Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte –
Workshop und Erfahrungsaustausch
Matthias Hög Senatsverwaltung für Inneres und Sport ZS C
Jens RedlichSenatsverwaltung für Stadtentwicklung und Umwelt
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aktuelle IT-Sicherheitsvorfälle
heise.de: News-Meldung vom 02.08.2012
Kundendaten bei Online-Brillenladen Mister Spex geklaut
Unbekannte konnten bei einem Hackerangriff auf den Internetoptiker Mister Spex auf die Kundendatenbank zugreifen. Laut dem Berliner Unternehmen hatten die Angreifer dabei Zugriff auf Adressdaten und Passwörter und habe diese möglicherweise auch kopiert. Gehasht waren die Passwörter demnach nicht. Zahlungsinformationen seien nicht betroffen, da diese laut Mister Spex nicht gespeichert werden.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aktuelle IT-Sicherheitsvorfälle
heise.de News-Meldung vom 26.07.2012 13:40
Oracles Sicherheitslücke im Dateikonverter gefährdet nicht nur Server-Dienste
Einige der vergangene Woche von Oracle eigentlich geschlossenen Sicherheitslücken ziehen große Kreise. Denn die Bibliothek Oracle Outside In kommt in vielen Produkten zum Einsatz, um Dateien verschiedenster Formate zu konvertieren. Neben Microsofts Exchange und Sharepoint sind auch Produkte von Cisco, HP, IBM, Novell, Symantec, McAfee und anderen betroffen.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aktuelle IT-Sicherheitsvorfälle
heise.de: News-Meldung vom 25.04.2012 16:35
Hintertür in Netzwerk-Hardware für Industrieanlagen
Das Betriebssystem Rugged Operating System (ROS) des Herstellers RuggedCom enthält eine undokumentierte Hintertür. Die Siemens-Tochter hat sich auf Netzwerk-Equipment für industriellen Einsatz in "rauen Umgebungen" spezialisiert; sie wirbt unter anderem für die Verwendung der Switches und Server in Kraftwerken, Öl-Raffinerien, beim Militär und in der Verkehrsüberwachung.
Besonders erschütternd ist die Timeline dieses Vorgangs. Die Entdecker des Problems nahmen nämlich vor über einem Jahr Kontakt mit RuggedCom auf. Dort bestätigte man demnach zwar, von der Existenz dieser Hintertür zu wissen, zeigte jedoch anscheinend keine Bereitschaft, sie zu entfernen.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aktuelle IT-Sicherheitsvorfälle
heise.de News-Meldung vom 31.07.2012 19:15
Hacker nahmen EU-Politiker ins Visier
Chinesische Hacker sollen unter anderem die E-Mails von EU-Ratschef Herman Van Rompuy und anderen europäischen Spitzenpolitikern ausspioniert haben. Das berichtete die Nachrichtenagentur Bloomberg. Der Rat (die Vertretung der EU-Staaten) wollte den Angriff gegenüber der Nachrichtenagentur dpa am Dienstag weder dementieren noch bestätigen. …
Im Visier hätten die Hacker Investment-Banken oder Ölfirmen gehabt – oder eben europäische Spitzenpolitiker und -beamte.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aktuelle IT-Sicherheitsvorfälle
Warnmeldung BSI vom 27.08.12
Kritische Schwachstelle in allen 7er Versionen von JAVA
• Ausführung von Remote-Code beim Besuch von Web-Sites möglich
• Exploits verfügbar, Schwachstelle wird bereits ausgenutzt• BSI empfiehlt, grundsätzlich auf den Einsatz von Java in
den Browser-Plug-Ins beim Besuch von Internetseiten zu verzichten.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aktuelle IT-Sicherheitsvorfälle
Warnmeldung BSI vom 18.09.12
Kritische Schwachstelle im Internet Explorer 6, 7, 8 und 9
• Ausführung von Remote-Code beim Besuch von Web-Sites möglich
• Exploits verfügbar, Schwachstelle wird bereits ausgenutzt• BSI empfiehlt,
– bis zur Verfügbarkeit eines Patches einen alternativen Browser einzusetzen.
