Informationssicherheit in Sachsen 4. Workshop der GDI Sachsen am 23. September 2014

Größe: px

Ab Seite anzeigen:

Download "Informationssicherheit in Sachsen 4. Workshop der GDI Sachsen am 23. September 2014"

Lars Fried
vor 8 Jahren
Abrufe

1 4. Workshop der GDI Sachsen am 23. September 2014 Übersicht Informationssicherheit und Cybersicherheit Cybersicherheit: Verfolgung von Onlinekriminalität, Schutz des Bürgers und der kritischen Infrastrukturen wie Wasser- und Stromversorgung Informationssicherheit: Schutz der Behörden und internen Verwaltungsnetze, Sensibilisierung der Verwaltungsmitarbeiter Beauftragte für Informationssicherheit (BfIS) BfIS Land (im SMJus): zentrale Sicherheitsinstanz, keine operativen Aufgaben, steuert Umsetzung einer Informationssicherheitsorganisation im Land Sachsen BfIS der Ressorts und Behörden: zuständig für alle operativen und koordinierenden Belange der Informationssicherheit im Ressort bzw. der Behörde September 2014 Christoph Damm 1

und Stromversorgung Informationssicherheit: Schutz der Behörden und internen Verwaltungsnetze, Sensibilisierung der Verwaltungsmitarbeiter Beauftragte für Informationssicherheit (BfIS)

2 Übersicht September 2014 Christoph Damm Übersicht VwV Informationssicherheit Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung vom 7. September 2011 Link: Wichtige Festlegungen Betonung der Eigenverantwortung der Behördenleitungen Aufbau einer Informationssicherheitsorganisation mit den BfIS in allen Ressorts, der AG Informationssicherheit und dem CERT im SID Einsatz von BSI Grundschutz ist maßgeblich für die Landesverwaltung September 2014 Christoph Damm 2

Informationssicherheit in der Landesverwaltung vom 7. September 2011 Link: http://revosax.sachsen.de/text.link?

3 BSI Grundschutz IT-Grundschutz-Standards und -Kataloge enthalten Vorgaben für technische, infrastrukturelle, organisatorische und personelle Informationssicherheitsmaßnahmen IT-Grundschutz-Standards (Methoden, Prozesse, Vorgehensweisen) BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement IT-Grundschutz-Kataloge (Bausteine, Maßnahmen- und Gefährdungskataloge) ca. alle 2 Jahre aktualisierte Ergänzungslieferungen September 2014 Christoph Damm BSI Grundschutz September 2014 Christoph Damm 3

BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement

4 Herausforderungen auch nur teilweise Umsetzung BSI Grundschutz ist anspruchsvolle Aufgabe aber: nur wenige Ressorts und Behörden haben hauptamtliche BfIS bestellt BSI fordert die Erstellung von Leitlinien und Sicherheitskonzepten aber: die praktische Informationssicherheit darf nicht vernachlässigt werden die Gefährdungslage im Bereich Informationssicherheit nimmt ständig zu aber: der Personalabbau trifft auch die IT und die Informationssicherheit Ein kleiner Ausflug in die Praxis September 2014 Christoph Damm Sicherheitstest GDI Sachsen September 2014 Christoph Damm 4

nicht vernachlässigt werden die Gefährdungslage im Bereich Informationssicherheit nimmt ständig zu aber: der Personalabbau trifft auch die IT und

5 Sicherheitstest GDI Sachsen Das sind 134 Namen und zugehörige -Adressen in 73 Behörden September 2014 Christoph Damm Sicherheitstest GDI Sachsen und 60 besonders schützenswerte Server mit HTTPS-Verschlüsselung als Grundlage für eine Sicherheitsprüfung (über September 2014 Christoph Damm 5

September 2014 Christoph Damm Sicherheitstest GDI Sachsen und 60 besonders

6 Sicherheitstest GDI Sachsen Das Ergebnis: 60 Prozent der besonders schützenswerten Internetseiten der geodatenhaltenden Stellen in Sachsen sind mit der schlechtesten Sicherheitsbewertung F einzustufen. Dabei sind Internetseiten die sensibelsten Punkte im Netzwerk, da diese aus der Ferne angegriffen werden können. A A- B C F September 2014 Christoph Damm Testauswertung GDI Sachsen BSI, Technische Richtlinie TR : SSL v2 und SSL v3 dürfen nicht mehr eingesetzt werden. Der Verschlüsselungsalgorithmus RC4 weist erhebliche Sicherheitsschwächen auf und darf nicht mehr eingesetzt werden. Session Renegotiation darf nur auf Basis von [RFC5746] verwendet werden. Durch den Client initiierte Renegotiation sollte vom Server abgelehnt werden. Kann nicht sichergestellt werden, dass alle Daten eines Datenpakets von dem korrekten und legitimen Verbindungspartner stammen, so darf die TLS- Datenkompression nicht verwendet werden. Und die einzelnen Testergebnisse September 2014 Christoph Damm 6

September 2014 Christoph Damm Testauswertung GDI Sachsen BSI, Technische Richtlinie TR-02102-2: SSL v2 und SSL v3 dürfen nicht mehr eingesetzt werden.

