IT ist Nebenaufgabe (z.b. mit 0,5 Stellenanteilen) IT-Know-How eher generalistisch Internes IT-Sicherheits-Know-How oft nicht vorhanden

Transkript

1 Folie 01 von 21

2 Sehr unterschiedliche Organisationsgrößen Kleine, meist ländliche, teils ehrenamtlich geführte Kommunen haben bei großer Aufgabenbreite wenig Mitarbeiterinnen und Mitarbeiter IT ist Nebenaufgabe (z.b. mit 0,5 Stellenanteilen) IT-Know-How eher generalistisch Internes IT-Sicherheits-Know-How oft nicht vorhanden Folie 02 von 21

3 Stabiler IT-Betrieb wird dort häufig durch Outsourcing gewährleistet Rückgriff auf (lokale) Dienstleister Nutzung der Dienstleistungen von Zweckverbänden Ergebnis: IT-Projekte und Regelbetrieb sind wenig auffällig Sicherheitsvorfälle haben häufig begrenzte Folgen und moderate Öffentlichkeitswirksamkeit Folie 03 von 21

4 Nutzung von Sozialen Netzwerken, Online-Diensten und Cloud-Services gewinnt an Bedeutung Insb. bei Verarbeitung von personenbezogenen Daten sind aus datenschutzrechtlicher Sicht Sicherheitsfragen zu beleuchten Das Facebook-Urteil vom 5. Juni 2018 des EUGH stellt die Verantwortung für die Verarbeitung personenbezogener Daten der nutzenden Organisationen fest Diese Feststellung gilt auch im Kontext der DSGVO Folie 04 von 21

5 Die Bedrohungslage entspricht im Wesentlichen der von kleinen und mittleren Unternehmen: Externe Angriffe sind eher ungerichtet, d.h. Kommunen sind mit den Folgen gängiger und nicht auf die Verwaltung gezielten SPAM-Wellen und gängiger Schadsoftware (z.b. Ransomware) konfrontiert Selten werden Angriffe auf Web-Services beobachtet (meist mit allgemein bekannten Werkzeugen) Folie 05 von 21

6 Bislang ist kein Fall gezielter Angriffe auf die Kommunalverwaltung bekannt geworden, der eine vergleichbare Professionalität und Individualität aufweist, wie sie im Bereich von DAX-Konzernen oder dem Bundestag beobachtet wurde. Folie 06 von 21

7 Folie 07 von 21

8 SiKoSH-Video s. YouTube Stichwort SiKoSH Folie 08 von 21

9 Ziel: Etablierung eines angemessenen und möglichst einheitlichen Sicherheitsniveaus (Basisabsicherung) in den Kommunalverwaltungen Schleswig-Holsteins orientiert am BSI-Grundschutz Unterstützung beim Aufbau ISMS inkl. Dokumentation Handreichungen Auf- und Ausbau einer Sicherheitskultur (Awareness) Unterstützung des Datenschutzmanagements Sicherung der Nachhaltigkeit Folie 09 von 21

10 Einfaches Einstiegsframework - speziell für kommunale Anwender 100% kompatibel zum BSI- Grundschutz Erläutert die Umsetzungsphasen und verweist auf Begleitdokumente ( Kochbuch ) Ist im kommunalen Arbeitsalltag umsetzbar Folie 10 von 21

11 Temporäre Informationssicherheitsorganisation initiiert ISMS Aufbau- und Ablauforganisation Leitlinien Quickcheck 1 (QC 1) Anwareness Sensibilisierung Schulung QC 2 Standards Übergreifende Aspekte (Freigaben, Malware, etc.) QC 3 Allgemein Gebäude Einkauf und Entsorgung - Auftrags-DV QC 5-7 Sicherheitskonzept Technik Systeme, Verzeichnisdienst, QC 8-11 Verfahren Rollen und Rechte QC 12 Notfall Notfallkonzept QC 13 Querschnittsprüfung QC 14 Folie 11 von 21

12 Temporäre Organisation Bestandsaufnahme Grundlagen schaffen ISMS Organisationsstruktur aufbauen Erste Umsetzungsschritte Behördenleiter, IT- Leiter, bdsb, Personalrat Leitlinie vorhanden ISB bestellt? Prozesse geregelt? Quickcheck 1 Behördenleiter einbinden Leitlinie erstellen Handreichung für Behördenleiter Muster Informationssicherheitsleitlinie Rollen besetzen Aufgaben abgrenzen Bestellung ISB Schulung ISB Muster-Leitlinie ISMS / DSMS Empfehlung: Awareness Quickcheck 2 Sensibilisierungskampagne Folie 12 von 21

13 Temporäre Organisation Bestandsaufnahme Grundlagen schaffen ISMS Organisationsstruktur aufbauen Erste Umsetzungsschritte Behördenleiter, IT- Leiter, bdsb, Personalrat Leitlinie vorhanden ISB bestellt? Prozesse geregelt? Quickcheck 1 Behördenleiter einbinden Leitlinie erstellen Handreichung für Behördenleiter Muster Informationssicherheitsleitlinie Rollen besetzen Aufgaben abgrenzen Bestellung ISB Schulung ISB Muster-Leitlinie ISMS / DSMS Empfehlung: Awareness Quickcheck 2 Sensibilisierungskampagne Folie 14 von 21

14 Temporäre Informationssicherheitsorganisation initiiert ISMS Aufbau- und Ablauforganisation Leitlinien Quickcheck 1 (QC 1) Anwareness Sensibilisierung Schulung QC 2 Standards Übergreifende Aspekte (Freigaben, Malware, etc.) QC 3 Allgemein Gebäude Einkauf und Entsorgung - Auftrags-DV QC 5-7 Sicherheitskonzept Technik Systeme, Verzeichnisdienst, QC 8-11 Verfahren Rollen und Rechte QC 12 Notfall Notfallkonzept QC 13 Querschnittsprüfung QC 14 Folie 15 von 21

15 91% of cyberattacks start with a phishing (Steve Zurier) Die SiKosH-Sensibilisierungskampagne stärkt die Fähigkeit gute s/Websites von schlechten s/Websites zu unterscheiden Welche Meldung ist Ihnen sympathischer? Folie 16 von 21

16 archiv/leseproben/2018/ fishermans-foe/ Folie 17 von 21

17 100-2 (ISIS 12, SiKoSH 1-3, kompletter GS) (kommunales GS-Profil als Einstieg) Strukturanalyse Maßnahmen optional mit Schutzbedarfsfeststellung Managementsummary Risikoanalyse Der Behördenleiter ist in der Lage das von ihm zu vertretende Risiko zu beurteilen. für erhöhten Schutzbedarf Folie 18 von 21

18 Die Vorgehensweise und alle Hilfsmittel, wie z.b. Richtlinien und Quickchecks stehen zum Download bereit unter Folie 19 von 21

19 Alle SiKoSH-Hilfsmittel sind unter verfügbar. Sie sind nach CC BY-NC-SA zur kostenlosen Nutzung freigegeben. Folie 20 von 21

20 Vielen Dank für Ihre Aufmerksamkeit Kontaktadressen: KomFIT: Folie 21 von 21