Der Staat stellt an die Internetanbindung in Behörden deutlich höhere Anforderungen als an die eines gewöhnlichen Unternehmens. Behörden verarbeiten sensible Bürger- und Verwaltungsdaten, die einem besonderen gesetzlichen Schutz unterliegen und oft Ziel gezielter Cyberangriffe sind. Die folgenden Abschnitte beantworten die wichtigsten Fragen rund um sichere Internetanbindungen im öffentlichen Sektor.
Welche gesetzlichen Grundlagen regeln die IT-Sicherheit in Behörden?
Die IT-Sicherheit in deutschen Behörden wird durch mehrere aufeinander aufbauende Rechtsrahmen geregelt. Auf Bundesebene bildet das BSI-Gesetz (BSIG) die zentrale Grundlage, das das Bundesamt für Sicherheit in der Informationstechnik mit umfangreichen Befugnissen ausstattet. Ergänzend dazu verpflichtet die NIS2-Richtlinie der Europäischen Union seit 2023 auch öffentliche Stellen zu einem nachweisbaren Mindestniveau an Cybersicherheit.
Für Behörden, die Verschlusssachen verarbeiten, gelten zusätzlich die Verschlusssachenanweisung (VSA) des Bundes sowie länderspezifische Regelungen. Im Bereich des Datenschutzes schreibt die DSGVO in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) konkrete technische und organisatorische Maßnahmen vor, die direkten Einfluss auf die Gestaltung des Internetzugangs haben. Wer den Internetzugang in Behörden absichern möchte, muss all diese Schichten berücksichtigen.
Was sind die BSI-Vorgaben für sichere Internetanbindungen in Behörden?
Das BSI gibt im IT-Grundschutz-Kompendium konkrete Bausteine vor, die beschreiben, wie Behörden ihren Internetzugang absichern müssen. Zentrale Anforderung ist die strikte Netztrennung: Das interne Behördennetz darf nicht direkt mit dem Internet verbunden sein. Stattdessen sind Sicherheitsgateways, kontrollierte Übergänge und gegebenenfalls physische Trennung vorgeschrieben.
Konkret empfiehlt das BSI für besonders schutzbedürftige Umgebungen den Einsatz von Remote Controlled Browser Systems (ReCoBS). Diese Technologie stellt sicher, dass Webinhalte niemals direkt auf dem Arbeitsplatzrechner ausgeführt werden. Darüber hinaus fordert das BSI:
- Protokollierung und Monitoring aller Internetverbindungen
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
- Dokumentierte Risikoanalysen für alle eingesetzten Systeme
- Einsatz zertifizierter Produkte, vorzugsweise mit Common-Criteria-Zertifizierung
Diese Vorgaben gelten nicht als Empfehlung, sondern als verbindlicher Mindeststandard für Bundesbehörden und werden von vielen Landesbehörden übernommen.
Warum reichen herkömmliche Firewalls für Behörden oft nicht aus?
Herkömmliche Firewalls filtern Netzwerkverkehr auf Basis von Regeln, können aber keine Bedrohungen erkennen, die in legitimen Webinhalten versteckt sind. Moderne Angriffe nutzen genau diese Lücke: Schadcode wird über reguläre Webseiten, manipulierte Dokumente oder kompromittierte Werbeanzeigen eingeschleust, ohne dass eine Firewall dies zuverlässig blockieren kann.
Für Behörden ist dieses Risiko besonders kritisch, weil ein einziger erfolgreicher Angriff auf einen Arbeitsplatzrechner den Zugang zum gesamten internen Netz eröffnen kann. Firewalls arbeiten reaktiv: Sie blockieren bekannte Bedrohungen, versagen aber bei Zero-Day-Exploits und bisher unbekannten Angriffsvektoren. Im Behördenumfeld, wo Mitarbeitende täglich auf das Internet zugreifen müssen, um ihre Aufgaben zu erfüllen, entsteht so eine strukturelle Sicherheitslücke, die allein durch Firewall-Regeln nicht zu schließen ist.
Was ist ein Remote Controlled Browser System (ReCoBS) und wie schützt es Behörden?
Ein Remote Controlled Browser System (ReCoBS) ist eine Sicherheitsarchitektur, bei der der Webbrowser nicht auf dem Arbeitsplatzrechner des Nutzers ausgeführt wird, sondern auf einem isolierten Server. Der Nutzer sieht lediglich eine Bildschirmübertragung der Browserdarstellung. Schadcode, der über eine Webseite eingeschleust wird, bleibt auf dem Server und erreicht das interne Netz niemals.
