Navigieren durch die Herausforderungen der Cloud-Adoption in der öffentlichen Verwaltung
Auf dem Weg in die Cloud sind bestehende Bedenken, wie die Souveränität der Daten innerhalb der Cloud und die Abhängigkeiten von designierten Anbietern, große Themen. Als Leitfaden gibt das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) stetig aktualisierte IT-Sicherheitsbausteine und ganze Maßnahmenkataloge heraus. Diese beziehen sich jedoch oftmals auf das Härten und Absichern lokaler Infrastrukturen. Deren Umsetzung gestaltet sich oft als sehr schwierig und, aufgrund von teils widersprüchlichen Informationen, bis hin zu nicht umsetzbar. Interne Fachkräfte der öffentlichen Verwaltung sind oft überfordert mit den anstehenden Herausforderungen. Dennoch ist der Weg dieser lokalen standortbasierten Infrastrukturen, den sogenannten On-Premises-Infrastrukturen, hin zu Cloudinfrastrukturen jedoch auch für die deutschen Behörden ein klar vorgezeichneter Weg.
Stabilisierung und Härtung der vorhandenen Infrastrukturen
Für viele Behörden gilt mit höchster Priorisierung zunächst, die lokalen Infrastrukturen so weit nach den Mindeststandards der BSI-Grundschutzbausteine und gängigen Best Practices abzusichern, bevor der Schritt in die Cloud angegangen wird. Dies liegt unter anderem auch in der gestiegenen Gefährdungslage seit Februar 2022 begründet, was alle Behörden zur ernsthaften Umsetzung dieser Maßnahmen veranlasst. Häufig wird von Krisenfallplänen, kurz K-Fall, oder expliziten Notfallplänen gesprochen, die ein autarkes Betreiben der Infrastruktur selbst bei Wegfall eines oder mehrerer Standorte ermöglicht. Gerade in Bezug auf Berechtigungskonzepte galt bislang das ESAE-Konzept (Enhanced Security Admin Environment) als alternativlos – jedoch veraltet, laut Microsoft. Ein solches ESAE-Konzept basiert auf drei separat verschachtelten Verzeichnisdiensten, die dem Ansatz der Top-Down-Administration folgt. Das bedeutet, dass Systeme einer unteren Ebene (man spricht hier von einem Tier) nur durch Zugriffe aus gleicher oder höherer Ebene erfolgen dürfen.
Dessen Umsetzung erweist sich zudem als sehr aufwändig und ressourcenintensiv. Für gekapselte Umgebungen mit besonders hohem Schutzbedarf wurde CGI vom Bundesministerium für Wirtschaft und Klimaschutz hierfür beauftragt, eine breite Marktanalyse über vorhandene Lösungen oder Konzeptideen durchzuführen.
Fertige Lösungen vs. Eigenentwicklung
Nach erfolgreicher Durchführung jener Recherche wurde schnell klar, dass es nur noch wenige verbliebene, EU-konforme Anbieter auf dem Markt gibt, die derartige Sicherheitslösungen anbieten. Diese operieren mittlerweile jedoch ausschließlich als Cloud-only oder bieten oft keinen Support mehr für reine On-Premises-Lösungen. Daraus resultierend entstand die gemeinsame Entscheidung für eine individuelle, lokale Eigenentwicklung, die passgenau auf die Kundenanforderungen designt wird.
Der lösungsorientierte Ansatz unsererseits lag darin, eine eigene PAM-Lösung gemeinsam mit dem Kunden abgestimmt aufzubauen und dieses Modul künftig skalierbar auf mehrere Bereiche anwendbar zu machen. Unter jenem PAM, einer Priviledged Access Management Struktur, versteht man ein logisches Softwarekonstrukt, bei dem kein Userkonto mehr explizite Rechte besitzt. Das bedeutet, dass administrative Aufgaben künftig nur noch über Serviceaccounts durchgeführt werden können. Der Zugriff auf dieses Servicekonto wird über einen webbasierten Freigabeprozess initiiert und muss durch eine weitere Instanz freigegeben werden, ähnlich dem Vier-Augen-Prinzip. Nach Abschluss der Tätigkeiten wird die Session geschlossen und dem angeforderten Serviceaccount ein neues, randomisiertes Kennwort vergeben. Im Lösungsansatz enthalten sind die Protokollierung und somit Nachverfolgbarkeit eines jeden Schrittes sowie die Replikation aller Daten über alle Standorte hinweg, sodass auch der Ansatz der Hochverfügbarkeit mitgedacht wurde. Bei Ausfall eines anderen Standorts ist somit ein Weiterbetrieb möglich. Datenhaltung, ebenso wie die gesamte Kommunikation, erfolgt komplett verschlüsselt nach gängigen Verschlüsselungsstandards. Dies mindert das Risiko der Manipulation auf ein Mindestniveau.
Veränderung auf das tägliche Arbeiten
Der Pilot wurde erfolgreich umgesetzt und stieß auf sehr großes Wohlwollen innerhalb des Projektteams. Jedoch ist auch hier ein Umdenken aller beteiligten Mitarbeiter von Nöten. Die Balance zwischen Sicherheit und Benutzerfreundlichkeit ist stets eine Herausforderung, da einige Kollegen, die bereits routiniert sind, möglicherweise zunächst nur den zusätzlichen Aufwand wahrnehmen.
Daher ist es wichtig, alle beteiligten Mitarbeitende frühzeitig zu inkludieren und genau darlegen zu können, weshalb diese Maßnahme einen so großen Mehrwert für die Sicherheit darstellt. Oft stellt sich nach einer gewissen Gewöhnungsperiode ein Selbstverständnis und eine Akzeptanz ein, so dass solche Lösungen tatsächlich auch als Bereicherung wahrgenommen werden.
Fazit
Durch unsere gemeinsam entwickelte PAM-Lösung werden die Kriterien der vom BSI gestellten Mindestanforderungen für gekapselte Domänenstrukturen vollends erfüllt. Diese umfasst die Nachverfolgbarkeit administrativer Anträge / Tätigkeiten, die Wahrung des „Vier-Augen-Prinzips“ durch die zweistufige Freigabehierarchie sowie der Implementierung von Hochverfügbarkeit und aktuellen Verschlüsselungsmethoden.
Durch unsere tägliche, enge Zusammenarbeit mit dem Kunden können wir ganz zielgerichtet auf die bestehenden Bedürfnisse eingehen, früh die gemeinsame Ausrichtung festlegen und unser ganzes Erfahrungsspektrum aus vielen vorangegangenen Projekten aus der Softwareentwicklung gewinnbringend einbringen.
Durch unseren agilen Ansatz sind wir in der Lage schnelle Lösungen zu präsentieren, auch neue Wege und Ansätze zu diskutieren und so die gemeinsame Beziehung weiter zu stärken.
Auch weiterhin werden in deutschen Behörden zumindest in Insellösungen On-Premises-Infrastrukturen vorhanden sein, die es auch nach den gleichen Maßstäben zu schützen gilt, wie deren Gegenstücke in der Cloud.
Vielen Behörden fehlt es an Personal und Know-how, diese Transformationen in die Cloud zu gestalten und nebenher das Tagesgeschäft abdecken zu können. Durch unser breit aufgestelltes Netzwerk an Spezialisten planen, begleiten und beraten wir die Kunden während des Transformationsprozesses und finden ebenso Lösungen für die Absicherung der bestehenden lokalen Infrastrukturen.
Nach der erfolgreichen Pilotphase wird CGI als renommierter Partner mit der kompletten Entwicklung und Umsetzung des PAM-Moduls beauftragt.