– grundsätzlich eine Zwei-Browser-Strategie, um bei aktuellen Schwachstellen eines Browsers ggf. auf das andere Produkt umschalten zu können.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Agenda
1. IT-Sicherheitsbeauftragte
2. Regelungen im Land Berlin
3. IT-Sicherheitsprozess
4. IT-Sicherheitskonzept
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheitsbeauftragte
IT-Sicherheitsgrundsätze Tz. 3.7
IT-Sicherheitsbeauftragter• - begleitet die Umsetzung und Fortschreibung eines behördlichen IT-
Sicherheitskonzeptes,• - organisiert die Zusammenarbeit mit anderen Bereichen der Behörde, die
sicherheitsrelevante Aufgaben wahrnehmen (z. B. Brandschutzbeauftragter, Datenschutzbeauftragter usw.),
• - koordiniert und kontrolliert das Zusammenspiel zwischen den verfahrensspezifischen IT-Sicherheitskonzepten und dem behördlichen IT-Sicherheitskonzept und
• - moderiert, sofern eingerichtet, das IT-Sicherheitsmanagementteam. Die Einrichtung eines ständigen IT-Sicherheitsmanagementteams wird insbesondere bei großen Behörden mit vielfältigem IT-Einsatz empfohlen.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheitsbeauftragte
IT-Grundschutzkatalog Maßnahme M 2.193
„Die Funktion des IT-Sicherheitsbeauftragten muss … in jeder Institution eingerichtet werden, da er für alle Belange der Informationssicherheit zuständig ist.“
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aufgaben IT-Sicherheitsbeauftragte
• Informationssicherheitsprozess steuern und koordinieren, • Leitungsebene bei Erstellung der Leitlinie zur Informationssicherheit
unterstützen• Erstellung des Sicherheitskonzepts koordinieren, • Realisierungsplan für die Sicherheitsmaßnahmen erstellen und
Realisierung initiieren und überprüfen, • Leitungsebene und IS-Management-Team über Status Quo der
Informationssicherheit berichten, • sicherheitsrelevante Projekte koordinieren und Informationsfluss zwischen
Beteiligten sicherstellen, • sicherheitsrelevante Zwischenfälle untersuchen• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit
initiieren und steuern.
(IT-Grundschutzkatalog Maßnahme M 2.193, BSI 100-2 Tz 3.4.4)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Aufgabenwahrnehmung
• Empfehlung BSI: Rolle als Stabsstelle einrichten• In kleinen Institutionen kann die Funktion des IT-
Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden.
• Ausreichend Zeit für Aufgabenwahrnehmung• qualifizierte Vertretung benennen
(IT-Grundschutzkatalog Maßnahme M 2.193, BSI 100-2 Tz 3.4.4)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Anforderungen IT-Sicherheitsbeauftragte
• Wissen und Erfahrung in den Gebieten Informationssicherheit und Informationstechnik
• Überblick über Aufgaben und Ziele der Behörde • Identifikation mit den Zielsetzungen der
Informationssicherheit • Kooperations- und Teamfähigkeit • Fähigkeit zum selbständigen Arbeiten • Durchsetzungsvermögen • Erfahrungen im Projektmanagement(IT-Grundschutzkatalog Maßnahme M 2.193, BSI 100-2 Tz 3.4.4)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Agenda
1. IT-Sicherheitsbeauftragte
2. Regelungen im Land Berlin
3. IT-Sicherheitsprozess
4. IT-Sicherheitskonzept
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Regelungen im Land Berlin Übersicht
• AöR–Gesetz zu ITDZ• VV IT-Steuerung• IT-Organisationsgrundsätze• IT-Sicherheitsgrundsätze• IT-Standards• „best practices“• Bericht zur Informationssicherheit (IS-
Bericht)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Zusammenhang der Regelungen
VV IT-Steuerung
IT-Sicherheitsgrundsätze
Standards zu IT-Sicherheit
ModellSiKo
IT-Orggrundsätze
IT-GSKat …
…
Best practice Best practice
IS-Bericht
AöR-Gesetz ITDZ
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheitsgrundsätze (1)Senatsbeschluss vom 11. Dezember 2007 (Rundschreiben Inn Nr. 57/2007) • definieren Sicherheitspolitik (security policy) für
Berliner Verwaltung• Grundanforderungen an sicheren IT-Einsatz• Legen Rollen und Aufgaben bzgl. IT-Sicherheit fest• Sicherheitskonzepte als Voraussetzung für IT-
Einsatz• Controlling durch IT-Sicherheitsbericht• Konkretisierung durch Standards zur IT-Sicherheit• AG IT-Sicherheit als ständige Arbeitsgruppe
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheitsgrundsätze (2) Eckpunkte
• IT-Sicherheit Voraussetzung und Bestandteil des IT-EinsatzesIT-Sicherheit ist integraler Bestandteil der Fachaufgabe. Damit verbleibt, ausgehend von der fachlichen Verantwortung, die letztendliche Verantwortung für IT-Sicherheit bei der jeweiligen Behörde.
