Es ist ein zentrales Thema der Welt von morgen: die rapide steigende Menge an Daten stellt Institutionen und Unternehmen vor gewaltige Herausforderungen. Wir haben beim Bundesrechenzentrum, dem führenden IT-Service-Provider im Public Sector in Österreich, nachgefragt, wie es um die Sicherheit unserer Daten steht.
Das Bundesrechenzentrum (BRZ) entwickelt und betreibt als E-Government-Partner der österreichischen Verwaltung mehr als 400 IT-Lösungen und verfügt über eines der größten Rechenzentren des Landes. Um sich das Volumen der beim Bundesrechenzentrum abgewickelten Datenfälle zu verdeutlichen, hier ein paar Zahlen: 1.200 MitarbeiterInnen erwirtschaften einen Umsatz von derzeit rund 300 Millionen Euro pro Jahr, 4,5 Millionen BürgerInnen nutzen regelmäßig Finanzonline, das BRZ führt monatlich 400.000 Gehaltsabrechnungen durch, es werden 25 Millionen Seiten pro Jahr eingescannt und 30.000 IT-Arbeitsplätze betreut. Dabei sind 4.000 Server in Betrieb und werden 1,5 Millionen Visits auf help.gv.at gestemmt. Das BRZ entwickelt und betreut so sicherheitssensible und Datenschutz-relevante Applikationen wie Finanzonline, die Schulbuchaktion Online, ELGA – die elektronische Gesundheitsakte, Steuern- und Abgabenmanagement, E-Learning, das Portal help.gv.at. Das bedeutet zum einen, dass die verwendeten Systeme absolut stabil und möglichst unterbrechungsfrei laufen müssen, zum anderen werden die allerhöchsten Standards in Sachen Datensicherheit und Datenschutz vorausgesetzt.
Was ist eigentlich Datensicherheit?
Zur Datensicherheit zählen technische Maßnahmen, die dem Schutz von Daten dienen. In der Datensicherheit werden folgende Ziele verfolgt: Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Im Gegensatz zum Datenschutz, der vor allem auf den Schutz des Rechts auf informationelle Selbstbestimmung, des Persönlichkeitsrechts und der Privatsphäre zielt (darunter fällt unter anderem die neue DSGVO), beschränkt sich die Datensicherheit nicht auf personenbezogene Daten. Als Maßnahmen zur Datensicherheit versteht man zum Beispiel Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und die Trennung von Daten unterschiedlicher Zwecke. Bei den Maßnahmen zur Erhöhung der Datensicherheit handelt es sich also um verschiedene Kontrollmechanismen, die unbefugten Zugriff und somit auch Kenntnisnahme, Manipulation oder Entfernung der Daten verhindern sollen.
Was dies alles für ein Unternehmen wie das Bundesrechenzentrum bedeutet, dazu haben wir den Leiter Infrastruktur BRZ Claus Haiden befragt. Claus Haiden ist seit über 20 Jahren in der IT-Branche tätig, zuletzt war er bei T-Systems beschäftigt und verantwortete dort in den letzten 16 Jahren verschiedene Bereiche auf lokaler und internationaler Ebene. Ab 2014 vertrat er bei T-Systems Austria die Businessbereiche IT-Operations, Telecommunication Services und Cyber-Security in der Geschäftsführung. Seine vorangegangenen beruflichen Stationen waren debis Systemhaus und Austrian Airlines, wo er im Projektmanagement und im Bereich Software-Entwicklung wertvolle Erfahrungen sammeln konnte. „Die Strategie des BRZ ist klar auf Wachstum ausgerichtet“, erklärt Claus Haiden einleitend, „und auch der Bereich Infrastruktur muss diesem strategischen Anspruch ganz klar gerecht werden. Es gibt zwei Rechenzentren in Wien, zwei Standorte, wo wir die Datencenter aufgeteilt haben, teilweise synchron, teilweise asynchron. Letzteres meint Systeme, die Daten wegsichern in ein Rechenzentrum oder offline schreiben im Gegensatz zu Datenbanken, wo die Daten immer den gleichen Stand haben und direkt verfügbar sind. Vorrangig müssen im BRZ die organisatorischen und technischen Voraussetzungen geschaffen werden, um Anforderungen wie ein höheres Datenvolumen entsprechend zu verkraften. Dabei spielen etwa Automatisierung und alternative Technologien wie HCI – hyperkonvergente Infrastruktur auf Basis Software-zentrierter Architektur – eine zentrale Rolle. Diese Technologien geben uns die Möglichkeit, Architektur-Silos aufzulösen und komplexe Administration in ein Lean Management Modell zu überführen. Insofern ist Infrastruktur die Drehscheibe und Basis für alle kundenrelevanten Anwendungen, und das nicht nur im Bereich Computing, sondern auch im Netzwerkumfeld.“
