Den Schreibtisch neu gedacht
Die Einstellung zum Homeoffice und mobilen Arbeiten hat sich auch im Behördenumfeld radikal geändert. Die praktische Umsetzung allerdings stellt die öffentlichen Verwaltungen vor viele unbeantwortete Fragen. Im Spannungsfeld zwischen technischen Möglichkeiten, politischen Vorgaben, Ansprüchen der Mitarbeitenden sowie Bedrohungen durch Cyberkriminelle müssen die Verantwortlichen das Arbeitsplatzkonzept neu definieren.
Was die Homeoffice-Möglichkeiten für die Mitarbeitenden angeht, gehen die Städte und Gemeinden in Österreich unterschiedliche Wege. Einige ermöglichen den Verwaltungsangestellten das Arbeiten von zu Hause aus, andere tun sich nach wie vor schwer damit. Das ist verständlich, denn wie effizient daheim gearbeitet werden kann, hängt stark von den individuellen Tätigkeitsbereichen und Aufgaben der Beschäftigten sowie den technischen Rahmenbedingungen ab. An vielen Orten fehlt die dafür notwendige Ausrüstung mit Endgeräten und die sichere Anbindung ans Behördennetzwerk. Oftmals sind auch Prozesse und Fachverfahren noch nicht ausreichend digitalisiert, weshalb Dokumente weiterhin vor Ort von Hand zu Hand gereicht werden.
Mobiles Arbeiten erhöht den Druck auf die IT
Die Diskussion um flexible Arbeitsplätze wird zusätzlich durch die Tatsache befeuert, dass viele Angestellte in den Behörden als Außendienstmitarbeiter etwa im Bauamt, im Ordnungsamt oder im Gesundheitsamt unterwegs sind. Termine vereinbaren, Personal koordinieren, Dokumente bearbeiten, sich mit anderen Dezernaten austauschen – lassen sich diese Aufgaben sofort erledigen, werden Abläufe optimiert. So fotografiert der jeweilige Mitarbeiter eine vorgefundene Situation mit seinem Tablet, macht vor Ort Notizen in der entsprechenden Applikation, greift auf weitere Fachanwendungen im Netzwerk zu, hat damit direkte Akteneinsicht und kann Dokumente zeitnah an seine Kollegen weiterleiten.
Grundsätzlich gilt: Arbeiten die Angestellten der öffentlichen Verwaltung flexibel von zu Hause aus oder unterwegs, müssen sie in der Lage sein, sich über verschiedene Umgebungen hinweg zu vernetzen, zusammenzuarbeiten und produktiv zu sein – mit der gleichen von der Büroumgebung gewohnten Erfahrung.
Das perfekte Büro für zu Hause
Ein reibungsloser Umstieg auf den digitalen Alltag funktioniert allerdings in keiner Behörde über Nacht. Um hybride Arbeitsplatzmodelle zu ermöglichen, müssen erst einmal die notwendigen Voraussetzungen geschaffen werden. Dazu zählen eine angemessene Hard- und Software sowie digitale Kommunikationswege und sichere Netzwerkstrukturen. Das beginnt bei der Ausstattung der Mitarbeitenden mit den erforderlichen Endgeräten wie Notebook, Monitor, Docking-Station, Headset und Webcam. Damit der behördeninterne IT-Service durch Homeoffice-Szenarien zudem nicht zusätzlich belastet wird, sollten Geräte „fully deployed“ ausgeliefert werden und ein Konzept für Fernwartung und -management in Betracht gezogen werden, um den Administrationsaufwand für das eigene IT-Team zu reduzieren.
Es ist aber nicht damit getan, die Mitarbeitenden technisch aufzurüsten. Sie müssen auch im Umgang mit neuen Arbeitsgeräten, Software-Tools, Kommunikationsmedien und Prozessen geschult werden. Passiert das nicht, riskieren Behörden, dass die neuen Lösungen nicht angenommen werden und Mitarbeiter zu anderen Diensten greifen. Das Ergebnis ist eine Schatten-IT, die sich nicht mehr kontrollieren lässt.