• Verzicht bei untragbaren Restrisiken• IT-Sicherheit als Prozess gestalten
Die Gewährleistung von IT-Sicherheit ist als fortlaufender Prozess zu gestalten. Dazu zählen insbesondere die regelmäßige Überprüfung der Umsetzung und Wirksamkeit von Sicherheitsmaßnahmen und die Fortschreibung der IT-Sicherheitskonzepte.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheitsgrundsätze (3) Eckpunkte
• Zuweisung der Aufgaben an Rollen gemäß IT-OrgGS• Verhältnismäßigkeit
Bei der Auswahl und Realisierung von Sicherheitsmaßnahmen ist das Verhältnismäßigkeitsgebot (aufzuwendende Mittel im Verhältnis zum Grad der Sicherheitsverbesserung) zu beachten.
• Behördliche und verfahrensspezifische IT-Sicherheitskonzepte
• Standards und IT-GrundschutzVorgehensmethodik und Anforderungen bzgl. notwendiger Sicherheitskonzepte und -maßnahmen basieren auf den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
• IT-Sicherheitsbericht als Controllinginstrument
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Standards zu IT-Sicherheit
VV IT-Steuerung
IT-Sicherheitsgrundsätze
Standards zu IT-Sicherheit
ModellSiKo
IT-Orggrundsätze
IT-GSKat …
…
Best practice Best practice
IS-Bericht
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Standards
• Bis 2006: IT-Warenkorb und IT-Sicherheitsstandards
• IT-Sicherheitsstandards sind in IT-Standards integriert (Abschnitt „IT-Sicherheit“)
• http://www.verwalt-berlin.de/seninn/itk/standards/index.html
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Bericht zur Informationssicherheit (IS-Bericht)
VV IT-Steuerung
IT-Sicherheitsgrundsätze
Standards zu IT-Sicherheit
ModellSiKo
IT-Orggrundsätze
IT-GSKat …
…
Best practice Best practice
IS-Bericht
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Bericht zur Informationssicherheit
• „Controlling“ von IT-Sicherheit
• Jährlich erstellt und im IT-Koordinierungsausschuss (ITK) beraten
• Sachstandsdarstellung, Beschreibung neuer Risiken, Maßnahmenvorschläge
• (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html#berichte)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
AG IT-Sicherheit
IT-Sicherheitsgrundsätze:„Das ITK richtet eine ständige Arbeitsgruppe „IT-Sicherheit“
… mit folgenden Aufgaben ein:– Mitarbeit am jährlichen IT-Sicherheitsbericht– Bearbeitung konkreter Aufträge des ITK zu Fragen der
IT-Sicherheit– Mitwirkung an der Fortschreibung der Standards zur IT-
Sicherheit– Regelmäßiger Informations- und Erfahrungsaustausch zu
allen relevanten Fragen der ITSicherheit.– Weitere Aufgaben können der AG bei Bedarf zugewiesen
werden.“
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
AG IT-Sicherheit
Derzeit 15 Behörden in AG vertreten(RH, BlnBDI, ITDZ, Bezirke, SV, nachgeordnete Einrichtungen)
Regelmäßige Sitzungen (i. A. jeden zweiten Monat)
Protokolle im Intranet(http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html)
Beispiel für Tagesordnung:– Sicheres Cloud Computing – Intrusion Detection (IDS) – Sicherer Einsatz mobiler Endgeräte
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheit im Intranethttp://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Agenda
1. IT-Sicherheitsbeauftragte
2. Regelungen im Land Berlin
3. IT-Sicherheitsprozess
4. IT-Sicherheitskonzept
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Grundlagen
• BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
• BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
• ISO 27001 / 27002 - Information technology – Security techniques – Information security management systems –
Requirements
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Kernelemente ISMS
Organisation
Rollen und Aufgaben festlegen
Organisationsstruktur aufbauen– IT-Sicherheitsbeauftragter / IS-Beauftragter
– IS-Management Team
genaue Ausprägung der Struktur abhängig von Größe und Aufgaben der Behörde
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Kernelemente ISMS
IS als Prozess gestaltenPlanen (Plan)
– Rahmenbedingungen beschreiben
– IS-Leitlinie erstellen und verabschieden
– IS-Organisation aufbauen und bei Bedarf anpassen
Umsetzen (Do)IT-Sicherheitskonzepte erstellen und umsetzen
Erfolgkontrolle (Check)Sachstand und Wirksamkeit der Maßnahmen regelmäßig bewerten
Optimierung (Act)erforderliche Optimierungsmaßnahmen veranlassen
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Kernelemente ISMS
Verantwortung Behördenleitung• Übernahme der Gesamtverantwortung für die IS• Bestellung IS-Beauftragten für Konzeption, Koordinierung
und Prüfung der IS• Integration der IS in alle Prozesse und Projekte der Institution• Steuerung und Aufrechterhaltung der IS
– IS-Leitlinie verabschieden– organisatorischen Rahmenbedingungen für IS schaffen– ausreichende Ressourcen zur Gewährleistung der IS bereit stellen – Zielerreichung überwachen– Motivation der Beschäftigten, Gewährleistung ausreichender
Schulungs- und Sensibilisierungsmaßnahmen• Übernahme der Vorbildfunktion
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Kernelemente ISMS
KommunikationDie ausreichende und adressatengerechte Kommunikation zu
Fragen der IS ist notwendig. Das bedeutet u. a. – Regelmäßige Managementberichte an Leitungsebene durch IS-
Management
– Informationsfluss Richtung Anwenderinnen und Anwender sicherstellen
– Aktuelle, konsistente und für die davon Betroffenen abrufbare Dokumentation
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IS-LeitlinieLeitaussagen zur Informationssicherheitsstrategie in einer
Behörde:• Geltungsbereich• Stellenwert der IS• Sicherheitsziele• Strategische IS-Maßnahmen• IS-Organisation• Erfolgskontrolle
(vgl. Muster für IS-Leitliniehttp://www.verwalt-berlin.de/imperia/md/content/intranet/seninn/it-
kompetenzzentrum/it-sicherheit/110310_muster_is_leitline_v_1.0.pdf)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Prozess Sicherheitsvorfälle
AG IT-Sicherheit hat verbindliches Konzept zur Behandlung von IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen erstellt:
Wesentliche Inhalte:
• Einordnung von Sicherheitsvorfällen
• Verhaltensregeln beim Auftreten eines Sicherheitsvorfalls
• Abläufe und Meldewege
• Nachbereitung und Auswertung
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Prozess SicherheitsvorfälleAufbau Berlin-CERT (geplant)
CERT - Computer Emergency Response Team - Organisationseinheit, um IT-Sicherheitsvorfällen wirksam begegnen zu können
Aufgaben (Beispiel CERT-Bund)• erstellt und veröffentlicht präventive Handlungsempfehlungen zur
Schadensvermeidung,
• weist auf Schwachstellen in Hardware- und Software-Produkten hin,
• schlägt Aktionen vor, um bekannte Sicherheitslücken zu beheben,
• unterstützt bei der Reaktion auf IT-Sicherheitsvorfälle,
• empfiehlt reaktive Maßnahmen zur Schadensbegrenzung oder -beseitigung
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Prozess SicherheitsvorfälleAufbau Berlin-CERT (geplant)
IT-Planungsrat hat den Aufbau einer Bund-Länder-übergreifenden CERT-Struktur beschlossen
in jedem Bundesland ist ein CERT aufzubauen Berlin: ausgehend von vorhandenen Elementen Aufbau
eines Berlin-CERT
Konzept zum Vorgehen wird derzeit in AG IT-Sicherheit vorbereitet, dazu möglichst umfassend Erfahrungen anderer Bundesländer nutzen.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Agenda
1. IT-Sicherheitsbeauftragte
2. Regelungen im Land Berlin
3. IT-Sicherheitsprozess
4. IT-Sicherheitskonzept
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Sicherheitskonzepte Themen
• Behördliche und verfahrensspezifische IT-Sicherheitskonzepte
• Grundschutzkatalog des BSI
• Modellsicherheitskonzept
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Grundschutz - ModellSiKo
Der IT-Grundschutz ist auf Basis der Sicherheitsmaßnahmen gemäß dem Grundschutzkatalog des BSI in der jeweils aktuellen Fassung zu gewährleisten. Für das Erstellen von Sicherheitskonzepten sind die methodischen Vorgaben des BSI (BSI-Standards 100-x) zu beachten.
