IT-Sicherheit für Politiker – Der neue IT-Sicherheitsleitfaden

Vom BSI gibt es seit Mitte Juni 2021 einen neuen IT-Sicherheitsleitfaden, der sich explizit an Kandidierende für die Bundes- und Landestagswahlen richtet. Der Hintergrund: Seit bekannt wurde, dass fremde Regierungen bestrebt sind, Wahlen in demokratischen Staaten zu manipulieren, steht die IT-Sicherheit für Politiker verstärkt im Fokus.

Worauf fokussiert der IT-Sicherheitsleitfaden?

Es stehen die Handlungsfelder Identitätsschutz, Abwehr von Hackerangriffen, Schulung der eigenen Mitarbeiter:innen, Schutz vor Cyber-Stalking und Schutz vor Ransomware mit erpresserischen Zielen im Fokus. Diese Ziele von Kriminellen sind bei Politiker:innen anders als bei Unternehmen nicht finanzieller Natur.

Vielmehr drohen die Erpresser, die IT von Politikern komplett zu verschlüsseln und/oder gestohlene, sensible Daten zu veröffentlichen. Das BSI verweist in diesem Kontext darauf, dass die IT-Sicherheit für Politiker immer wichtiger wird, weil Datenlecks und erpresserische Angriffe deren öffentliche Wahrnehmung stark beschädigen könnten, was auch den Wahlkampf deutlich erschwert.




IT-Sicherheit für Politiker nur mit aktueller Software

Politiker sollten ihre Softwarepakete stets aktuell halten. Das zu gehört auch ein modernes Betriebssystem als Basis für alle weiteren Programme. Die von den Anbietern angebotene automatische Aktualisierung sollte immer aktiviert sein. Das dient auch dem Virenschutz, der nichtsdestotrotz auch noch von einem unabhängigen Anbieter bezogen werden kann. In den Einstellungen eines jeden Betriebssystems ist zu erkennen, ob eine Firewall und ein Virenscanner aktiviert sind. Ungenutzte Apps sollten deaktiviert werden, um die Angriffsfläche des gesamten Systems zu verkleinern.

Hinweise zu Benutzerkonten im IT-Sicherheitsleitfaden

Das BSI empfiehlt, nach Möglichkeit nicht mit Administratorrechten zu arbeiten. Wenn ein Schadprogramm auf den Rechner gelangt, hat es die gleichen Rechte wie das Benutzerkonto, das es als Einfallstor genutzt hat. Sollte dieses Benutzerkonto über Administratorrechte verfügen, hat das Schadprogramm fortan als Admin den vollen Zugriff auf nahezu alle Bereiche des PCs.

Administratorrechte empfiehlt das BSI daher nur bei absoluter Notwendigkeit. Ansonsten sind Standardbenutzerkonten zu bevorzugen, die nur über eingeschränkte Systemrechte verfügen. Sollten an einem Rechner mehrere Personen arbeiten, empfiehlt der IT-Sicherheitsleitfaden, für jede Person ein gesondertes Zugangskonto einzurichten. Dieses wiederum sollte nur diejenigen Rechte erhalten, welche die jeweiligen Nutzer benötigen.

Sicheres Routing und WLAN

Die IT-Sicherheit für Politiker hängt in hohem Maße vom Routing und der WLAN-Nutzung ab. Der Router ist der Knoten für alle internetfähigen Geräte. Er muss besonders geschützt werden, wozu seine sichere Konfiguration als Basisschutz gehört. Hinzu kommt die spezielle Konfiguration des WLANs. Das BSI empfiehlt den Verschlüsselungsstandard WPA3 und nur zur Not (falls ein älterer Router diesen Standard nicht unterstützt) WPA2. Ein modernerer, WPA3-fähiger Router ist aber grundsätzlich zu empfehlen. Das WLAN-Passwort sollte aus mindestens 20 Zeichen bestehen.

Nutzung von Diensten in der Cloud

Um die IT-Sicherheit für Politiker in den Clouds verschiedener Anbieter zu gewährleisten, gibt das BSI die folgenden Empfehlungen ab:

  • Das Zugangsgerät muss über einen ausreichenden Basisschutz per sicherer Konfiguration verfügen.
  • Der Zugang zur Cloud muss gesondert mit einem Passwort abgesichert werden. Idealerweise verwenden die Nutzer:innen eine 2-Faktor-Authentifizierung.
  • Die Sicherheitsvorkehrungen gelten für stationäre PCs und mobile Geräte gleichermaßen.
  • Politiker:innen sollten bei Anbietern, die ihren Sitz nicht in der EU haben, die Datenschutzbestimmungen überprüfen. Idealerweise ähneln sie stark denen der DSGVO.
  • Wichtig ist die Haftung des Anbieters für Datenverluste. Darüber hinaus empfiehlt das BSI regelmäßige Backups derjenigen Daten, die normalerweise in der Cloud vorgehalten werden.
  • Aus den AGB des Anbieters sollte hervorgehen, ob dieser die Daten zu kommerziellen Zwecken weitergeben darf. Grundsätzlich sind Anbieter zu bevorzugen, bei denen das nicht der Fall ist, und zwar nicht nur wegen der Vermeidung von Spam, sondern auch aus Sicherheitsgründen.
  • Wichtig ist eine Evaluation der Sicherheitszusagen des Anbieters zur Integrität, Vertraulichkeit und Verfügbarkeit der Daten beim Ausfall eines Rechenzentrums.
  • Es sind nur Anbieter zu empfehlen, die den Zugang zur Cloud über sicheres https anbieten.
  • Die Speicherung sensibler Daten sollte in der Cloud nur verschlüsselt erfolgen.
  • Beim Teilen von Daten über die Cloud sollte die Freigabe nur zeitlich begrenzt erfolgen.
  • Ebenfalls interessant ist der Punkt, welchen Aufwand eine komplette Löschung der Daten aus der Cloud verursacht, falls man den Anbieter wechseln möchte.

IT-Sicherheit für Politiker: Hinweise zu Backups

Backups schützen nicht nur vor Datenverlust durch einen technischen Ausfall, sondern auch vor der Erpressung mit Ransomware. Daher sind sie in regelmäßigen Abständen zu empfehlen. Allerdings müssen Nutzer:innen eine Abwägung zwischen der nötigen Sicherheit und dem Aufwand treffen. Es gibt die Möglichkeit, sich auf die Datensicherung in der Cloud zu verlassen. Cloudanbieter speichern die Daten im Sekundentakt. Wenn der Anbieter vertrauenswürdig erscheint, schützt seine Sicherung zuverlässig vor einem Angriff mit Ransomware.

Wer aber hochsensible Daten nicht in der Cloud eines Anbieters mit Sitz außerhalb des Bereichs der DSGVO lagern möchte (also beispielsweise in der ansonsten sehr zuverlässigen Google-Cloud), muss überlegen, wie oft Backups auf physische Datenträger erfolgen sollen. Politiker:innen verarbeiten möglicherweise so viele Daten, dass schon der Verlust von einer Stunde Arbeit schmerzen würde. Andererseits sind stündliche Backups beinahe unzumutbar. Hier ist also ein Kompromiss nötig. Ohne Backups jedoch geht es nicht.

Was ist noch bei der IT-Sicherheit für Politiker wichtig?

Der IT-Sicherheitsleitfaden empfiehlt, nur auf Seiten mit https zu surfen. Andere Seiten mit dem als unsicher geltenden http-Protokoll kennzeichnet Google schon länger als unsicher. Alle Backups auf physischen Datenträgern sollten immer verschlüsselt werden. Zudem warnt das BSI vor Phishing und Social Engineering. Kriminelle könnten Mitarbeiter:innen von Abgeordneten und Kandidaten ansprechen bzw. per Phishing versuchen, von ihnen Daten abzugreifen.

Angesichts der hohen technischen Hürden für einen Hackerangriff versuchen Täter bevorzugt, die Schwachstelle Mensch zu knacken. Mitarbeiter müssen also genauestens geschult werden, damit sie auf solche Versuche nicht hereinfallen. Ein wichtiger Punkt ist der sparsame Umgang mit Daten. Politiker:innen sollten grundsätzlich nur erforderliche Daten speichern. Auch über ihre Veröffentlichungen sollen sie nachdenken, um so wenig wie möglich Angriffsfläche zu bieten.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar