KI ist die oberste NASCIO-Priorität

Neue KI-Initiativen überholen Cybersicherheit und Risikomanagement

Jedes Jahr veröffentlicht die National Association of State Chief Information Officers (NASCIO) ihre Top-10-Liste strategischer Prioritäten. Für 2026 führt künstliche Intelligenz (KI) die Liste an und tauscht damit den Platz mit Cybersicherheit und Risikomanagement, die nach zwölf Jahren an der Spitze auf Platz zwei zurückgefallen sind.

Diese Entwicklung ist nicht völlig überraschend. Behörden möchten – wie Organisationen in anderen Branchen auch – neue KI-Funktionen und KI-Agenten schnell einsetzen. IT-Führungskräfte im öffentlichen Sektor erkennen das transformative Potenzial von KI, wenn es darum geht, reaktionsschnelle Services bereitzustellen und operative Effizienz zu steigern. Die Herausforderung besteht darin, diese Transformation zu erreichen und zugleich Risiken zu kontrollieren.

KI führt die Liste an

Viele staatliche und kommunale Behörden haben bereits wichtige KI-Initiativen gestartet. Um digitale Erlebnisse zu verbessern, entwickeln sie beispielsweise KI-gestützte Chatbots, die schnell, konsistent und regelkonform auf Anliegen und Fragen von Nutzern reagieren können. Außerdem entwickeln sie KI-Agenten, um durch die Automatisierung von Prozessen die Effizienz zu steigern.

Diese Initiativen zur Einführung neuer KI-Funktionen sind den Sicherheitsbemühungen oft voraus. Doch KI-Sicherheit muss eine hohe Priorität haben. IT- und Sicherheitsverantwortliche müssen dafür sorgen, dass Daten und Modelle weder manipuliert noch verfälscht werden. Sie müssen verhindern, dass es zu Exploits kommt, die eine Ausschleusung hochgradig sensibler Daten zur Folge hätten. Gleichzeitig müssen sie sicherstellen, dass die KI-generierten Ausgaben korrekt sind, da fehlerhafte Ausgaben Fehlinformationen an Nutzer weitergeben könnten.

Der Modernisierungsbedarf steigt

In Verbindung mit KI-Projekten sind die Behörden auf bundesstaatlicher Ebene entschlossen, ältere Software, Infrastruktur und Prozesse zu modernisieren. Modernisierung ist von Platz fünf im Jahr 2025 auf Platz vier im Jahr 2026 gestiegen. Laut dem Cloudflare-Bericht zur Anwendungsinnovation 2026 treiben Organisationen des öffentlichen Sektors insbesondere die Modernisierung von Anwendungen voran, vor allem um die Einführung von Cloud-Lösungen zu unterstützen, die Benutzererfahrung zu verbessern und eine stärkere Zusammenarbeit zu fördern.

Dennoch ist klar, dass viele Organisationen bei ihren Modernisierungsinitiativen noch einen Weg vor sich haben. Bei der App-Modernisierung liegen nur 37 % vor dem Zeitplan, während 22 % hinterherhinken. Die Beschleunigung sämtlicher Modernisierungsmaßnahmen wird entscheidend sein, um die Effizienz zu steigern, die von den Nutzern erwarteten Erlebnisse zu bieten und Kosten zu senken – ein zentraler Auftrag für den heutigen öffentlichen Sektor, der den dritten Platz unter den zehn wichtigsten Prioritäten einnimmt.

Digitale Dienste haben weiterhin hohe Priorität.

Digitale Behördendienste sind vom dritten auf den fünften Platz gefallen, möglicherweise weil die Bereitstellung dieser Dienste heutzutage KI beinhalten könnte (die den ersten Platz erobert hat). Es besteht jedoch kein Zweifel daran, dass die Behörden mit der Digitalisierung des öffentlichen Sektors in einem rasanten Tempo fortfahren.

Da praktisch alles online verfügbar ist, wünschen sich die Menschen auch von Behörden erstklassige digitale Dienste. Es sollte keine Rolle spielen, dass verschiedene Behörden unterschiedliche Dinge erledigen. Sie sollten sich nicht durch lange Listen von Behörden wühlen, die richtige Website finden und ein weiteres Konto anlegen müssen, um mit den Behörden zu interagieren. Niemand sollte unter der „Zeitsteuer“ leiden, die mit komplizierten Suchvorgängen, verwirrenden Prozessen, zeitaufwändigen Anträge und langen Reaktionszeiten verbunden ist. Das ist jedoch die Realität der staatlichen Dienstleistungen in weiten Teilen des Landes.

Behörden auf nationaler und regionaler Ebene wissen das sehr genau. Die breite Öffentlichkeit ist sich vielleicht nicht bewusst, aber den behördlichen Leitern ist die Bereitstellung dieser Dienstleistungen sehr wichtig und sie ergreifen Maßnahmen.

So investieren Bundesstaaten beispielsweise in öffentlich zugängliche Webprotale, die einen reibungslosen und behördenübergreifenden Zugang zu jedem von ihnen angebotenen Dienst ermöglichen. Bei der Modernisierung von Anwendungen wenden sie die neuesten Prinzipien des „Human-Centered Designs an, um den Menschen in den Mittelpunkt zu stellen. Sie kombinieren Single Sign-on mit einer passwortlosen Multi-Faktor-Authentifizierung, sodass Nutzer nur einen einzigen Zugangscode (ohne Passwort!) verwalten müssen. Und sie entwickeln Innovationen mit KI-gestützten digitalen Assistenten, um die Zukunft der Behördendienste zum Leben zu erwecken.

Ohne Zweifel tragen großartige digitale Erlebnisse dazu bei, Vertrauen in die Behörden zu schaffen. Diese starke Fokussierung erklärt, warum Digitaldienste weiterhin zu den größten Anliegen gehören.

Die Resilienz Ihrer Organisation stärken

Auch wenn Cybersicherheit und Risikomanagement weiterhin eine entscheidende Rolle spielen (sie fallen für 2026 nur auf den zweiten Platz zurück), lässt die jährliche Prioritätenliste weiterhin Themen wie „Verfügbarkeit“, „Zuverlässigkeit“ und „Resilienz“ außen vor Wenn aber die Stärkung des Vertrauens der Nutzer für die staatlichen und lokalen Behörden nach wie vor von entscheidender Bedeutung ist, dann sollten diese Prioritäten in irgendeiner Form ganz oben auf der Liste stehen. Kaum etwas untergräbt das Vertrauen mehr als Dienstleistungen, die einfach nicht funktionieren.

Natürlich ist Verfügbarkeit neben Vertraulichkeit und Integrität ein Grundpfeiler der Sicherheit, man könnte also sagen, dass sie implizit ist. In den letzten Jahren taucht jedoch immer häufiger der Begriff Ausfallsicherheit als Grundlage vertrauenswürdiger Systeme auf. Ausfallsicherheit klingt vielleicht wie ein schickeres Wort für Verfügbarkeit, aber es steckt noch mehr dahinter. Ausfallsicherheit wirft ein helles Licht auf das zentrale Thema: Vertrauen aufbauen. NASCIO sollte in Erwägung ziehen, dies explizit zu nennen, genau wie bei den Themen Governance, Nutzererfahrung, Zugänglichkeit und Drittanbieterrisiko.

