SPLITTER SPLITTER. IT-Nachrichten für die Berliner Verwaltung Nr. 1/ Jahrgang. Schwerpunkt: IT-Sicherheit 1/11 1

Größe: px
Ab Seite anzeigen:

Download "SPLITTER SPLITTER. IT-Nachrichten für die Berliner Verwaltung Nr. 1/2011-21. Jahrgang. Schwerpunkt: IT-Sicherheit 1/11 1"

Transkript

1 IT-Nachrichten für die Berliner Verwaltung Nr. 1/ Jahrgang Schwerpunkt: IT-Sicherheit 1/11 1

2 Editorial Liebe Leserinnen und Leser, seit den Anfängen der elektronischen Datenverarbeitung öffentlicher Institutionen ist die Sicherheit in der Informationstechnik gleichbedeutend mit dem Schutz von Bürgerdaten. Mit dem Ausbau der elektronischen Prozesse wurden dementsprechend auch die Schutzmechanismen vor externen oder internen Zugriffen angepasst. Die vorliegende Ausgabe des verdeutlicht die heutige Bandbreite des Themenfeldes. Dazu zählen die Sicherheitsstrategie des Landes Berlin (Seite 4), das IT-Sicherheitsmanagement in Behörden (Seite 6), der Schutz vor Spam und Viren (Seite 10), die Sicherheit der IP-Telefonie (Seite 13) oder die IT-Sicherheit in der Cloud (Seite 14). Praktische Hinweise unseres IT-Sicherheitsbeauftragten finden Sie ab Seite 20. In einigen Fällen schützt man die Daten jedoch am besten dadurch, dass man über die Sicherheitsmaßnahmen schweigt. Beispielsweise über Details zum Aufbau der Systeme, die das Berliner Landesnetz vor unberechtigten Zugriffen aus dem Internet schützen, oder über die Zutrittsregelungen zum hochsicheren Data-Center des ITDZ Berlin. Denn jede Information zuviel kann die Umgehung der Sicherheitsmaßnahmen erleichtern. Über andere Bereiche der IT-Sicherheit kann man hingegen gar nicht genug schreiben. Etwa über die Verantwortung aller Mitarbeitenden der Berliner Verwaltung, das eigene Passwort nicht auf einem Zettel am Monitor zu befestigen und keine sensiblen Daten außerhalb der gesicherten Netzwerke zu speichern (Seite 19, Porträt IT-Sicherheitsbeauftragter). Das Thema IT-Sicherheit spielt auch auf nationaler Ebene eine wichtige politische Rolle. Die Bundesregierung hat jüngst eine Sicherheitsstrategie für den Cyber-Raum beschlossen (Seite 22). Immer häufiger ist der Schutz der von öffentlichen Institutionen gesammelten Daten vor externem Zugriff gar nicht mehr erwünscht. Offen, frei von Diskriminierung und digital, sollen sie den Bürgern als Grundlage für Bürgerhaushalte und Bürgerbeteiligung dienen. Open Data steht für einen Kulturwandel beim Umgang mit Daten der Verwaltung (Seite 27). Abgesehen vom Schwerpunktthema informiert der über neue IT- Services wie den eid-service des ITDZ Berlin (Seite 23), über Berliner IT-Projekte wie die Webplattform estraße (Seite 25) oder aktuelle Entwicklungen wie den Relaunch von berlin.de (Seite 46). Ich wünsche Ihnen eine informative und anregende Lektüre. Konrad Kandziora Vorstand 1/11 2

3 Editorial Editorial 2 Schwerpunktthema Grundsätze der IT-Sicherheit im Land Berlin 4 AG IT-Sicherheit aktuelle Arbeitsergebnisse 6 IT-Sicherheitsanalyse am Grenznetz des ITDZ Berlin 8 SPAM weltweit rückläufig, andere Gefahren auf dem Vormarsch 1O IT-Sicherheit-Portfolio des IT-Dienstleistungszentrum Berlin 11 Sicherheit in der IP-Telefonie steht für das ITDZ Berlin an oberster Stelle 13 Sicheres Cloud Computing auf Basis von Virtualisierungstechnik 14 Informationssicherheit im ITDZ Berlin 18 Der IT-Sicherheitsbeauftragte des ITDZ Berlin 19 Informationssicherheit - ein ganzheitlicher Betrachtungsansatz 2O Bundesregierung beschließt Sicherheitsstrategie für den Cyber-Raum 22 Online Berlin.de in neuem Gewand und mit neuem Wirtschaftsportal 46 Per Mausklick ins Gericht: Landgericht Berlin präsentiert neuen Internet-Auftritt 47 Das mobile Internet boomt 47 Reservoir an Internet-Adressen bald erschöpft 48 Internet-Kompetenz wird immer wichtiger 51 D Anhörung zur sicheren 51 Schutz vor Kostenfallen im Internet 52 Tipps und Tricks Privates und Berufliches auf mobilen Geräten 53 Mindmapping 2.O 53 E-Government und Verwaltung eid-service im ITDZ Berlin 23 IP-Telefonie (IP-Centrex) nächste Ausbaustufe 24 estrasse 25 Daten für die Bürgerschaft 27 Schwerpunkte auf dem 5. Nationalen IT-Gipfel 2O1O 29 Großer Erfolg für das deutsche E-Government 31 Die Stadt Bremerhaven baut ECM-System weiter aus 31 Notare erweitern sichere elektronische Kommunikation 32 Veranstaltungen Cloud Computing in Berlin 54 Desktop Summit 2O11 56 Literatur Wegweiser durch den EDV-Dschungel 58 Soziale Medien intelligent nutzen 58 Cloud Computing Was Entscheider wissen müssen 59 Deutschland_eco stellt Leitfaden für sicheres Cloud Computing vor 59 Berichte und Infos Konrad Kandziora setzt erfolgreiche Arbeit fort 34 Nationaler IT-Gipfel stärkt den Hightech-Standort 34 Cloud Computing ist erneut IT-Trend des Jahres 35 Gemeinsame Studie von IT-Branchenverband SIBB e. V. und der TU Berlin 37 Smartphone-Absatz 2O11 über der 1O-Millionen-Marke 39 Microsoft Windows wird 25 Jahre alt 4O Happy Birthday: Ein Vierteljahrhundert AIX 42 Projektplanung Schulneubau Ein Fallbeispiel für den Einsatz moderner Web2.O-Technologien 42 IT-Sicherheit, die sich im Rahmen hält 44 Mobile Internetnutzung über das Handy 2O1O stark gestiegen 45 Dies und Das Der Webbrowser feiert 2O-jähriges Jubiläum Impressum 6O 6O 1/11 3

4 Grundsätze der IT- Sicherheit im Land Berlin IT-Sicherheit das ist ein weites Feld, so könnte man es in Anlehnung an Theodor Fontane formulieren. Stichworte und Ereignisse, um für dieses Thema zu sensibilisieren, gab und gibt es reichlich. Das reicht von den fast schon alltäglichen Meldungen über neue Sicherheitslücken bis hin zu den medienwirksamen Diskussionen zum Thema Wikileaks und Stuxnet oder auch zum Umgang mit persönlichen Daten in sozialen Netzwerken. Woran sollen und können sich nun die Verantwortlichen für IT-Sicherheit bei diesem komplexen Thema orientieren, welche Rahmenbedingungen und Handlungsempfehlungen gibt es? Regelmäßiges Controlling durch einen IT-Sicherheitsbericht Konkretisierung durch Standards zur IT-Sicherheit Einrichtung einer ständigen Arbeitsgruppe AG IT-Sicherheit. Die Grundsätze sind von den am IT-Einsatz Beteiligten entsprechend ihrer Verantwortung durch entsprechende IT-Sicherheitskonzepte umzusetzen und anforderungsgerecht auszugestalten. IT-Sicherheit muss geplant, realisiert und kontrolliert werden. Folgende Schritte sind hierzu notwendig (IT-Sicherheitsprozess): Organisatorische Bildung eines IT-Sicherheitsmanagements mit Festlegung von Verantwortlichkeiten. Festlegung von grundsätzlichen Zielen für die IT-Sicherheit durch Erstellen einer IT-Sicherheitsleitlinie. Erarbeitung von behördlichen und verfahrensspezifischen IT-Sicherheitskonzepten. Ständige Überprüfung der IT-Sicherheit als fortdauernder Prozess aufgrund neuer Gefährdungen und Fortentwicklung der Informationstechnik. Da im Rahmen dieses Artikels nicht auf alle diese Aspekte inhaltlich weiter eingegangen werden kann, will ich nachfolgend nur zwei Themen etwas näher ausführen: Im Rahmen ihrer Verantwortung für die landesweite Steuerung des IT-Einsatzes obliegt es der Senatsverwaltung für Inneres und Sport, auch für den Bereich der IT-Sicherheit die notwendigen Rahmenregelungen zu schaffen. Dazu soll nachfolgend der aktuelle Sachstand dargestellt werden. Die Grundsätze der IT-Sicherheit in der Berliner Verwaltung sind in den IT- Sicherheitsgrundsätzen (Beschluss des Senats vom ) festgelegt. Diese IT-Sicherheitsgrundsätze sind im Sinne einer IT-Sicherheitspolitik (security policy) die strategische Handlungsgrundlage für die Gewährleistung eines sicheren IT-Einsatzes in der Berliner Verwaltung. In den IT-Sicherheitsgrundsätzen finden sich Aussagen zu folgenden Aspekten: Ziele und Grundanforderungen an den sicheren IT-Einsatz Festlegung der Rollen und Aufgaben bzgl. IT-Sicherheit Sicherheitskonzepte als Voraussetzung für den IT-Einsatz Foro: Sean Gladwell - Fotolia.de IT-Sicherheitsbericht Der IT-Sicherheitsbericht dient dem Controlling von IT-Sicherheit, d. h. er soll vor allem Aussagen zu den Fragen Wo stehen wir? und Was muss noch getan werden? liefern. Der IT-Sicherheitsbericht wird jährlich unter Federführung der Senatsverwaltung für Inneres und Sport erstellt und im IT-Koordinierungsgremium der Berliner Verwaltung (ITK) mit den IT-Verantwortlichen der Behörden erörtert. Sein Inhalt basiert auf den Zulieferungen der einzelnen Behörden und umfasst grob folgende Themen: 1/11 4

5 Sachstandsdarstellung (Umsetzung geltender Regelungen, Wirksamkeit von Sicherheitsmaßnahmen, sicherheitsrelevante Ereignisse) Beschreibung neuer Risiken Maßnahmenvorschläge Standards zur IT-Sicherheit / IT- Sicherheitskonzepte Technische und methodische Standards zur IT-Sicherheit sind in den IT-Standards der Berliner Verwaltung festgelegt. Diese Standards werden jährlich fortgeschrieben. Nachfolgend zwei Beispiele für Regelungen in diesen Standards: IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Der IT-Grundschutz ist auf Basis der Sicherheitsmaßnahmen gemäß dem Grundschutzkatalog des BSI in der jeweils aktuellen Fassung zu gewährleisten. Für das Erstellen von Sicherheitskonzepten sind die methodischen Vorgaben des BSI (BSI-Standards 100x) zu beachten. Nutzung Internet Voraussetzung für die Nutzung von Intranet und Fremdnetzen/ Internet ist das Vorliegen eines schlüssigen Sicherheitskonzeptes und dessen konsequente Umsetzung. umfassende Sammlung nicht nur aus physischer Sicht eine schwergewichtige Herausforderung darstellt, sondern auch ein inhaltlich durchaus umfängliches und komplexes Werk bildet, welches sich nicht mal so nebenbei anwenden und umsetzen lässt. Deshalb wurde von der AG IT-Sicherheit ein so genanntes Modellsicherheitskonzept (ModellSiKo) für die Behörden der Berliner Verwaltung erarbeitet, welches auch laufend fortgeschrieben wird Das ModellSiKo konkretisiert die Maßnahmen des Grundschutzkatalogs und unterstützt die Realisierung behördlicher IT- Sicherheitskonzepte. Mit dem ModellSiKo wird der Aufwand zu Erstellung und Umsetzung behördlicher Sicherheitskonzepte wirksam gesenkt. (Im nachfolgenden Artikel werden im Zusammenhang mit der Arbeit der AG IT-Sicherheit einige aktuelle Arbeitsergebnisse für das ModellSiKo vorgestellt.) Fragen der praktischen Umsetzung werden im Rahmen regelmäßiger Erfahrungsaustausche mit den Behörden der Berliner Verwaltung erörtert. Dabei steht die Vorstellung von best practice - Lösungen im Vordergrund. Insgesamt steht also zum Thema IT-Sicherheit in der Berliner Verwaltung ein umfangreiches Instrumentarium von Rahmenregelungen zur Verfügung, welches von strategischen Grundsätzen bis hin zu konkreten Unterstützungen für die operative Durchführung reicht. Das untenstehende Schaubild stellt dies noch mal im Zusammenhang dar. Die Grundlage dafür bilden die im Konzept Sicherer Zugang zum Intranet und Internet in der Berliner Verwaltung enthaltenen zentralen und dezentralen Maßnahmen. Insbesondere soll der Übergang in Fremdnetze einschließlich Internet nur über das Grenznetz des ITDZ Berlin erfolgen. Nun wissen alle, die schon einmal den IT-Grundschutzkatalog in den Händen hatten, dass die mittlerweile fünf Bände Weitere Informationen zu den hier kurz vorgestellten und vielen anderen Aspekten von IT-Sicherheit in der Berliner Verwaltung finden Sie im Intranet unter MATTHIAS HÖG - ZS C 2 Hö - Senatsverwaltung für Inneres und Sport, Klosterstr. 47, Berlin Tel.: (9223) , 1/11 5

6 AG IT-Sicherheit aktuelle Arbeitsergebnisse Nachdem im vorhergehenden Artikel eine Übersicht zu den geltenden Rahmenregelungen zur IT-Sicherheit gegeben wurde, soll hier die Arbeit der AG IT-Sicherheit im Zusammenhang mit aktuellen Arbeitsergebnissen näher vorgestellt werden. Die Handlungsgrundlage für die Arbeitsgruppe IT-Sicherheit findet sich in den IT-Sicherheitsgrundsätzen (Tz. 5.3). Die AG ist als ständige Arbeitsgruppe des IT-Koordinierungsgremiums (ITK) eingerichtet. Rahmenbedingungen aus (insbesondere der Rahmendienstvereinbarung zur Nutzung des Internet). Es werden zuerst die mit den Oberbegriffen Intranet/Internet verbundenen Netzressourcen und zugänge strukturiert. Auf dieser Basis sind für verschiedene Nutzungsszenarien die notwendigen Sicherheitsmaßnahmen beschrieben. Dabei werden sowohl die dezentrale IT-Infrastruktur (insbesondere der Browsereinsatz am Arbeitsplatz) als auch der zentrale Übergang im Grenznetz zusammenhängend betrachtet. Die Maßnahmen basieren auf dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es werden lediglich die für die sichere Intranet-/Internetnutzung spezifischen Maßnahmen betrachtet. Diese sind zu ergänzen durch die im Rahmen eines behördlichen IT-Sicherheitskonzeptes notwendigen weiteren Maßnahmen für eine sichere Nutzung der IT insgesamt (z. B. Maßnahmen zum Virenschutz u. ä.). In der AG sind eine Vielzahl von Behörden vertreten - Senats- und Bezirksverwaltungen ebenso wie nachgeordnete Behörden und der zentrale IT-Dienstleister, das ITDZ Berlin. Auch der Rechnungshof und der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) beteiligen sich an der AG. Die Federführung obliegt der Senatsverwaltung für Inneres und Sport. Neben der Bearbeitung konkreter Aufträge des ITK dient die AG vor allem dem regelmäßigen Informations- und Erfahrungsaustausch zu allen relevanten Fragen der IT-Sicherheit. Die AG erarbeitet Handlungsempfehlungen zu unterschiedlichen Themen. Einen Schwerpunkt dabei bildet die laufende Fortschreibung des Modellsicherheitskonzeptes (ModellSiKo). (Zum ModellSiKo insgesamt vgl. den vorigen Artikel). Einige aktuelle Ergebnisse werden nachfolgend kurz vorgestellt. Sicherer Zugang Internet Im Auftrag des ITK wurde das Konzept Sicherer Zugang zum Intranet und Internet in der Berliner Verwaltung erarbeitet. Das Konzept geht von vorhandenen organisatorisch-rechtlichen Foto: Andrea Danti - Fotolia.de Komponente Virtualisierung Die AG IT-Sicherheit hat eine Komponente für das Modellsicherheitskonzept erarbeitet, in der Maßnahmen zur sicheren Virtualisierung beschrieben sind. Sie basiert inhaltlich auf einem vom BSI vorab zur Verfügung gestellten Entwurf für einen entsprechenden Baustein im IT-Grundschutzkatalog. Die Komponente konzentriert sich auf Servervirtualisierung und die virtuellen Netze in dieser virtualisierten Umgebung (Abgrenzung zu VLAN). Verknüpfungen zu angrenzenden Themen wie Storage-Virtualisierung werden bei Bedarf aufgezeigt. Ausgehend von den spezifischen Sicherheitsrisiken bei Virtualisierung werden konkrete Maßnahmenempfehlungen für die Planungs- und die Betriebsphase gegeben. Dazu zählen u. a. Eine detaillierte Planung ist wegen der hohen Komplexität eines Virtualisierungsprojektes unerlässlich. Alle betroffenen (Administrations)bereiche müssen rechtzeitig einbezogen werden. 1/11 6

7 Bezüglich der Rollen- und Aufgabenverteilung bei der Administration sind grundsätzlich die existierenden Regeln zur sicheren Administration (vgl. hierzu die Komponente Sichere Administration im ModellSiKo) auch auf die virtuelle Infrastruktur anzuwenden. Für die Verwaltung /Administration der virtuellen Infrastruktur ist ein getrenntes Verwaltungsnetz vorzusehen. Da Fehlbedienungen und -konfigurationen bei Virtualisierungsservern schwerwiegende Auswirkungen auf die virtuellen IT-Systeme und Anwendungen haben können, hat eine rechtzeitige und umfassende Schulung für einen sicheren Betrieb besondere Bedeutung. Als eine wesentliche Maßnahme zum sicheren Einsatz wird im Konzept das Deaktivieren bzw. Sperren aller nicht benötigten Schnittstellen und Funktionen aufgeführt. Auch Maßnahmen zum Schutz bei Verlust des Gerätes sind ausgeführt. WLAN Gegenwärtig wird eine Komponente Sicheres WLAN erarbeitet. Die Komponente beschreibt Sicherheitsmaßnahmen für folgende Szenarien: Einsatz von WLAN zur Erweiterung des kabelgebundenen LAN in kleinen und großen WLAN-Strukturen, einschließlich WLAN-fähiger Endgeräte. In diesem Szenario sollen grundsätzlich nur zentral managbare Access Points (so genannte thin Access Points) eingesetzt werden. Die Access Points (AP) werden über zentrale Controller gesteuert. Verwendung von WLAN-Technik zur Kopplung zwischen kabelbasierten LANs-Wireless Distribution (WDS) Auch für dieses Szenario wird vom Einsatz zentral (mittels Controller) gesteuerter AP ausgegangen. Die Komponente soll in Kürze fertig gestellt sein. Mobile Endgeräte Sicherheitsmaßnahmen zum Einsatz Mobiler Endgeräte finden sich im Rahmenkonzept Sicherer Einsatz Mobiler Endgeräte. Das Konzept beschränkt sich bewusst auf den Einsatz von so genannten Smartphones und deren Einsatz für den mobilen Zugriff auf Funktionalitäten ( , Kalender usw.) der Bürokommunikation und Telefonie. Die Mobilen Endgeräte werden als Bestandteil der dezentralen IT-Infrastruktur betrachtet. Damit finden für sie die für stationäre Arbeitsplätze geltenden Regeln und Prozesse Anwendung. Alle weiteren Maßnahmeempfehlungen zum Betrieb von mobilen Endgeräten leiten sich aus dieser Grundannahme ab. ITDZ Berlin: innovativ qualitätsorientiert wirtschaftlich umweltgerecht Foto: Joachim Wendler - Fotolia.de Mustervorlage verfahrensspezifisches IT-Sicherheitskonzept In Zusammenarbeit mit der AG IT-Verfahren und unter Mitwirkung des BlnBDI wurde eine Mustervorlage für ein verfahrensspezifisches IT-Sicherheitskonzept erstellt. Die Mustervorlage wurde für IT-Verfahren mit normalem Schutzbedarf konzipiert und basiert daher auf der Methodik des IT-Grundschutzes. Damit ist sie für die überwiegende Mehrzahl der in der Berliner Verwaltung eingesetzten IT-Verfahren anwendbar. Sie kann gleichzeitig auch als Ausgangspunkt für IT-Verfahren dienen, die (in einzelnen oder allen Schutzzielen) einen hohen oder sehr hohen Schutzbedarf haben. Dazu finden sich in der Mustervorlage an den entsprechenden Stellen Anmerkungen, die auf eine gesonderte Betrachtung und Methodik für den hohen bis sehr hohen Schutzbedarf hinweisen. Mit der Vorlage sollen eine einheitliche Struktur und ein einheitliches inhaltliches Verständnis für ein verfahrensspezifisches IT-Sicherheitskonzept vorgegeben 1/11 7

8 werden. Dazu enthält die Mustervorlage in Form von Überschriften und dazu gehörigen Erläuterungen die inhaltlichen Eckpunkte, die jeweils für das spezifische IT-Verfahren weiter auszuführen sind. Behandlung von IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen Ausgehend von Ergebnissen des IT- Sicherheitsberichtes 2009 wurde ein Konzept zur Behandlung von IT- Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen in der Berliner Verwaltung erstellt. Gemäß Beschluss des ITK vom ist bei IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen gemäß der im Konzept dargestellten Schritte vorzugehen. IT-Sicherheitsanalyse am Grenznetz des ITDZ Berlin Eine der wichtigsten Aufgaben des ITDZ Berlin ist es, dem Land Berlin zentrale IT-Infrastrukturen zur Verfügung zu stellen. Damit verbunden ist auch die nötige Sorgfalt, um die Sicherheit dieser Infrastrukturen zu gewährleisten. Ein Netz, in dem mehr als Nutzer zum Teil personenbezogene oder aus anderen Gründen schützenswerte Daten verarbeiten, erfordert ein hohes Maß an Schutz der Daten vor Einsichtnahme und Manipulation. Ein kompetentes Team aus Administratoren, Planern und Sicherheitsexperten am ITDZ Berlin ist daher immer mit der Bereitstellung, dem Betrieb und der Wartung von Firewalls, Webproxys, Virenscannern, Spamfiltern und ähnlichen Komponenten beschäftigt. Im besonderen Fokus des ITDZ Berlin steht dabei das sogenannte Grenznetz, das die Schnittstelle zwischen dem Berliner Landesnetz und allen Fremdnetzen -wie beispielsweise dem Internet- darstellt. Hier ist das potentielle Einfallstor für Gefahren durch Hacker. Das Konzept beschreibt die grundsätzlichen Anforderungen, um Sicherheitsvorfälle mit möglichen behördenübergreifenden (landesweiten) Auswirkungen einheitlich und geordnet behandeln zu können. Dabei werden insbesondere die Kommunikationswege und Schnittstellen zwischen dem zentralen IT- Dienstleister ITDZ Berlin, dem Bereich ZS C bei der Senatsverwaltung für Inneres und Sport und den Behörden des Landes Berlin betrachtet. Die Ausführungen des Dokumentes können sinngemäß auch auf die dezentrale Behandlung sonstiger IT-Sicherheitsvorfälle angewendet werden. Die hier vorgestellten Dokumente und alle weiteren Informationen zur Arbeit der AG IT-Sicherheit finden Sie im Intranet unter index.html. MATTHIAS HÖG - ZS C 2 Hö - Senatsverwaltung für Inneres und Sport, Klosterstr. 47, Berlin, Tel.: (9223) , Foto: Pixel - Fotolia.de Um einen möglichst hohen Sicherheitsstandard gewährleisten zu können und die Systeme im Berliner Landesnetz vor Gefährdungen zu schützen, werden auch externe IT-Sicherheitsexperten beauftragt, etwaige Lücken im Grenznetz aufzuspüren. Ein solcher Penetrationstest wurde zuletzt durch die Firma m-privacy GmbH, Berlin ohne Wissen der Produktionsbereiche des ITDZ Berlin durchgeführt. Dabei wurden neben Firewalls, Mailservern und zentralen VPN-Gateways auch weniger sicherheitskritische Systeme wie Webapplikationen oder Datenbanken aus dem Internet geprüft. Immer mit der Prämisse mögliche Lücken zu finden, aber die Systeme selbst bei dem Test nicht zu gefährden. 1/11 8

9 Das Ergebnis war mehr als ermutigend: An den zentralen Komponenten wurden keine Sicherheitslücken gefunden. Ein unerlaubter Zugriff aus dem Internet ist nicht gelungen. Die Angriffsversuche wurden von den ITDZ-Administratoren zügig bemerkt und verfolgt. Kleinere Probleme konnten nicht zum Eindringen in kritische Systeme genutzt werden, ihnen wurde dennoch sofort angegangen. Doch auch in der IT-Sicherheit gilt: Jede Kette ist nur so stark wie ihr schwächstes Glied. So fanden sich die meisten Sicherheitsdefizite im Quellcode der in Kundenregie erstellten Internetpräsenzen. Diese bargen erhebliches Gefahrenpotenzial im Hinblick auf Betriebs- und Datensicherheit sowie bezüglich datenschutzrechtlicher Aspekte. Hier wurde das Gespräch mit dem Kunden gesucht und Unterstützung bei der Beseitigung gegeben. Besonderes Augenmerk galt den im Auftrag betriebenen Webservern und dem darauf bereitgestellten, so genannten Webspace. Zahlreiche Behörden, auch weit über die Stadtgrenzen Berlins hinaus, profitieren vom Angebot des ITDZ Berlin. Ihre Internetpräsenzen auf den Rechnern des Dienstleistungszentrums unterzubringen. Hohe Investitionen in einen eigenen Gerätepark, beträchtliche Energiekosten und teure Standleitungen zur Anbindung der Server belasten auf diese Weise nicht das ohnehin knappe Budget behördlicher Einrichtungen. Was dabei oft übersehen wird: Neben der Bereitstellung des Serverplatzes sind für den sicheren Betrieb weitere Dienstleistungen im Hinblick auf die inhaltliche oder technische Verwaltung der jeweiligen Angebote notwendig. Ist der Serviceprovider nicht explizit damit beauftragt, verbleiben Pflege, technische Realisierung und regelmäßige Sicherheitsanpassungen eines Webauftritts in der Verantwortung des jeweiligen Kunden, erläutert Roman Maczkowsky, IT- Sicherheitsexperte und Geschäftsführer der m-privacy GmbH. Risiken wie Manipulation veröffentlichter Inhalte, Cross-Site-Scripting (XSS) und unberechtigter Zugriff aus dem Internet auf Dienste und Daten einer Behördenhomepage sind nicht zu unterschätzen und fallen unmittelbar in die Zuständigkeit der Seitenbetreiber, so Maczkowsky weiter. Die Sicherheit von Internetpräsenzen ist ein komplexes Gebiet, zumal technische Neuerungen speziell im Multimediabereich die Attraktivität eines Internetangebots nicht nur für Besucherinnen und Besucher, sondern mitunter auch für Cyberkriminelle erheblich steigern. Systematische Analysen und die notwendigen ingenieurmäßigen Konsequenzen sollte man Fachleuten überlassen, weiß der Experte und empfiehlt, im Zweifel externe Unterstützung in Anspruch zu nehmen. Der systematische Check der Sicherheit einer Website der m-privacy GmbH gibt zielgenaue Hinweise zur sicheren Gestaltung von Internetangeboten. Es gilt, Angriffen dem aktuellen Stand der Technik entsprechend vorzubeugen, statt erkannte Lücken nachträglich und damit möglicherweise zu spät zu schließen. Roman Maczkowsky, ein zertifizierter Auditor des BSI (Bundesamt für Sicherheit in der Informationstechnik), spricht aus langjähriger Erfahrung: Das World Wide Web Consortium (W3C) hat mittlerweile über 30 Kategorien von Attacken auf Webseiten beschrieben die Erfolgsaussicht eines Angreifers in nicht professionell gesicherten Systemen ist ausgesprochen hoch. Zusätzlich zu dem Penetrationstest aus dem Internet wurden in einem zweiten Schritt der Sicherheitsanalyse die wichtigsten Systeme in Zusammenarbeit mit den jeweiligen Administratoren direkt an den Maschinen noch mal auf Herz und Niere geprüft. Da bei einem Penetrationstest nur solche Schwachstellen getestet werden können, deren Überprüfung die Funktion und die Verfügbarkeit des Systems nicht gefährden, sollte in diesem nachfolgenden Schritt weitere Gefährdungspotentiale ausgeschlossen werden. Auch hier bestätigte sich die Wirksamkeit der vom ITDZ Berlin implementierten Maßnahmen. Roman Maczkowskys Fazit lautet daher: Das ITDZ Berlin hat seine Hausaufgaben gemacht. RÜDIGER SNIEHOTTA (ITDZ Berlin) PATRICK LEIBBRAND (m-privacy GmbH, Berlin) Foto: doug Olson - Fotolia.de 1/11 9

10 SPAM weltweit rückläufig, andere Gefahren auf dem Vormarsch Im Juni 2008 musste das ITDZ Berlin einen neuen Höchstwert bei den eingehenden SPAM-Mails vermelden. Fast 13 Millionen unerwünschte Massenmails gingen pro Tag an Adressen der Berliner Verwaltung. Das bedeutete, dass über 99% aller eingehenden Mails vom Spamfilter blockiert wurden. Trotzdem gab es immer wieder Meldungen aus den Dienststellen, dass selbst in den verbleibenden Mails noch Spams enthalten waren. Auch das ausgeklügelte Spamschutzsystem des ITDZ Berlin bietet hier keinen 100%igen Schutz. Inzwischen hat sich die Lage deutlich entspannt. Im Dezember 2010 gingen nur noch etwa Spammails ein. Das ist der niedrigste Wert, seit Beginn der Dokumentation im Januar Der Anteil der echten Mails ist wieder auf einen Wert von über 20% gestiegen. Dafür gibt es zwei Gründe. Der Spamschutz des ITDZ Berlin für die Berliner Verwaltung arbeitet im sogenannten Reject-Modus. Das bedeutet, dass die Annahme von Spammails schon vor dem Mailserver verweigert wird. Das gelingt mit Auswertung des versendenden Servers, Check der Existenz des Adressaten und dem sogenannten Greylisting, bei dem Mails erst beim zweiten Versuch zugestellt werden. Spamversender unternehmen einen solchen zweiten Versuch in der Regel nicht. Durch dieses Verfahren werden Adressen der Berliner Verwaltung für Spamversender zunehmend uninteressant. Die Entwicklung des Spamaufkommens an den Mailservern der Berliner Verwaltung spiegelt aber auch einen weltweiten Trend wider. Der Securityblog eleven meldete, dass die Anzahl der Spammails in 2010 um 31% rückläufig war. Laut dem Sicherheitsspezialisten Symantec ist die Gesamtzahl an Spams im letzten Halbjahr 2010 sogar von fast 250 Mrd. auf etwa 50 Mrd. gefallen. Welche Zahl der Realität auch immer näher kommt, die Tendenz ist eindeutig. Verantwortlich dafür war der erfolgreiche Kampf gegen Spam-versendende Provider und Botnetze. Das begann bereits im November 2008, als in den USA der Spamfreundliche Internetprovider McColo vom Netz genommen wurde. Innerhalb weniger Stunden sank damals das Spamaufkommen um etwa die Hälfte. Solche Veränderungen führen in der Regel dazu, dass andere Wege gefunden werden, massenhaft Werbung zu verteilen. Fast immer kommen dabei Botnetze, also ein Zusammenschluss verschiedener von Schadsoftware befallener Computer, zum Einsatz. Aber einige dieser Botnetze konnten im Jahr 2010 erfolgreich bekämpft werden. Im Laufe von zwölf Monaten konnten vier solcher Botnetze komplett und eines zum Teil vom Netz genommen werden. Dazu kommt, dass der Spam-Dienst spamit.com, der hauptsächlich für Medizinprodukte warb, ab Oktober freiwillig die Segel strich. Das alles führt zu der gegenwärtig eher niedrigen Spambelastung, welche die Nutzer in der Regel auch an dienstlichen und privaten Mailboxen bemerken. Immer neue Gefahren durch Schadsoftware Zeitgleich zur Entspannung bei den Spammails zeigt sich aber ein Trend zu immer präziser ausgerichteten Attacken. Der Virenschutzspezialist McAfee hat das Jahr 2010 schon als Jahr der gezielten Angriffe bezeichnet. Ein aktuelles Beispiel ist Stuxnet, ein Virus der gezielt programmiert wurde, um Zentrifugen zur Urananreicherung zu manipulieren, was offenbar auch gelang. Insgesamt steigt die Menge von neuen Schadprogrammen (Malware) beängstigend schnell. McAfee entdeckte im dritten Quartal 2010 weltweit ca neue Schadcodevarianten täglich. Hierbei stehen weiter Trojaner und Spyware im Vordergrund, die versuchen Daten, vor allem Passwörter, zu erfassen. Dazu kommt sogenannte Scareware, die den Nutzer einen Virenbefall vorgaukelt. Die Beseitigung des Schädlings erfolgt dann erst nach Bezahlung. Häufig sollen solche Programme den Nutzer aber auch zu Handlungen verführen, die dann einen tatsächlichen Angriff erst möglich machen. Beispielsweise weitere Dateien, vorgeblich zur Problemlösung, auf den Computer zu laden. Die aktuelle Schadsoftware kommt nicht ausschließlich per Mail, sondern immer öfter durch (teilweise unbeabsichtigte) Downloads. Beliebt dafür sind Websites 1/11 10