Das ModellSiKo konkretisiert die Maßnahmen des Grundschutzkatalogs und unterstützt die Realisierung behördlicher IT-Sicherheitskonzepte.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Behördliche IT-Sicherheitskonzepte
• Fokus auf IT-Grundschutz für IT-Infrastruktur in der Behörde
• Behörde kann aus mehreren Teildomänen (z. B. Standorten) bestehen
• Ergänzungen für Domänen mit hohem Schutzbedarf prüfen
• Beispiel: ModellSiKo
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Verfahrensspezifische IT-Sicherheitskonzepte
• Fokus auf verfahrensspezifischen IT-Sicherheitsmaßnahmen
• Setzt auf realisiertem Grundschutz in Behörde auf• Abstimmung erforderlich• AG IT-Sicherheit und AG IT-Verfahren haben
unter Mitwirkung des BlnBDI eine Mustervorlage für ein verfahrensspezifisches IT-Sicherheitskonzept erstellt.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Schnittstellen
Behördliches SiKo
SiKo Verfahren A SiKo Verfahren B SiKo Verfahren C
Virenschutz, Firewall, Zugangsregeln, Sichere Räume, Netze, E-Mail, PC, Betriebssysteme, …
Schutz der Daten,
Authentisierung, Zugriffsrechte, Administration,
…
Datenträger, Datensicherung, Protokollierung, Notfallvorsorge, Wartung, …
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
IT-Grundschutz
Wesentliche Elemente
• Normaler Schutzbedarf (vgl. BSI 100-2)
• Standardsicherheitsmaßnahmen (IT-GSKat)
• Typische IT-Systeme
• Typische Gefährdungen, pauschalisierte Risikobetrachtung
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Grundschutzkatalog - BSI
• IT-Grundschutz-Kataloge (GSKat) umfassen Gefährdungslage und Maßnahmenempfehlungen für verschiedene Komponenten und IT-Systeme
• Baukastenprinzip (Bausteine)• Bausteine sind in Kapitel gruppiert:
– Übergeordnete Aspekte der IT-Sicherheit – Sicherheit der Infrastruktur – Sicherheit der IT-Systeme – Sicherheit im Netz – Sicherheit in Anwendungen
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
ModellsicherheitskonzeptZiele
• Unterstützung des Prozesses, behördliche IT-Sicherheitskonzepte zu erstellen und umzusetzen.
• Konkretisierung der Bausteine des GS-Kat
• Umsetzung gemäß dezentralen Anforderungen obliegt einzelnen Behörden
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
ModellsicherheitskonzeptGegenstand
• Behördliches IT-Sicherheitskonzept für die dezentrale IT-Infrastruktur auf Basis der Gefährdungen, Maßnahmen und Bausteine des IT-Grundschutzkatalogs
• Die empfohlenen Maßnahmen decken den normalen Schutzbedarf ab, Sicherheitsdomänen mit höherem Schutzbedarf sind eigenständig zu betrachten
• Die Schnittstellen zu IT-Verfahren und zu behördenübergreifenden Maßnahmen werden aufgezeigt/berücksichtigt.
• Datenschutz (personenbezogene Daten) ist nur Gegenstand, soweit verfahrensunabhängige Maßnahmen mit IT-Bezug und normalem Schutzbedarf betroffen sind.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Modellsicherheitskonzept Maßnahmen
• Inhaltlich/sachlich zusammenhängende Maßnahmen sind in Komponenten zusammengefasst
• Unterteilung der KomponentenÜbergreifende:
Maßnahmen, die unabhängig von der konkreten Ausprägung der IT-Systeme (z. B. Betriebssysteme) durchgeführt werden müssen.
