IT- und Cybersicherheit – Verwaltung schützen

Die zunehmende Bedrohung der Verwaltung von Ländern und Kommunen durch Hackerangriffe verursacht Milliardenschäden in Rathäusern, öffentlichen Infrastrukturen und Unternehmen. Die neu gegründete Cybersicherheitsagentur Baden-Württemberg (CSBW) war eine der ersten Landesbehörden bundesweit, die diese Bedrohung auf politischer Ebene adressiert und Kommunen und Städten bei einem Angriff konkrete Hilfe bietet. Die CSBW bündelt Informationen zu den Vorfällen, gibt Warnmeldungen heraus und unterstützt öffentliche Verwaltungen beim Bereinigen von gehackten Plattformen und verschlüsselten Daten mit einem mobilen Einsatz-Team.

Unsere Aufgabe in diesem Projekt war zum einen, Marke und Erscheinungsbild einer neuen Behörde mit einer Informations-Website digital zu etablieren und diese gleichzeitig so sicher zu machen, dass sie kein leichtes Ziel für Hacker darstellt. Nach dem Zuschlag über eine öffentliche Ausschreibung durchliefen wir mit den Ansprechpersonen unseres Kunden einen ganzheitlichen Prozess: Positionierung und Markenstrategie, Entwicklung des Corporate Design mit Logo und Key-Visual-Illustrationen, Webkonzeption, UX&UI-Design, Web-Development, Content-Redaktion, Go-Live!

Branding

Das Ziel der Markenarbeit war es, eine neu gegründete Landesoberbehörde vorzustellen und diese ebenso modern, dynamisch und anpassungsfähig wie ihr Einsatzfeld zu präsentieren. Dabei sollten verschiedene Zielgruppen mit unterschiedlichen Kompetenzfeldern angesprochen werden, darunter Mitarbeitende bei Kommunen, potenzielle neue Mitarbeitende und die interessierte Öffentlichkeit. So schufen wir für die CSBW ausgehend von der Content-Seite eine Corporate Identity mit hohem Wiedererkennbarkeitswert und unterstützen den Roll-Out des Designs über alle Kommunikationskanäle.

Die Basis unseres Digital Brandings bildeten vorhandene Bausteine aus dem Corporate Design der Landesverwaltung wie die Farbwelt und die Schriften. Zusätzlich entwickelten wir für das Corporate Design der CSBW das Logo und einen individuellen Illustrationsstil.

Unsere exklusiven Illustrationen sind in einem jungen und modern anmutenden Stil gehalten, die eine Vielzahl von Themen und Sachverhalten passgenau abdecken und veranschaulichen. Zudem lassen sich Animationen integrieren, die das Engagement der Nutzenden fördern und Prozesse verständlich kommunizieren. Die Illustrationen bieten sich als optimales Instrument an, um dem häufig mit Angst behafteten, technischen Thema „Cybersicherheit” mit Leichtigkeit zu begegnen. Sie prägen den grafischen Stil der gesamten Präsenz und zahlen mit Werten wie Offenheit und Zugänglichkeit auf die Arbeitgebermarke ein.

Innerhalb des Web-Design-Prozesses erarbeiteten wir zudem eine Library im Atomic Design, die als Style Guide für künftige Erweiterungen fungiert.

Sicherheitskonzept

Dass eine neue Behörde für Cybersicherheit im Blickfeld von Angreifern steht, begleitete uns durch den gesamten Entwicklungsprozess. Unsere Sicherheitsmaßnahmen sind durch zahlreiche Projekte elaboriert und durchziehen unser gesamtes Development: Systemarchitektur, Entwicklungsstandards, Datenschutzrichtlinien, Testverfahren, Hosting-Konzept.