11 mit pornographischen Inhalten. Aber auch solche, die angeblich Dienstleistungen wie Anonymisierung, Suchdienste oder Instant Messaging anbieten. Eine besondere Rolle spielt hier seit einiger Zeit Twitter in Verbindung mit Websites, mit deren Hilfe Passwörter abgefragt (Phishing) oder Trojaner installiert werden sollen (Drive-bydownloading). Mit Nutzung dieses Dienstes können Anwender gezielt auf Malware-Websites geleitet werden. Dazu werden Mitteilungen (Tweets) zu aktuellen Themen mit URLs auf entsprechende Seiten verbunden. Da hierzu Kurz-URLs verwendet werden, ist das eigentliche Ziel des Links nicht ohne weiteres erkennbar. Ein Mittel dagegen ist, nur solche Links anzuklicken, bei denen man dem Urheber des Tweets vertraut. Mehr und mehr mobile Endgeräte betroffen IT-Sicherheit-Portfolio des IT-Dienstleistungszentrum Berlin Einen besonders hohen Stellenwert hat die IT-Sicherheit für das ITDZ Berlin, den zentralen IT-Dienstleister für die Berliner Verwaltung. Die Behörden habe jeden Tag mit sensiblen Daten der Bürger des Landes Berlin zu tun. Dementsprechend ist es deren Aufgabe, basierend auf Rechtsvorschriften, diese vor Zugriffen Dritter zu schützen. Das ITDZ Berlin bietet deshalb eine umfangreiche Produktpalette an, um diesen Schutz zu gewährleisten. Die Leistungsangebote des ITDZ Berlin auf einen Blick: Systemanalyse IT-Sicherheit Authentisierung und Verschlüsselung Firewalldienste Fremdnetzzugang aus dem Landesnetz Der Bereich der Systemanalyse IT-Sicherheit umfasst alle Bestandteile der IT- Sicherheitsberatung, die gerade im Bereich der Verwaltung von besonderer Bedeutung ist. Bezogen auf die Kundenanforderungen kann aus einem Repertoire von vier verschiedenen Anwendungsvarianten ausgewählt werden. Ein ebenfalls zunehmender Trend sind Angriffsszenarien auf mobile Endgeräte wie Smartphones oder BlackBerrys. Eine neue Qualität zeigt sich beispielsweise bei Trojanern, die sowohl Desktopcomputer als auch Mobiltelefone befallen. Das richtet sich vornehmlich gegen Sicherheitslösungen von Banken, bei denen für jede Transaktion ein Code per SMS verschickt wird. Sind beide Geräte mit diesem Schädling befallen, können Kriminelle ihre illegalen Banktransaktionen sogar mit einem korrekten Code bestätigen. Entspannung gibt es derzeit daher nur beim Thema Spam und auch das muss kein dauerhaftes Phänomen sein. Vielmehr meldete eleven im Januar bereits wieder einen Anstieg. Das ITDZ Berlin legt daher weiterhin großen Wert auf ein anspruchsvolles Schutzsystem. Immerhin müssen auch jetzt noch fast 80% der ankommenden Mails ausgefiltert werden, um die Postfächer der Berliner Verwaltung nicht zu sprengen. RÜDIGER SNIEHOTTA (ITDZ Berlin) Foto: JerryL4 - Fotolia.de Das ITDZ Berlin bietet eine umfassende Sicherheitsanalyse an, die zur Erkennung und Risikoeinschätzung von Bedrohungen bei der Nutzung der Informationstechnik entstehen. Die hier gefundenen potentiellen Gefährdungen können Ausgangpunkt für die Erstellung eines Sicherheitskonzeptes sein. Auf Grundlage der gefundenen Gefährdungspotentiale werden mit Hilfe eines Sicherheitskonzeptes die konzeptionellen Sicherheitsanforderungen systematisch festgelegt und das Vorgehen zu ihrer Umsetzung in Maßnahmen beschrieben. Des Weiteren kann für existierende Sicherheitskonzepte mittels eines Sicherheitsaudits der Umsetzungsgrad dessen untersucht werden. Auf Kundenwunsch kann auch für das erstellte 1/11 11

12 Sicherheitskonzept ein Sicherheitsgutachten durchgeführt werden. Die Aufgabe des Sicherheitsgutachtens ist insbesondere die Analyse der methodische Richtigkeit und Umsetzbarkeit des Sicherheitskonzeptes. Für die Authentisierung und Verschlüsselung kann auf verschiedene Produkte zurückgegriffen werden. Hier muss unterschieden werden in die Bereiche für den Zugang aus dem Internet in das Berliner Landesnetz und in der Kommunikation innerhalb des Berliner Landesnetzes. Die Arbeit von zu Hause oder der administrative Zugriff auf Systeme innerhalb des gesicherten Landesnetzes werden heutzutage immer wichtiger. Um den Wunsch der Mobilität der Mitarbeiter oder auch von Servicefirmen gewährleisten zu können, bietet das ITDZ Berlin dem Kunden für Zugänge aus dem Internet das Standardprodukt Bela Zugang Einzelplatz an. Basierend auf die Nutzerbedürfnisse und technischen Randbedingungen kann zwischen einem Zugang über SSL (browserbasiert) oder IPsec (clientbasiert) ausgewählt werden. Erfolgt eine Verschlüsselung innerhalb des Berliner Landesnetzes, so erfolgt die Verschlüsselung über die vom ITDZ Berlin eingesetzten Verschlüsselungsgateways. In diesem Fall ist sichergestellt, dass eine Gateway-zu-Gateway Verschlüsselung erfolgt. Der Zugriff auf die Kommunikation durch Dritte ist in allen Varianten nicht möglich. Durch den Einsatz von Verschlüsselungsgateways kann aber auch die verschlüsselte Kommunikation mit Behördenstandorten realisiert werden, die nicht über das Berliner Landesnetz angeschlossen werden können. Hier werden die Standorte durch einen DSL Anschluss an das Internet angeschlossen und mit Hilfe der vom ITDZ Berlin dezentral betriebenen Gateways verschlüsselt an das Landesnetz angebunden. Die Sicherung der zertifikatsbasierten Kommunikation der einzelnen Produktbereiche wird durch das Produkt PKI-Zertifikate angeboten. Die Zertifikate werden durch den Betrieb einer eigenen Public Key Infrastructure (PKI) im ITDZ Berlin generiert und auf einem LDAP-Verzeichnisserver veröffentlicht. Ein weiteres wichtiges Leistungsangebot des ITDZ Berlin ist die Bereitstellung von diversen Firewallsystemen. So bietet das ITDZ Berlin unter anderem Kundenfirewalls an, die je nach Umfang, Einsatzort, Größe des LAN und notwendigen Maßnahmen zur Ausfallsicherheit entsprechend dimensioniert werden. Da das ITDZ Berlin nicht nur für die Absicherung von Kundenstandorten die notwendigen Produkte anbietet, sondern auch die Zentralisierung von Verfahren und Serverinfrastruktur im Hochsicherheits-Rechenzentrum voranschreitet, wird besonders auf die Sicherheit dieser Infrastruktur wert gelegt. Getreu dem Motto: Die Gefahr lauert nicht nur im Internet, denn von innen ist sie mindestens genauso gefährlich. Um den Kunden eine möglichst hohe Auswahlmöglichkeit zu bieten und dabei die Kosten auch bei einem sehr hohen Schutzbedarf niedrig zu halten, werden hier Systeme angeboten, die eine möglichst breite Nutzbarkeit garantieren. Durch Virtualisierung von Firewallsystemen können den Kunden des ITDZ Berlin Firewalldienste angeboten werden, die für jeden speziellen Anwendungsfall passen. Zu diesem Zweck werden im Data-Center des ITDZ Berlin mehrere Firewallsysteme betrieben, welche die verschiedenen Fachverfahren voneinander und von dem Rest des Berliner Landesnetzes trennen. Sie kontrollieren und regeln die notwendigen Kommunikationsbeziehungen. Foto: Sergey Ilin - Fotolia.de Immer mehr Verfahren und Dienste der Berliner Verwaltung werden in Form von Webdiensten betrieben. Diese unterliegen ganz besonders den Gefahren durch Angriffe, welche die Vertraulichkeit, Verfügbarkeit und Integrität der Daten auf Applikationsebene gefährden. Das ITDZ Berlin betreibt daher mehrere Web Application Firewalls (WAF), mit deren Hilfe es möglich ist, die Web-Anwendungen vor Angriffen über das HTTP oder HTTPS Protokoll schützen soll. Dabei kann die WAF die Kommunikation auf der Anwendungsebene prüfen und gefährliche Anfragen abfangen, bevor sie die Anwendung erreichen. Gerade durch den vermehrten Einsatz von egovernment-diensten für die Bürger ist der Schutz der Web- Anwendungen vor dem Zugriff Dritter von besonderer Bedeutung. Neben der Absicherung der internen Netze und der Bereitstellung von Zugängen zum Berliner Landesnetz ist es die Aufgabe des ITDZ Berlin der Berliner 1/11 12

