E-Government und Cybersicherheit stehen bei der NASCIO an erster Stelle
Wie man die Ausfallsicherheit von Sicherheits- und Digitaldiensten stärkt
Jedes Jahr veröffentlicht die National Association of State Chief Information Officers (NASCIO) ihre Top-10-Liste ihrer strategischen Prioritäten. Es überrascht nicht, dass Cybersicherheit und Risikomanagement auch 2024 an der Spitze standen. Es ist seit über einem Jahrzehnt die Nummer 1, da staatliche und lokale Behörden immer wieder von Cyberangriffen betroffen sind.
Doch in einer „historischen Premiere“, wie es der NASCIO nannte, landeten die digitalen Behördendienste in diesem Jahr gleichauf mit der Cybersicherheit auf Platz 1. Digitale Behördendienste – oder E-Government-Dienste – sind Dienstleistungen, die der Öffentlichkeit und der Wirtschaft durch den Einsatz von Informations- und Kommunikationstechnologie zur Verfügung gestellt werden.
Doug Robinson, Executive Director der NASCIO, kommentiert den Gleichstand so: Cybersicherheit und Digital Government sind zwei kritische Themen für staatliche CIOs – und werden es noch für einige Zeit bleiben.
Kaum jemand würde dem widersprechen, aber vergessen Sie nicht: Es handelt sich um eine Prioritätenliste. Sollte es nicht nur eine Nummer 1 geben?
Der Status Quo bei digitalen Behördendiensten
Da praktisch alles online verfügbar ist, wünschen sich die Menschen auch von Seiten der Behörden erstklassige digitale Dienste. Es sollte keine Rolle spielen, dass verschiedene Behörden unterschiedliche Dinge erledigen. Sie sollten sich nicht durch lange Listen von Behörden wühlen, die richtige Website finden und ein weiteres Konto anlegen müssen, um mit den Behörden zu interagieren. Niemand sollte unter der „Zeitsteuer“ leiden, die mit komplizierten Suchvorgängen, verwirrenden Prozessen, zeitaufwändigen Anwendungen und langen Reaktionszeiten verbunden ist. Das ist jedoch die Realität der staatlichen Dienstleistungen in weiten Teilen der USA.
Behörden auf nationaler und regionaler Ebene wissen das sehr genau. Die breite Öffentlichkeit ist sich vielleicht nicht bewusst, aber den behördlichen Leitern ist die Bereitstellung dieser Dienstleistungen sehr wichtig und sie ergreifen Maßnahmen.
So investieren Bundesstaaten beispielsweise in öffentlich zugängliche Webprotale, die einen reibungslosen und behördenübergreifenden Zugang zu jedem von ihnen angebotenen Dienst ermöglichen. Bei der Modernisierung von Anwendungen wenden sie die neuesten Prinzipien des „Human-Centered Designs an, um den Menschen in den Mittelpunkt zu stellen. Sie kombinieren Single Sign-on mit einer passwortlosen Multi-Faktor-Authentifizierung, sodass Nutzer nur einen einzigen Zugangscode (ohne Passwort!) verwalten müssen. Und sie entwickeln Innovationen mit KI-gestützten digitalen Assistenten, um die Zukunft der Behördendienste zum Leben zu erwecken.
Ohne Zweifel tragen großartige digitale Erlebnisse dazu bei, Vertrauen in die Behörden zu schaffen. Diese starke Fokussierung erklärt, warum Digitaldienste in der NASCIO Top 10-Liste bis auf Platz 1 vorgerückt sind. Schlechte Sicherheits- und Datenschutzpraktiken können jedoch alles untergraben, sodass das auch die Nummer 1 ist. Daher das Unentschieden.
Kommen wir nun zurück zu unserer Frage: War das wirklich eine Überraschung? Natürlich nicht. Aus der Sicht der Öffentlichkeit sind großartige digitale Dienste und hohe Sicherheit keine getrennten Prioritäten. Sie sind ein und dasselbe.
Stärken Sie die Ausfallsicherheit Ihres Unternehmens
Die vielleicht größte Überraschung in der von NASCIO veröffentlichten Liste war folgende: Prioritäten wie „Verfügbarkeit“, „Zuverlässigkeit“ und „Ausfallsicherheit“ waren nicht zu finden. Kaum etwas untergräbt das Vertrauen mehr als Dienstleistungen, die einfach nicht funktionieren.
Natürlich ist Verfügbarkeit neben Vertraulichkeit und Integrität ein Grundpfeiler der Sicherheit, man könnte also sagen, dass sie implizit ist. In den letzten Jahren taucht jedoch immer häufiger der Begriff Ausfallsicherheit als Grundlage vertrauenswürdiger Systeme auf. Ausfallsicherheit klingt vielleicht wie ein schickeres Wort für Verfügbarkeit, aber es steckt noch mehr dahinter. Ausfallsicherheit wirft ein helles Licht auf das zentrale Thema: Vertrauen aufbauen. NASCIO sollte in Erwägung ziehen, dies explizit zu nennen, genau wie bei den Themen Governance, Nutzererfahrung, Zugänglichkeit und Drittanbieterrisiko.
Um Unternehmen dabei zu helfen, ihre Resilienz zu stärken, hat das National Institute of Standards and Technology (NIST) zwei 800-160-Sonderpublikationen („Special Publications“) über vertrauenswürdige Systeme (Band 1) und Cyberresilienz-Systeme (Band 2) herausgegeben. Ein wichtiges Zitat sticht heraus: „Vertrauenswürdigkeit ist die nachgewiesene Fähigkeit und damit die Wertschätzung einer Entität, der man vertrauen kann, die Erwartungen zu erfüllen, einschließlich der Erfüllung der Erwartungen angesichts von Widrigkeiten.“ Mit anderen Worten: Sie gewinnen Vertrauen, wenn Sie konstant erstklassige Qualität bieten – auch in schwierigen Zeiten.
Und die Zeiten können schnell schwierig werden, wenn die Systeme langsamer werden oder nicht mehr reagieren. Die Ursache kann ein Cyberproblem wie Ransomware oder ein Denial-of-Service-Angriff sein, aber es kann auch ein betriebliches Problem wie eine unerwartete Traffic-Spitze oder ein menschliches Versagen sein, das zu einer ausgewachsenen Krise führt. Nur wenige werden vergessen, wie die Pandemie Unternehmen im ganzen Land lahmlegte und Millionen von Menschen die Systeme der Bundesstaaten zur Beantragung von Arbeitslosengeld überlasteten – was zum Absturz der Websites und zu langen Wartezeiten für überlebenswichtige Leistungen führte. Diese Art des Versagens in schwierigen Zeiten hat dazu beigetragen, das Vertrauen in die Regierung zu einem kritischen Zeitpunkt zu untergraben.
Die gute Nachricht ist, dass es ein einfaches Handbuch gibt, mit dem SieVertrauen in Ihre digitalen Dienste schaffen und ihnen Ausfallsicherheit bieten können – ohne sich in 500 Seiten von NIST-Publikationen vertiefen zu müssen. Oder auf die Top 10-Liste des nächsten Jahres warten zu müssen.
Die fünf wichtigsten Prioritäten für staatliche und lokale Behörden
Gut, wir empfehlen, sich eingehender mit der NIST 800-160-Reihe zu befassen, aber hier sind die fünf wichtigsten Prioritäten, mit denen Sie die Ausfallsicherheit sofort in Ihre Programme für Cybersicherheit und digitale Dienste einbauen können:
DDoS-Abwehr
Angreifer nutzen Distributed-Denial-of-Service-Angriffe (DDoS), um Dienste zu unterbrechen oder manchmal auch einfach, um die Aufmerksamkeit von einem anderen Angriff abzulenken. DDoS-Angriffe überfordern Systeme mit Traffic, der aus vielen Quellen stammt, und machen es schwierig, sie zu stoppen – selbst für vorgelagerte Internet Service Provider. Das muss aber nicht sein. Heute können Sie Ihre digitalen Dienste mit einer modernen, globalen Connectivity Cloud verbinden, die über die nötige Transparenz und Expertise verfügt, um DDoS Angriffe zu erkennen und zu stoppen.Sicheres DNS
Wie andere wichtige Internetservices wurde auch das Domain Name System (DNS) nicht mit Blick auf die Sicherheit entwickelt. Angreifer können so die Schwachstellen des Dienstes ausnutzen und die Servicequalität beeinträchtigen, Nutzer auf bösartige Websites umleiten oder E-Mails abfangen. DNS-Erweiterungen wie das DNSSEC-Protokoll (Domain Name System Security Extensions) wurden zur Authentifizierung von DNS-Anfragen entwickelt, boten aber immer noch keinen Schutz vor DDoS-Angriffen. Oberste Priorität sollte daher die Einführung einer sicheren DNS-Lösung haben, die hochleistungsfähige DNS-Dienste mit DNSSEC und DDoS-Schutz kombiniert, um sicherzustellen, dass Ihre Dienste immer verfügbar und vor DNS-basierten Angriffen geschützt sind.Schutz von Webanwendungen
Web-Plattformen werden ständig mit neuen Bedrohungsvektoren und -taktiken angegriffen. Ob Bedrohungen nun gut bekannt sind und durch das Open Worldwide Application Security Project (OWASP) definiert wurden oder neue Zero-Day-Bedrohungsvektoren auftreten: Eine moderne Web Application Firewall (WAF) muss in der Lage sein, beide in großem Umfang zu bekämpfen. Die Überprüfung offengelegter Zugangsdaten, API-zentrierte Kontrollen und die Erkennung sensibler Daten in Antworten sind ebenfalls wichtige Voraussetzungen für einen ganzheitlichen Ansatz zum Schutz von Webanwendungen. Diese Kontrollen müssen ständig an die sich ständig wandelnde Landschaft angepasst werden. Ziehen Sie deshalb einen WAF-Anbieter in Betracht, der Machine Learning einsetzt, das durch ein ausgedehntes globales Sensornetzwerk trainiert wird, um diese neuen Bedrohungen zu erkennen und auf sie zu reagieren.Dienste zur Anwendungsbeschleunigung