Spezifische:
spezifische Maßnahmen für bestimmte IT-Systeme
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Übergreifende Komponenten• Organisation/Personal/Schulung• Notfallvorsorge• Datensicherung/Umgang mit Datenträgern• Virenschutz• Sichere Administration• Sichere Protokollierung• Gebäude/Räume/Zutrittsregelung• Verhinderung unberechtigter Zugriff• Heterogene Netze/WLAN• Wartung• Softwarefreigabe
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Spezifische Komponenten• Notebook• Internet-PC• Firewall • LAN-LAN Kopplung• Bürokommunikation im Intranet und Extranet /
Zusammenarbeit im Internet (Collaboration)• E-Mail• WWW-Server• Mobile Endgeräte (Allgemein) • Mobile Endgeräte - Smartphones• Sichere Virtualisierung • WLAN
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Maßnahmen in ausgewählten Komponenten
• Datensicherung/Datenträger
• Gebäude/Räume
• Sichere Virtualisierung
• Mobile Endgeräte
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Datensicherung/DatenträgerDatensicherung
• Durch die IT-Stelle werden grundsätzlich nur zentral gehaltene Anwenderdaten gesichert. Die Sicherung lokaler Daten obliegt dem Anwender.
• Es werden folgende Daten zentral gesichert:... (tabellarische Auflistung der Daten/Verzeichnisse/Fileserver)
• Zur Datensicherung wird ... (Produkt/System) eingesetzt.• Von Originaldatenträger eingesetzter Systemkomponenten wird vor der
Softwareinstallation durch die IT-Stelle eine Sicherungskopie erstellt und im Datenträgerraum aufbewahrt. (Alternativ: Nach der Installation Sicherungskopie erzeugen)
• Entsprechende Konfigurationsdateien werden nach jeder Änderung gesichert.• Die Datensicherung der Anwenderdaten an mobilen Geräten erfolgt durch den
Anwender in eigener Verantwortung (mit externen Datenträgern oder temporärer Anschluss ans Netz). Die Mittel für diese Datensicherung werden durch die IT-Stelle bereitgestellt.
• Die Systemkonfiguration der mobilen Systeme wird nach jeder Veränderung durch die IT-Stelle gesichert.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Datensicherung/DatenträgerDatenträgerverwaltung (2.3, 6.20)
• Die zur Datensicherung verwendeten Datenträger werden eindeutig gekennzeichnet
• Die Sicherungsdatenträger werden getrennt (d. h. in einem anderen Brandabschnitt) von den gesicherten Systemen in Raum ... (in anderem Gebäude) (in einem Datenträgerschrank ...) aufbewahrt. Der Zugang zu diesem Raum ist besonders geschützt (vgl. Räume).
• Die Datenträger für Datensicherung an mobilen Systemen werden vom Anwender verwaltet. Sie sind geschützt vor unbefugtem Zugriff auf zu bewahren bzw. der IT-Stelle zu übergeben.
• Geeignete Datenträger werden von der IT-Stelle zur Verfügung gestellt.• Der Anwender muss mit diesen Medien sorgsam umgehen (Verlust,
Beschädigung vermeiden).
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Datensicherung/Datenträger
Entsorgen/Löschen (2.167, 4.234)• Datenträger werden durch die IT-Stelle entsorgt. Sie werden
vorher (außer CD-R) mittels ... sicher gelöscht. Die Vernichtung ist zu dokumentieren. Die Maßnahmen zum sicheren Löschen sind in Abhängigkeit vom Schutzbedarf der Daten auszuwählen:
– Kein bis niedriger Schutzbedarf – keine Maßnahmen erforderlich– Normaler Schutzbedarf – sicheres Löschen durch entsprechende
Software– Ab hohem (bzw. bei unbekanntem) Schutzbedarf – physikalische
Vernichtung
• Die physikalische Vernichtung muss durch beauftragte Firmen vorgenommen werden.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Gebäude/Räume
Schutz von Räumen für IT-Infrastruktur (1.10, 1.12, 1.15, 1.18, 1.19, 1.24, 1.25, 1.26, 1.27, 1.28, 1.31, 1.58)
• Der Raum liegt in einem eigenen Brandabschnitt (gemäß DIN 4102) und ist rauchdicht.
• Die Räume sind mit einer einbruchshemmenden, rauchdichten und löschwasserfesten Sicherheitstür (DIN 4102, EN 1047, DIN 18095, DIN 18103) ausgerüstet.