Hybride Arbeitsmodelle gefährden die IT-Sicherheit
Genauso wichtig ist das Thema IT-Sicherheit. Eine Arbeitsumgebung, die auf verschiedenste Standorte verteilt ist, wird für die öffentliche Verwaltung schnell zu einem großen Risiko. Denn mit der Zahl der Endgeräte und der unterschiedlichen Verbindungswege in das zentrale Behördennetzwerk erhöht sich auch die Zahl der möglichen Einfallstore für Cyberkriminelle. Veraltete Betriebssysteme und ungesicherte WLAN-Verbindungen sind ebenso eine Gefahr wie der Einsatz von privat genutzten Kommunikations- und Kollaborations-Tools. Hinzu kommt: Cyberkriminelle wenden immer raffiniertere Methoden an, mit denen sie herkömmliche Schutzmaßnahmen aushebeln. Arbeiten Mitarbeiter mobil, benötigt die öffentliche Verwaltung deshalb moderne Lösungen und Konzepte, um die entfernten Rechner sowie alle Zugriffe abzusichern. Die IT-Verantwortlichen müssen ein größeres Augenmerk auf das Endgeräte-Management sowie den Schutz von Benutzerkonten, die Rechtevergabe und die Zugriffskontrolle legen.
Das heißt: Laptops, Tablets, aber auch Drucker für das mobile Arbeiten müssen ausreichend abgesichert werden. Viele Systeme für die Endpoint Protection agieren allerdings lediglich statisch und erkennen nur bereits bekannte Angriffsmethoden oder Schad-Codes, weshalb ihr Schutzniveau entsprechend begrenzt ist. Fortschrittliche Lösungen binden Künstliche Intelligenz ein und reagieren so auch auf neue Hackermethoden.
Die Angriffsfläche minimieren
Einen hundertprozentigen Schutz gegen Ransomware-Attacken und andere Schadprogramme wird es nie geben. Das Ziel muss aber sein, die Angriffsmöglichkeiten für Kriminelle zu reduzieren, indem potenzielle Einfallstore geschlossen werden. Ein strategisches Patch- und Upgrade-Management gehört daher ebenso zu den Pflichtaufgaben der IT-Abteilung wie die Mehr-Faktor-Authentifizierung und Penetrationstests, bei denen mit Hacker-Methoden Angriffe simuliert werden. Zudem sollten die Nutzer-Policies eingeschränkt werden. Denn Hacker versuchen, immer weiter in das Netzwerk einzudringen, indem sie sich Admin-Rechte durch erbeutete Zugänge verschaffen. Gelingt es ihnen, haben sie im schlimmsten Fall Zugang auf alle Behördenressourcen. Mitarbeiter sollten deshalb keine Routineaufgaben wie das Lesen von E-Mails oder das Surfen im Internet mit Benutzeraccounts erledigen dürfen, die administrative Rechte besitzen. Vielmehr sollten nur Berechtigungen auf die Daten oder Ressourcen eingeräumt werden, die für die unmittelbare Arbeit notwendig sind.
Von essenzieller Bedeutung ist darüber hinaus die schnelle Erkennung eines Sicherheitsvorfalls. In vielen Fällen bleiben Ransomware-Angreifer zunächst unerkannt im Behördennetz verborgen, bevor sie aktiv in Erscheinung treten. Hilfreich sind vor diesem Hintergrund SIEM (Security Information and Event Management)-Systeme, die einen ganzheitlichen Blick auf die IT-Sicherheit bieten, indem Log-Files und Meldungen verschiedener Lösungen gesammelt und ausgewertet werden. In Echtzeit kann eine Behörde damit verdächtige Ereignisse oder gefährliche Trends erkennen.
Auch dem Faktor Mensch kommt eine besondere Rolle zu. Nach wie vor werden die meisten Malware-Attacken via Phishing durchgeführt. Der beste Weg, solche Angriffe zu unterbinden, ist es, die Aufmerksamkeit und Wachsamkeit der Mitarbeiter für solche Angriffe zu erhöhen. Wenn sie keine Dokumente unbekannter Nutzer öffnen oder auf potenziell verdächtige Links klicken, sind solche Einfallstore geschlossen. Die öffentliche Verwaltung sollte daher ihre Belegschaft kontinuierlich in der Erkennung von Social-Engineering-Taktiken schulen, damit sie betrügerische E-Mails oder Anrufe besser erkennen.
Externen Partner mit an Bord holen
Für eine sichere Umstellung auf einen digitalen Arbeitsalltag fehlen gerade kleineren Städten und Gemeinden die notwendigen Ressourcen. Eine einheitliche IT-Operations-Plattform sowie externer Support durch einen Managed Service Provider können deshalb eine nützliche Unterstützung sein, um das Management zu vereinfachen und die Sicherheit zu erhöhen.
Für nähere Details können Sie sich gerne direkt an Roman Oberauer, Country Managing Director bei NTT Austria wenden: roman.oberauer@global.ntt
Weiteren Input zu diesem spannenden Thema gibt es auf unserer Branchenkonferenz Behörden am 08.09.2022 in Wien!
Kostenlose Anmeldung und Infos zu weiteren Themen finden Sie auf unserer Eventpage.
Wir freuen uns auf Sie!