Mit dem Wechsel auf das Symfony Framework seit Drupal 8 sind grundlegende Sicherheitsmaßnahmen etabliert, auf die wir bei der Entwicklung und beim Customizing von Modulen aufsetzen (Vermeidung von SQL-Injections, Unterbinden von Cross-Site-Scripting, etc.). Wir kombinierten etablierte und frei verfügbare Drupal-Module mit unseren Custom Modulen, die wir aufgrund von spezifischen Projektanforderungen programmieren und kontinuierlich weiterentwickeln. In all unseren Eigenentwicklungen, aber auch bei der Verwendung von bereits Etabliertem folgen wir der Prämisse, dass Module performant und sicher, nachhaltig und stabil über mehrere Jahre eingesetzt werden können. Hier setzen wir für uns, durch die konsequente Updatefähigkeit unserer Systeme, den ersten Baustein für IT-Sicherheit.

Unser Konzept zu automatisiertem Testing erlaubt die Weiterentwicklung der Web-Anwendung ohne Funktionseinbußen. Die stabilste Sicherheit aber bietet das perfekte Zusammenspiel zwischen Hosting und der Anwendung. So stimmten wir das Hosting-Konzept zu Projektauftakt mit dem Provider der CSBW ab und begleiteten die Einrichtung der Server.

Um unsere Arbeit objektiv und kritisch auf den Prüfstand zu stellen, kooperierten wir mit einem Cybersicherheits-Unternehmen, das ein PEN-Testing auf unserem Pre-Live-System unter Realbedingungen vornahm – den wir erfolgreich bestanden haben!

CMS Drupal

Für das Content-Management der Website sollte den Mitarbeitenden der Öffentlichkeitsarbeit ein niederschwelliges und übersichtliches Backend zur Verfügung, gestellt werden. Für die CSBW definierten wir in Drupal einen individuellen Workflow, der einen zweistufigen Freigabeprozess vorsieht – ganz ähnlich zu den klassischen Abläufen einer Behörde. Dabei werden in Drupal Inhalte im Entwurf angelegt, zur Freigabe mit E-Mail-Benachrichtigung gestellt und entweder veröffentlicht, zurückgewiesen oder für die Behördenleitung zur Ansicht zur Verfügung gestellt. Beim Login aller Backend-Nutzenden sorgt eine 2-Faktor-Authentifizierung für höchste Sicherheitsstandards.

Barrierefreiheit

Als landeseigene Behörde ist die barrierefreie Nutzung der Website gesetzlich vorgeschrieben. Basierend auf den Regelungen der BITV 2.0 erarbeiteten wir einen klaren Maßnahmenkatalog, den wir für die Barrierefreiheit der Website mit den zu verwendenden Funktionen umsetzten. Im 4-Augen-Prinzip stellten wir sicher, dass die Website optimal durch Tastaturen und Screenreader bedienbar ist und dabei optisch zeitgemäß und ansprechend bleibt. Den Fokus auf Barrierefreiheit legten wir auch in der redaktionellen Schulung mit Hinweisen auf die semantische Struktur und Alternativtexte.

Iterativer Go-Live-Prozess

Das Besondere an diesem Projekt für uns: Anders als bei vielen anderen unserer Relaunches, existierte bei der CSBW keine bestehende Webseite, die überarbeitet oder deren Inhalte migriert werden sollten – die Präsenz wurde komplett neu aufgebaut und sukzessive mit Leben gefüllt. So legten wir im Rahmen der Konzeption einen iterativen Release-Plan fest, beginnend mit einem Piloten als digitale Visitenkarte bis zur vollumfänglichen Präsenz der CSBW. Im Zentrum unseres Web-Konzepts steht eine Persona-zentrierte UX und eine transparente Informationsarchitektur für eine klare und leicht zugängliche Seiten- und Inhaltsstruktur. Dazu zählt auch die Integration einer hoch performanten Website-Suche auf Basis des Suchservers Apache Solr.

Die Webseite bildet heute den Ausgangspunkt aller Kommunikation der CSBW: neben der markenkonformen Präsentation der Behörde und Darstellung des Unterstützungsangebots, finden Nutzende aktuelle Warnmeldungen und Pressemitteilungen. Zur Publikation von Stellenanzeigen importieren wir über eine entsprechende Schnittstelle Datensätze aus dem Bewerbungsmanagementtool BITE in das Drupal CMS. Wir begleiten die CSBW auch bei den nächsten Schritten, optimieren kontinuierlich die Inhalte mithilfe von Auswertungen über SISTRIX und entwickeln die Website gemeinsam stetig weiter.