Datensicherheit in BundOnline 2005
Größe: px
Ab Seite anzeigen:

Download "Datensicherheit in BundOnline 2005"

Transkript

1 Aufsätze Datensicherheit in BundOnline 2005 Die Virtuelle Poststelle des Bundes und ihr generisches Sicherheitskonzept Sönke Maseberg, Christian Mrugalla, Matthias Intemann Ein wichtiger Baustein für das E- Government in Deutschland ist die Virtuelle Poststelle des Bundes, deren Anforderungen an einen sicheren und datenschutzkonformen Betrieb nunmehr in einem Sicherheitskonzept formuliert worden sind. Dr. Sönke Maseberg Berater für Datenschutz und Datensicherheit, CC-Evaluator, datenschutz nord GmbH Dr. Christian Mrugalla IT-Sicherheitsberater, Projektleiter BundOnline Basiskomponente Datensicherheit, Bundesamt für Sicherheit in der Informationstechnik Dipl. Inform. Matthias Intemann Qualitätsmanagement, Produktentwicklung, bremen online services GmbH & Co. KG Einleitung Im Rahmen der Initiative BundOnline 2005 stellt die deutsche Bundesverwaltung ihre online-fähigen Dienstleistungen bis zum Jahr 2005 komplett im Internet zur Verfügung. 1 Als BundOnline 2005 Basiskomponente Datensicherheit wird unter fachlicher Projektleitung des BSI eine Virtuelle Poststelle (VPS) entwickelt und als Produkt bereitgestellt. 2 Anwendungen, welche mit signierten und/oder verschlüsselten Nachrichten umgehen müssen, können auf die dazu erforderlichen kryptographischen Dienste wie etwa Signaturerstellung und -prüfung sowie Ver- und Entschlüsselung über die Virtuelle Poststelle (VPS) serverbasiert zugreifen. Primäres Ziel der Entwicklung der VPS ist es, den praktischen Einsatz von Kryptographie im E-Government zu vereinfachen. Ähnliche Lösungsprinzipen werden derzeit auch in vielen Landes- und Kommunalverwaltungen konzipiert oder bereits eingesetzt. Als zentraler Sicherheitsserver darf die VPS natürlich ihrerseits nicht zum zentralen Sicherheitsrisiko werden. Sicherheitsaspekte sind daher bereits bei der Entwicklung der Virtuellen Poststelle berücksichtigt worden. Allerdings setzt ein sicherer Betrieb der VPS organisatorische, personelle, infrastrukturelle und technische Maßnahmen voraus, um zusammen mit den implementierten Sicherheitsmechanismen die Sicherheitsziele der Virtuellen Poststelle zu erfüllen. Diese Anforderungen, unter denen 1 Umfassende Informationen zu Zielen, Strukturen und Projekten sowie laufend aktualisierte Umsetzungsstände finden sich unter bundonline2005.de. 2 Weitere Informationen über das Projekt und das Produkt Basiskomponente Datensicherheit werden in der jeweils aktuellen Version auf der vom BSI betriebenen Web-Seite bereit gestellt: die Virtuelle Poststelle sicher betrieben werden kann, wurden identifiziert und in ein bestehendes IT-Sicherheitskonzept integriert. Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet hierfür eine praxisbewährte Herangehensweise [GSHB]. IT-Grundschutz eignet sich prinzipiell als Methodik für praktisch beliebige IT- Systeme und IT-Verbünde. Da aber Virtuelle Poststellen als Basiskomponenten in unterschiedlichen Szenarien für verschiedene Anwendungen zum Einsatz kommen können, was insbesondere auch den Schutzbedarf dieses Systems berührt, musste die IT-Grundschutz-Methodik entsprechend angepasst werden. Im nun vorliegenden generischen Sicherheitskonzept wurden übergreifende Aspekte von Virtuellen Poststellen berücksichtigt. Die Ausführungen sind daher hinsichtlich einer konkreten Realisierung einer VPS in einem konkreten Sicherheitskonzept weiter zu präzisieren. 3 Der vorliegende Beitrag ist wie folgt strukturiert: Zunächst werden wir kurz auf die Virtuelle Poststelle eingehen und die Methodik des IT-Grundschutzhandbuchs erläutern, bevor wir das generische Sicherheitskonzept für die VPS beschreiben. 3 Das generische Sicherheitskonzept für die Kern- und Webkomponenten der Virtuellen Poststelle [SiKo] fokussiert auf die von der bremen online services GmbH & Co. KG entwickelten Kern- und Webkomponenten der Virtuellen Poststelle [bos] und wurde im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik von der datenschutz nord GmbH und der bremen online services GmbH & Co. KG erstellt. 660 DuD Datenschutz und Datensicherheit 28 (2004) 11

2 Sönke Maseberg, Christian Mrugalla, Matthias Intemann 1 Motivation Mit der Einführung von E-Government- Dienstleistungen verbinden viele Behörden die Hoffnung, durch moderne Kommunikationswege die Qualität ihrer Dienstleistungen zu steigern. Hierbei erwarten die Kunden der öffentlichen Verwaltung also Bürger und Unternehmen mit Recht, dass die Sorgfalt der Behörden im Umgang mit ihren Daten nicht hinter den heute üblichen Standard zurück fällt. Auch für die Behörden selbst ist die Sicherheit der elektronisch gespeicherten oder übermittelten Daten eine essentielle Forderung. Dies gilt für den Schutz der behördenintern gespeicherten Daten, aber insbesondere auch für die Sicherheit der Daten bei der Kommunikation. Zu Erfüllung typischer IT-Sicherheitsanforderungen wie Vertraulichkeit, Integrität und Authentizität können kryptographische Verfahren eingesetzt werden. Die Erfahrung hat aber gezeigt, dass diese Möglichkeiten bislang eher zögerlich genutzt werden. Eine Ursache dürfte darin zu suchen sein, dass bei der Umsetzung einer Ende-zu-Ende-Sicherheit, bei der die kryptographischen Operationen wie Verund Entschlüsselung, Signaturbildung und -prüfung jeweils lokal an den Endpunkten der Kommunikationsstrecke durchgeführt werden, Anwender hierbei jedoch vielfach überfordert sind und sich gerade im E- Government die Spezifika einer Ende-zu- Ende-Sicherheit besonders in strukturierten Prozessen nur schwer in den organisatorischen Ablauf der Dienstleistungserbringung einpassen lassen. 4 Um die zahlreichen praktischen Schwierigkeiten bei der ausschließlichen Anwendung von Ende-zu-Ende-Mechanismen zu überwinden, wird inzwischen häufig ein alternativer Weg umgesetzt, der darin besteht, kryptographische Funktionen innerhalb von Behörden- und Firmennetzen serverbasiert anzubieten. 5 Dabei darf aber nicht übersehen werden, dass es immer Kommunikationsbeziehungen oder Kommunikationsinhalte gibt, bei denen aufgrund ihrer Sensitivität eine zentrale kryptographische Bearbeitung nicht zweckmäßig oder sogar ausgeschlossen ist. Eine vollständige Abschaffung der Ende-zu-Ende-Sicherheit 4 Vgl. dazu Modul Sichere Kommunikation in E-Government im E-Government-Handbuch. 5 Zu praktischen Aspekten dieses Ansatzes siehe auch Michels/Mack: Praktischer Einsatz von -Gateways, DuD 8/2004, S Abb 1: Architektur der VPS sollte also nicht das Ziel von Zentralisierungsbemühungen sein. 2 Funktionalität Im Rahmen der Entwicklung der Virtuellen Poststelle des Bundes wurden zunächst im Rahmen eines Fachkonzepts die Anforderungen der Bundesbehörden an eine VPS erhoben und zusammengefasst. Entsprechend den zu erwartenden Kommunikationsszenarien im E-Government soll die VPS des Bundes folgende wesentliche Funktionen serverbasiert in den Behörden zur Verfügung stellen: Ver- und Entschlüsselung Zentral entschlüsselte Kommunikationsdaten sollen auf zwei verschiedene Arten im internen Netz der Behörde weitergeleitet werden: Die Daten werden vergleichbar der heute gängigen Praxis im Klartext weitergeleitet oder zur Weiterleitung im Hausnetz neu verschlüsselt. Signaturbildung und -prüfung Abwicklung (des kryptographischen Anteils) von Authentisierungsverfahren Bereitstellen und Prüfen von internen und externen Zeitstempeln Einbindung von Virenscannern Dokumentation aller Aktionen der VPS auf einem Laufzettel (VPS-Laufzettel) Einbindung interner und externer Verzeichnisdienste Bereitstellung von benutzerfreundlichen Client-Komponenten 3 Architektur Entsprechend dem Charakter einer Basiskomponente muss der Aufbau der VPS einen flexiblen Einsatz in unterschiedlichsten Anwendungen erlauben. Die Virtuelle Poststelle besteht aus den beiden Kernkomponenten VPS-Kernsystem und OCSP/CRL-Relay sowie folgenden Webkomponenten: Authentisierungs- und Verifikationskomponente, Mail-Komponente. Die VPS wird im Folgenden näher beschrieben und in Abb. 1 illustriert. Herzstück der VPS ist das VPS-Kernsystem. In diesem Modul werden die eigentlichen kryptographischen Operationen durchgeführt. Diese werden nach einem administrierbaren Regelwerk gesteuert und in einem VPS-Laufzettel dokumentiert. Das Kernsystem spricht dazu die der VPS zugeordneten privaten Schlüssel an, die sich auf soft- und/oder hardware-basierten Schlüsselträgern befinden. Ein wichtiges Funktionsprinzip der VPS besteht darin, dass alle Daten nach der kryptographischen Bearbeitung (gemeinsam mit dem dabei angelegten Laufzettel) wieder an ihre Quelle zurückgegeben werden. Diese lose Kopplung und insbesondere der Verzicht auf unmittel- DuD Datenschutz und Datensicherheit 28 (2004)

3 Datensicherheit in BundOnline 2005 bare Übernahme von Workflow-Funktionen soll die Anbindung von Kommunikationsund Anwendungssystemen erleichtern. Ausserdem wird so ein paralleler Betrieb von Ende-zu-Ende-Verfahren nicht behindert. Das Kernsystem ist zustandslos und es werden innerhalb des Kernsystems weder Inhaltsdaten der Kommunikation noch die VPS-Laufzettel nach der Verarbeitung vorgehalten. Hierdurch erfüllt die VPS insbesondere die datenschutzrechtliche Anforderung der Datensparsamkeit. Zentrales Einund Ausgangstor des VPS-Kernsystems ist eine XML.-Schnittstelle, das Document- Interface (DI). 6 Sämtliche an das Kernsystem übergebene Daten werden im In- und im Output über diese Schnittstelle transportiert. Das OCSP/CRL-Relay stellt die Verbindung vom VPS-Kernsystem zu externen Verzeichnisdiensten dar. Es übernimmt Aufgaben zur Gültigkeitsprüfung und zum Auffinden von Zertifikaten. Dieses Relay soll durch einen zentralen Betreiber den Bundesbehörden zur Verfügung gestellt werden. Es kann aber bei Bedarf auch dezentral in den Behörden installiert werden. In der ersten Version unterstützt das OCSP/CRL-Relay die Verzeichnisdienste aller in Deutschland für die Herausgabe von qualifizierten Signaturen nach den Vorgaben des Signaturgesetzes akkreditierter Zertifizierungsdiensteanbieter. Bei Nutzung des Relays spielt es für den Anwender des VPS- Kernsystems keine Rolle, ob der betreffende Verzeichnisdienst Online-Auskünfte nach OCSP bereitstellt oder Sperrlisten (CRLs) herausgibt. Sämtliche in der Praxis oft sehr komplexe Details in der Ausprägung der jeweiligen Protokolle werden ebenso wie die IP-Adressen der Verzeichnisdienste in der Administration des Relays verwaltet. Als Client-Server-Architekturen sind die Authentisierungs- und Verifikationskomponenten realisiert sowie die Komponenten für die Kommunikation mittels OSCI- Transport [OSCI]. Erstere führt zertifikatsbasierte Authentisierungsprozesse durch und gewährt oder verweigert damit den Zugang zu bestimmten Anwendungen bzw. den Zugriff auf bestimmte Daten. Die Verifikationskomponente ermöglicht, Signaturen von Dokumenten zu überprüfen. Das OSCI (Online Services Computer Inter- 6 Eine vollständige Beschreibung dieser Schnittstelle und die zugehörigen XML-Schemata finden sich auf der VPS-Webseite face)-transport-protokoll stellt kryptographische Sicherheitsmechanismen wie Verschlüsselung, Signatur und Authentisierung zur Verfügung und setzt sich besonders in Deutschland als de facto Kommunikationsstandard für Internet-basiertes E-Government durch. Wesentliches Merkmal von OSCI ist die klare Trennung der Kommunikationsrollen Client, Intermediär und Backend. Durch eine strikte kryptographische Trennung von Transport- und Inhaltsdaten kann ein neutraler Dritter mit der Wahrnehmung der Intermediärs-Rolle, die insbesondere Zertifikatsprüfungen und die Einrichtung von Postfächern zur Zwischenlagerung der Nachrichten beinhaltet, beauftragt werden. Die Client-Komponenten können dem Kunden jeweils in Form von Java WebStart- Anwendungen zur Verfügung gestellt werden, so dass der Integrationsaufwand lediglich serverseitig entsteht. Das Verifikationsmodul (Client) wird als eigenständige Java-Applikation mit eigenem Graphical User Interface (GUI) realisiert. In der Mail-Anwendung werden die für die VPS bestimmten s in das Format des Document-Interface konvertiert und zum Abschluss wieder zurück. Dabei können ggf. Vertretungsregelungen berücksichtigt werden.. Ebenso können hier Quittungen an Absender und Empfänger generiert und versendet werden. Unverschlüsselte und nicht signierte s sowie solche, die erst durch den Empfänger entschlüsselt werden sollen, werden über Filtermechanismen an der VPS vorbei geleitet. In der ersten Version wird der Filtermechanismus als SMTP-Proxy-Lösung realisiert. Für spätere Versionen der VPS ist auch die Erstellung von Plug-Ins für gängige Mail Transfer Agents (MTAs) vorstellbar. Hierdurch können ggf. flexiblere Filtermechanismen implementiert werden. 4 IT-Grundschutz Ein IT-Sicherheitskonzept sollte entsprechend der Vorgehensweise des IT-Grundschutzhandbuchs 7 in vier Schritten erstellt werden: IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Die IT-Strukturanalyse hat zum Ziel, den IT-Verbund, der in einem solchen Sicher- 7 Vgl. Kapitel 2 [GSHB]. heitskonzept thematisiert wird, in seiner Gesamtheit mit allen organisatorischen, personellen, infrastrukturellen und technischen Komponenten festzulegen. Zu diesem Zweck beinhaltet eine IT-Strukturanalyse die Erstellung eines Netzplans der IT- Infrastruktur mit allen technischen Komponenten und Verbindungen, eine Übersicht über technische Details der Komponenten, ihre Aufstellorte, ihren Status, ihre Benutzer und Administratoren sowie eine Übersicht über die IT-Anwendungen. Um für den konkreten IT-Verbund und seine Daten geeignete Sicherheitsmaßnahmen ergreifen zu können, muss der spezifische Schutzbedarf identifiziert werden. Dazu werden zunächst die Schutzbedarfskategorien definiert und anschließend darauf basierend der Schutzbedarf identifiziert. In diesen Prozess fließen die in der zuvor durchgeführten IT-Strukturanalyse benannten Komponenten, Gebäude, Räume, Datenarten und Verbindungen ein. Die Modellierung hat zum Ziel, die für die konkrete Realisierung des IT-Verbundes relevanten Bausteine des IT-Grundschutzhandbuchs zu identifizieren, so dass im daran