Dieses Prinzip ist besonders wirkungsvoll, weil es nicht darauf angewiesen ist, Bedrohungen zu erkennen. Selbst wenn ein Angreifer eine vollständig neue, bisher unbekannte Schwachstelle im Browser ausnutzt, bleibt der Arbeitsplatzrechner geschützt, weil der Browser physisch vom internen Netz getrennt ist. Für Behörden bedeutet das:
- Kein direkter Kontakt zwischen Internetinhalten und dem internen Netzwerk
- Schutz vor Browser-Exploits, Phishing-Angriffen und Drive-by-Downloads
- Keine Einschränkung der Arbeitsfähigkeit, da der Internetzugang vollständig erhalten bleibt
- Einfache Verwaltung und zentrale Kontrolle über alle Internetzugriffe
Das BSI empfiehlt ReCoBS ausdrücklich für Umgebungen mit erhöhtem Schutzbedarf und hat diesen Ansatz in seinen IT-Grundschutz-Bausteinen verankert.
Welche Zertifizierungen sollte eine Sicherheitslösung für Behörden vorweisen?
Eine Sicherheitslösung für den Einsatz in Behörden sollte mindestens eine Common-Criteria-Zertifizierung (CC) nach ISO/IEC 15408 vorweisen, idealerweise auf der Evaluierungsstufe EAL3 oder höher. Diese international anerkannte Zertifizierung belegt, dass ein unabhängiges Prüfinstitut die Sicherheitseigenschaften des Produkts systematisch bewertet hat.
Darüber hinaus sind folgende Nachweise für den Behördeneinsatz relevant:
- BSI-Zulassung oder BSI-Empfehlung: Produkte, die das BSI explizit empfiehlt oder zugelassen hat, genießen besonderes Vertrauen im öffentlichen Sektor.
- Konformität mit IT-Grundschutz: Die Lösung sollte nachweislich die relevanten Bausteine des BSI-Grundschutzkompendiums erfüllen.
- ISO 27001-Konformität des Herstellers: Ein nach ISO 27001 zertifizierter Hersteller belegt, dass auch die Entwicklungs- und Betriebsprozesse sicheren Standards entsprechen.
Für Behörden, die Verschlusssachen verarbeiten, können zusätzlich eine VS-NfD-Zulassung oder spezifische Freigaben durch das BSI erforderlich sein.
Wie läuft die Einführung einer sicheren Internetanbindung in einer Behörde ab?
Die Einführung einer sicheren Internetanbindung in einer Behörde folgt einem strukturierten Prozess, der mit einer Risikoanalyse beginnt und mit der laufenden Überwachung des Betriebs endet. Entscheidend ist, dass die technische Lösung nicht isoliert betrachtet wird, sondern in das bestehende Informationssicherheitsmanagement eingebettet ist.
Analyse und Planung
Zunächst wird der aktuelle Stand der IT-Infrastruktur erfasst und eine Schutzbedarfsfeststellung durchgeführt. Dabei wird ermittelt, welche Daten und Systeme besonders schutzbedürftig sind und welche gesetzlichen Anforderungen konkret gelten. Auf dieser Basis wird ein Konzept entwickelt, das die geeignete Sicherheitsarchitektur festlegt.
Implementierung und Schulung
Nach der Auswahl einer geeigneten, zertifizierten Lösung folgt die technische Implementierung, die in der Regel in enger Abstimmung mit dem IT-Betrieb der Behörde erfolgt. Parallel dazu werden Mitarbeitende geschult, damit sie die neue Lösung korrekt nutzen und sicherheitsrelevante Situationen erkennen. Abschließend werden der Betrieb dokumentiert, Monitoring-Prozesse eingerichtet und regelmäßige Überprüfungen geplant.
Wie m-privacy GmbH Behörden bei der sicheren Internetanbindung unterstützt
Wir bei m-privacy GmbH haben uns seit 2002 auf genau diese Anforderungen spezialisiert. Mit TightGate-Pro bieten wir eine praxiserprobte ReCoBS-Lösung, die im März 2026 erfolgreich nach Common Criteria (CC v3.1 Revision 5) mit der Evaluierungsstufe EAL3+ durch das BSI rezertifiziert wurde. TightGate-Pro ist heute in zahlreichen Behörden, Finanzinstituten und Betreibern Kritischer Infrastrukturen im Einsatz.
Unser Leistungsangebot für den öffentlichen Sektor umfasst:
- TightGate-Pro: Die BSI-zertifizierte ReCoBS-Lösung zur physischen Trennung von Browser und Arbeitsplatzrechner
- Security Audits nach ISO 27001: Systematische Prüfung Ihrer bestehenden IT-Sicherheitsmaßnahmen
- Risikoanalysen und Informationsschutzberatung: Methodische Bewertung Ihres individuellen Schutzbedarfs
- Schulungen: Sensibilisierung Ihrer Mitarbeitenden für IT-Sicherheit und Datenschutz
- Externer Datenschutzbeauftragter: Als flexible Alternative zur internen Stabsstelle
Möchten Sie den Internetzugang Ihrer Behörde absichern und dabei alle gesetzlichen Anforderungen zuverlässig erfüllen? Kontaktieren Sie uns für ein unverbindliches Erstgespräch. Wir begleiten Sie von der ersten Risikoanalyse bis zum laufenden Betrieb.