13 Verwaltung den Zugang zu Fremdnetzen zu realisieren. Hierzu gehört, dass das ITDZ Berlin den Zugang zum Internet bereitstellt, über das Produkt Sicherer Internetzugang, als auch die Bereitstellung von -Diensten, mit dem Produkt Sicherer zugang. In beiden Fällen existiert ein weitreichender Schutz vor den Bedrohungen aus dem Internet mittels Virenscanner, gestaffelten Firewallsystemen und Spam- Filtern. Beiden Bundesländern ist es hiermit möglich Daten über eine hochperformante Verbindung auszutauschen. Bei allen Sicherungsmaßnahmen wird darauf geachtet, dass die vom ITDZ Berlin eingesetzten Produkte den sicheren Betrieb der IT-Systeme, -Anwendungen und -Verfahren gemäß den IT-Sicherheitsrichtlinien und Sicherheitsstandards des Landes Berlin gewährleisten. Als Diensteanbieter bietet das ITDZ Berlin unseren Kunden erfahrene Ansprechpartner für die Beratung und Realisierung zur Absicherung der Kundennetze auf Basis des umfangreichen Portfolios an IT-Sicherheitsprodukten an. TOBIAS KRAMPE ITDZ Berlin Sicherheit in der IP-Telefonie steht für das ITDZ Berlin an oberster Stelle Voice over IP (VoIP) bezeichnet das Telefonieren über Computernetzwerke via Internet Protokoll (IP). Mit dem neuen VoIP-Angebot des ITDZ Berlin kann die Berliner Verwaltung von den Vorteilen dieser Technik profitieren: Kosten sparen und gleichzeitig mehr Komfort und Flexibilität gewinnen. Mit Voice over IP setzt das Land Berlin auf modernste Kommunikationstechnik. Sie wird auf Basis von IP-Centrex (IP-Central Office Exchange) realisiert. Die herkömmlichen dezentralen Telekommunikationsanlagen werden so virtuell in einem zentralen, mandantenfähigen Vermittlungssystem beim ITDZ Berlin abgebildet. Foto Feng Yu - Fotolia.de Neben der Bereitstellung des Zugangs zum weltweiten Internet gibt es noch weitere Netze, die an das Berliner Landesnetz angeschlossen sind. Von besonderer Bedeutung ist hier das Deutschland Online Infrastruktur (DOI) -Netz (ehemals TESTA) an dem alle deutschen Landesverwaltungen, Bundesverwaltungen und auch europäische Verwaltungen angeschlossen sind. Über dieses besonders gesicherte Netz können die Berliner Verwaltungen eine sichere Kommunikation über ein gesondertes Verwaltungsnetz durchführen. Da die Verschmelzung von Verwaltungsstrukturen der Bundesländer Berlin und Brandenburg weiter voranschreitet, wurde vor einigen Jahren als weiterer Schritt der Vereinfachung der Kommunikation die Netzkopplung der Landesnetze Berlin und Brandenburg vorgenommen. Das ITDZ Berlin sichert die IP-Telefonie vor Gefahrenpotentialen ab, die man in die nachstehenden Kategorien einteilen kann. Bedrohung der Infrastruktur Ein großer Vorteil der IP-Telefonie ist die Tatsache, dass Daten- und Sprachkommunikation über das gleiche Netz abgewickelt werden können. Die kostenintensive Pflege zweier Netze entfällt damit. Trotzdem sind Daten und Sprache aus Sicherheitsgründen logisch voneinander zu trennen. Die IP- Telefonie wird im Land Berlin daher über getrennte virtuelle Netze (VLAN) realisiert. Das gilt sowohl in den lokalen Netzen der Dienststellen, als auch im Berliner Landesnetz. Hier erfolgt die Trennung mittels Multiprotocol Label Switching (MPLS) in separate virtuelle Netze. Für bestimmte Dienste ist es jedoch erforderlich eine Kopplung der Netze herzustellen. Beispielsweise, wenn mit einem Klick aus einer Anwendung ein Anruf gestartet werden soll. Diese Kommunikation zwischen Daten- und Sprachnetz erfolgt an der zentralen Firewall, also einem überwachten Übergang in der Hoheit des ITDZ Berlin mit restriktiven Regeln. An diesem Übergang wird damit ein unkontrollierter Zugriff von einem Netz in das andere unterbunden. Das ITDZ Berlin arbeitet im Core-Bereich des Berliner Landesnetzes mit redundanten Verbindungen, die Voice-Netze beim Kunden werden durch Firewalls und getrennte VLAN abgesichert. Dem besonderen Schutzbedarf der Infrastruktur im Data Center (Rechenzentrum des ITDZ Berlin) wird dabei für sowohl der Sicherheitstechnik als auch bei den Anwendungsservern Rechnung getragen. 1/11 13

14 Um eine gleichbleibend hohe Qualität der Sprachkommunikation zu gewährleisten und diese nicht durch den hohen Datenverkehr der Berliner Verwaltung zu behindern, werden die Sprachpakete mit einer erhöhten Priorisierung mittels Quality of Service innerhalb dieses Netzes behandelt. Bedrohung von zentralen Systemen der Telekommunikation Bei den Systemen bestehen insbesondere Gefahren durch Fehler bei der Konfiguration in der Software und der Telefonendgeräte. Hier werden insbesondere die Systemeinstellungen der Telefone abgesichert, damit Dritten keine Möglichkeit gegeben wird, an diesen Veränderungen durchzuführen. Zum Schutz der Telefonendgeräte gehören unter anderem auch die passwortgeschützten Voic -Zugriffe, um sicher zu stellen, dass nur die dazu Berechtigten, die für sie bestimmte Nachricht abhören können. Spezifische Gefährdungen von IP- Telefonie (Abhören unverschlüsselter Kommunikation) Die größte Gefahr bei der IP-Telefonie besteht heutzutage im Abhören von Gesprächen. Innerhalb des Berliner Landesnetzes können diese allerdings als gering eingestuft werden. Zum einen erfolgt die Kommunikation durch ein vom Internet und Intranet logisch getrenntes Netz, welches die höchsten Sicherheitsmechanismen beinhaltet, und zum Anderen erfolgt die Übertragung der Sprache durch eine Verschlüsselung von Telefon zu Telefon. Auch der Verbindungsaufbau erfolgt verschlüsselt. Ein Abfangen des Gespräches wäre somit nur noch am Telefon selber möglich. Sichere Anbindung externer Behördenstellen Neben den Dienststellen, die direkt über das Berliner Landesnetz verbunden sind, existieren noch eine Vielzahl von Außenstellen, die aufgrund ihrer geografischen Lage nicht ohne erheblichen finanziellen Aufwand angebunden werden können. Für diese Standorte wird für die Kommunikation des Sprachdienstes über eine vom Carrier des ITDZ Berlin gemietete DSL-Verbindung eine verschlüsselte Verbindung zum Berliner Landesnetz aufgebaut. Hierbei handelt es sich um ein MPLS Netz, welches im Netz des Carriers extra für die Sprachkommunikation des Landes Berlin vorgesehen wurde. Für die Sprachverbindung ist keine zentrale Verschlüsselung vorgesehen, es wird die Endgeräteverschlüsselung verwendet. Auf Wunsch des Kunden kann die Kommunikation innerhalb des Carrier MPLS-Netzes für die Sprache gesondert verschlüsselt werden. Übergreifende Bedrohungen Übergreifende Bedrohungen sind Bedrohungen, die durch Fehler in der Gesamtkonzeption entstehen können. Hierzu gehören auch Notfallpläne und Backup Strategien. Dort spielt oftmals auch der menschliche Faktor eine große Rolle. Das ITDZ Berlin hat in seinem Gesamtkonzept jedoch weitreichende Strategien für diese Fälle erarbeitet. Besonderen Wert legt hier das ITDZ Berlin auf die allgemeine Verfügbarkeit des Sprachdienstes. Durch die, mit dem Rahmenvertragspartner, abgeschlossenen hohen Servicelevel soll im Fall eines Ausfalls der Sprachkommunikation eine schnelle Fehlerbeseitigung garantiert werden. Zur Vermeidung von Störungen wird deshalb bereits im Vorfeld durch ein Pro-Aktives-Monitoring einem möglichen Ausfall vorgegriffen. Neben allen Vorsorgen und Sicherungsmaßnamen arbeitet das ITDZ Berlin stetig weiter an der Verbesserung der Servicequalität. Derzeit wird ein erweitertes Testumfeld aufgebaut, in dem neue Dienste, Updates und Backup Simulationen durchgespielt werden können, mit dem Ziel unseren Kunden weiterhin eine möglichst hohe Qualität zu garantieren. KAY LEUBE / TOBIAS KRAMPE IDTZ Berlin - Produktmanagement Sicheres Cloud Computing auf Basis von Virtualisierungstechnik Gerade in Cloud-Projekten und Cloud-Umgebungen kommen immer wieder sicherheitsrelevante Fragestellungen auf. Grundlegend beeinflussen sich hier Qualität, Termine und Kosten in Abhängigkeit vom gewählten oder vorgegebenen Sicherheitsniveau. Früher war das grundlegende Paradigma beim Schutz von Daten und Informationen der klassische Perimeterschutz. Hier wurde von der Annahme beim Einsatz von Firewalls ausgegangen, dass es eine klar definierte Grenze zwischen den Netzwerksegmenten in Bezug auf interne und externe Zugriffe gibt. Dadurch konnte sichergestellt werden, dass zentrale Kontrollpunkte für den gesamten Daten- und Kommunikationsverkehr möglich sind. In der Realität führte jedoch die IT-Entwicklung der vergangenen Jahre und insbesondere der neue Trend des Cloud Computings genau in eine andere Richtung. Mobilität, die Dynamik der Endgeräte und IT-Infrastrukturen, die Vielzahl von mobilen und privaten Geräten (z.b. Notebooks, USB-Sticks, MP3 Player, PDAs, Handys) sowie die steigende Interaktion zwischen verschiedenen Netzwerken 1/11 14

