Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-Mail-Sicherheit

    Staatliche CIOs setzen Sicherheit im 9. Jahr an die erste Stelle der Prioritätenliste

    Cybersicherheit und Datenschutz sind für staatliche CIOs nicht nur ein wichtiges Thema, sondern auch ein wesentlicher Bestandteil ihrer Entwicklung hin zu einer digitalen Verwaltung und Staatsbürgerschaft.

    by Karen Lynch
    GettyImages-842940728-1200px.jpg

    Wichtige Punkte

    • Staatliche Behörden sind ein großes Ziel für Cyberangriffe.
    • Die CIOs der Staaten räumen diesem Risiko weiterhin Priorität ein, allerdings mit begrenzten Ressourcen.
    • Jüngste Untersuchungen zeigen, wie sich das Risikoprofil der Staaten entwickelt.

    Staatliche Behörden haben viel zu tun - vor allem angesichts der COVID-19-Pandemie. Doch was die CIOs der Bundesstaaten am meisten beschäftigt, ist die Cybersicherheit, so die National Association of State Chief Information Officers (NASCIO). In der Tat stand die Cybersicherheit in der Ausgabe 2022 der "State CIO Top 10 Priorities" der Organisation zum neunten Mal in Folge an erster Stelle. [1]

    Die Notwendigkeit eines solchen Schwerpunkts wurde nur wenige Tage nach der Veröffentlichung der Studie Anfang dieses Monats erneut deutlich, als ein weiterer aufsehenerregender Cyberangriff auf die Regierung eines Bundesstaates in den Nachrichten erschien. In diesem Fall wurde die Legislative des Bundesstaates Virginia durch einen Ransomware-Angriff lahmgelegt.[2]

    Der staatliche und lokale Regierungs- und Bildungssektor (SLED) ist seit Beginn der Pandemie immer häufiger betroffen. Mehr als die Hälfte der SLED-Sicherheitsbeauftragten gaben an, dass es "wahrscheinlich" bis "unvermeidlich" sei, dass ein E-Mail-Angriff ihrer Organisation ernsthaften Schaden zufügen würde, so die Mimecast-Studie 2020 State of Email Security in the U.S. Public Sector .

    Im Jahr 2020 waren einer Schätzung zufolge über 1.790 Bundes-, Landes- und Kommunalverwaltungen sowie Schulen in den USA von einem der schädlichsten Cyberverbrechen betroffen - Ransomware.[1] Während die Statistiken des öffentlichen Sektors für das laufende Jahr noch ausgewertet werden, zeigen allgemeine Trends einen Anstieg der gemeldeten Datenschutzverletzungen aller Art in den USA um 17 % bis zum dritten Quartal 2021. [3] Der SLED-Sektor ist im Allgemeinen stärker betroffen als die meisten anderen Sektoren,[4] vor allem deshalb, weil seine Organisationen über hochsensible Informationen verfügen und schwächere Abwehrmechanismen haben, die sie zu einem leichteren Ziel für Cyberkriminelle machen.[5]

    Mit Blick auf das neue Jahr zeigten sich die staatlichen CIOs entschlossen, in mehreren Schlüsselbereichen Maßnahmen zu ergreifen, so die jährliche NASCIO-Umfrage für 2021,[6] , die die Top-10-Liste ergänzt. Über 80 % gaben an, dass sie beabsichtigen, in den nächsten zwei bis drei Jahren Identitäts- und Zugriffsmanagementlösungen einzuführen oder zu erweitern. Dasselbe gilt für die Durchführung kontinuierlicher Bewertungen der Cybersicherheit im Unternehmen (69 %), die Einführung oder Erweiterung eines Zero-Trust-Frameworks (67 %) und die Durchführung von Schulungen zur Cybersicherheit (56 %).

    Angesichts einer der größten dauerhaften Veränderungen, die die Pandemie mit sich gebracht hat - der Telearbeit - ergab die NASCIO-Umfrage jedoch auch, dass die staatlichen Behörden im kommenden Jahr kaum neue Mittel erhalten werden. Mehr als 80 % der CIOs gaben an, dass es keine Budgeterhöhungen gibt, um den neuen oder gestiegenen Anforderungen an die Telearbeit gerecht zu werden, die die Sicherheit verkompliziert und die Angriffsfläche ihrer Staaten vergrößert hat.

    Sicherheits- und Datenschutzthemen ziehen sich durch die Prioritäten der CIOs

    Cybersicherheit ist nicht nur die oberste Priorität der staatlichen CIOs, sondern viele ihrer anderen Prioritäten spiegeln spezifische Sicherheits- und Datenschutzanforderungen wider. Priorität Nr. 2 ist beispielsweise "digitale Verwaltung/digitale Dienste", die auch Identitätsmanagement und Datenschutz sowie die "Verbesserung und Digitalisierung der Bürgererfahrung" umfasst.

    Die CIOs sind auch auf die "Modernisierung von Altsystemen" bedacht, ein Ziel, das es zum ersten Mal seit fünf Jahren wieder auf die Liste geschafft hat und auf Platz 5 der Prioritätenliste steht. Die Aktualisierung von Altsystemen wird als eine der vielen Notwendigkeiten zur Schließung von Sicherheitslücken angesehen.

    Und so geht die Liste weiter durch eine Reihe von sicherheitsrelevanten Richtlinien und Managementprozessen, einschließlich "Identitäts- und Zugangsmanagement" als Priorität Nr. 6. Die CIOs betonten auch die Sicherheits-, Datenschutz- und Data-Governance-Aspekte anderer wichtiger Prioritäten, wie "Cloud-Dienste" (Priorität Nr. 4) und "Daten- und Informationsmanagement" (Priorität Nr. 9).