7 Testauswertung GDI Sachsen Häufigste Sicherheitsprobleme: Zertifikate, SSL 2 und 3, RC 4...aber auch heute gibt es noch von Heartbleed verwundbare Seiten! September 2014 Christoph Damm Testauswertung GDI Sachsen Sehr häufig: Zertifikatsfehler (z.b. Name des Zertifikats passt nicht zu Name des Servers, auf dem es eingespielt wurde oder Zertifikat ist selbst erstellt) September 2014 Christoph Damm 7

8 Testauswertung GDI Sachsen Auswirkung von Zertifikatsfehlern: massive Sicherheitswarnungen beim Nutzer September 2014 Christoph Damm Übersicht Testergebnisse Ja Nein Nein Nein Ja Ja SSL v2 RC4 SSL v3 Nein Ja Nein Ja Zertifikatsfehler Sonstige schwere Fehler September 2014 Christoph Damm 8

September 2014 Christoph Damm Übersicht Testergebnisse Ja Nein Nein Nein Ja

9 Mögliche Auswirkungen September 2014 Christoph Damm Handlungsempfehlungen Positivbeispiel: Absicherung des SVN SVN als geschlossenes, vom Internet abgekoppeltes Behördennetz Externer Auftragnehmer sichert Betrieb nach BSI Grundschutz (Zertifizierung ist vorbereitet) und bietet sicheres Webseitenhosting für SVN-Teilnehmer an Absicherung des Internetübergangs in den zentralen Diensten mit Virenschutz, Anti-Malware, Firewalls, Reverse-Proxys und Angriffserkennungssystem 2013 wurden so Angriffe auf das SVN abgewehrt, über 93 Mio. Spam-E- Mails abgewiesen, fast Viren gefunden und entfernt und über Schadprogramme im Internetverkehr entdeckt und unschädlich. Bisher keine ernsten Sicherheitsvorfälle bekannt September 2014 Christoph Damm 9

BSI Grundschutz (Zertifizierung ist vorbereitet) und bietet sicheres Webseitenhosting für SVN-Teilnehmer an Absicherung des Internetübergangs in den zentralen Diensten mit Virenschutz,

10 Handlungsempfehlungen BSI ist in der Bundes- und Landesverwaltung seit langem gesetzt. Dadurch liegen genügend Handlungserfahrungen vor - wenn man fragt ein theoretisches Abarbeiten von BSI-Grundschutz top-down ohne Gewährleistung der praktischen Informationssicherheit ist fahrlässig! Empfehlungen: Ressourcenfrage ist Priorität hauptamtlichen BfIS benennen oder extern beauftragen Arbeit an Leitlinie und Konzepten beginnen, aber parallel Anwendung von Maßnahmen aus BSI Grundschutz an wichtigen Einzelprojekten erproben Kontakt zu anderen Stellen suchen September 2014 Christoph Damm Handlungsempfehlungen Beispiel Sicherheit der Internetseiten und -dienste Handlungsempfehlungen der AG Informationssicherheit zum verbesserten Einsatz von Verschlüsselungsverfahren liegen seit April 2014 vor Bestätigung der Handlungsempfehlungen (15 Maßnahmen) durch den AK ITEG Aufnahme in den Landtagsbericht Informationssicherheit erhöhen! und in den Handlungsleitfaden zum Sächsischen E-Government-Gesetz Handlungsempfehlungen beschreiben konkrete Maßnahmen zur Verbesserung der Informationssicherheit der Internetseiten und -dienste in Form von Schritt-für- Schritt-Anleitungen z.b. für Webserver unter Microsoft IIS und Apache oder für Mailsysteme unter Microsoft Exchange und Outlook Handlungsempfehlungen Verschlüsselung sind z.b. über BfIS Land erhältlich September 2014 Christoph Damm 10

Empfehlungen: Ressourcenfrage ist Priorität hauptamtlichen BfIS benennen oder extern beauftragen Arbeit an Leitlinie und Konzepten beginnen, aber parallel Anwendung von Maßnahmen aus BSI Grundschutz

11 Zusammenfassung Es gibt viel zu tun - bitte unterstützen Sie die Umsetzung wirksamer Maßnahmen zur Erhöhung der Informationssicherheit in Ihrem Bereich! Ihre Fragen: BfIS Land / bfis-land@smj.justiz.sachsen.de / Tel September 2014 Christoph Damm 11

in Ihrem Bereich! Ihre Fragen: BfIS Land / E-Mail bfis-land@smj.

Ähnliche Dokumente

Informationssicherheit

Informationssicherheit Informationssicherheit im Freistaat Sachsen Eine moderne Verwaltung funktioniert heutzutage nicht mehr ohne Computer. Als Dienstleister stellt der Freistaat Sachsen für Bürger und