Um Unternehmen dabei zu helfen, ihre Resilienz zu stärken, hat das National Institute of Standards and Technology (NIST) zwei 800-160-Sonderpublikationen („Special Publications“) über vertrauenswürdige Systeme (Band 1) und Cyberresilienz-Systeme (Band 2) herausgegeben. Ein wichtiges Zitat sticht heraus: „Vertrauenswürdigkeit ist die nachgewiesene Fähigkeit und damit die Wertschätzung einer Entität, der man vertrauen kann, die Erwartungen zu erfüllen, einschließlich der Erfüllung der Erwartungen angesichts von Widrigkeiten.“ Mit anderen Worten: Sie gewinnen Vertrauen, wenn Sie konstant erstklassige Qualität bieten – auch in schwierigen Zeiten.

Und die Zeiten können schnell schwierig werden, wenn die Systeme langsamer werden oder nicht mehr reagieren. Die Ursache kann ein Cyberproblem wie Ransomware oder ein Denial-of-Service-Angriff sein, aber es kann auch ein betriebliches Problem wie eine unerwartete Traffic-Spitze oder ein menschliches Versagen sein, das zu einer ausgewachsenen Krise führt. Nur wenige werden vergessen, wie die Pandemie Unternehmen im ganzen Land lahmlegte und Millionen von Menschen die Systeme der Bundesstaaten zur Beantragung von Arbeitslosengeld überlasteten – was zum Absturz der Websites und zu langen Wartezeiten für überlebenswichtige Leistungen führte. Diese Art des Versagens in schwierigen Zeiten hat dazu beigetragen, das Vertrauen in die Regierung zu einem kritischen Zeitpunkt zu untergraben.

Aufbau von Resilienz für bundesstaatliche und kommunale Behörden

Steht Resilienz ganz oben auf der Prioritätenliste Ihrer Organisation? Hier sind fünf Bereiche, auf die Sie Ihre Bemühungen konzentrieren könnten.

• DDoS-Abwehr
  Angreifer nutzen Distributed-Denial-of-Service-Angriffe (DDoS), um Dienste zu unterbrechen oder manchmal auch einfach, um die Aufmerksamkeit von einem anderen Angriff abzulenken. DDoS-Angriffe überfordern Systeme mit Traffic, der aus vielen Quellen stammt, und machen es schwierig, sie zu stoppen – selbst für vorgelagerte Internet Service Provider. Das muss aber nicht sein. Heute können Sie Ihre digitalen Dienste mit einer modernen, globalen Connectivity Cloud verbinden, die über die nötige Transparenz und Expertise verfügt, um DDoS-Angriffe zu erkennen und zu stoppen.

• Sicheres DNS
  Wie andere wichtige Internetservices wurde auch das Domain Name System (DNS) nicht mit Blick auf die Sicherheit entwickelt. Angreifer können so die Schwachstellen des Dienstes ausnutzen und die Servicequalität beeinträchtigen, Nutzer auf bösartige Websites umleiten oder E-Mails abfangen. DNS-Erweiterungen wie das DNSSEC-Protokoll (Domain Name System Security Extensions) wurden zur Authentifizierung von DNS-Anfragen entwickelt, boten aber immer noch keinen Schutz vor DDoS-Angriffen. Oberste Priorität sollte daher die Einführung einer sicheren DNS-Lösung haben, die hochleistungsfähige DNS-Dienste mit DNSSEC und DDoS-Schutz kombiniert, um sicherzustellen, dass Ihre Dienste immer verfügbar und vor DNS-basierten Angriffen geschützt sind.

• Schutz von Webanwendungen
  Web-Plattformen werden ständig mit neuen Bedrohungsvektoren und -taktiken angegriffen. Ob Bedrohungen nun gut bekannt sind und durch das Open Worldwide Application Security Project (OWASP) definiert wurden oder neue Zero-Day-Bedrohungsvektoren auftreten: Eine moderne Web Application Firewall (WAF) muss in der Lage sein, beide in großem Umfang zu bekämpfen. Die Überprüfung offengelegter Zugangsdaten, API-zentrierte Kontrollen und die Erkennung sensibler Daten in Antworten sind ebenfalls grundlegende Anforderungen für einen ganzheitlichen Ansatz zum Schutz von Webanwendungen. Diese Kontrollen müssen ständig an die sich permanent wandelnde Bedrohungslage angepasst werden. Ziehen Sie deshalb einen WAF-Anbieter in Betracht, der Machine Learning einsetzt, das durch ein ausgedehntes globales Sensornetzwerk trainiert wird, um diese neuen Bedrohungen zu erkennen und auf sie zu reagieren.