    Wie die Pandemie-Reaktion die staatliche Cybersicherheit verändert hat

    In der jährlichen Umfrage des NASCIO beschrieben die CIOs, wie die Reaktionen ihrer Staaten auf die Pandemie ihre Cybersicherheitssysteme und -verfahren verändert haben. Generell heißt es in dem Bericht: "Mit dem Übergang zu einer zunehmend digitalisierten Verwaltung und der anhaltenden Fernarbeit haben die CIOs ihren Ansatz für die Cybersicherheit weiterentwickelt, um die verteilte Umgebung und das menschliche Element der Cyberbedrohungen zu berücksichtigen.

    Zu den spezifischen Umfrageergebnissen gehören:

    • 67 % haben die Verschlüsselung und Sicherheit für die Online-Arbeit zu Hause verbessert.
    • 65 % haben jetzt Standards für die Cloud-Sicherheit.
    • 57 % sehen die Sicherheit als Antrieb für ihre Cloud-Strategien.
    • 41 % sehen Disaster Recovery und Risikomanagement als treibende Kräfte für den Umstieg auf die Cloud.
    • 60 % haben zumindest teilweise ein Identitäts- und Zugangsmanagement eingeführt.
    • 60 % haben die Modernisierung ihrer unsicheren Altsysteme beschleunigt.

    Viele staatliche CIOs (57 %) bezeichneten Ransomware als einen der Hauptgründe für Veränderungen. "Ransomware wird weiterhin eine erhebliche Bedrohung für Regierungsbehörden darstellen", so Cybersecurity in Government 2021 , ein Bericht von Osterman Research im Auftrag von Mimecast.

    Doch Ransomware ist nicht die einzige Bedrohung für die Daten und Abläufe von Staaten. "Regierungen werden von einer breiten Palette von Cyberangriffen angegriffen, darunter Ransomware, Phishing, Kompromittierung von Geschäfts-E-Mails, Datenschutzverletzungen und falsch konfigurierte Cloud-Speicherkonten", so der Osterman-Bericht. Die meisten Angriffe haben ihren Ursprung im E-Mail-Phishing, so der Bericht.

    Sind die staatlichen Budgets für Cybersicherheit der Herausforderung gewachsen?

    Die Budgets für Cybersicherheit müssten weit gestreckt werden, um alle im Top-10-Bericht beschriebenen Anforderungen zu erfüllen. Doch die staatlichen Mittel für Cybersicherheit bleiben knapp.

    Laut einem NASCIO-Deloitte-Bericht aus dem Jahr 2020 wenden die Bundesstaaten weniger als 3 % ihrer IT-Budgets für die Cybersicherheit auf, verglichen mit etwa 7 % im Bundesverkehrsministerium und 11 % in der US-Sozialversicherungsbehörde.[7] Während sich die IT-Finanzierung in der Anfangsphase der Pandemie verbesserte, da Notfallprojekte beschleunigt wurden, sehen die in der jährlichen NASCIO-Umfrage befragten CIOs dies als einen Ausreißer. Wie bereits erwähnt, erwarten weniger als 20 % der Befragten einen Anstieg im Jahr 2022, selbst wenn man davon ausgeht, dass Remote- und Hybrid-Arbeitsplätze weiter zunehmen werden.

    Hilfe ist in Sicht: Das Infrastrukturpaket der Regierung Biden sieht Zuschüsse für die Cybersicherheit in Höhe von 1 Milliarde Dollar für staatliche und lokale Einrichtungen vor. Die Mittel sollen zwischen 2022 und 2025 bereitgestellt werden. [8] Eine weitere vielversprechende Entwicklung für SLED-CIOs ist, dass die StateRAMP-Cloud-Sicherheitsstandardgruppe vor kurzem ihre erste Liste autorisierter Anbieter veröffentlicht hat, darunter Mimecast.[9]

    Die Quintessenz

    Seit neun Jahren in Folge haben die CIOs staatlicher Behörden die Cybersicherheit als ihre oberste Priorität bezeichnet. Sie unternehmen viele Schritte, um ihr Risiko zu verringern, aber knappe Budgets und Altsysteme machen sie weiterhin anfälliger als die meisten Organisationen.


    [1] "State CIO Top Ten Policy and Technology Priorities for 2022," National Association of State Chief Information Officers

    [2] "Ransomware-Angriff trifft Virginia Legislature," CNN

    [3] "Anzahl der Datenschutzverletzungen im Jahr 2021 übersteigt die des Jahres 2020," Identity Theft Resource Center

    [4] "2021 Data Breach Investigations Report," Verizon

    [5] "Warum Regierungsinstitutionen das perfekte Ziel für Hacker sind," Government Technology

    [6] "The 2021 State CIO Survey," National Association of State Chief Information Officers

    [7] "2020 Deloitte-NASCIO Cybersecurity Study," Deloitte und National Association of State Chief Information Officers

    [8] "Staatliche und lokale Beamte feiern die Verabschiedung des Infrastrukturgesetzes mit 1 Milliarde Dollar an Cyber-Fonds," The Hill

    [9] "StateRAMP Authorized Vendors," StateRAMP

    gettyimages-1004464634.png
    Nächster Punkt
    E-Mail-Sicherheit |
    Cybersecurity Rating Services bewerten Lieferkettenrisiko

    Verwandte Artikel

    E-Mail-Sicherheit
    Wie Sie Ihre Sicherheitsintegrationen gestalten
    E-Mail-Sicherheit
    Cybersicherheit wird zum Wachstumsmotor für Unternehmen
    E-Mail-Sicherheit
    Was ist VSOC und GSOC Sicherheit?

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang