E-Government und Cyber-Security (E-Government als kritische Infrastruktur)

Transkript

1 E-Government und Cyber-Security (E-Government als kritische Infrastruktur) Dr. Otto HELLWIG ADV E-Government und CIIP 1

2 Überblick > Anmerkungen zu kritischen Informationsinfrastrukturen (CII) > Nationale Ansätze zum Schutz von E-Government > Wie kann es weitergehen? ADV E-Government und CIIP 2

3 Kritische Informationsinfrastrukturen (CII) CII Konzept Nationale Policies A, USA, D, CH, AUS, IN Internationale Policies EU, UNO, G8, OECD Erwartungen (Verfügbarkeit ) Übungen CII Methoden SLA Malware Bedrohung Warnsysteme CERT Incidents Vorfälle Kritische Informationsinfrastrukturen Information processes supported by Information and Communication Technology (ICT) that are critical infrastructures for themselves or that are critical for the operation of other critical infrastructures. (CI2RCO) Härtung E-Government K-Fall Vorsorge Backup RZ

4 WEF Report Global Risks 2008 WEF: World Economic Forum (Davos) ADV E-Government und CIIP 4

5 Kritische Informations- Infrastrukturen > Interesse für Gesamtsystem z.b. Stromversorgung (für ein Land, eine Region) nicht für Einzelapplikationen nicht für ersetzbare Systeme > Zusammenhang mit den anderen Systemen von kritischen Infrastrukturen z.b. Telekommunikation > Was ist das Cyber Risiko? ADV E-Government und CIIP 5

6 Incidents > Estland April/Mai 2007 Angriff auf Regierungshomepages legt diese tagelang lahm Estland bei E-Government ein sehr hoch entwickeltes Land (Platz 2 bzw. 3 im EU- Benchmark 2006) > Deutschland April 2007 ANI-Exploit (Animierte Cursor Dateien) beeinträchtigt Elektronische Steuererklärung (ELSTER) ADV E-Government und CIIP 6

7 Sektorielle Betrachtung E-Government: Komplexität > Gewaltentrennung: Legislative, Exekutive, Justiz > Verwaltungsebenen: Bund, Land, Stadt, Gemeinde > Verwaltungsbereiche: Finanz, Bauwesen, Soziales, Statistik, Bildung > Eine Unmenge von unabhängigen Behörden (Tausende) müssen kooperieren > Kein einheitlicher organisatorischer Überbau > Sehr hohe Komplexität insbesondere bei der Steuerung ADV E-Government und CIIP 7

8 Sektorielle Betrachtung Sensibilität > Bis vor kurzem kritische Anwendungen abgeschottet nach außen (z.b. Budget, Besoldung, Finanz) > Integrative E-Government Applikationen vernetzen und öffnen diese Inseln > E-Voting, Gesetzeswerdung und Verlautbarung stoßen in demokratiepolitisch sensible Bereiche vor > Bei Stromversorgung gibt es einheitliche Aufgaben: in der Verwaltung/Regierung gibt es die unterschiedlichsten sensiblen Aufgaben > Durch Intensivierung der IKT-Unterstützung wächst Abhängigkeit > Bislang kaum Gesamtsicht, wenig gemeinsame übergreifende Risikoüberlegungen ADV E-Government und CIIP 8

9 Nationale Vorgangsweisen Kein State of the Art > Rechtliche Regelung (z.b. USA) > Zentrale IKT-Zuständigkeit (ISB in der Schweiz) > Zentrale IT-Sicherheitsbehörde (BSI Deutschland) > Zentrale Koordinationsstelle (Plattform digitales Österreich) > Einzelregelungen (erecht in Österreich) > OECD-Policy-Ansatz > Globale Risikoüberlegungen des WEF (World Economic Forum) ADV E-Government und CIIP 9

10 FISMA USA > Federal Information Security Act als Teil des Electronic Government Act 2002 > Gilt nur auf Bundesebene > Umfangreiche Standards (NIST) zur Unterstützung der Ministerien und Agenturen ADV E-Government und CIIP 10

11 ADV E-Government und CIIP 11

12 OECD: Reviews of Risk Management Policies, Norway, INFORMATION SECURITY, 2006 > IKT-Systeme wesentlich für Verwaltungstätigkeit > Bei Einzelsystemen schon seit vielen Jahren (z.b. Finanzbehörden) > Risikoerhöhung durch intensivere Abhängigkeit von IKT durch Vernetzung durch integrierte Verfahren ADV E-Government und CIIP 12

13 OECD Vorgangsweise Überprüfung Auditing the operation of the standards Einheitliche IT-Sicherheits-standards Setting security standards, including legislation and regulations Unterstützung der Behörden Klare Verantwortungen in Regierung und Verwaltung Providing advice on the implementation and operation of the standards ADV E-Government und CIIP 13

14 World Economic Forum Vorgangsweise (aus Global Risks 2007 ) > Breakdown of critical information infrastructures (CII) ist eines von 23 core global risks > 5 Pathways to Mitigation Improving insight: moving risks from the unknown to the known through research. The best mitigation strategies often derive from the changed mindset which can result from enhanced knowledge and information. Enhancing information flow: allowing information to flow effectively between decision-makers and those experiencing the risk first-hand, to provide early warning, inform the public and exchange best practice. Implementing through institutions: improving (or creating) the framework needed to mitigate risks for which an institutional response is required. ADV E-Government und CIIP 14

15 Vergleich der Vorgangsweisen Bund USA CH OECD Land Kanton D A WEF Gemeinde/Stadt Einzelbehörde Übergreifend ADV E-Government und CIIP 15

16 Schlussfolgerungen > Sensible E-Government Anwendungen sind Teil der kritischen Informationsinfrastrukturen > Aufgrund Vielschichtigkeit und der Vernetzung der Verwaltung und Regierung sind gesamtheitliche Schutzkonzepte notwendig > Nationale Unterschiede aufgrund unterschiedlicher Verwaltungsstrukturen und -kulturen (Zentrale) koordinierte Vorgangsweise mit gemeinsamen Standards Klar definierte Verantwortlichkeiten und organisierte Informationsflüsse Forschung ADV E-Government und CIIP 16