Q2 2025

Stärkung der Cybersicherheitsprüfungen im öffentlichen Sektor: Nutzbarmachung der NIST-Normen für Oberste Rechnungskontrollbehörden

By
Quelle: Adobe Stock Images, Michael Traitov

Autor: Thiago de Oliveira Teodoro

Einleitung 

Oberste Rechnungskontrollbehörden (ORKB) spielen eine wesentliche Rolle für die Bewertung der Wirksamkeit staatlicher Maßnahmen. In einem Zeitalter, das von einem rasanten technologischen Wandel geprägt ist, stehen die Maßnahmen zur Regelung der Cybersicherheit und des Datenschutzes unter dem enormen Druck, hohe Anforderungen an Resilienz und Compliance zu erfüllen. Der vorliegende Beitrag zielt darauf ab, unser diesbezügliches Verständnis zu erweitern. Er behandelt neue Erkenntnisse, welche die bestehenden Orientierungshilfen der Internationalen Organisation der Obersten Rechnungskontrollbehörden (INTOSAI) – die hauptsächlich in den unten genannten Publikationen enthalten sind ergänzen können.

  1. Handbuch zu IT-Prüfungen für Oberste Rechnungskontrollbehörden der Arbeitsgruppe IT-Prüfung (WGITA) und der INTOSAI Entwicklungsinitiative (IDI) (nur auf Englisch verfügbar)
  2. GUID 5100: Leitfaden für die Prüfung von Informationssystemen und der dazugehörige erste Entwurf
  3. Leitfaden für Prüfungen der Cybersicherheit und des Datenschutzes der WGITA (nur auf Englisch verfügbar)

Insbesondere der Leitfaden für die Prüfung der Cybersicherheit und des Datenschutzes führt mehrere bewährte Verfahren der US-amerikanischen Behörde National Institute of Standards and Technology (NIST) auf. Diese dienten als Ausgangspunkt, um zu zeigen, wie diese Verfahren die bestehenden INTOSAI-Leitfäden um weitere Sicherheitselemente ergänzen können. Das NIST-Modell bietet ein umfassendes Rahmenwerk und einen flexiblen, anpassbaren Katalog an Sicherheits- und Datenschutzkontrollen, um Organisationen bei der Bewältigung von Systemrisiken, der Abwehr von Cyberbedrohungen sowie der Förderung eines umfassenden, organisationsweiten Risikomanagements zu unterstützen.

In dieser Übersicht werden die fünf wichtigsten NIST-Kontrollfamilien in den Bereichen Sicherheit und Datenschutz hervorgehoben, auf die in den INTOSAI-Leitfäden Bezug genommen wird und die in den Kontext folgenschwerer Cyberangriffe gesetzt werden können.

Die fünf zentralen NIST-Kontrollfamilien: Lektionen aus folgenschweren Cyberangriffen

1. Risikomanagement in der Lieferkette

Risikomanagement in der Lieferkette wurde aufgrund der steigenden Anzahl an Angriffen auf Lieferketten, die sowohl öffentliche als auch private Einrichtungen bedrohen, zu einem wichtigen Anliegen. Ein nennenswertes Beispiel ist der SolarWinds-Angriff aus dem Jahr 2020, bei dem Angreifer sich im Rahmen von Softwareupdates einschleusten, was zu weitreichender Gefährdung führte, auch in staatlichen Stellen. Solche Vorfälle zeigen, wie wichtig eine solide Aufsicht und Risikobeurteilung bei der Zusammenarbeit mit Drittanbietern ist. Um diese Risiken zu mindern, sollten ORKB klare Richtlinien für die Beurteilung der Schwachstellen von Lieferanten sowie die Überprüfung der Authentizität von Komponenten und Leistungen festlegen. Die Umsetzung von Normen wie der NIST 800-161, die einen strukturierten Rahmen für die Ermittlung und die Steuerung der Risiken in der Lieferkette bieten, können das Sicherheitsniveau erhöhen.

2. Reaktion auf Vorfälle

Die Reaktion auf Vorfälle ist von entscheidender Bedeutung, um die Auswirkungen von Sicherheitslücken zu minimieren, insbesondere im Hinblick auf Ransomware und Advanced Persistent Threats (dt. etwa „fortgeschrittene, andauernde Bedrohungen“), kurz APTs. Ein einfaches Beispiel ist der Conti-Ransomware-Angriff auf Costa Rica im April 2022, der mehrere staatliche Stellen, darunter das Finanzministerium, schwer beeinträchtigte und die Steuererhebung sowie andere wichtige Dienstleistungen unterbrach. Solche Vorfälle verdeutlichen, wie wichtig es ist, die Reaktion auf Vorfälle proaktiv zu planen, um sicherzustellen, dass Organisationen Cyberangriffe erkennen, eindämmen und sich von ihnen erholen können. ORKB sollten umfassende Strategien für die Reaktion auf Vorfälle fördern: Dazu zählen unter anderem Unterstützungsrahmen, strukturierte Reaktionspläne und regelmäßige Überprüfungen der Vorfallprotokollierung. Die Übernahme von Branchennormen wie NIST SP 800-61 kann die Reaktionsfähigkeit weiter stärken und die allgemeine Widerstandsfähigkeit im Bereich Cybersicherheit erhöhen.

3. Verarbeitung personenbezogener Daten und Transparenz

Der Schutz der Privatsphäre sowie der Datenschutz sind ins Zentrum gerückt, da Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) strenge Anforderungen an die Verwaltung und den Schutz personenbezogener Daten stellen. Ein mangelnder Schutz sensibler Daten kann zu schwerwiegenden Verstößen führen, wie im Jahr 2020 zu sehen war, als Angreifer die Regierungskommunikation und wichtige politische Informationen im norwegischen Parlament kompromittierten. Solche Vorfälle verdeutlichen, wie wichtig eine strenge Regelung des Datenschutzes und Maßnahmen zur Einhaltung dieser Regelungen sind. ORKB sollten Datenschutz-Folgenabschätzungen durchführen und umfassende Datenschutz-Rahmenwerke einführen, um Risiken zu mindern. Die Berücksichtigung des Datenschutzrahmenwerks des NIST ermöglicht es ORKB, einen strukturierten Ansatz für die Regelung des Datenschutzes auszuarbeiten, der Compliance, Rechenschaftspflicht und das nachhaltige Vertrauen der Öffentlichkeit in den Umgang mit Daten gewährleistet.

4. Kontinuierliche Überwachung und automatisierte Sicherheitsmaßnahmen

Kontinuierliche Überwachung und automatisierte Sicherheitsmaßnahmen sind unerlässlich, um Schwachstellen in Echtzeit zu ermitteln und zu minimieren, insbesondere in kritischen Systemen. Ein bezeichnendes Beispiel ist die Ausnutzung der MOVEit-Übertragungsschwachstelle im Jahr 2023, bei der Angreifer erfolgreich Malware in legitime Datenübertragungen eingebettet haben. Dies hatte negative Konsequenzen für mehrere Organisationen, darunter das US-amerikanische Energieministerium. Dieser Vorfall zeigt, wie wichtig eine proaktive und automatisierte Sicherheitsüberwachung ist, um Bedrohungen zu erkennen und darauf zu reagieren, bevor sie sich zuspitzen. ORKB sollten automatisierte Tools, adaptive Sicherheitsmethoden und kontinuierliche Überwachungssysteme einsetzen, um ihre Cyberresilienz zu steigern. Die Verwendung der Richtlinien der NIST 800-137A kann dabei helfen, robuste Sicherheitsmaßnahmen, die dynamisch auf neue Bedrohungen und Schwachstellen reagieren können, einzuführen.

5. Sicherheit des Internets der Dinge und der Betriebstechnologie

Das Internet der Dinge (Internet of Things; IoT) und Betriebstechnologie (Operational Technology; OT) spielen zentrale Rollen für kritische Infrastruktur, aber ihre schwachen Ausgestaltungen machen sie zu erstklassigen Zielen für Cyberbedrohungen. Ein einzigartiges Beispiel ist der Colonial-Pipeline-Ransomware-Angriff aus dem Jahr 2021, bei dem Angreifer den Treibstoffvertrieb in den USA durcheinanderbrachten, was zu weitreichenden Engpässen führte und bundesweit die Steigerung der Sicherheit kritischer Infrastruktur auslöste. Dieser Vorfall verdeutlicht die Notwendigkeit, IoT- und OT-Umgebungen zu sichern, um ähnlichen Störungen vorzubeugen. Oberste Rechnungskontrollbehörden (ORKB) sollten risikobasierte Prüfungsstrategien einführen, die sich mit IoT- und OT-Schwachstellen befassen, unter anderem mit Geräteauthentifizierung, Verschlüsselung und sicherer Kommunikation. Die Verwendung der Richtlinien der NIST SP 1800-25, 1800-26, 800-82 kann die Widerstandsfähigkeit und Sicherheit dieser Systeme stärken.

Fazit

Diese fünf Sicherheitsbereiche befassen sich mit den größten Bedrohungen, jedoch könnten auch zahlreiche andere NIST-Kontrollfamilien für die Bereiche Sicherheit und Datenschutz in Betracht gezogen werden. Eine ähnliche Methode kann angewendet werden, um die Analyse zu erweitern, sich auf spezifische Sicherheitskontrollen zu konzentrieren und gezieltere Empfehlungen abzugeben. Dieser Ansatz kann die bestehenden INTOSAI-Leitfäden nutzen und gleichzeitig detaillierte Erkenntnisse aus anderen Normen, zum Beispiel NIST, einbeziehen.

Schließlich können ORKB durch die Verbesserung der Cybersicherheitsmaßnahmen Sicherheitskontrollen besser prüfen und verstärken, was letztendlich zu einer gesteigerten Widerstandsfähigkeit der Informationssysteme des öffentlichen Sektors führt.

