Der „Critical Infrastructure Security and Resilience Month“ (CISA) wird jedes Jahr im November von der Cybersecurity and Infrastructure Security Agency (CISA) gefördert und beleuchtet eine wichtige Tatsache: Nationale und kommunale Behörden müssen sich als Anbieter kritischer Infrastrukturen kontinuierlich auf zukünftige Technologien vorbereiten und in diese investieren.
In diesem Monat liegt der Schwerpunkt zwar auf der Ausfallsicherheit im Bereich der Cybersicherheit, aber es ist wichtig, den breiteren Rahmen zu erkennen. Organisationen müssen auf verschiedene Vorfälle vorbereitet sein, die sich auf den Geschäftsbetrieb, die Interaktion mit Kunden und das Wohlergehen der Gemeinschaft auswirken können. Die letzten Jahre haben gezeigt, wie sowohl die physische als auch die virtuelle Welt beeinträchtigt werden können:
Naturkatastrophen wie der Hurrikan Helene, die gesellschaftlich gefährdete Gebiete verheeren, die es schwerer haben, sich zu erholen
Unfälle wie das Frachtschiff, das die Key Bridge von Maryland zum Einsturz brachte und den Verkehr und den Betrieb im Hafen von Baltimore störte
Absichtliche Angriffe wie die Unterbrechung von Unterseekabeln in der Ostsee, die den weltweiten Internetverkehr beeinträchtigen können
Supply Chain-Angriffe wie die Spionageoperation Salt Typhoon, die viele der führenden Telekommunikationsanbieter des Landes infiltrierte, um sensible Gespräche der Regierung auszuspionieren
In der hypervernetzten Welt, in der wir leben, reichen Ereignisse wie diese weit über die lokale Region hinaus und schaffen unerwartete Umstände.
Unsere digitale Welt kann einigen Ereignissen Resilienz bieten. So können wir zum Beispiel eine verteilte Belegschaft im Falle einer Naturkatastrophe unterstützen. Natürlich kann dieselbe digitale Welt auch negative Auswirkungen auf Menschen außerhalb der Kommune und sogar auf der ganzen Welt haben – wie wir bei Ausfällen gesehen haben, die durch Schadsoftware wie Log4j oder jüngste Ransomware-Angriffe verursacht werden.
Da sich das Internet zu einer wichtigen Quelle für die Konnektivität entwickelt hat, muss es geschützt werden, wenn wir beständige Dienste auch in Krisenzeiten bereitstellen wollen. „Resolve to be Resilient“ ist ein Slogan für die entsprechende Vorbereitung, denn oft sind es nationale und kommunale Behörden, die bei der Reaktion und der Wiederherstellung an vorderster Front stehen.
In den letzten fünf Jahren hatte „Digital Government“ für die meisten CIOs oberste Priorität. Das Versprechen einer digitalen Behörde hat für mehr Transparenz und Zugang zu Behördendiensten gesorgt als je zuvor.
Die Kundenerfahrungen haben sehr von dieser Entwicklung hin zur digitalen Behörde profitiert. Eine einfache, reale Validierung ist eine Transaktion bei der örtlichen Automobilbehörde (Department of Motor Vehicles, DMV) (wie die Erneuerung eines Führerscheins). Wenn Sie in den USA leben werden Sie sehen, dass die meisten Dienste digital und online sind und Sie selten das DMV aufsuchen müssen, geschweige denn in langen Schlangen warten (die aufgrund der Verlagerung von Online-Aktivitäten gar nicht existieren).
Das Internet ist eine der Hauptkomponenten der Digitalisierung. Für die meisten staatlichen Behörden stellt es eine kritische Infrastruktur dar, da es die primäre Schnittstelle zur Öffentlichkeit ist und mit der Verbreitung von Software-as-a-Service (SaaS) und hybrider Belegschaft auch das Instrument für interne Abläufe und Zusammenarbeit ist. Die Abhängigkeit vom Internet stellt neue Anforderungen an IT-Abteilungen – und kann mitunter negative Folgen haben, wenn die IT-Umgebung nicht richtig konzipiert ist.