Identity Management und intelligente Firewalls
Auf die Frage nach zukünftigen Trends im Bereich Infrastruktur und Datensicherheit hat Haiden eine klare Antwort: „Die Herausforderung der Zukunft ist aus meiner Sicht vor allem Identity Management, weil es die Grundlage für die Datensicherheit ist, dass klar sein muss, welche Person auf die Daten zugreift. Es muss eine klare Feststellungsmöglichkeit geben, wer hinter diesem Device sitzt, dieses Gerät bedient, und da nützt eine Zwei- oder Drei-Faktor-Authentifizierung durchaus, aber sicher kann man sich trotzdem nicht sein. Und das ist die Herausforderung für die Zukunft, wenn man etwa daran denkt, elektronische Wahlen abzuhalten, verbindliche Dokumente wie einen Reisepass rauszugeben, ohne dass man die Person physisch sieht.“
Im Mittelpunkt der nächsten Jahre stehe sicher das Thema digitale Transformation, meint der Experte. Um diese in der entsprechenden Qualität und der gewünschten Form zu realisieren, brauche es hoch skalierbare und automatisierte Infrastrukturen: „Das BRZ hat sich zum Ziel gesetzt, die notwendige Basis dafür zu schaffen. So gestalten wir gemeinsam mit unseren Kundinnen und Kunden den Weg in die digitale Zukunft. Aufgrund der zunehmenden Virtualisierung zählen etwa Software-dominierte Infrastrukturen in allen erdenklichen Cloud-Varianten zu sehr konkreten Trends. Der dadurch gestiegene Sicherheitsbedarf ist allerdings nicht zu unterschätzen. Aber: Sowohl Informationssicherheit als auch Datensicherheit sind zentrale Bestandteile der BRZ-Strategie. Für unsere Kunden, die zum Beispiel BRZ-Cloud-Services nutzen, stellt die Cloud-Zertifizierung sicher, dass die Verarbeitung ihrer Daten nach den aktuellen Standards und den geltenden Vorschriften folgend durchgeführt wird.“ Der zweite große Punkt sei sicher die technische Netzwerksicherheit in diesem Umfeld, wenn es etwa um intelligente Firewalls geht.
Haiden: „Innerhalb des Rechenzentrums ist die Datensicherheit sehr stark klassifiziert, das heißt, man kann sehr klar nachlesen, welche Kategorien es im Bereich Datensicherheit gibt und welchen Anspruch sie erfüllen müssen. Streng geheim, geheim, oder sonstige Klassifizierungen, die sind klar geregelt, insofern gibt es wenig Spielraum, da immer bestimmte Kriterien zu erfüllen sind, damit auch nachweislich rechtlich hält, was man darf oder kann. Diese Maßnahmen sind solche, die jedes Datacenter vollführen muss, um den Anspruch der Kunden zu erfüllen. Unsere Kunden sind sehr verschieden, ein Bundesministerium für Justiz hat einen anderen Anspruch als ein Bundesministerium für Finanzen möglicherweise. Aber insgesamt bleibt es im Rahmen dieses persönlichen Datenschutzes und der Datensicherheit, dass der Datenschutz für jeden einzelnen Bürger auch gewährleistet ist, es gibt ja sensible Datensätze, die inhaltlich personenbezogene Daten haben.“
Digitalisierung und Selfservices für Bürger und Bürgerinnen
Dazu hat das Bundesrechenzentrum klar definierte Vorgaben für die kommenden Jahre, wie Claus Haiden abschließend erzählt: „Die Digitalisierung, die sich der Bund auch in Österreich vorgenommen hat, zielt darauf ab, dass dem Bürger und der Bürgerin möglichst viele Selfservices zur Verfügung stehen, á la E-Finanz, wo man etwa seine steuerliche Veranlagung selber machen kann, und auch viele andere Dinge und Prozesse, wie zum Beispiel Erneuerung des Führerscheins oder Führerschein auf dem Smartphone. Prozesse, wie Amts- und Verwaltungswege, die komplex sind und heute nur vor Ort erfüllt werden können, sollen – auch nach dem Deregulierungsgesetz 2017 – in zwei Jahren den Bürgerinnen und Bürgern elektronisch zur Verfügung stehen. Damit haben wir sozusagen acht Millionen Kunden, denn wir arbeiten ja nicht nur für die Verwaltung, sondern über die Verwaltung direkt für jeden Bürger und jede Bürgerin, und übernehmen damit eine Verantwortung, die für ein Unternehmen in Österreich einzigartig ist.“