Ein neuer Bericht der Internationalen Vereinigung für Soziale Sicherheit (IVSS) beschreibt die zunehmenden Cyberrisiken für Institutionen der sozialen Sicherheit und stellt mögliche Eindämmungsstrategien und Maßnahmen vor. Der Bericht dient auch als Grundlage für die Entwicklung der in Arbeit befindlichen Leitlinien der IVSS für Cybersicherheit.
In unseren zunehmend digitalisierten Gesellschaften sind Cybergefahren für Regierungen und öffentliche Institutionen eine wachsende Sorge. Der neue IVSS-Bericht Ausbau des Schutzes und der Cyberresilienz von Verwaltungen der sozialen Sicherheit: Einführung in Cybersicherheit beschreibt dieses Umfeld vom Standpunkt aus, dass der Betrieb der sozialen Sicherheit allzeit sichergestellt zu werden hat.
Der Global risks report 2021 des Weltwirtschaftsforums (WEF) stellt Cybersicherheitsausfälle als eines der größten und wahrscheinlichsten Risiken dar, vor denen die Welt in den kommenden zwei Jahren stehen wird. Immer wieder kommt es zu Cyberangriffen, und diese können für den öffentlichen Dienst gravierende Folgen haben. Im neuen IVSS-Bericht wird beispielsweise WannaCry aus dem Jahr 2017 erwähnt, ein Erpressungsangriff auf Organisationen auf verschiedenen Kontinenten. Im Vereinigten Königreich fielen durch den Angriff IT-Systeme und medizinische Geräte aus, sodass die medizinische Versorgung stark beeinträchtigt war.
Informations- und Kommunikationstechnologien (IKT) werden von Verwaltungen der sozialen Sicherheit allgemein vermehrt eingesetzt, um die für die Gesellschaft wesentlichen Dienstleistungen der sozialen Sicherheit zu erbringen. Aus diesem Grund, und weil die Institutionen der sozialen Sicherheit über beträchtliche Mengen an Daten über die Bürger verfügen, gehören diese Institutionen zu den kritischen Infrastrukturen der Gesellschaft und werden oft zu Zielen von Cyberangriffen. Die COVID-19-Pandemie hat zu einem verstärkten Einsatz digitaler Lösungen geführt, und im IVSS-Bericht wird erklärt, wie in der Folge neue Cyberbedrohungen und Anfälligkeiten entstanden sind.
Beherrschung dank strategischen Vorgehens – neue Leitlinien der IVSS
Wenn die Institutionen der sozialen Sicherheit ihre Cyberrisiken in den Griff bekommen wollen, dann müssen sie Cybersicherheitsstrategien einführen, um ihre zentralen Systeme, ihre Dienstleistungserbringung und ihre Daten zu sichern. Denn nur so können sie ihrem Auftrag nachkommen, die Bürger zu schützen. Cybersicherheit ist für Nichtexperten jedoch nach wie vor ein schwer verständlicher Bereich, und die Einführung entsprechender Maßnahmen ist kostenaufwendig.
Der neue IVSS-Bericht beschreibt die wichtigsten Konzepte der Cybersicherheit und stellt einen möglichen Ansatz für Institutionen der sozialen Sicherheit vor. Neben der Umsetzung interner Maßnahmen wird dabei auch empfohlen, eine enge Zusammenarbeit unter Institutionen der sozialen Sicherheit, nationalen Cybersicherheitsstellen und den entsprechenden internationalen Organisationen aufzubauen.
Um die IVSS-Mitgliedsinstitutionen dabei zu unterstützen, bereitet die Vereinigung derzeit eine neue Leitliniensammlung zum Umgang von Institutionen der sozialen Sicherheit mit Cyberbedrohungen vor. Dazu liefert auch der Bericht wichtige Ansätze. Die Leitlinien der IVSS zur Cybersicherheit werden derzeit auf der Grundlage des Cybersicherheitsrahmens des National Institute of Standards and Technology (NIST) der Vereinigten Staaten und von Empfehlungen der Internationalen Fernmeldeunion (ITU) erarbeitet. Im Mittelpunkt stehen dabei die spezifischen Sorgen, Herausforderungen, Interessen und Prioritäten von Verwaltungen der sozialen Sicherheit.
Das erste IVSS-Webinar zum Thema Cybersicherheit fand am 28. Juli statt, und daran nahmen 376 Vertreter von 107 Institutionen aus 73 Ländern teil. Dies ist ein Indiz für das große Interesse, das Institutionen der sozialen Sicherheit diesem Thema heutzutage entgegenbringen, aber auch dafür, dass die Diskussionen der IVSS-Mitglieder bei der Entwicklung der Leitlinien der IVSS zur Cybersicherheit rege und bereichernd sein werden. Diese Leitliniensammlung wird eine gute Ergänzung zum Abschnitt Datensicherheit und Datenschutz in den Leitlinien der IVSS über Informations- und Kommunikationstechnologie bieten.
In einem weiteren demnächst erscheinenden Bericht der IVSS wird es um das Thema des Schutzes der Datenbestände wichtiger Institutionen gegen verschiedene Risiken gehen, und zwar nicht nur gegen Cyberrisiken, sondern auch gegen von Menschen verursachte Katastrophen und Naturkatastrophen.