Ein gutes Team im ständigen Austausch

Alexander Heinrich Michael und ich sind ein gutes Team und im ständigen Austausch, aber es sind letztlich im Wesentlichen unsere Mitarbeiterinnen und Mitarbeiter, die in enger Zusammenarbeit die Lösungen erarbeiten. Zwischen unseren Bereichen gibt es ein gewisses Spannungsfeld – denn jede zusätzliche Absicherung kann unsere Lösungen oder Anwendungen auch einschränken und komplizierter im Betrieb machen. Zusammen wägen wir dann das Risiko ab, auch gemeinsam mit den Kunden, um die beste und sicherste Lösung zu finden.

Michael Monreal Der ständige Dialog und die gemeinsamen Audits bringen uns beide weiter und wir lernen voneinander. Alexanders praktische Erfahrungen und betriebliche Verantwortung ergänzen meine theoretische Arbeit und Zielsetzung perfekt. Aber letztlich schaffen wir nur den Gestaltungsraum für die Kolleginnen und Kollegen – und setzen die Ziele.

Was würden Sie aktuell als die größten Herausforderungen Ihrer Tätigkeit beschreiben – und wie begegnen Sie diesen?

Michael Monreal Da ist auf der einen Seite die wachsende Zahl der Bedrohungen durch Cyberangriffe – und auf der anderen Seite unsere wachsende Anzahl von Kunden. Jede neue Bundesbehörde bringt ein individuelles Schutzbedürfnis mit, welches wir adäquat abbilden müssen. Dies wiederum kann zur Steigerung der Heterogenität führen, womit unsere Angriffsfläche weiter wächst.

Alexander Heinrich Dieser Herausforderung begegnen wir mit Kreativität, Agilität und Teamwork. Wir arbeiten hier nicht so, wie man es sich in der öffentlichen Verwaltung vielleicht klischeehaft vorstellt. Statt auf Stempelkissen und Aktenordner legen wir Wert auf ein agiles Umfeld, in dem sich die Mitarbeitenden frei entfalten und individuell einbringen können. Um flexibel auf Cyberbedrohungen zu reagieren, ist ein gewisser Freiraum notwendig. Dabei schließen wir keinen Ansatz von vornherein aus und vertrauen unseren Beschäftigten. Diese sind berechtigt, sich für Absicherungen und Gegenmaßnahmen vertikal und horizontal im System frei zu bewegen. Dabei ist uns eine offene Fehlerkultur wichtig – denn wenn eine Lösung im konkreten Fall nicht funktioniert, haben alle etwas dabei gelernt.
Außerdem gibt es bestimmte Übungen, mit denen man sich auf Angriffe vorbereiten und Schwachstellen aufspüren kann. Zum Beispiel können zwei Teams gegeneinander antreten: Das „Red Team“ übernimmt die Rolle des Angreifers und das „Blue Team“ die Verteidigung. So lässt sich ein Sicherheitsniveau kreativer, unterhaltsamer und sogar besser kontrollieren als durch das einfache Abhaken einer Checkliste in einem Audit. Wir haben vor kurzem auch an einem „Boss of the SOC“-Wettbewerb für Security Operation Teams teilgenommen und unser Team ist aus dem Stand auf Platz 15 gelandet – da war ich als Abteilungsleiter ganz schön stolz!

Wir legen Wert auf ein agiles Umfeld, in dem sich unsere Beschäftigten frei entfalten können.

Alexander Heinrich, Abteilungsleiter Infrastrukturbetrieb im ITZBund

Wie stärkt das ITZBund die Resilienz und Robustheit der Bundes-IT?

Alexander Heinrich Dafür ist definitiv Teamwork gefragt. Wir verfügen dank unserer rund 4.100 Beschäftigen über eine enorme Fachkompetenz, und diese Kolleginnen und Kollegen engagieren sich tagtäglich für den sicheren Betrieb. Und wir leisten unsere Arbeit nicht allein, sondern haben starke Partnerschaften an unserer der Seite, die uns beraten und unsere Arbeit unterstützen. Darunter sind z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI), unser Netzdienstleister, die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) und auch Industrie wie Telekom, Microsoft oder CISCO.

Michael Monreal Entscheidend ist auch das Prinzip „Security by Design“. Darunter verstehen wir, dass wir schon während der Planung unserer Lösungen oder Anwendungen die Sicherheitsanforderungen berücksichtigen – und so spätere Sicherheitslücken verhindern. Außerdem befinden wir uns im Aufbau eines Security Operations Centers, um eine zentrale Stelle zu schaffen, an der ein Team ständig unsere Sicherheit überwacht, Risiken analysiert und Gefährdungen abwehrt. Unsere Prozesse sind auf kontinuierliche Verbesserung ausgelegt, um den sich den ständig ändernden Bedrohungslagen und dem technologischen Fortschritt Rechnung zu tragen. Und selbstverständlich richtet sich unsere Arbeit außerdem nach den gängigen Normen und Standards, welche wir unseren Kunden über Zertifizierungen nachweisen.

Schon während der Planung unserer Lösungen oder Anwendungen berücksichtigen wir die Sicherheitsanforderungen.

Michael Monreal, Informationssicherheitsbeauftragter im ITZBund

Werfen wir zum Schluss noch einen Blick in die Zukunft. Auf welche negativen Entwicklungen müssen wir uns einstellen – und was wird sich verbessern? 

Alexander Heinrich Es ist ja so, dass man früher eigentlich immer ein gewisses Know-how brauchte, um Cyberangriffe zu starten. Jetzt gibt es allerdings den Trend „Cybercrime as a service“: Kriminelle bieten Schadsoftware, die individuell zusammengestellt werden kann – sowie die notwendige Infrastruktur an, um damit Daten oder Services von Unternehmen, Behörden oder Privatpersonen zu verschlüsseln oder lahmzulegen. Ganz ohne IT-Kenntnisse! Natürlich steigt dadurch die Zahl von Cyberangriffen. Wir haben in Deutschland in der Vergangenheit immer wieder erlebt, wie Angreifende etwa die Verwaltung ganzer Landkreise lahmgelegt haben. Etwas, dass es bei uns noch nicht gab.
Solch mediale Präsenz führt allerdings auch dazu, dass bei der Bevölkerung das Bewusstsein dafür wächst, dass wir unsere IT zuverlässiger absichern müssen. Erfreulich ist, dass wir durch die Kompetenz des ITZBund und die Konsolidierung der IT bei uns, die IT-Sicherheit auf Bundesebene schon deutlich erhöhen konnten. Es ist wichtig, das Thema weiter in den Fokus der Öffentlichkeit zu rücken. Mit der IT-Sicherheit ist es ein bisschen so wie mit dem Airbag im Auto. Der kostet eigentlich auch viel Geld und früher fand man ihn vielleicht mal unnötig. Aber inzwischen mag keiner mehr ohne ihn fahren.