Wie die Provinz Gelderland den Gemeinden hilft, widerstandsfähiger im Internet zu werden

Stärkung der Cyber-Resilienz von Gemeinden: So hat Gelderland es angepackt

Cyberkriminalität ist eine wachsende Herausforderung, auch für niederländische Gemeinden. Gelderland wollte den Gemeinden in der Provinz helfen, ihre Cyber-Resilienz zu erhöhen. Sie taten dies in Zusammenarbeit mit Secura. Das Projekt mit dem Namen Troy war ein großer Erfolg.

Im Vorfeld war es schwierig abzuschätzen, wie viele Gemeinden teilnehmen würden. Wir sind sehr froh, dass sich 42 Gemeinden angemeldet haben. Das zeigt, dass der Bedarf in diesem Bereich enorm ist', sagt Projektleiterin Marjolein Zeeman von der Provinz Gelderland.

Was ist das Projekt Troy?

Das Projekt Troy ist eine Cyberchallenge in der Provinz Gelderland", sagt Marjolein Zeeman. Sie arbeitet als Projektleiterin für Resilienz in der Provinz und betreut Projekte, die kriminelle Unterwanderung bekämpfen. Das Hauptziel war es, das Bewusstsein für Cyberkriminalität zu schärfen. Wir sehen, wie alle anderen auch, dass die Cyberkriminalität enorm zunimmt. Dagegen wollten wir etwas unternehmen.'

Nullmessung als Grundlage

Die Herausforderung, die bis Ende 2023 lief, bestand aus zwei Teilen, erklärt Zeeman: 'Den Gemeinden, die teilnehmen wollten - die Teilnahme war freiwillig - haben wir eine Basismessung angeboten. In sechs Bereichen wurde das aktuelle Niveau der Cyber-Resilienz getestet. Die Gemeinden erhielten dann Empfehlungen, was auf der Grundlage der Ergebnisse verbessert werden könnte. Die Basismessung wurde von Experten des Bureau Veritas Cybersecurity durchgeführt.

Floris Duvekot von Bureau Veritas Cybersecurity erklärt, was genau gemessen wurde. Wir haben zum Beispiel gemessen, wie es um die technische Sicherheit und die Prozesssicherheit bestellt ist. Aber auch, wie die Mitarbeiter der Stadtverwaltung mit der Sicherheit umgehen. Während einer der Messungen versuchte einer unserer ethischen Social Engineers, in die Büros der teilnehmenden Gemeinden einzubrechen. So konnten wir die physische Sicherheit des Rathauses und das Bewusstsein der Mitarbeiter testen.'

Die drei Gemeinden, die ihre Sicherheit am besten in Ordnung hielten, gewannen eine Red Teaming-Bewertung - oder eigentlich eine rote Zelle, eine kompakte Variante des Red Teaming, sagt Zeeman. Diese Gemeinden wurden von Secura vollständig überprüft. Das waren die Gemeinden Aalten, Arnheim und Doesburg.

Riesiger Bedarf

Im Vorfeld wusste Zeeman nicht, wie viele Gemeinden sich an der Herausforderung beteiligen würden: "Gelderland hat 51 Gemeinden. Aber ob 1 Gemeinde oder 51 Gemeinden teilnehmen würden, war im Vorfeld nicht bekannt.

Das machte die Vorbereitung und Ausschreibung des Projekts zu einer Herausforderung. Wir hätten nie erwartet, dass sich 42 Gemeinden melden würden: das sind mehr als 80% der Gemeinden in Gelderland. Das zeigt, dass der Bedarf in diesem Bereich sehr groß ist. Wir sind sehr froh, dass wir so vielen Gemeinden helfen konnten, einen Schritt zur Verbesserung ihrer Cyber-Resilienz zu machen.

Anlaufstelle: CISOs

Zeeman und ihr Team entschieden sich dafür, die CISOs der Gemeinden in Gelderland als Ansprechpartner für das Projekt zu gewinnen. Sie spüren die Dringlichkeit dieses Themas wie kein anderer. Außerdem können sie es am besten an den Rest der Organisation weitergeben. Alle CISOs der Gemeinden persönlich einzuladen, war eine intensive Arbeit, aber es hat funktioniert: 'Am Ende haben wir mit allen CISOs 1:1 gesprochen, um Fragen zu beantworten. Sie waren auch beim Kick-off-Meeting anwesend. Ein schöner Nebeneffekt dieses Projekts war also die Schaffung eines Netzwerks von CISOs aus den Gemeinden der Provinz Gelderland.

Zusammenarbeit mit Secura

Nachdem Zeeman und ihr Team an alle Gemeinden in Gelderland herangetreten waren, die Gemeinden unterschrieben hatten und alle Schutzdokumente und Verarbeitungsverträge arrangiert waren, übernahm Secura die Durchführung des Projekts. Ich habe die Zusammenarbeit mit Secura sehr genossen", sagt Zeeman. Das Team hat alles richtig gemacht.

Floris Duvekot von Bureau Veritas Cybersecurity sagt über die Zusammenarbeit: 'Weil die Provinz den Start des Projekts beaufsichtigte und so viel Vorarbeit geleistet hatte, hatten die Gemeinden genügend Zeit, sich zu melden. Das gab uns auch die Zeit, die Basismessungen richtig vorzubereiten. Da wir jeden Monat die Fortschritte mit der Provinz besprachen, war die Zusammenarbeit sehr transparent. Das Besondere an diesem Projekt war, dass die Provinz keinen Zugriff auf die wesentlichen Ergebnisse der Basismessungen hatte. Ihre Rolle war rein vermittelnd. Ich habe das gegenseitige Vertrauen in dieser Zusammenarbeit sehr geschätzt.'

Do's und Don'ts

Projektleiterin Marjolein Zeeman erhält viele Fragen von anderen Provinzen und Organen zu diesem Projekt. Ich sage dann immer: Machen Sie es einfach. Wir haben gesehen, dass es einen großen Bedarf an Wissensaustausch in diesem Bereich gibt. rät Zeeman:

• Investieren Sie in den persönlichen Kontakt mit CISOs und anderen Interessengruppen. Das kostet Zeit, ist aber die Investition wert. Vergessen Sie nicht, auch den Vorstand einzubeziehen, um das Thema in dieser Gruppe wirklich lebendig zu machen.
• Nehmen Sie sich viel Zeit. Das ist bei einem so umfangreichen Projekt wirklich notwendig. Wir haben ein Jahr zwischen dem Beginn und dem Abschluss der Ausschreibung gebraucht. Danach hat die Umsetzung über ein Jahr gedauert.'