Sicherheitskontrollen zum Schutz von PHI durchführen. 
• Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) umfasst die Cybersecurity Maturity Model Certification (CMMC)Es handelt sich dabei um einen Rahmen für die Cybersicherheit, der unter anderem vom Verteidigungsministerium verwendet wird, um die Cybersicherheitslage von Auftragnehmern und Unterauftragnehmern zu bewerten. 
• Die Nationale Institut für Standards und Technologie (NIST) SP 800-53 enthält Richtlinien für die Auswahl und Implementierung von Sicherheitskontrollen für Informationssysteme und Organisationen. Sie wird von Bundesbehörden verwendet, gilt aber auch für staatliche Auftragnehmer, die an IT-Netzen des Bundes arbeiten.
• Die Internationale Organisation für Normung (ISO) 27001 und (ISO) 27002 sind ein Beispiel für nichtstaatliche Normen, die für den öffentlichen Sektor von Bedeutung sind und daher für Organisationen des öffentlichen Sektors gelten, da sie Richtlinien für das Informationssicherheitsmanagement enthalten.

Was können Sie tun, um die Einhaltung der Vorschriften zu gewährleisten?

Je nachdem, welche Regeln für Ihr Unternehmen gelten, hat die Nichteinhaltung unterschiedliche Konsequenzen. Zumindest aber bieten die oben aufgeführten Standards gute Ratschläge, die Sie befolgen sollten, wenn Sie die Daten Ihres Unternehmens schützen, Ransomware-Angriffe verhindern und Ausfallzeiten vermeiden möchten. 

Die konsequente Einhaltung der Vorschriften ist jedoch nicht einfach und erfordert einen strategischen Ansatz, der durch die richtigen Ressourcen - und die richtigen Werkzeuge - unterstützt wird. Einige der wichtigsten Maßnahmen, die Ihr Unternehmen ergreifen muss, sind:

• Verstehen Sie, wo Ihre Verpflichtungen liegen. Viele der Normen sind weit gefasst, und die Durchsetzung reicht von einer bloßen Empfehlung bis hin zu einem absoluten Mandat, das Geldstrafen - oder Schlimmeres - nach sich zieht. Um erfolgreich reagieren zu können, sollten Sie ermitteln, welches die kritischsten und spezifischsten Anforderungen sind, diese zuerst erfüllen und sich dann nach unten vorarbeiten. 
• Setzen Sie Ziele für die Cybersicherheit auf Direktorenebene. Die Zustimmung der Führungsebene ist entscheidend für die Erfüllung der Compliance-Verpflichtungen. Die Einhaltung der Vorschriften im Bereich der Cybersicherheit ist auch eine Frage der Kultur - und diese Kultur muss von oben nach unten durchdringen. 
• Angemessene Ressourcen für die Einhaltung der Cybersicherheit. Die Komplexität der heutigen IT-Umgebungen in Verbindung mit dem Ausmaß der Bedrohung der Cybersicherheit ist enorm. Es ist eine große Aufgabe. Mit einer minimal finanzierten Notbesatzung werden Sie sie nicht bewältigen können. Angemessene Ressourcen. 
• Mit guter Praxis beginnen. Bewährte Praktiken sind nicht ohne Grund bewährte Praktiken - ob MFA, Zero Trust oder ständige Überwachung und Audits. Gehen Sie nicht davon aus, dass bewährte Verfahren bereits vorhanden sind, und spielen Sie die Bedeutung dessen, was allgemein bekannt zu sein scheint, nicht herunter. Vieles von dem, was in den Cybersicherheitsstandards vorgeschrieben ist, ist einfach eine Wiederholung bewährter Verfahren - und das nicht ohne Grund. Wenden Sie trotzdem die sinnvollsten Grundsätze an. 
• Erwägen Sie, Berater an Bord zu holen. Wie wir bereits gesagt haben, ist die Materie komplex, also überschätzen Sie nicht die Fähigkeiten Ihrer internen Teams. Dies gilt vor allem dann, wenn Sie sich gerade erst mit der Einhaltung von Vorschriften befassen, denn Berater können dazu beitragen, dass Sie das, was Sie erreichen müssen, aus einer anderen Perspektive betrachten und in einen anderen Zusammenhang stellen. Aber auch wenn Sie bereits über ein erfahrenes Team verfügen, können externe Berater einen nützlichen Realitätscheck vornehmen.  
• Bleiben Sie auf dem neuesten Stand der Technik. Die Cybersicherheit ist ein schnelllebiger Bereich, und die Bedrohungsakteure entwickeln sich rasant weiter, was bedeutet, dass auch Ihre Cybersicherheitstechnologie Schritt halten muss. Wir haben hier eine nützliche Liste von Trends veröffentlicht. 
• Anwendung von Live-Patching wo immer möglich. Patching ist das Kernstück vieler Cybersicherheitsrahmenwerke, aber auch einer der schwierigsten Aspekte der Einhaltung von Cybersicherheitsvorschriften. Live-Patching kann den entscheidenden Unterschied ausmachen: Es reduziert die Wartungsfenster und den Ressourcenbedarf - und minimiert das Zeitfenster zwischen Patch-Veröffentlichung und Patch-Anwendung.

Die Einhaltung von Vorschriften zur Cybersicherheit erfordert zweifellos eine konzertierte Aktion, die vollständig in die Unternehmenskultur integriert ist.

Ihre Antwort muss umfassend sein

Für den öffentlichen Sektor gibt es mehrere Ebenen von Cybersicherheitsstandards. Einige dieser Standards sind optional, sollten aber dennoch eingehalten werden. Andere schreiben bestimmte Ziele vor, und Organisationen, die unter diese Normen fallen, diese Ziele aber dennoch nicht erfüllen, müssen mit Sanktionen rechnen.

Eine umfassende, allumfassende Antwort ist Ihre einzige Option. Machen Sie sich klar, was Ihr Unternehmen tun muss, um die Vorschriften einzuhalten, und holen Sie sich jede erdenkliche Hilfe: interne Ressourcen, Berater und die neuesten Tools zum Schutz der Cybersicherheit: einschließlich Live-Patching.

Zusammenfassung

Artikel Name

Gemeinsame staatliche Cybersicherheitsstandards - und was zu tun ist, um sie einzuhalten

Beschreibung

Was sind gemeinsame staatliche Cybersicherheitsstandards und was können Organisationen des öffentlichen Sektors (und ihre Auftragnehmer) tun, um sie einzuhalten?

Autor

Stephan Venter

Name des Herausgebers

TuxCare

Logo des Herausgebers