IT-Sicherheit bleibt ein zentrales Thema für den öffentlichen Sektor: Die Bedrohungslage für Behörden ist weiterhin angespannt und die Angriffsflächen wachsen – so das Fazit des BSI-Lageberichts 2025. Behörden betreiben zentrale digitale Verwaltungsdienste und verarbeiten in großem Umfang sensible Daten von Bürgerinnen und Bürgern. Sicherheitsmängel können hier nicht nur Verwaltungsprozesse lahmlegen, sondern auch zu Datenabflüssen führen und das Vertrauen in staatliches Handeln nachhaltig beschädigen.
Behörden verfügen in der Regel über Sicherheitskonzepte für ihre IT-Systeme. Doch ob die darin formulierten Anforderungen umgesetzt sind, wird häufig nicht unabhängig geprüft. Stattdessen stützen sich Einschätzungen auf Aussagen von IT-Dienstleistern, insbesondere der jeweiligen Systemanbieter. Penetrationstests – sofern sie durchgeführt werden – decken häufig zentrale sicherheitsrelevante Anforderungen nicht vollständig ab. So wird beispielsweise oftmals nicht geprüft, ob die eingesetzten kryptographischen Verfahren den Vorgaben der BSI TR-02102 entsprechen. Sicherheitsmängel an IT-Systemen bleiben dann unentdeckt.
Mit drei neuen Sicherheitschecks bietet die IMTB Behörden eine schnelle und standardisierte Möglichkeit, die Umsetzung von Sicherheitsanforderungen gezielt zu überprüfen, unabhängig von Aussagen der Hersteller oder Dienstleister und ohne Eingriff in den laufenden Betrieb:
- Web-Sicherheitscheck
- Mailsystem-Sicherheitscheck
- Zertifikatscheck: S/MIME
Alle Checks arbeiten passiv auf Basis öffentlich zugänglicher Informationen und von außen abfragbarer Konfigurationsmerkmale. Insgesamt werden Anforderungen aus zwölf Bausteinen des BSI IT-Grundschutzes und fünf technischen Richtlinien des BSI systematisch überprüft.
Mit den Checks werden Sicherheitsmängel in zentralen Komponenten der Sicherheitsarchitektur frühzeitig erkannt – gegebenenfalls bereits bei der Erstellung oder Fortschreibung des Sicherheitskonzepts. Die Checks sind keine Penetrationstests, sondern ergänzen diese um die gezielte Prüfung von BSI-Anforderungen, die Penetrationstests in der Regel nicht abdecken.
Web-Sicherheitscheck
Webangebote von Behörden – Webseiten, webbasierte Fachverfahren oder mobile Apps – sind ein zentraler Bestandteil der behördlichen Arbeit und der Kommunikation mit Bürgerinnen und Bürgern. Gleichzeitig bergen sie zahlreiche Sicherheitsrisiken.
Der Web-Sicherheitscheck prüft anhand von über 95 Prüfpunkten, ob Webangebote zentrale Sicherheitsanforderungen erfüllen. Dabei werden unter anderem Protokolle, Verschlüsselungsverfahren, Sicherheitsheader sowie weitere Aspekte der Serverkonfiguration geprüft. Für mobile Anwendungen wird eine vergleichbare Methodik eingesetzt, wobei der Prüfumfang an die jeweilige App und ihre technischen Besonderheiten angepasst wird.
Mailsystem-Sicherheitscheck
E-Mail bleibt ein zentraler Kommunikationskanal in der Verwaltung. Um die Vertraulichkeit, Integrität und Authentizität des Nachrichtenaustauschs sicherzustellen, müssen die technischen Rahmenbedingungen der Mailserver-Infrastruktur stimmen. In der Praxis gerät die korrekte Konfiguration jedoch häufig aus dem Blick, insbesondere wenn neue Fachverfahren an bestehende Mailsysteme angeschlossen werden.
Der Mailsystem-Sicherheitscheck prüft die Transportverschlüsselung (TLS) zwischen Mailservern sowie DNS-basierte Authentifizierungsmechanismen wie SPF, DKIM und DMARC auf Basis tatsächlich versendeter Test-E-Mails.
Zertifikatscheck: S/MIME
Während TLS den Transport von E-Mails schützt, betrifft S/MIME den Schutz der Nachricht selbst. Insbesondere wenn Fachverfahren signierte oder verschlüsselte E-Mails versenden, muss das eingesetzte S/MIME-Zertifikat den geltenden Sicherheitsanforderungen entsprechen. Entscheidend sind dabei Schlüssellängen, Algorithmen und Gültigkeitszeiträume.
Der Zertifikatscheck prüft S/MIME-Zertifikate auf Konformität mit den Vorgaben einschlägiger BSI Technischer Richtlinien.
Ergebnisse und Nachbereitung
Zu jedem Sicherheitscheck erhalten Kunden einen detaillierten Prüfbericht mit dokumentierten Befunden und konkreten Handlungsempfehlungen. Auf Wunsch werden die Ergebnisse in einer individuellen Nachbesprechung erläutert und Risiken gemeinsam bewertet. Zur Überprüfung umgesetzter Maßnahmen werden Nachtests angeboten.
Interesse?
Die Sicherheitschecks können eigenständig beauftragt oder im Rahmen der Erstellung und Fortschreibung von Sicherheitskonzepten eingesetzt werden. Gerne beraten wir Sie, welche Kombination für Ihre Systeme sinnvoll ist. Sprechen Sie uns an.