Stellen Sie sich vor, Ihre Behörde verliert durch einen Distributed-Denial-of-Service-Angriff (DDoS) den Internetzugang. Ihre Mitarbeitenden oder Auftragnehmenden könnten die Verbindung zu ihren Arbeitstools verlieren, und Anwohner könnten nicht mehr auf Online-Dienste zugreifen. Da immer mehr Behördendienste über das Web bereitgestellt werden, sind die Auswirkungen eines Ausfalls auf breiter Front zu spüren.
Aber wie schützen Sie als Führungskraft auf Landes- und kommunaler Ebene Ihre Ressourcen im Internet? Wie können Sie die Kundenerfahrung optimieren und die Identitäten und Daten der Nutzer sichern?
Sie haben mehr Kontrolle, als Ihnen vielleicht bewusst ist. Und Sie müssen Ihre Internetdienste als Teil Ihres Plans für Cyberresilienz in 2025 unbedingt absichern. Es gibt bestimmte Schwerpunktbereiche, die jede Behörde auf den richtigen Weg zur Ausfallsicherheit bringen können: Überprüfung der DNS-Infrastruktur, sichere Webanwendungen und API-Dienste und Überprüfung modernisierter Netzwerkdienste.
Domain Name System (DNS)-Dienste sind eine kritische, aber oft übersehene Komponente der Cybersicherheit und der operativen Infrastruktur für nationale und kommunale Behörden. Diese Dienste, die von Menschen lesbare Website-Adressen in IP-Adressen umwandeln, spielen eine wichtige Rolle bei der Aufrechterhaltung der Sicherheit, Zuverlässigkeit und Barrierefreiheit von digitalen Behördendiensten.
Moderne DNS-Dienste bieten wichtige Sicherheitsfunktionen, die zum Schutz vor verschiedenen Cyberbedrohungen beitragen, darunter DNS-Cachenangriffe (DNS-Poisoning), Domain-Hijacking und Versuche der Exfiltration von Daten. Wichtig ist, dass DNS oft die erste Verteidigungslinie gegen Cyberbedrohungen ist, und moderne DNS-Dienste können böswilligen Traffic erkennen und blockieren, bevor er die Netzwerke von Behörden tatsächlich erreicht.
Neben der Sicherheit ermöglichen die DNS-Dienste nationale und kommunale Behörden auch folgendes:
Hohe Verfügbarkeit wichtiger Online-Dienste gewährleisten
Geografische Lastverteilung für eine bessere Servicebereitstellung implementieren
Muster des Netzwerk-Traffics überwachen und analysieren
Modernisieren Sie Ihr DNS und schöpfen Sie die Möglichkeiten Ihres DNS-Providers voll aus (ganz im Sinne des Mottos „Resolve to be Resilient“). So geht's:
Übernehmen Sie die Top-Level-Domain (TLD) .gov. Ausfallsicherheit und Vertrauen gehen Hand in Hand, und die Verwendung einer Domain .gov erhöht das Vertrauen. Einige Staaten ergreifen bereits Maßnahmen; so verlangt beispielsweise die Assembly Bill 1637 (AB 1637) des US-Bundesstaats Kalifornien eine vollständige Umstellung bis zum 1. Januar 2029.
Verwenden Sie ein schützendes DNS. Protective DNS ist ein Sicherheitsdienst, der DNS-Abfragen analysiert und Maßnahmen zur Abwehr von Bedrohungen ergreift und dabei das bestehende DNS-Protokoll und die bestehende Architektur nutzt. Protective DNS verhindert den Zugriff auf Malware, Ransomware, Phishing-Angriffe, Viren, bösartige Websites und Spyware an der Quelle und macht das Netzwerk damit von Haus aus sicherer.
Verteidigen Sie Ihre DNS-Infrastruktur. Wir empfehlen Unternehmen, Maßnahmen zur Sicherung ihrer DNS-Infrastruktur zu ergreifen, wie z. B. die regelmäßige Überprüfung der Prüfprotokolle und die Einführung einer Multi-Faktor-Authentifizierung (MFA). Außerdem sollten die Behörden sicherstellen, dass ihre Provider DNS-Sicherheitserweiterungen implementieren und auf verschlüsselte DNS-Protokolle umstellen, um die behördliche Kommunikation besser zu schützen.
