WannaCry. Was der Ransomware-Angriff über öffentliche IT-Sicherheit sagt. – Mai 2017 im E-Government-Rückblick.

Am 12. Mai 2017 verbreitet sich WannaCry weltweit. Die Ransomware trifft den britischen National Health Service, die Deutsche Bahn, Telekommunikationsunternehmen, Logistikkonzerne und Hunderttausende weitere Systeme in über 150 Ländern. Was sie ausnutzt: eine Windows-Sicherheitslücke, für die ein Patch bereits seit März verfügbar war.

Für die öffentliche IT ist das keine abstrakte Bedrohung. Es ist ein Realtest.

Was WannaCry über öffentliche IT-Infrastrukturen sagt

WannaCry schlägt wo ein, wo Systeme nicht gepatcht sind. Was das über öffentliche IT-Infrastrukturen zeigt: Patch-Management ist eine Schwachstelle. Systeme, die lange im Betrieb sind, werden selten konsequent aktualisiert. Die Gründe sind bekannt: fehlende Ressourcen, Angst vor Kompatibilitätsproblemen, mangelnde Priorisierung.

Was die Deutsche Bahn trifft, betrifft auch Behörden. Was die BSI -Berichte nach WannaCry zeigen: Öffentliche Verwaltungen waren ebenfalls betroffen, wenn auch in vielen Fällen weniger sichtbar als die großen Infrastrukturbetreiber.

Was das für die OZG-Digitalisierung bedeutet: Wer jetzt digitale Dienste aufbaut, baut sie auf einer IT-Infrastruktur, die zum Teil aus ungepatchten Legacy-Systemen besteht. Das ist ein Sicherheitsrisiko, das nicht ignoriert werden darf.

Was Sicherheit für digitale Verwaltungsdienste erfordert

Ein digitaler Verwaltungsdienst ist angreifbar. Was ihn angreifbar macht: Softwarefehler, ungepatchte Systeme, schwache Authentifizierung, unsichere Schnittstellen. Was WannaCry zeigt: Sicherheit ist kein Zustand, sondern ein Prozess.

Was das für OZG-Dienste erfordert: Security by Design als Entwicklungsprinzip, analog zu Privacy by Design. Sicherheit wird nicht am Ende eingebaut, sondern von Anfang an mitgedacht. Was das konkret bedeutet: Bedrohungsmodellierung in der Konzeptionsphase, regelmäßige Sicherheitsprüfungen während der Entwicklung, und einen Betriebsplan, der Patch-Management und Incident Response umfasst.

Ein Dienst, der produktiv geht, aber kein Patch-Management-Konzept hat, ist ein Sicherheitsrisiko.

Was das BSI in dieser Situation leisten muss

Das BSI ist die Bundesbehörde für IT-Sicherheit. Was WannaCry von ihr fordert: nicht nur Warnungen, sondern konkrete Unterstützung für Behörden und Betreiber kritischer Infrastrukturen bei der Härtung ihrer Systeme.

Was langfristig nötig ist: eine strukturiertere Verbindung zwischen BSI-Empfehlungen und OZG-Anforderungen. Wenn EfA-Dienste entwickelt werden, sollte die Sicherheitsarchitektur nach BSI-Standards geprüft sein, bevor sie zur Nachnutzung freigegeben wird.

Das ist keine neue Idee. Was fehlt, ist die strukturelle Verankerung dieser Anforderung im OZG-Umsetzungsrahmen.

Hat Sie das Thema interessiert?

Wenn Sie IT-Sicherheitsanforderungen in Ihre Digitalisierungsprojekte integrieren wollen: Ich bin über das Kontaktformular unten erreichbar.

it-sicherheitbsiverwaltungsdigitalisierunge-governmentkritische-infrastrukturstrukturdiagnose