15 machten deutlich, dass gestaffelte und verteilte Kontrollen sowie zusätzliche Sicherheitsmaßnahmen notwendig sind. Somit musste zwingend ein weiterer Ansatz zum Schutz von Daten und Informationen umgesetzt werden nämlich der Schutz der Daten und Informationen selbst. Dieser Schutzmechanismus muss auch in einer gesicherten Cloud-Umgebung berücksichtigt werden, da in der Cloud-Umgebung verschiedene Nutzergruppen mit unterschiedlichen Rechten gleichzeit agieren (siehe nebenstehende Abb. 1). In einer offenen Struktur wie in der Abbildung dargestellt gilt der elementare Schutz den Daten und Informationen. Dies beinhaltet gerade im öffentlichen Bereich auch insbesondere den Schutz von personenbezogenen Daten durch eine verschlüsselte Datenübertragung und eine gesicherte Datenablage und Datenhaltung. In Abhängigkeit des jeweiligen Schutzbedarfes der verarbeiteten Daten und Informationen muss deshalb eine Kombination aus den beiden Ansätzen Perimeterschutz (z.b. Firewalls, Intrusion Detection) Schutz der Daten und Informationen (z.b. Verschlüsselung von Daten) in der Praxis umgesetzt werden. Bei IT-Sicherheitsbetrachtungen innerhalb von Cloud-Projekten bleibt jedoch festzuhalten, dass eine 100 %ige Sicherheit nie zu erreichen ist und nähert man sich den 100% an, dann steigen auch die Kosten. Fest definierte Termine sind bei sicherheitsrelevanten Aspekten häufig neu auf den Prüfstand zu stellen oder die Qualität und Bedienerfreundlichkeit wird beeinträchtigt, denn was nützt eine sichere Anwendung, die anschließend für Endanwender nicht mehr oder nur noch schwer bedienbar ist. In diesem Kontext gilt es deshalb im Rahmen von Sicherheitsanalysen abzuwägen, dass die elementaren Sicherheitsziele für Daten und Informationen Abb. 1 Verfügbarkeit (die Eigenschaft von Informationen, bei Bedarf für eine autorisierte Person zugänglich und nutzbar zu sein) Integrität (Die Eigenschaft die Genauigkeit, Vollständigkeit und Glaubwürdigkeit von Informationen sicherstellt) Vertraulichkeit (der Schutz der Eigenschaft von Informationen, dass diese nur der autorisierten natürlichen oder juristischen Person oder Prozessen zugänglich oder bekannt gemacht werden) bei der Daten- und Informationsverarbeitung gewährleistet werden. Einzelheiten können der Abb. 2 auf der nächsten Seite entnommen werden. Im Kontext der Private Cloud gilt es darüber hinaus auch weitere abgeleitete Sicherheitsziele aus den drei Hauptkategorien zu erfüllen und folgende Anforderungen an die Informationsverarbeitung sicherzustellen. Hierzu zählt zum Beispiel Konformität auch bekannt unter dem Begriff Compliance, was sinngemäß die Einhaltung von Gesetzen, Regelungen und Normen bedeutet. Darüber hinaus auch die Forderung nach einer effektiven, effizienten und ökonomischen Informationsverarbeitung und natürlich die Forderungen nach Verbindlichkeit und Nichtabstreitbarkeit der Informationsinteraktionen. Für das Thema Virtualisierung und Plattformunabhängigkeit, was immer wieder als der große Vorteil von Cloud Umgebungen dargestellt wird, gibt es organisatorische Voraussetzungen die umgesetzt werden müssen, damit die virtuellen Serversysteme stabil und gesichert betrieben werden können. Servervirtualisierung erfreut sich aus Kosten- und Energiespargründen (Green IT) und als Basistechnologie für Cloud Computing Lösungen wachsender Beliebtheit. So stieg die Zahl der virtualisierten Server innerhalb der Berliner Verwaltung in 1/11 15

16 den letzten Jahren rasant an und auch in Zukunft ist mit einer steigenden Zahl virtueller IT-Systeme zu rechnen. Virtualisierung vereint jedoch die Risiken und Bedrohungen aus der physischen und der virtuellen Serverwelt. Firewalls, die als schützende Barriere vor ein Serversystem oder Netz gestellt werden, bieten innerhalb der virtualisierten Serverwelt unter Umständen keinen ausreichenden Schutz, da die Grenzen zwischen zwischen den Hardwaresystemen nicht mehr eindeutig abgrenzbar sind. Dies bringt zusätzliche Risiken mit sich, die zum einen technisch, jedoch auch organisatorisch gelöst werden müssen. Die folgenden fünf Beispiele stellen die Veränderung beim Betrieb dar: Die Administration der Serverund Anwendungsvirtualisierungsumgebung sowie die Konfiguration unterschiedlicher Netzwerk-segmente werden komplexer. Ehemals getrennte Aufgaben wie z.b. Serveradministration und Netzwerkmanagement werden vereint und stellen höhere Anforderungen an die Fachkenntnis und das Sicherheits- Know-how der Administratoren. Die Konsolidierung mehrerer physischer Server innerhalb virtueller Umgebungen muss die unterschiedlichen Vertrauensbzw. Sicherheitszonen der ehemals physischen Server mit berücksichtigen. Das virtuelle Server als File- Images vorliegen, die schnell eingerichtet, kopiert, verlagert und wiederhergestellt werden können, ergeben sich neben den vielfältigen Vorteilen auch höhere Risiken. Komplette virtuelle Serversysteme können z.b. auf einen portablen USB-Datenträger kopiert werden und damit nicht mehr einzelne Daten, sondern in einer ungeschützten Umgebung auch ganze Server entwendet werden. Abb. 2 Das Einrichten eines virtuellen Systems auf Basis einer früher gemachten Sicherung kann dazu führen, dass Server produktiv gehen, deren Patchlevel nicht mehr aktuell sind. Für den Serverlebenszyklus virtueller Systeme (z.b. Einrichtung, Support, Updates, Patching, Konfiguration oder das Ende der Nutzungszeit) werden infolge der Einfachheit und Schnelligkeit des Einrichtens hohe Anforderungen an die organisatorischen Regelungen beim produktiven Betrieb gestellt. Für die Gewährleistung der sicheren Kommunikation in die Cloud und innerhalb der Cloud sind die Definition und die Pflege aller Identitäten, Rechte und Rollen einer der zentralen Aufgaben des Sicherheitsmanagements. Darüber hinaus müssen hohe Anforderungen an die Zugriffskontrolle sowie die Verwaltung und die Trennung von Daten und Applikationen umgesetzt werden. Dynamische IT-Services als Cloud Service erfordern deshalb die Veränderungen der Prozesse des gesamten Servicemanagements und des zentralen Monitorings von Service Level Agreements. Es müssen effiziente Reporting- und Steuerungsmöglichkeiten geschaffen und klare Leistungsübergabepunkte definiert werden, damit letztendlich die Zusagen in Form der SLAs transparent und nachvollziehbar dargestellt werden können. Neben diesen exemplarisch genannten Risiken müssen gesetzliche, regulatorische und branchenspezifische Anforderungen (Compliance) eingehalten werden. Beispielhaft genannt im öffentlichen Bereich die Datenschutzanforderungen, aber auch zentrale Sicherheitsrichtlinien, Nachweis- und Sorgfaltspflichten und Vorsorgemaßnahmen im Kontext eines umfassenden unternehmensweiten 1/11 16

17 Cloud Com utin INNOVATIVE VERWALTUNG ARBEITET MIT DER CLOUD Die Government Cloud befindet sich innerhalb des geschlossenen und damit hochsicheren Berliner Landesnetzes (BeLa) unter Verwendung von zuverlässigen Zugangs- und Zugriffstechniken. Hochverfügbar. Systemmanagement und zentrale Monitoringtools sichern und optimieren den reibungslosen Betrieb. Wirtschaftlich. Durch die Einsparung physischer Hardware fallen geringere Investitionen sowie Wartungs- und Betriebskosten an. Infrastrukturen, Speicherkapazitäten und Software können jederzeit kurzfristig bedarfsgerecht und kundenspezifisch erweitert oder reduziert werden. Nachhaltig. Der Einsatz von Green IT mit modernster Technik zur Senkung der Stromund Klimatisierungskosten ist ein wesentlicher Bestandteil der Government Cloud. Ein vereinfachtes Betriebsmodell entlastet das Personal und bringt Effizienzsteigerungen im Verwaltungsalltag. Das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) ist einer der führenden kommunalen IT-Dienstleister in Deutschland. Weitere Informationen: Internet Intranet Moderne Perspektiven für die Verwaltung. ITDZ_51545_AZ_Cloud_Computing_176x251_R4.indd :39:15 Uhr 1/11 17

18 Risiko- und IT-Notfallmanagements. Beim Auf- und Ausbau der Cloud-Umgebung werden diese als Rahmenbedingungen berücksichtigt und entsprechend umgesetzt. Dies macht deutlich, dass in der Private Cloud für das Land Berlin nur eine Kombination aus technischen und organisatorischen IT- Sicherheitsmaßnahmen für den Produktivbetrieb bei der Bereitstellung von Cloud-Services realisiert werden muss. TONI SEIFERT ITDZ Berlin Informationssicherheit im ITDZ Berlin Obgleich das ITDZ Berlin als Anstalt öffentlichen Rechts rechtlich nicht den Status einer unmittelbaren Landesbehörde trägt, berücksichtigt es nicht nur die Regelungen und Vorgaben des IT-Koordinierungsausschusses des Landes Berlin, sondern gestaltet sie aktiv mit. Auch die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Form der IT-Grundschutzkataloge sowie der Standards bis 4 und die Datenschutzgesetze sind zu berücksichtigen. Nicht zuletzt gilt es auch noch die ISO-Normen der 27000er-Reihe umzusetzen. Diese befassen sich mit den Anforderungen für ein dokumentiertes Informationssicherheits-Managementsystem unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Damit ist der rechtliche Rahmen gedeckt, innerhalb dessen sich die Organisation der IT-Sicherheit bewegt. An der Spitze der IT-Sicherheitsorganisation steht der Vorstand. Er trägt Gesamtverantwortung und haftet letztendlich. Der IT-Sicherheitsbeauftragte leitet das IT- Sicherheitsmanagementteam im Auftrag des Vorstandes und ist für bereichsübergreifende Koordination von IT-Sicherheitsthemen und die Beratung des Vorstandes in IT-Sicherheitsfragen zuständig. Er entwickelt außerdem die übergreifenden IT- Sicherheitskonzepte weiter und steuert den gesamten Prozeß zur Gewährleistung der IT-Sicherheit unter Berücksichtigung der IT-Strategien der einzelnen Geschäftsbereiche. Wie ist Informationssicherheit im IT-Dienstleistungszentrum Berlin (ITDZ Berlin) organisiert und wie wird ein hohes Schutzniveau gewährleistet? Der folgende Beitrag soll einen Überblick geben. Der Begriff Informationssicherheit löst dabei den Begriff IT-Sicherheit ab und umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen. Das ITDZ Berlin betreibt als zentraler IT-Dienstleister des Landes Berlin im Auftrag verschiedenster Dienststellen eine Fülle von Verfahren und Anwendungen mit zum Teil hochsensiblen Daten. Dabei ist sowohl das Kundenspektrum als auch das Leistungsportfolio sehr breit und heterogen aufgestellt. Für diese Leistungserbringung bedarf es einer hochsicheren Infrastruktur und sicheren Prozessen als Basis. Weiterhin vertritt er das ITDZ Berlin und im Auftrag auch das Land Berlin in externen Gremien und Arbeitsgruppen, wie beispielsweise der AG IT-Sicherheit des IT-Koordinierungsausschusses des Landes Berlin oder der AG IT-Sicherheit und Datenschutz der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister Vitako. Außerdem arbeitet er eng mit den Beauftragten zu weiteren Sicherheitsthemen wie z.b. dem Geheimschutzbeauftragtem, dem Datenschutzbeauftragtem oder Brandschutzbeauftragtem zusammen. Das IT-Sicherheitsmanagementteam setzt sich aus Vertretern der verschiedenen Geschäftsbereiche zusammen. Aufgabe der Mitglieder ist es, die im IT-Sicherheitsmanagement behandelten Themen und Beschlüsse in die Geschäftsbereiche einzusteuern und umgekehrt die Interessen der Bereiche in das Gremium einzubringen. Soll wird gewährleistet, daß Informationssicherheit im ITDZ Berlin an den Anforderungen der Geschäftsbereiche ausgerichtet und kein Selbstzweck wird. Zur Zeit tagt das Team in der Gänze Quartalsweise. Die Mitglieder stimmen sich zu Einzelthemen jedoch auch zwischenzeitlich in Unterarbeitsgruppen ab. Die Mitglieder des IT-Sicherheitsmanagementteams sowie der IT-Sicherheitsbeauftragte sind jederzeit für alle Mitarbeitenden ansprechbar. KAI OSTERHAGE IT-Sicherheitsbeauftragter des ITDZ Berlin Foto: doug Olson - Fotolia.de 1/11 18