• Der Raum hat keine Fenster (Alternativ: Fenster entsprechend sichern) • Bei der Einrichtung des Raumes werden unnötige Brandlasten (z. B durch
Mobiliar, Verpackung, Dokumentation) vermieden.• Die Räume sind mit Rauchmeldern/Brandmeldeanlage ausgerüstet.• In den Räumen werden keine ortsveränderlichen Elektrogeräte aufgestellt.• Die Beleuchtung ist durch Metallgehäuse gesichert. (Alternativ: Einsatz von
Sicherheitsstartern)• Die Räume sind mit Klimatisierung, lokaler USV ausgerüstet.• Die Räume enthalten keine wasserführenden Leitungen.• (Die Notwendigkeit von weiteren Maßnahmen ist gesondert zu prüfen)
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Sichere VirtualisierungMaßnahmen – Phase Planung und Konzeption• Detaillierte Planung wegen hoher Komplexität unerlässlich. Alle
betroffenen (Administrations)bereiche einbeziehen.• Festlegung der zu virtualisierenden Systeme (Modellierung) – welche
Serversysteme, welche Anwendungen sollen laufen• Sinnvolle Aufteilung der Funktionen und Anwendungen auf die
virtuellen Server unter Berücksichtigung vorhandener unterschiedlicher Vertrauens- bzw. Sicherheitszonen Zugriffe auf andere benötigte Ressourcen berücksichtigen (physische Netzverbindungen, Verbindung zu Speichernetzen, Zugriffe auf Infrastruktursysteme wie DNS-, DHCP- oder Verzeichnisdienstserver)
• In nicht homogenen Umgebungen bei Clusterbildung beachten, dass ggf. keine Live Migration. zwischen (hardwaremäßig) unterschiedlichen Blades möglich ist
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Sichere VirtualisierungMaßnahmen – Phase Planung und Konzeption• Anforderungen an Backup berücksichtigen --> Komponente
„Datensicherung“ anpassen. Die Datensicherung soll auf gesonderter physischer Hardware erfolgen.
• Anforderungen an Verfügbarkeit definieren. Zur Hochverfügbarkeit ggf. Cluster von Virtualisierungsservern bilden. Weitere Aspekte bzgl. Verfügbarkeit (z. B. Verteilung auf mehrere Standorte, Auswirkungen unterschiedlicher IP-Adressbereiche) prüfen.
• Besondere Anforderungen an Managementserver (z. B. erhöhte Ausfallsicherheit) beachten (z. B. durch „stand-alone“ System)
• Auswirkungen der Virtualisierung auf vorhandene Lizenzierung prüfen, ggf. Lizenzierung anpassen
• Prüfen, ob der Herstellersupport für die Anwendungen auch für Betrieb in virtuellen Umgebungen gilt
• Existierende Regeln insgesamt auch auf Lebenszyklus virtueller Systeme anwenden. Insbesondere Vorgehen zur Bereitstellung (incl. Finanzierung), Dokumentation, Inventarisierung festlegen
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Mobile Endgeräte
• Maßnahmen zur sicheren Anbindung von zur dienstlichen Nutzung bereitgestellten mobilen Endgeräten an Ressourcen des Berliner Landesnetzes.
• Betrachtet werden Smartphones und Tablet-PC.• Mobile Endgeräte werden als Bestandteil der
dezentralen IT-Infrastruktur betrachtet. Damit finden für sie grundsätzlich die für stationäre Arbeitsplätze geltenden Regeln und Prozesse Anwendung.
Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte
Komponente Mobile Endgeräte
Ausgewählte MaßnahmenWenn für das jeweilige Betriebssystem Virenschutzlösungen verfügbar sind,
sind die mobilen Endgeräte mit einem wirksamen Virenschutz auszustatten und eine regelmäßige Aktualisierung sicher zu stellen.
Eingesetzte Geräte müssen über eine Hardwareverschlüsselung verfügen, die sicherstellt, dass bei direktem Zugriff auf die Datenträger keine Daten verfügbar sind.
Apps unterliegen wie sonstige Software grundsätzlich einem geregelten Freigabeprozess. Dazu zählt auch eine sicherheitstechnische Bewertung vor Nutzung der Apps.
Keine Daten auf dem mobilen Endgerät speichern
Nicht benötigte Schnittstellen sind standardmäßig zu deaktivieren.
Defekt, Diebstahl u. ä. sowie Verdacht auf Missbrauch des überlassenen
mobilen Endgerätes umgehend dem IT-Infrastrukturbetreiber melden.
Top Related