• Dienste zur Anwendungsbeschleunigung
  Bei digitalen Diensten geht es nicht nur um die Anwendungsarchitektur und die Prinzipien des menschenzentrierten Designs, sondern auch um die Verfügbarkeit und Beschleunigung der Inhalte für den Endnutzer. Erweiterte Zwischenspeicherung und Content-Management-Funktionen, die unabdingbar in den oben erwähnten Sicherheitskontrollen enthalten sind, sind wichtige Komponenten, um die Performance, die Ausfallsicherheit und letztlich das Vertrauen in diese Systeme zu gewährleisten. Um diese Ziele effektiv zu erreichen, müssen die Anbieter über eine verteilte Präsenz verfügen, in der Beschleunigung und Sicherheit eng miteinander verbunden sind.

• Dienste zur Netzwerkbeschleunigung
  Provider, die das Netzwerk-Backbone betreiben, indem sie ihre Service-Knoten oder Richtliniendurchsetzungspunkte (PEP, Policy Enforcement Points) miteinander verbinden, bringen einen weiteren Aspekt der Resilienz mit. Wenn beispielsweise Engpässe auftreten, kann der Traffic um überlastete Bereiche herum zu alternativen Knoten umgeleitet werden. Diese Möglichkeit, den End-to-End-Pfad einzusehen und die Kontrolle darüber auszuüben, wie Anfragen und Antworten als Reaktion auf Echtzeitbedingungen geroutet werden, verbessert Resilienz und Performance erheblich. Betrachten wir einen Anbieter von Cloud-Sicherheit, der nicht nur mit einer globalen Verteilung von PEPs für Sicherheits- und Beschleunigungsdienste arbeitet, sondern auch mit der Netzwerkinfrastruktur, die diese PEPs miteinander verbindet.

Festlegen der Service-Resilienz als explizites Ziel

Es überrascht nicht, dass KI die diesjährige NASCIO-Liste anführt. Technologieverantwortliche in Landes- und Kommunalverwaltungen sehen das enorme Potenzial von KI, Nutzererlebnisse zu verbessern, die interne Effizienz zu steigern und Kosten zu senken.

Um diese verbesserten Erfahrungen aufrechtzuerhalten und das Vertrauen der Nutzer zu stärken, müssen Behörden jedoch auch Resilienz priorisieren. Nutzerzufriedenheit und Vertrauen hängen davon ab, dass kritische Dienste auch unter widrigen Umständen verfügbar bleiben.

Cloudflare bietet eine Reihe von Diensten an, die speziell für die US-Behörden und Organisationen des öffentlichen Sektors entwickelt wurden. Mit diesen Services können Unternehmen KI-Initiativen beschleunigen und gleichzeitig die Sicherheit und Resilienz verbessern. Die Dienste werden von einer einzigen Plattform aus bereitgestellt, die auf einem globalen, hoch belastbaren Cloud-Netzwerk mit integrierter Sicherheit und Performance basiert. Mit Cloudflare können Unternehmen beide NASCIO-Prioritäten ohne zusätzliche Komplexität adressieren.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Warum sich nationale und kommunale Behörden jetzt auf zukünftige Störungen vorbereiten müssen

• Die Schlüsselrolle des Internets bei der Bereitstellung von Behördendiensten

• Drei Schritte zur Stärkung der digitalen Infrastruktur

Verwandte Ressourcen

• Cloudflare für nationale und kommunale Behörden

• Alles miteinander verbinden und schützen

• Die letzte Stufe der Cloud-Transformation