19 Der IT-Sicherheitsbeauftragte des ITDZ Berlin Mit Kai Osterhage, dem IT-Sicherheitsbeauftragten des ITDZ Berlin, verfügt der IT- Dienstleister über einen Mitarbeiter, der seinen Job als Herzensangelegenheit versteht. Und das ist gut so. Die Leistung des ITDZ Berlin wird nicht zuletzt daran gemessen, alles Menschenmögliche zu veranlassen, um die sensiblen Bürgerdaten des Landes Berlin vor unbefugtem Zugriff zu schützen. Dabei ist der IT-Sicherheitsbeauftragte in seiner täglichen Arbeit wie kaum ein zweiter vom Mitwirken aller Mitarbeitenden des Hauses und sogar im ganzen Land Berlin abhängig. Denn: IT-Sicherheit ist immer nur so stark, wie das schwächste Glied in der Kette. Die besten technischen Sicherheitsmaßnahmen schützen nicht vor der Nachlässigkeit eines Mitarbeitenden vom Praktikanten bis zum Netzwerkadministrator, hält Kai Osterhage fest. Foto: Archiv Das Arbeitsgebiet des IT-Sicherheitsbeauftragten umfasst mit der Verantwortung für die technische und organisatorische Umsetzung der IT-Sicherheitsrichtlinien des ITDZ Berlin die Koordination der Sicherheitsbelange und -maßnahmen des Hauses. Er berät die Hausführung, leitet und koordiniert das IT-Sicherheitsmanagement- Team, zusammengesetzt aus Vertretern aller Bereiche des Hauses. Darüber hinaus ist er zuständig für die bereichsübergreifenden Elemente der IT-Sicherheit. Kai Osterhage ist stellvertretender behördlicher Datenschutzbeauftragter und stellvertretender Risikomanager des ITDZ Berlin und arbeitet in der AG IT-Sicherheit des Landes Berlin sowie der Bundesarbeitsgemeinschaft der kommunalen IT- Dienstleister. Bei diesem breit gefassten und vielfältigen Arbeitsfeld ist es nicht verwunderlich, dass Kai Osterhage seinen Arbeitsalltag als von vielen Unterbrechungen geprägt beschreibt. Bei jeder Unterbrechung gilt es zudem, sich binnen kürzester Zeit in ein neues komplexes Projekt hineinzudenken. Wie erfolgreich der IT-Sicherheitsbeauftragte in seinem Job ist, lässt sich dabei nur schwer messen. Denn aussagekräftige Kennzahlen sind selten. Orientiert man sich beispielsweise an der Zahl der erkannten und abgewehrten Viren, weiß man noch immer nicht, wie viele Viren unerkannt geblieben sind. Neben der IT-Sicherheit spielt auch der Datenschutz eine wichtige Rolle. Bei dem Umbau des Unternehmensgeländes stellte sich beispielsweise die Frage, ob die Eingänge des Hauses videobewacht werden sollten. Das ist aus Sicherheitsgründen gewiss sinnvoll, aber auch ein Eingriff in die Persönlichkeitsrechte jedes Einzelnen, zeigt Osterhage die Konfliktlinien in seinem zweiten Arbeitsfeld auf. Den täglichen Herausforderungen begegnet Kai Osterhage mit jahrelanger Erfahrung auf dem Gebiet der IT-Sicherheit. Seit über 15 Jahren beschäftigt er sich, zunächst bei der Messe Berlin, dann bei der Beta Systems Software AG und im Unfallkrankenhaus Berlin, intensiv mit Virenbekämpfung und Firewall-Administration, dem sicheren Betrieb von Rechenzentren und dem Datenschutz. Darüber hinaus zeichnet ihn noch mehr aus als seine Erfahrung. Nicht nur im Beruf gehört er zu denjenigen, die sich darauf verlassen möchten, im entscheidenden Augenblick Unterstützung zu bekommen. Seit vielen Jahren arbeitet er ehrenamtlich für das Technische Hilfswerk (THW) und weiß im Ernstfall, wie sie helfen können. Ging es ihm als Junge noch darum mit einem großen Auto mit Blaulicht durch die Stadt zu fahren, so steht heute der freiwillige und unentgeltliche Einsatz im Mittelpunkt. Man kann nicht immer darauf warten, dass andere das machen, begründet er sein Engagement. Foto: Osterhage IT-Sicherheit und Datenschutz sind für mich die absolut wichtigsten Themen im IT-Bereich. Kai Osterhage, IT-Sicherheitsbeauftragter des ITDZ Berlin Und gerade weil Kai Osterhage die Erfahrung in der IT-Sicherheit mit der Bereitschaft, Verantwortung zu übernehmen verbindet, sollten sich die Mitarbeitenden der Berliner Verwaltung das Credo des IT-Sicherheitsbeauftragten des ITDZ Berlin zu Herzen nehmen: IT-Sicherheit erreicht man nicht dadurch, dass man einzelne Leute verantwortlich macht, sondern dadurch, dass Jeder täglich mitdenkt. KATRIN DIRKSEN ITDZ Berlin - Pressestelle 1/11 19

20 Informationssicherheit - ein ganzheitlicher Betrachtungsansatz Informationssicherheit hängt von allen Mitarbeitenden ab. Jeder ist hier in seinem persönlichen Umfeld gefordert, dieses Thema in seinen Arbeitsbereich zu integrieren und zu einem inhärenten Bestandteil der täglichen Arbeit zu machen. Aufgrund der steigenden Mobilität der Mitarbeitenden und Dienstleister und der breiten Verfügbarkeit von leistungsstarken mobilen Endgeräten führen viele Wege zu den Daten. Ansprüche auf Datenzugriff aus der Ferne steigen. Deshalb müssen alle Ebenen des Zutritts, Zugangs und Zugriffs mit einem einheitlichen Schutzniveau abgesichert sein. Der folgende Beitrag soll einen zwar umfassenden, jedoch nicht abschließenden Überblick verschaffen, in welchen Bereichen Informationssicherheitsmaßnahmen umgesetzt werden sollten und wie hoch Aufwand und Sicherheitsgewinn einzuschätzen sind. Für viele der genannten Maßnahmen gibt es bereits ausgereifte Software-Produkte am Markt. Gebäudesicherheit Zutrittskontrolle Grundsätzlich sollte für Sicherheitsbereiche eine Zutrittskontrolle mit mindestens zwei Faktoren (Wissen und Besitz) umgesetzt werden. Der Faktor Wissen kann z.b. in Form eines Passworts oder eines Pin-Codes abgefragt werden. Der Faktor Besitz hingegen kann über einen Dienstausweis (z.b. RFID) erfüllt werden. Wenn ein Faktor unsicher geworden ist, greift immer noch der Zweite. Unsichere Faktoren müssen jedoch ausgetauscht werden, damit das Gesamtsicherheitsniveau wieder über beide Faktoren erreicht wird. Aufwand: *** Sicherheitsgewinn: *** Überwachung Sicherheitsbereiche sollten optisch überwacht werden. Dabei kann davon ausgegangen werden, daß eine abschreckende Wirkung nicht nachweisbar ist. Es ergibt sich jedoch die Möglichkeit der reaktiven Aufklärung und Revisionssicherheit. Aufwand: *** Sicherheitsgewinn: * Reaktion auf Verstöße gegen Zutrittsregelungen Erfahrungen aus der Praxis zeigen, daß Mitarbeitende immer wieder gegen Zutrittsregelungen verstoßen. Die geschieht zum einen aus Nachlässigkeit und zum anderen deshalb, weil Zutrittseinschränkungen als bei der Aufgabenerfüllung hinderlich angesehen werden. Hier helfen nur nachhaltige Erziehung und Awareness-steigernde Maßnahmen. Auf Verstöße muß zeitnah reagiert werden. Aufwand: * Sicherheitsgewinn: ** Komponentensicherheit Zugangskontrolle Serverschränke sind oft unverschlossen und jeder, der Zutritt zum Raum hat, hat Zugang zu allen Schränken. Auch hier sollten Zugangsrechte granular umgesetzt werden, d.h. es bekommt nur derjenige einen Schlüssel für den Schrank, an dem er tatsächlich auch zu tun hat. Aufwand: ** Sicherheitsgewinn: ** Perimetersicherheit Firewalls Übergänge zwischen Netzen mit unterschiedlichem Schutzbedarf müssen über Firewalls abgesichert werden. Das Regelwerk der Firewalls muß regelmäßig revisioniert und Regeln, die nicht mehr benötigt werden, müssen entfernt werden. Aufwand: ** Sicherheitsgewinn: *** Intrusion Detection Systeme Es ist gut, die Grenzen des Netzes nach außen abzusichern. Besser ist es jedoch, auch zu wissen, welcher problematische Verkehr im Netz unterwegs ist. IDS-Systeme versuchen, Angriffe aufzudecken und nach Möglichkeit automatisiert Gegenmaßnahmen zu ergreifen. Aufwand: * Sicherheitsgewinn: *** Data Loss Prevention Es sollte dafür gesorgt werden, daß Mitarbeitende keine Dokumente oder Dateien unkontrolliert kopieren und außerhalb des kontrollierten Netzes verbringen. Diese Aufgabe übernehmen DLP-Systeme. Aufwand: *** Sicherheitsgewinn: ** Absicherung von Fernzugriffen mittels VPN Alle Zugriffe aus der Ferne (Mitarbeitende, Dienstleister) in das Netzwerk der Organisation über das Internet müssen mittels VPN gegen unbefugtes 1/11 20