Bei digitalen Diensten geht es nicht nur um die Anwendungsarchitektur und die Prinzipien des menschenzentrierten Designs, sondern auch um die Verfügbarkeit und Beschleunigung der Inhalte für den Endnutzer. Erweiterte Zwischenspeicherung und Content-Management-Funktionen, die unabdingbar in den oben erwähnten Sicherheitskontrollen enthalten sind, sind wichtige Komponenten, um die Performance, die Ausfallsicherheit und letztlich das Vertrauen in diese Systeme zu gewährleisten. Um diese Ziele effektiv zu erreichen, müssen die Anbieter über eine verteilte Präsenz verfügen, in der Beschleunigung und Sicherheit eng miteinander verbunden sind.Dienste zur Netzwerkbeschleunigung
Provider, die das Netzwerk-Backbone betreiben, indem sie ihre Service-Knoten oder Richtliniendurchsetzungspunkte (PEP, Policy Enforcement Points) miteinander verbinden, bringen einen weiteren Aspekt der Ausfallsicherheit mit. Wenn beispielsweise Engpässe auftreten, kann der Traffic um überlastete Bereiche herum zu alternativen Knoten umgeleitet werden. Diese Möglichkeit, den End-to-End-Pfad einzusehen und die Kontrolle darüber auszuüben, wie Anfragen und Antworten als Reaktion auf Echtzeitbedingungen geroutet werden, trägt erheblich zu Ausfallsicherheit und Performance bei. Betrachten wir einen Anbieter von Cloud-Sicherheit, der nicht nur mit einer globalen Verteilung von PEPs für Sicherheits- und Beschleunigungsdienste arbeitet, sondern auch mit der Netzwerkinfrastruktur, die diese PEPs miteinander verbindet.
Machen Sie die Ausfallsicherheit Ihres Dienstes zu einem ausdrücklichen Ziel
Das Unentschieden bei der Nummer 1 der obersten CIO-Prioritäten im NASCIO-Ranking war zwar eine historische Premiere, aber es war sicherlich keine Überraschung. Um Vertrauen in der Öffentlichkeit zu schaffen, benötigen Behörden sowohl starke Cybersicherheit als auch unkomplizierte digitale Erfahrungen. Vertrauen hängt aber auch von der Ausfallsicherheit ab, die sicherstellt, dass kritische Dienste im Falle von Widrigkeiten immer verfügbar sind. Die fünf besprochenen Prioritäten tragen wesentlich zur Bereitstellung vertrauenswürdiger, zuverlässiger digitaler Dienste bei.
Wenn es noch nicht klar genug war: CIOs sollten 2025 „Ausfallsicherheit“ explizit als zentralen Aspekt der Digitalisierungsstrategie im öffentlichen Sektor betonen. Das ist zwar wichtig, aber einfacher als gedacht.
Cloudflare bietet eine Reihe von Diensten an, die speziell für die US-Regierung und Organisationen des öffentlichen Sektors entwickelt wurden. Mit diesen Services können Unternehmen schnelle, zuverlässige und skalierbare Services aufbauen und gleichzeitig die Sicherheit über alle Endpunkte, Nutzenden und Clouds hinweg verbessern. Die Dienste werden über ein globales, hoch belastbares Cloud-Netzwerk mit integrierter Sicherheit und Performance bereitgestellt. Mit Cloudflare können Unternehmen beide NASCIO-Prioritäten ohne zusätzliche Komplexität erfüllen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind. Dieser Artikel wurde ursprünglich für GovTech verfasst.
Vertiefung des Themas:
Erfahren Sie im Leitfaden „Zero Trust-Architektur – ein Wegweiser“ mehr darüber, wie Sie die Zero Trust-Sicherheitsanforderungen für die US-Regierung umsetzen können.
Authors
Scottie Ray — @H20nly
Principal Solutions Architect, Cloudflare
Steve Caimi — @stevecaimi
Principal Product Manager, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie Behörden digitale Services verbessern wollen
Warum Ausfallsicherheit für die Vertrauensbildung unerlässlich ist
Fünf Prioritäten, um die Ausfallsicherheit von Cybersicherheit und digitalen Diensten zu stärken