Prozessorientiertes
Sicherheitsmanagement

Prozessorientiertes Sicherheitsmanagement (ProSiMa) kombiniert effiziente IT-Grundschutz-Methoden mit einem prozessorientierten Ansatz, um Behörden resilient und sicher gegen Cyberangriffe zu machen. Lesen Sie im Interview mit unserer Expertin, wie ProSiMa Prozesse optimiert modernen Technologieeinsatz fördert und das Vertrauen in digitale Verwaltungsleistungen stärken kann.
 

Was ist prozessorientiertes Sicherheitsmanagement und welches Ziel verfolgt es?

Das prozessorientierte Sicherheitsmanagement, kurz ProSiMa, verfolgt das Ziel, durch eine effiziente Vorgehensweise auf Basis der IT-Grundschutz Methodik resiliente Organisationen sowie sichere digitale Verwaltungsverfahren und gehärtete IT-Systeme zu schaffen und das Sicherheitsbewusstsein der handelnden Personen gegen Cyberangriffe und Social Engineering zu schärfen.

Das Effizienzpotenzial des Ansatzes liegt dabei in der Durchführung einer Differenzanalyse, welche durch eine „Ende-zu-Ende“-Betrachtung mehrerer Prozesse einer Behörde die prozessübergreifenden von prozessbezogenen Ressourcen abgrenzt, um die digitale Verwaltung mit ganzheitlichen Sicherheitsmaßnahmen zu umschließen.  

Eine Möglichkeit zur Skalierung ergibt sich aus dem Prüfumfang, abhängig vom erforderlichen Schutzniveau. Bereits durch einfache Checklisten, die grundlegende Sicherheitsanforderungen abdecken, können erste Maßnahmen zur Basisabsicherung der Prozesse implementiert werden, die vergleichsweise effektive Schutzmechanismen gegen digitale Angriffe bieten.
 

Warum ist das Thema prozessorientiertes Sicherheitsmanagement besonders für Behörden von großer Relevanz?

Ausgelöst durch die gesetzlichen Rahmenbedingungen, zum Beispiel durch das E-Government-Gesetz (EGovG), das Onlinezugangsgesetz (OZG) bzw. der jeweiligen Nachfolgegesetze, aber auch eingefordert durch die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) besteht für alle Behörden und Verwaltungen in Deutschland mehr denn je die Notwendigkeit, Verwaltungsverfahren unter Einhaltung der gebotenen Sicherheits- und Datenschutzaspekte zu digitalisieren. Gleichermaßen müssen diese Bürgerinnen und Bürgern sowie Unternehmen zur Verfügung gestellt werden.

Der geforderte zeit- und ortsunabhängige Verwaltungszugang findet im digitalen Raum statt, welcher neue Bedrohungs- und Angriffsszenarien eröffnet, die in der analogen Welt bislang unbekannt sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verdeutlicht in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland, dass die Bedrohung im Cyberraum so hoch ist wie nie zuvor.¹

Besonders alarmierend sind Vorfälle, wie der schwere Ransomware-Angriff auf die "Südwestfalen IT", der wichtige kommunale IT-Systeme lahmlegte und bei dem es sich, gemessen an der betroffenen Einwohnerzahl, um den bislang größten Angriff auf die öffentliche Verwaltung in Deutschland handelte. ² Diese und andere Sicherheitsvorfälle betonen die Notwendigkeit die Resilienz gegenüber Cyberbedrohungen im Sinne des „security-by-design“-Ansatzes zu erhöhen, indem Organisationen umfassende Sicherheitsmaßnahmen ergreifen, die sowohl präventive als auch reaktive Strategien beinhalten, um effektiv auf die stetig wachsende Bedrohungslage zu reagieren.

Somit steht die Frage im Raum, wie „digital only“ mit dem „security-by-design“-Gedanken kombiniert werden kann, um sowohl die gesetzlichen Anforderungen zu erfüllen und gleichzeitig der Bedrohungslage im Cyberraum zu begegnen.  

Dem Wunsch nach Digitalisierung setzen zum einen begrenzte Haushaltsmittel, zum anderen knappe personelle Ressourcen in der öffentlichen Verwaltung enge Grenzen. Des Weiteren ist die teilweise hohe Prozesskomplexität von Verwaltungsverfahren sowie das noch nicht ausgeprägte Bewusstsein hinsichtlich der Verletzlichkeit von digitalen Strukturen zu nennen. Hierbei spielt zum Beispiel auch die lange Nutzungsdauer, der in der Verwaltung zum Einsatz kommenden Betriebs- und IT-Systeme eine nicht zu vernachlässigende Rolle. Nicht zu unterschätzen ist an dieser Stelle auch die teilweise hohe Arbeitsteiligkeit innerhalb von Verwaltungsprozessen, die mitunter dazu führt, dass Synergieeffekte in der Prozessgestaltung nicht erkannt werden.

Ein Lösungsansatz liegt in der prozessorientierten Sichtweise, welche eine multiperspektivische Annäherung aus der Kombination von Organisations- und Sicherheitsberatung basierend auf der IT-Grundschutz-Methode des BSI ermöglicht.

Für die öffentliche Verwaltung lässt sich der Mehrwert des prozessorientierten Zugangs wie folgt zusammenfassen:

• Skalierbarkeit der Prüfhandlungen zum einfachen Einstieg in eine systematische Sicherheitsbetrachtung,
• Erkennung von Chancen zur Prozessoptimierung,
• Identifikation von Möglichkeiten für einen moderneren Technologieeinsatz,
• Berücksichtigung des „Security-by-design“- Gedankens im Rahmen der Verfahrens-modernisierung sowie bei der Einführung neuer Basisdienste,
• Identifikation und Nutzung von Synergieeffekten, indem Prozesse übergreifend betrachtet werden sowie
• Schaffung von Vertrauen für die Inanspruchnahme digitaler Verwaltungsleistungen.
   

Warum spielen die Mitarbeitenden hier eine besonders wichtige Rolle?

Ein Ergebnis der Differenzanalyse kann ohne Zweifel vorweggenommen werden: Prozesse werden von Menschen umgesetzt.

Wohlbekannt ist auch, dass der Mensch ein beliebtes Angriffsziel von Cyberkriminellen ist, da menschliches Fehlverhalten im Rahmen der Digitalisierung vielfältiger zu provozieren ist, als dies in der analogen Welt möglich wäre. Auch das BSI formuliert im aktuellen Lagebericht der IT-Sicherheit in Deutschland, dass der Faktor „Mensch“ für Angriffe aus dem Cyberspace immer bedeutsamer wird.³ Ferner ist davon auszugehen, dass große KI-Sprachmodelle weiteres Anwachsen bei diesen Cyberbedrohungen bewirken werden, da die bekannten Identifizierungsmerkmale beispielsweise von Spam- und Phishingmails durch überzeugende und ansprechende Vorlagen ersetzt werden; ganz zu schweigen von Verfahren zur Fälschung von Audiodateien, durch welche zum Beispiel Stimmen von Personen imitiert werden können, die nicht mehr vom Original zu unterscheiden sind.⁴

Zusätzlich zur technischen Resilienz gilt es also, die handelnden Personen zu sensibilisieren, um sie zu befähigen, die sich stetig verbessernden Angriffen zu erkennen, angemessen darauf zu reagieren sowie über diese in geeigneter Weise zu berichten.

Überdies ist auf die übergreifende Wirkung von Sensibilisierungsmaßnahmen hinzuweisen: Durch die Schulung der mitarbeitenden Personen werden auch Prozesse implizit geschützt, welche nicht im Fokus der Sicherheitsbetrachtung sind.

Unsere Beratungsleistungen im Bereich prozessorientiertes Sicherheitsmanagement zeichnen sich durch tiefgehende Expertise und praxisnahe Lösungen aus, die nahtlos in Ihre Geschäftsprozesse integriert werden. Durch unsere umfassende Erfahrung und bewährten Methoden helfen wir Ihnen, Risiken effektiv zu minimieren und die Sicherheit Ihrer Abläufe kontinuierlich zu verbessern.

¹ Vgl. Bundesamt für Sicherheit in der Informationstechnik, BSI: Die Lage der IT-Sicherheit in Deutschland 2023,
BSI - Die Lage der IT-Sicherheit in Deutschland 2023 (bund.de), S. 11 (abgerufen am 14.05.2024 / 11:31)

² Vgl. Wölbert: Stillstand in Südwestfalen | c't | heise magazine (abgerufen am 14.05.2024 / 11:47)

³ Vgl. Bundesamt für Sicherheit in der Informationstechnik, BSI: Die Lage der IT-Sicherheit in Deutschland 2023,
BSI - Die Lage der IT-Sicherheit in Deutschland 2023 (bund.de), S. 13 (abgerufen am 14.05.2024 / 11:31)

⁴ Vgl. Bundesamt für Sicherheit in der Informationstechnik, BSI: Die Lage der IT-Sicherheit in Deutschland 2023,
BSI - Die Lage der IT-Sicherheit in Deutschland 2023 (bund.de), S. 44 (abgerufen am 14.05.2024 / 11:31)