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

IT-Dienstleistungszentrum Berlin 2005 2010

IT-Dienstleistungszentrum Berlin 2005 2010 IT-Dienstleistungszentrum Berlin 2005 2010 ITDZ Berlin - Lösungspartner für maßgeschneiderte IT-Dienstleistungen» Private Cloud für das Land Berlin «31.08.2010, Dipl.-Ing. René Schröder, Leiter der Produktion

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Ihr Michael Weyergans Geschäftsführung und Consulting

Ihr Michael Weyergans Geschäftsführung und Consulting MW Datentechnik- Ihr IT-Service-Partner für die Region Köln/Bonn Wir sind Ihr IT-Spezialist im Raum Köln, Bonn und Umgebung. Unser umfangreicher IT-Service steht Ihnen dabei für kleinere und größere Unternehmen

Mehr

Mitteilung zur Kenntnisnahme

Mitteilung zur Kenntnisnahme 17. Wahlperiode Drucksache 17/2440 07.09.2015 Mitteilung zur Kenntnisnahme Datenschutz: Förderung benutzerfreundlicher und sicherer E-Mail-Anwendungen im Land Berlin Drucksachen 17/1861 und 17/2090 und

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

(IT-SICHERHEITSRICHTLINIE)

(IT-SICHERHEITSRICHTLINIE) Senatsverwaltung für Inneres 1 1 RICHTLINIE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSRICHTLINIE) Senatsverwaltung für Inneres Ressortübergreifendes

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

Informationssicherheitsleitlinie

Informationssicherheitsleitlinie Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.

Mehr

IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie

IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie PRÄSIDIUM Präambel Die Leistungsfähigkeit des Karlsruher Instituts für Technologie (KIT) hängt maßgeblich von der Verfügbarkeit und

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

it & tel complete concepts (Informationstechnologie & Telekommunikation)

it & tel complete concepts (Informationstechnologie & Telekommunikation) it & tel complete concepts (Informationstechnologie & Telekommunikation) Individuelle Komplettlösungen für die Business-Kommunikation Standortvernetzung Internet Security Datensicherung Telefonkonzept

Mehr

Verschlüsselung von VoIP Telefonie

Verschlüsselung von VoIP Telefonie Verschlüsselung von VoIP Telefonie Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 2 VoIP-Grundlagen Im Unterschied zur klassischen Telefonie werden bei VoIP keine dedizierten Leitungen

Mehr

Die Senatorin für Finanzen. Vortrag

Die Senatorin für Finanzen. Vortrag Vortrag Nationaler Plan zum Schutz der Informationsinfrastrukturen Ressortübergreifend abgestimmte IT- Sicherheitsstrategie für Deutschland Drei strategische Ziele Prävention: Informationsinfrastrukturen

Mehr

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Komplexität steigt > Wachsende Abhängigkeit von der IT Steigende

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

IT-Sicherheit im Land Bremen

IT-Sicherheit im Land Bremen BREMISCHE BÜRGERSCHAFT Drucksache 18/633 Landtag 18. Wahlperiode 06.11.2012 Antwort des Senats auf die Kleine Anfrage der Fraktion der CDU IT-Sicherheit im Land Bremen Antwort des Senats auf die Kleine

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

IT-Sicherheitslage im Mittelstand 2011

IT-Sicherheitslage im Mittelstand 2011 IT-Sicherheitslage im Mittelstand 2011 Deutschland sicher im Netz e.v. Katrin Böhme Referentin für IT-Sicherheit 22. Februar 2012 Über DsiN Zentraler Ansprechpartner DsiN informiert umfassend herstellerübergreifend

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 PROAKTIVER SCHUTZ FÜR IHRE DATEN Nur eine Firewall, die kontinuierlich

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne Perspektiven für die Verwaltung. Private Cloud Computing

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Unified Communication Effizienter kommunizieren. 20 Jahre Technologie, die verbindet.

Unified Communication Effizienter kommunizieren. 20 Jahre Technologie, die verbindet. Unified Communication Effizienter kommunizieren 20 Jahre Technologie, die verbindet. Einleitung Wege in eine neue Kommunikation Unified Communication (UC) gestaltet Kommunikationsprozesse in Unternehmen

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

FIRMENPROFIL. Virtual Software as a Service

FIRMENPROFIL. Virtual Software as a Service FIRMENPROFIL Virtual Software as a Service WER WIR SIND ECKDATEN Die ViSaaS GmbH & Co. KG ist Ihr professioneller Partner für den Bereich Virtual Software as a Service. Mit unseren modernen und flexiblen

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

KUBUS-SYSTEMS IT-BERATUNG

KUBUS-SYSTEMS IT-BERATUNG Kubus-Systems KUBUS-SYSTEMS IT-BERATUNG Kubus-Systems // IT-Beratung IT-BERATUNG Mit jedem Erfolg eines Unternehmens gehen auch spezielle Anforderungen an die technische Infrastruktur und Netzwerkpflege

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Einführung und Umsetzung eines IT-Sicherheitsmanagements

Einführung und Umsetzung eines IT-Sicherheitsmanagements Einführung und Umsetzung eines IT-Sicherheitsmanagements Datum: 22.09.15 Autor: Olaf Korbanek IT Leiter KTR Kupplungstechnik GmbH AGENDA Vorstellung KTR Kupplungstechnik IT-Sicherheit ein weites Feld IT-Sicherheit

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin» Cloud Computing in der öffentlichen Verwaltung«-Behörden Spiegel Forum- 28.10. 2010, Thomas Feike Senior Produktmanager Integrationsprodukte Moderne n für die Verwaltung.

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

In guten Händen. Ihr Partner mit Freude an der Qualität

In guten Händen. Ihr Partner mit Freude an der Qualität In guten Händen Ihr Partner mit Freude an der Qualität Möchten Sie die gesamte IT-Verantwortung an einen Partner übertragen? Oder suchen Sie gezielte Unterstützung für einzelne IT-Projekte? Gerne sind

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen Information als Erfolgsfaktor Ihres Unternehmens Der Erfolg eines Unternehmens hängt von der Schnelligkeit ab, mit der es seine Kunden erreicht. Eine flexible, zukunftsorientierte und effiziente Infrastruktur

Mehr

Technologie für eine bessere Welt mit Sicherheit smarter

Technologie für eine bessere Welt mit Sicherheit smarter Technologie für eine bessere Welt mit Sicherheit smarter Dr. Lothar Mackert Vortrag beim IT-Sicherheitskongress 2011 Bonn, 12. April 2011 Technologie für eine bessere Welt - ein er Planet Supply Chains

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

De-Mail. So einfach wie E-Mail und so sicher wie die Papierpost. Dr. Jens Dietrich Projektleiter De-Mail IT-Stab im Bundesministerium des Innern

De-Mail. So einfach wie E-Mail und so sicher wie die Papierpost. Dr. Jens Dietrich Projektleiter De-Mail IT-Stab im Bundesministerium des Innern De-Mail So einfach wie E-Mail und so sicher wie die Papierpost Dr. Jens Dietrich Projektleiter De-Mail IT-Stab im Bundesministerium des Innern Berlin, 21. September 2010 1 Agenda 1 Motivation und Leitlinien

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Cyber-Sicherheits-Exposition

Cyber-Sicherheits-Exposition BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

COMPACT. microplan ASP IT-Sourcing. Ihre EDV-Infrastruktur aus der Steckdose. Kurz und knapp und schnell gelesen!

COMPACT. microplan ASP IT-Sourcing. Ihre EDV-Infrastruktur aus der Steckdose. Kurz und knapp und schnell gelesen! COMPACT Kurz und knapp und schnell gelesen! microplan ASP IT-Sourcing Ihre EDV-Infrastruktur aus der Steckdose 2 microplan IT-Sourcing Beste Leistung bei kalkulierbaren, monatlichen Kosten - auch für kleine

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz von IT-Dienststrukturen durch das DFN-CERT Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz - Warum? Folie 2 Schutz - Warum? (1) Schutz von IT-Dienststrukturen immer bedeutsamer:

Mehr

DATENBLATT. Deutsche IT-Monitoring Software. Fon: 0 68 81-9 36 29 77 Fax: 0 68 81-9 36 29 99. Koßmannstraße 7 66571 Eppelborn

DATENBLATT. Deutsche IT-Monitoring Software. Fon: 0 68 81-9 36 29 77 Fax: 0 68 81-9 36 29 99. Koßmannstraße 7 66571 Eppelborn DATENBLATT Datenblatt IT Monitoring mit bedeutet Monitoring von Hardware, Software, Netzwerke und Kommunikation. bietet Lösungsansätze, mit denen Partner die Anforderungen ihrer Kunden optimal bedienen

Mehr

Sind Sie (sich) sicher?

Sind Sie (sich) sicher? Sind Sie (sich) sicher? Unabhängiger Unternehmensberater für IKT Allgemein beeideter und gerichtlich zertifizierter Sachverständiger Fachgruppenobmann UBIT WK Steiermark Lektor FH Campus02 Leistungen Als

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Moderner Schutz gegen aktuelle Bedrohungen

Moderner Schutz gegen aktuelle Bedrohungen Moderner Schutz gegen aktuelle Bedrohungen Die Lösungen der PROFI AG Die Lösungen der PROFI AG Firewall Protection Content Security Data Encryption Security Services IT-Security von PROFI Sind Sie schon

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

Mobile Geräte in der Verwaltung

Mobile Geräte in der Verwaltung 8. Tagung der DFN-Nutzergruppe Hochschulverwaltung "Bologna online" 07.- 09. Mai 2007 Dipl.-Inform. RD Hans-Rudi Rach Mai 2007 / 1 Inhalt Risiken für Datenschutz und Datensicherheit Ganzheitliches Sicherheitskonzept

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

IT Security Investments 2003

IT Security Investments 2003 Auswertung der Online-Befragung: IT Security Investments 2003 Viele Entscheidungsträger sehen die IT fast nur noch als Kostenträger, den es zu reduzieren gilt. Unter dieser Fehleinschätzung der Bedeutung

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr