Autor: Thiago de Oliveira Teodoro<\/p>\n\n\n\n
Oberste Rechnungskontrollbeh\u00f6rden (ORKB) spielen eine wesentliche Rolle f\u00fcr die Bewertung der Wirksamkeit staatlicher Ma\u00dfnahmen. In einem Zeitalter, das von einem rasanten technologischen Wandel gepr\u00e4gt ist, stehen die Ma\u00dfnahmen zur Regelung der Cybersicherheit und des Datenschutzes unter dem enormen Druck, hohe Anforderungen an Resilienz und Compliance zu erf\u00fcllen. Der vorliegende Beitrag zielt darauf ab, unser diesbez\u00fcgliches Verst\u00e4ndnis zu erweitern. Er behandelt neue Erkenntnisse, welche die bestehenden Orientierungshilfen der Internationalen Organisation der Obersten Rechnungskontrollbeh\u00f6rden (INTOSAI) \u2013 die haupts\u00e4chlich in den unten genannten Publikationen enthalten sind \u2013 <\/em>erg\u00e4nzen k\u00f6nnen.<\/p>\n\n\n\n Insbesondere der Leitfaden f\u00fcr die Pr\u00fcfung der Cybersicherheit und des Datenschutzes f\u00fchrt mehrere bew\u00e4hrte Verfahren der US-amerikanischen Beh\u00f6rde National Institute of Standards and Technology (NIST) auf. Diese dienten als Ausgangspunkt, um zu zeigen, wie diese Verfahren die bestehenden INTOSAI-Leitf\u00e4den um weitere Sicherheitselemente erg\u00e4nzen k\u00f6nnen. Das NIST-Modell bietet ein umfassendes Rahmenwerk und einen flexiblen, anpassbaren Katalog an Sicherheits- und Datenschutzkontrollen, um Organisationen bei der Bew\u00e4ltigung von Systemrisiken, der Abwehr von Cyberbedrohungen sowie der F\u00f6rderung eines umfassenden, organisationsweiten Risikomanagements zu unterst\u00fctzen.<\/p>\n\n\n\n In dieser \u00dcbersicht werden die f\u00fcnf wichtigsten NIST-Kontrollfamilien in den Bereichen Sicherheit und Datenschutz hervorgehoben, auf die in den INTOSAI-Leitf\u00e4den Bezug genommen wird und die in den Kontext folgenschwerer Cyberangriffe gesetzt werden k\u00f6nnen.<\/p>\n\n\n\n Risikomanagement in der Lieferkette wurde aufgrund der steigenden Anzahl an Angriffen auf Lieferketten, die sowohl \u00f6ffentliche als auch private Einrichtungen bedrohen, zu einem wichtigen Anliegen. Ein nennenswertes Beispiel ist der SolarWinds-Angriff aus dem Jahr 2020, bei dem Angreifer sich im Rahmen von Softwareupdates einschleusten, was zu weitreichender Gef\u00e4hrdung f\u00fchrte, auch in staatlichen Stellen. Solche Vorf\u00e4lle zeigen, wie wichtig eine solide Aufsicht und Risikobeurteilung bei der Zusammenarbeit mit Drittanbietern ist. Um diese Risiken zu mindern, sollten ORKB klare Richtlinien f\u00fcr die Beurteilung der Schwachstellen von Lieferanten sowie die \u00dcberpr\u00fcfung der Authentizit\u00e4t von Komponenten und Leistungen festlegen. Die Umsetzung von Normen wie der NIST 800-161<\/a>, die einen strukturierten Rahmen f\u00fcr die Ermittlung und die Steuerung der Risiken in der Lieferkette bieten, k\u00f6nnen das Sicherheitsniveau erh\u00f6hen.<\/p>\n\n\n\n Die Reaktion auf Vorf\u00e4lle ist von entscheidender Bedeutung, um die Auswirkungen von Sicherheitsl\u00fccken zu minimieren, insbesondere im Hinblick auf Ransomware und Advanced Persistent Threats (dt. etwa \u201efortgeschrittene, andauernde Bedrohungen\u201c), kurz APTs. Ein einfaches Beispiel ist der Conti-Ransomware-Angriff auf Costa Rica im April 2022, der mehrere staatliche Stellen, darunter das Finanzministerium, schwer beeintr\u00e4chtigte und die Steuererhebung sowie andere wichtige Dienstleistungen unterbrach. Solche Vorf\u00e4lle verdeutlichen, wie wichtig es ist, die Reaktion auf Vorf\u00e4lle proaktiv zu planen, um sicherzustellen, dass Organisationen Cyberangriffe erkennen, eind\u00e4mmen und sich von ihnen erholen k\u00f6nnen. ORKB sollten umfassende Strategien f\u00fcr die Reaktion auf Vorf\u00e4lle f\u00f6rdern: Dazu z\u00e4hlen unter anderem Unterst\u00fctzungsrahmen, strukturierte Reaktionspl\u00e4ne und regelm\u00e4\u00dfige \u00dcberpr\u00fcfungen der Vorfallprotokollierung. Die \u00dcbernahme von Branchennormen wie NIST SP 800-61<\/a> kann die Reaktionsf\u00e4higkeit weiter st\u00e4rken und die allgemeine Widerstandsf\u00e4higkeit im Bereich Cybersicherheit erh\u00f6hen.<\/p>\n\n\n\n Der Schutz der Privatsph\u00e4re sowie der Datenschutz sind ins Zentrum ger\u00fcckt, da Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) strenge Anforderungen an die Verwaltung und den Schutz personenbezogener Daten stellen. Ein mangelnder Schutz sensibler Daten kann zu schwerwiegenden Verst\u00f6\u00dfen f\u00fchren, wie im Jahr 2020 zu sehen war, als Angreifer die Regierungskommunikation und wichtige politische Informationen im norwegischen Parlament kompromittierten. Solche Vorf\u00e4lle verdeutlichen, wie wichtig eine strenge Regelung des Datenschutzes und Ma\u00dfnahmen zur Einhaltung dieser Regelungen sind. ORKB sollten Datenschutz-Folgenabsch\u00e4tzungen durchf\u00fchren und umfassende Datenschutz-Rahmenwerke einf\u00fchren, um Risiken zu mindern. Die Ber\u00fccksichtigung des Datenschutzrahmenwerks des NIST<\/a> erm\u00f6glicht es ORKB, einen strukturierten Ansatz f\u00fcr die Regelung des Datenschutzes auszuarbeiten, der Compliance, Rechenschaftspflicht und das nachhaltige Vertrauen der \u00d6ffentlichkeit in den Umgang mit Daten gew\u00e4hrleistet.<\/p>\n\n\n\n Kontinuierliche \u00dcberwachung und automatisierte Sicherheitsma\u00dfnahmen sind unerl\u00e4sslich, um Schwachstellen in Echtzeit zu ermitteln und zu minimieren, insbesondere in kritischen Systemen. Ein bezeichnendes Beispiel ist die Ausnutzung der MOVEit-\u00dcbertragungsschwachstelle im Jahr 2023, bei der Angreifer erfolgreich Malware in legitime Daten\u00fcbertragungen eingebettet haben. Dies hatte negative Konsequenzen f\u00fcr mehrere Organisationen, darunter das US-amerikanische Energieministerium. Dieser Vorfall zeigt, wie wichtig eine proaktive und automatisierte Sicherheits\u00fcberwachung ist, um Bedrohungen zu erkennen und darauf zu reagieren, bevor sie sich zuspitzen. ORKB sollten automatisierte Tools, adaptive Sicherheitsmethoden und kontinuierliche \u00dcberwachungssysteme einsetzen, um ihre Cyberresilienz zu steigern. Die Verwendung der Richtlinien der NIST 800-137A<\/a> kann dabei helfen, robuste Sicherheitsma\u00dfnahmen, die dynamisch auf neue Bedrohungen und Schwachstellen reagieren k\u00f6nnen, einzuf\u00fchren.<\/p>\n\n\n\n Das Internet der Dinge (Internet of Things; IoT) und Betriebstechnologie (Operational Technology; OT) spielen zentrale Rollen f\u00fcr kritische Infrastruktur, aber ihre schwachen Ausgestaltungen machen sie zu erstklassigen Zielen f\u00fcr Cyberbedrohungen. Ein einzigartiges Beispiel ist der Colonial-Pipeline-Ransomware-Angriff aus dem Jahr 2021, bei dem Angreifer den Treibstoffvertrieb in den USA durcheinanderbrachten, was zu weitreichenden Engp\u00e4ssen f\u00fchrte und bundesweit die Steigerung der Sicherheit kritischer Infrastruktur ausl\u00f6ste. Dieser Vorfall verdeutlicht die Notwendigkeit, IoT- und OT-Umgebungen zu sichern, um \u00e4hnlichen St\u00f6rungen vorzubeugen. Oberste Rechnungskontrollbeh\u00f6rden (ORKB) sollten risikobasierte Pr\u00fcfungsstrategien einf\u00fchren, die sich mit IoT- und OT-Schwachstellen befassen, unter anderem mit Ger\u00e4teauthentifizierung, Verschl\u00fcsselung und sicherer Kommunikation. Die Verwendung der Richtlinien der NIST SP 1800-25<\/a>, 1800-26<\/a>, 800-82<\/a> kann die Widerstandsf\u00e4higkeit und Sicherheit dieser Systeme st\u00e4rken.<\/p>\n\n\n\n Diese f\u00fcnf Sicherheitsbereiche befassen sich mit den gr\u00f6\u00dften Bedrohungen, jedoch k\u00f6nnten auch zahlreiche andere NIST-Kontrollfamilien f\u00fcr die Bereiche Sicherheit und Datenschutz in Betracht gezogen werden. Eine \u00e4hnliche Methode kann angewendet werden, um die Analyse zu erweitern, sich auf spezifische Sicherheitskontrollen zu konzentrieren und gezieltere Empfehlungen abzugeben. Dieser Ansatz kann die bestehenden INTOSAI-Leitf\u00e4den nutzen und gleichzeitig detaillierte Erkenntnisse aus anderen Normen, zum Beispiel NIST, einbeziehen.<\/p>\n\n\n\n Schlie\u00dflich k\u00f6nnen ORKB durch die Verbesserung der Cybersicherheitsma\u00dfnahmen Sicherheitskontrollen besser pr\u00fcfen und verst\u00e4rken, was letztendlich zu einer gesteigerten Widerstandsf\u00e4higkeit der Informationssysteme des \u00f6ffentlichen Sektors f\u00fchrt.<\/p>\n","protected":false},"excerpt":{"rendered":" Oberste Rechnungskontrollbeh\u00f6rden (ORKB) spielen eine wesentliche Rolle f\u00fcr die Bewertung der Wirksamkeit staatlicher Ma\u00dfnahmen. In einem Zeitalter, das von einem rasanten technologischen Wandel gepr\u00e4gt ist, stehen die Ma\u00dfnahmen zur Regelung der Cybersicherheit und des Datenschutzes unter dem enormen Druck, hohe Anforderungen an Resilienz und Compliance zu erf\u00fcllen. Der vorliegende Beitrag zielt darauf ab, unser diesbez\u00fcgliches Verst\u00e4ndnis zu erweitern. Er behandelt neue Erkenntnisse, welche die bestehenden Orientierungshilfen der Internationalen Organisation der Obersten Rechnungskontrollbeh\u00f6rden (INTOSAI) \u2013 die haupts\u00e4chlich in den unten genannten Publikationen enthalten sind \u2013 erg\u00e4nzen k\u00f6nnen.<\/p>\n","protected":false},"author":377,"featured_media":35299,"template":"","meta":{"_acf_changed":false,"footnotes":""},"journal-categories":[4272],"content-tags":[2238,2314,4280,2149,2267],"country":[2898],"region":[2871],"section":[2608],"coauthors":[4155],"class_list":["post-35913","journal-entry","type-journal-entry","status-publish","has-post-thumbnail","hentry","journal-categories-q2-2025-de","content-tags-cybersicherheit","content-tags-digitalisierung","content-tags-emerging-risks-de","content-tags-risikobasierter-ansatz","content-tags-wissenschaft-und-technik","country-brazil-5-de","region-olacefs-de-de","section-spotlight-auf-wissenschaft-und-technologie"],"acf":[],"yoast_head":"\n\n
Die f\u00fcnf zentralen NIST-Kontrollfamilien: Lektionen aus folgenschweren Cyberangriffen<\/h2>\n\n\n\n
1. Risikomanagement in der Lieferkette<\/h3>\n\n\n\n
2. Reaktion auf Vorf\u00e4lle<\/h3>\n\n\n\n
3. Verarbeitung personenbezogener Daten und Transparenz<\/h3>\n\n\n\n
4. Kontinuierliche \u00dcberwachung und automatisierte Sicherheitsma\u00dfnahmen<\/h3>\n\n\n\n
5. Sicherheit des Internets der Dinge und der Betriebstechnologie<\/h3>\n\n\n\n
Fazit<\/h2>\n\n\n\n