Quellenangaben:
1.
US-amerikanische Sicherheitsbehörde für Cybersicherheit und Infrastruktur. ED 21-01: Mitigate SolarWinds Orion Code Compromise. Zuletzt bearbeitet am 15. April 2021. Zugriff am 17. November 2024. https://www.cisa.gov/news-events/directives/ed-21-01-mitigate-solarwinds-orion-code-compromise.
2.
Internationale Organisation der Obersten Rechnungskontrollbehörden (INTOSAI). Cybersecurity and Data Protection Audit Guideline. 2022.
3.
Internationale Organisation der Obersten Rechnungskontrollbehörden (INTOSAI). GUID 5100: Leitfaden für die Prüfung von Informationssystemen. Juni 2019.
4.
Internationale Organisation der Obersten Rechnungskontrollbehörden (INTOSAI). WGITA-IDI Handbook on IT Audit for Supreme Audit Institutions. Februar 2014.
5.
National Institute of Standards and Technology (NIST). Security and Privacy Controls for Information Systems and Organizations. Sonderpublikation 800-53, 5. überarbeitete Version. Gaithersburg, MD: U.S. Department of Commerce, September 2020. https://doi.org/10.6028/NIST.SP.800-53r5.
6.
Internationale Organisation der Obersten Rechnungskontrollbehörden (INTOSAI). Überarbeiteter Entwurf des INTOSAI-GUIDs 5101: Guidance on Audit of Information Security.
7.
Stortinget. Cyberattack on the Storting. Zuletzt bearbeitet am 3. September 2020. Zugriff am 17. November 2024. https://www.stortinget.no/en/In-English/About-the-Storting/News-archive/Front-page-news/2019-2020/cyberattack-on-the-storting/".
8.
Reuters. U.S. Energy Dept gets two ransom notices as MOVEit hack claims more victims. 16 Juni 2023. Zugriff am 17. November 2024. https://www.reuters.com/technology/us-energy-dept-got-two-ransom-requests-cl0p-data-breach-2023-06-16/.
9.
US-amerikanisches Energieministerium. Colonial Pipeline Cyber Incident. Zuletzt bearbeitet am 13. Mai 2021. Zugriff am 17. November 2024. https://www.energy.gov/ceser/colonial-pipeline-cyber-incident.
10.
US-amerikanisches Außenministerium. Reward Offers for Information to Bring Conti Ransomware Variant Co-Conspirators to Justice. Zuletzt bearbeitet am 6. Mai 2022. Zugriff am 17. November 2024. https://www.state.gov/reward-offers-for-information-to-bring-conti-ransomware-variant-co-conspirators-to-justice/.

Popular Tags

Cybersicherheit
Digitalisierung
emerging risks
risikobasierter Ansatz
Wissenschaft und Technik

Related Articles
Die Oberste Rechnungskontrollbehörde Palau und Umweltresilienz 

Die Republik Palau schloss zwei Kreditverträge in Höhe von 28 Millionen Euro mit der Asiatischen Entwicklungsbank (Asian Development Bank; ADB) für die Finanzierung des Koror-Airai-Abwasserprojekts (das Projekt) ab. Das Ziel des Projekts bestand in der Bereitstellung wirksamer, effizienter und nachhaltiger Abwasserdienste in den palauischen Gebieten Koror und Airai. Das Projekt sollte im Jahr 2022 abgeschlossen werden. Das Projekt beinhaltete die Abwassersammlung, ein Aufbereitungs- und Entsorgungssystem sowie Beratungsleistungen für die Steuerung und Umsetzung dieser Arbeiten. 

Chin , Mabel , Mechol
Palau
PASAI
INTOSAI-Generalsekretariat hält erstes virtuelles Präsidium ab und verabschiedet einen geschätzten Kollegen

In diesen herausfordernden Zeiten, die innovative, flexible und vorausschauende Lösungen erfordern, hat die Internationale Organisation der Obersten Rechnungskontrollbehörden (INTOSAI) einmal mehr bewiesen, dass sie eine Gemeinschaft ist, die die Möglichkeiten der digitalen Welt nutzt.

INTOSAI Journal
ClimateScanner – eine innovative Methode für ORKB, staatliche Maßnahmen zum Klimawandel zu überprüfen

Durch seine tiefgreifenden Auswirkungen auf Ökosysteme, Wirtschaften und Gesellschaften auf der ganzen Welt erwies sich der Klimawandel als eine der dringendsten und wichtigsten Herausforderungen unserer Zeit. Diese vielschichtige Problematik wirkt sich nicht nur auf die Wetterverhältnisse aus, sondern stellt auch ernsthafte Bedrohungen für die menschliche Gesundheit, die Ernährungssicherheit sowie die langfristige Nachhaltigkeit dar. Angesichts der häufigeren und heftigeren klimabezogenen Katastrophen wird immer deutlicher, dass die Bekämpfung des Klimawandels solide Maßnahmen und innovative Lösungen in einem noch nie dagewesenen Ausmaß erfordert.

Hebling Dutra , Chudyson Araújo Freire , Eduardo Lustosa da Costa , Velasque da Costa , Lopes Torres , Zaira Messias de Lima , Paulo Jorge de Oliveira , Alvim Lage , Rodrigues dos Reis
Brazil
OLACEFS
Back To Top
Previous Article
Next Article