Regierungsbehörden stehen zunehmend an vorderster Front in einem neuen Schlachtfeld der Cybersicherheit: dem Schutz von Webanwendungen und APIs (Application Programming Interfaces). Da Webanwendungen und APIs heute das wichtigste Mittel sind, um mit öffentlichen Dienstleistungen zu interagieren, von der Steuererklärung bis zur Verwaltung von Sozialleistungen, werden über diese digitalen Schnittstellen täglich Millionen von sensiblen Transaktionen abgewickelt. Ihre Sicherheit ist ein entscheidender Faktor zur Wahrung des Vertrauens der Öffentlichkeit.
Unterdessen haben Angriffe auf Webanwendungen und APIs ein Rekordniveau erreicht. 2022 wurden täglich über 400 Mio. Angriffe auf Webanwendungen und APIs verzeichnet.
Herkömmliche Perimetersicherheit reicht nicht mehr aus. Um die Cybersicherheit für nationale und kommunale Behörden zu stärken, benötigen wir umfassende Anwendungs- und API-Sicherheitsmaßnahmen, die vor modernen Bedrohungen schützen können, wie z. B.:
Raffinierte Bot-Angriffe auf Behördendienste
API-spezifische Sicherheitslücken, die sensible Daten offenlegen können
Supply Chain-Angriffe durch Integration in Drittlösungen
Zero-Day-Exploits für Anwendungs-Frameworks
Gartner definiert cloudbasierten Schutz von Webanwendungen und APIs (WAAP) als eine Kategorie von Sicherheitslösungen, die Webanwendungen unabhängig von ihrem gehosteten Standort schützen sollen. In der Regel werden diese Dienste als eine Reihe von Sicherheitsmodulen angeboten, die Schutz vor einem breiten Spektrum von Laufzeitangriffen auf webbasierte Anwendungen bieten.
Sorgen Sie mit den folgenden Schritten dafür, dass Ihre Kundenanwendungen durch den Einsatz von WAAP-Tools geschützt sind, und machen Sie sie ausfallsicher:
Nutzen Sie ein Content Delivery Network (CDN) zum Schutz vor DDoS-Angriffen und erhöhen Sie die Ausfallsicherheit durch Lastverteilung
Implementieren Sie Web Application Firewall-Dienste (WAF), um den HTTP-Traffic zu filtern und zu überwachen und sich vor bösartigen Bots und Webcrawlern zu schützen
Verwenden Sie starke Authentifizierungs- und Autorisierungskontrollen für Anwendungen und APIs
Sichern, überwachen und verwalten Sie den API-Traffic mit einem API-Gateway
Führen Sie kontinuierliche Sicherheitstests und Schwachstellenanalysen durch
Bewerten Sie die Echtzeit-Bedrohung und die Reaktionsfähigkeit Ihres Anbieters
In der Top 10-Liste der National Association of State Chief Information Officers ist die Modernisierung von Legacy-Lösungen eine Konstante. Es gibt viele Gründe, warum eine Modernisierung weiterhin erforderlich ist. So verwenden Unternehmen beispielsweise nach wie vor veraltete und nicht mehr funktionsfähige Infrastrukturkomponenten, und IT-Abteilungen können mit den unglaublichen architektonischen Veränderungen, die sich in den letzten zehn Jahren in der IT erfahren haben, oft nicht Schritt halten. Diese Veränderungen wurden durch die Umstellung auf SaaS-Anwendungen, die Verlagerung der Rechenzentren durch die Cloud und die Verbreitung von hybriden Arbeitskräften verursacht. All diese Faktoren haben dazu beigetragen, den typischen Daten-/Traffic-Workflow eines 80/20-internen Unternehmens/externen Unternehmens in ein 20/80-Paradigma umzukehren. Im Zuge dieser großen Veränderung müssen die Hub-and-Spoke-Router Netzwerke der Vergangenheit ersetzt oder aufgerüstet werden, um diese Transformation zu unterstützen.
