Launch einer Website für die neue Behörde Cybersicherheitsagentur Baden-Württemberg
Regierung
Projektbeschreibung
Die zunehmende Bedrohung der Verwaltung von Ländern und Kommunen durch Hackerangriffe verursacht Milliardenschäden in Rathäusern, öffentlichen Infrastrukturen und Unternehmen. Die neu gegründete Cybersicherheitsagentur Baden-Württemberg (CSBW) ist eine der ersten Landesbehörden bundesweit, die diese Bedrohung auf politischer Ebene adressiert und Kommunen und Städten bei einem Angriff Hilfe anbietet. Die CSBW bündelt Informationen zu den Vorfällen, gibt Warnmeldungen heraus und unterstützt öffentliche Verwaltungen beim Bereinigen von gehackten Plattformen und verschlüsselten Daten mit einem mobilen Einsatz-Team. Unsere Aufgabe in diesem Projekt war zum einen, das digitale Erscheinungsbild einer neuen Behörde als vertrauensvolle Informations-Website zu etablieren und diese gleichzeitig so sicher zu machen, dass daraus kein leichtes Ziel für Hacker wird.Projektziele und -ergebnisse
Das Ziel des Projekts war es, eine neu gegründete Landesoberbehörde vorzustellen und diese ebenso modern, dynamisch, flexibel und anpassungsfähig wie ihr Einsatzfeld zu präsentieren. Dabei sollten verschiedene Zielgruppen mit unterschiedlichen Kompetenzfeldern angesprochen werden, darunter Mitarbeitende bei Kommunen, potenzielle neue Mitarbeitende und die interessierte Öffentlichkeit. Bei diesem Vorhaben durchliefen wir mit den Ansprechpersonen unseres Kunden einen ganzheitlichen Prozess: Positionierung und Markenstrategie, Entwicklung des Corporate Designs mit Logo und Key-Visual-Illustrationen, Webkonzeption, UX&UI-Design, Web-Development, Content-Redaktion, Go-Live!Branding
Das Besondere an diesem Projekt für uns: Anders als bei vielen anderen unserer Relaunches, gab es bei der CSBW keine bestehende Webseite, die überarbeitet oder deren Inhalte migriertwerden sollten – die Website wurde komplett neu aufgebaut und erst dann mit Leben gefüllt. So schufen wir für die Landesoberbehörde ausgehend von der Content-Seite eine Corporate Identity mit hohem Wiedererkennbarkeitswert und unterstützen den Roll-Out des Designs über alle Kommunikationskanäle. Im Zuge des Digital Branding wurden exklusive Illustrationen in einem jungen und modern anmutenden Stil entwickelt, die eine Vielzahl von Themen und Sachverhalten abdecken und veranschaulichen. Die Illustrationen bieten sich als optimales Instrument an, um dem bei einigen Zielgruppen mit Angst behafteten, technischen Thema „Cybersicherheit” mit Leichtigkeit zu begegnen.
Sicherheitskonzept
Dass eine neue Behörde für Cybersicherheit im Blickfeld von Angreifern steht, begleitete uns durch den gesamten Entwicklungsprozess. Dafür konnten wir auf einen reichen Erfahrungsschatz von Entwicklungsstandards und Datenschutzrichtlinien, gefolgt von intensiven internen Testverfahren zurückgreifen. Wir kombinierten etablierte und frei verfügbare Drupal-Module mit unseren Custom Modulen, die wir aufgrund von spezifischen Projektanforderungen programmieren und kontinuierlich weiterentwickeln. In all unseren Eigenentwicklungen, aber auch bei der Verwendung von bereits Etabliertem folgen wir der Prämisse, dass Module performant und sicher, nachhaltig und stabil über mehrere Jahre eingesetzt werden können. Hier setzen wir für uns, durch die konsequente Updatefähigkeit unserer Systeme, den ersten Baustein für IT-Sicherheit. Um unsere Arbeit objektiv und kritisch auf den Prüfstand zu stellen, kooperierten wir mit einem Cybersicherheits-Unternehmen, das ein PEN-Testing auf unserem Pre-Live-System unter Realbedingungen vornahm – den wir erfolgreich bestanden haben!
Zweistufiger Freigabeprozess
Für die CSBW definierten wir einen individuellen Workflow, der einen zweistufigen Freigabeprozess vorsieht – ganz ähnlich zu den klassischen Abläufen in einer Behörde. Dabei werden in Drupal Inhalte im Entwurf angelegt, zur Freigabe mit E-Mail-Benachrichtigung gestellt und entweder veröffentlicht, zurückgewiesen oder für die Behördenleitung zur Ansicht zur Verfügung gestellt. Beim Login aller Backend-Nutzenden sorgt eine 2-Faktor-Authentifizierung für höchste Sicherheitsstandards.
Barrierefreiheit
Wir erarbeiteten einen klaren Maßnahmenkatalog, basierend auf den Regelungen der BITV 2.0, für die Barrierefreiheit der Website mit den zu verwendenden Funktionen. Im 4-Augen Prinzip stellten wir sicher, dass die Website optimal durch Tastaturen und Screenreader bedienbar ist und dabei optisch zeitgemäß und ansprechend bleibt. Den Fokus auf Barrierefreiheit legten wir auch in der redaktionellen Schulung mit Hinweisen auf die semantische Struktur und Alternativtexte.
Herausforderungen
Die Herausforderung in diesem Projekt liegt definitiv in der Absicherung der Anwendung gegen Angriffe. Obwohl keine Nutzendendaten erhoben werden, wäre ein öffentlicher Angriff auf die Website imageschädigend und von politischer Brisanz. Dieser Herausforderung konnten wir nicht nur mit der Drupal-Anwendung, sondern vor allem durch das Zusammenspiel mit dem Hostinganbieter des Landes Baden-Württemberg begegnen. Die Einrichtung der Server wurde mit uns gemeinsam abgestimmt.Zu unseren Maßnahmen gehörten u.a.:
• Vermeidung von Zugriffen auf unerlaubte Ports durch spezielle Firewall Konfigurationen (hardwareseitig (Router Hardware Firewall) als auch softwareseitig (z. B. iptables)
• Einsatz von Intrusion Prevention Systemen wir z. B. fail2ban (Unterstützung bei der Installation und Konfiguration)
• Konfiguration von Chroot Umgebungen, um Anwendungscode zu kapseln
• Automatisches Deployment des Anwendungscodes unter Einsatz von Continuous Integration / Continuous Delivery (CI/CD)
• Umfangreiches Anwendungs- und System-Monitoring (z. B. Benachrichtigung bei unerlaubten Manipulationen des Anwendungscodes)
Nicht zuletzt kommt uns hier aber auch die Drupal-Community zur Unterstützung: durch deren Engagement werden potenzielle Schwachstellen schnell identifiziert und Sicherheitspatches an unser Entwicklungsteam weitergegeben.