Die meisten Behörden und Privatunternehmen setzen den gleichen Weg zur Modernisierung ihrer Netzwerkinfrastruktur ein. Da sich die meisten IT-Ressourcen und Benutzer jetzt im Internet statt in einem Unternehmensnetzwerk befinden, ist es aus Sicht der Performance und Kosten sinnvoll, herkömmliche MPLS-Netzwerke durch das Internet als WAN zu ergänzen oder zu ersetzen. Die Einführung cloudbasierter Dienste zur Beschleunigung, Optimierung und zum Schutz dieser Infrastrukturkomponenten ist unter dem Aspekt der Sicherheit und der Nutzung sinnvoll. Dieser moderne Ansatz bietet skalierbare Bandbreite, die für die Bereitstellung moderner Anwendungen optimiert ist, mit integrierter Ausfallsicherheit und reduziert gleichzeitig Komplexität und Kosten.
Die heutige Ausfallsicherheit von Netzwerken kann als Service bereitgestellt werden, ähnlich wie Rechenzentren und Anwendungen seit Jahren als Service (IaaS und SaaS) bereitgestellt werden. Eine Behörde kann WAN as a Service, Firewall as a Service, DDoS-Schutz und ein SASE-Framework implementieren. Es ist möglich und wird oft empfohlen, das Internet als Backbone einer Behörde oder zumindest als Komponente des Backbones zu verwenden.
Zu den Vorteilen gehören integrierte Ausfallsicherheit und Skalierbarkeit. Ein durchtrenntes Kabel, ein Ausfall des Rechenzentrums und sogar ein massiver DDoS-Angriff werden die Betriebszeit oder Performance nicht beeinträchtigen. Behörden können ihre Netzwerke schützen, verbinden und beschleunigen, ohne dass Kosten und Komplexität für den Betrieb oder die Wartung von Hardware anfallen.
Da Behörden ihre digitalen Dienste weiter ausbauen, müssen sie ihre IT-Architektur und Cybersicherheitsstrategie umgestalten, um den Anforderungen der modernen Welt gerecht zu werden. Diese Transformation sollte auch den Schutz von bürgerlichen Online-Diensten beinhalten, die über Webanwendungen und APIs bereitgestellt werden. Eine sichere, einheitliche Online-Präsenz ist nach wie vor von entscheidender Bedeutung, um das Vertrauen der Öffentlichkeit zu bewahren und sensible Informationen zu schützen. Angesichts der sich täglich weiterentwickelnden Cyberbedrohungen sind robuste Sicherheitsmaßnahmen nicht nur eine technische Anforderung, sondern eine grundlegende Verpflichtung zur Bereitstellung öffentlicher Dienste.
Cloudflare hilft sowohl nationale und kommunale Behörden als auch Organisationen des öffentlichen Sektors, durch eine einheitliche Plattform mit Cloud-nativen Services Ergebnisse zu erzielen. Anstatt zahlreiche ungleiche Cybersicherheitstools zu implementieren und zu verwalten, können Behörden die einzige Plattform von Cloudflare nutzen, um sich auf eine ganze Reihe von störenden Bedrohungen vorzubereiten und zu bekämpfen und gleichzeitig Kosten und Komplexität zu kontrollieren.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Dieser Artikel wurde ursprünglich für Government Technology verfasst.
Dan Kent — @danielkent1
Field CTO — Public Sector, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Warum sich nationale und kommunale Behörden jetzt auf zukünftige Störungen vorbereiten müssen
Die Schlüsselrolle des Internets bei der Bereitstellung von Behördendiensten
Drei Schritte zur Stärkung der digitalen Infrastruktur
Erfahren Sie mehr darüber, wie Cloudflare Ihrer nationalen oder kommunalen Behörde bei der Bewältigung von Herausforderungen im Bereich der Cybersicherheit helfen kann - alle Infos im Kurzbericht Cloudflare für nationale und kommunale Behörden.