anschließenden Basis-Sicherheitscheck geprüft werden kann, ob die identifizierten Maßnahmen umgesetzt werden. Ggf. schließt sich eine Realisierungsplanung für die Beseitigung von Defiziten oder die Optimierung der Sicherheit an. 5 Generisches Sicherheitskonzept Voraussetzung für die Anwendung der im vorigen Kapitel dargestellten IT-Grundschutzmethodik ist die Betrachtung einer konkreten Einsatzumgebung. Dies ist bei einer Basiskomponente aufgrund der verschiedenen Einsatzszenarien im Allgemeinen nicht möglich. Alle Betrachtungen müssen daher zunächst auf einem abstrakteren Niveau erfolgen, als es das IT-Grundschutzhandbuch vorsieht. Die Methodik muss entsprechend adaptiert werden. Die Vorgehensweise erfolgt hier in folgenden Schritten: Strukturanalyse Sicherheitsziele Sicherheitsmaßnahmen Methodik zur Erstellung eines konkreten Sicherheitskonzeptes Ebenso wie die VPS die Anwendung von Kryptographie auch ohne tiefgreifende kryptographische Fachkenntnisse ermögli- 662 DuD Datenschutz und Datensicherheit 28 (2004) 11

4 Sönke Maseberg, Christian Mrugalla, Matthias Intemann Abb 2: Beispielszenario der VPS chen soll, ist es Aufgabe des beschriebenen generischen Sicherheitskonzepts, die sicherere Integration der VPS in einen IT- Verbund und die zugehörige Erweiterung des IT-Sicherheitskonzepts auch ohne VPS- Detailkenntnisse zu erleichtern. 5.1 Strukturanalyse Zunächst werden in der Strukturanalyse die für das generische Sicherheitskonzept relevanten Komponenten und Verbindungen aufgelistet. Dabei ist zu berücksichtigen, dass die Virtuelle Poststelle modular aufgebaut ist und in verschiedenen Einsatzszenarien eingesetzt werden kann. Ein typisches Einsatzszenario ist in Abb. 2 illustriert, in der eine Behörde ein VPS- Kernsystem und verschiedene Webkomponenten der Virtuellen Poststelle betreibt. Zusätzlich steht ein zentrales und damit aus Sicht der Behörde externes OCSP/CRL-Relay sowie ein externer OS- CI-Intermediär zur Verfügung 8. Für die Identifikation des Schutzbedarfs der Virtuellen Poststelle werden neben den Komponenten und Verbindungen die Anwendungen bzw. Funktionalitäten der VPS sowie ihre Datenarten herangezogen. Hinsichtlich der Datenarten ist neben der Frage, wo diese auftreten, von Bedeutung, welche Datenarten übertragen werden. Zu beachten ist dabei, dass über die Art der Inhaltsdaten 8 Die zentrale Bereitstellung dieser beiden Komponenten für Bundesbehörden ist für das Jahr 2005 geplant. und die davon abgeleiteten Sicherheitsanforderungen im Rahmen des generischen Sicherheitskonzeptes keine Aussagen getroffen werden können. Aus Datenschutz-Sicht ist interessant, dass Log-Daten also System-Logs, die zur Kontrolle der Funktionalität dienen, und Administrator-Logs, welche die Aktivitäten des Administrators revisionssicher protokollieren keine Inhaltsdaten der Kommunikation beinhalten. Die Log-Dateien eines sensitiven Systems wie der VPS sind entsprechend den datenschutzrechtlichen Grundsätzen der Datenvermeidung und sparsamkeit technisch so gestaltet, dass von vornherein so wenige personenbezogene Daten wie möglich verarbeitet werden. Die Protokolldaten dienen ausschließlich dem Zweck, den Betrieb und die Sicherheit der VPS aufrecht zu erhalten (vgl. [LfD-Nds]). Im Zusammenhang mit der Virtuellen Poststelle agieren unterschiedliche Rollen, wobei im Fokus des Sicherheitskonzeptes verschiedene Rollen für den Administrator der VPS und die verschiedenen Benutzer der Virtuellen Poststelle, also die Kunden der Verwaltungsdienstleistung der VPS wie etwa Bürger, Behörden- und Unternehmensmitarbeiter sowie automatisierte Fachverfahren stehen. 9 9 Vgl. Kapitel 2.11 [SiKo]. 5.2 Sicherheitsziele Um für die Virtuelle Poststelle und ihre Daten also von der VPS bearbeitete und von ihr gespeicherten Daten (z. B. private Schlüssel oder Regelwerke) geeignete Sicherheitsmaßnahmen bei IT-Systemen, Gebäuden, Räumen und Kommunikationsverbindungen identifizieren und ergreifen zu können, muss der spezifische Schutzbedarf für die Virtuelle Poststelle identifiziert werden. Dazu werden völlig analog zur üblichen Methodik des IT-Grundschutz zunächst entsprechende Schutzbedarfskategorien definiert und anschließend der Schutzbedarf für die Virtuelle Poststelle identifiziert. Als Grundwerte muss eine Virtuelle Poststelle insbesondere die Verfügbarkeit, Integrität, Vertraulichkeit und Verbindlichkeit (im Sinne von Authentizität und Nachweisbarkeit) der von ihr verarbeiteten Informationen gewährleisten. Es werden vier Schutzbedarfskategorien definiert: kein : Ein besonderer Schutz ist nicht notwendig, da keine Schadensauswirkungen zu erwarten sind. niedrig-mittel : Die Schadensauswirkungen sind begrenzt und überschaubar. hoch : Die Schadensauswirkungen können beträchtlich sein. sehr hoch : Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Anschließend wird der Schutzbedarf für die Virtuelle Poststelle festgestellt, wobei neben dem Selbstschutz 10 der VPS insbesondere der Schutzbedarf der Daten, die durch die VPS abgesichert werden sollen, berücksichtigt wird. Hinsichtlich des Schutzbedarfs der Kunden, die die Verwaltungsdienstleistung der Virtuellen Poststelle in Anspruch nehmen insbesondere Bürger, Behördenund Unternehmensmitarbeiter sowie automatisierte Fachverfahren, ist zu berücksichtigen, dass die VPS als ein zentrales Modul im E-Government Funktionalitäten anbietet, auf deren Verfügbarkeit, Integrität, Vertraulichkeit und Verbindlichkeit die Kunden und insbesondere eine Behörde vertraut und angewiesen ist. Des Weiteren ist grundsätzlich zu berücksichtigen, dass sich der Schutzbedarf hinsichtlich der Verfügbarkeit am maximalen Schutzbedarf der Fachanwendungen orientiert. 10 Man denke hierbei besonders an die in einer VPS genutzten privaten und geheimen Schlüssel, aber z. B. auch an die Integrität der Regelwerke und VPS-Laufzettel. DuD Datenschutz und Datensicherheit 28 (2004)

5 Datensicherheit in BundOnline 2005 Auf Grundlage des identifizierten Schutzbedarfs für die Funktionalitäten und Datenarten der VPS wird entsprechend der in der Strukturanalyse analysierten Abhängigkeiten der Schutzbedarf für die einzelnen Komponenten der VPS, für Bereiche und für die Verbindungen festgestellt. 5.3 Sicherheitsmaßnahmen Hinsichtlich der Sicherheitsmaßnahmen ist die VPS zunächst in der Modellierung so konkret wie möglich durch Bausteine des IT-GSHB nachzubilden. Das IT-Grundschutzhandbuch mit seinen umfangreichen Informationen zu Gefährdungen und entgegenwirkenden Maßnahmen unterstützt diesen Prozess wirkungsvoll. Für jede Maßnahme ist dabei zu entscheiden, ob sie anwendungsabhängig relevant ist und wenn ja, ob sie in der konkreten Realisierung umgesetzt wird. Die Entscheidung, ob eine Maßnahme den Gefährdungen hinreichend entgegenwirkt, erfolgt unter Berücksichtigung der konkreten Anwendung, Datenarten und räumlichen Gegebenheiten. Sind beim Basis-Sicherheitscheck Defizite entdeckt oder Optimierungsmöglichkeiten identifiziert worden, kann sich eine Realisierungsplanung anschließen. Darüber hinaus werden im generischen Sicherheitskonzept explizite Maßnahmen aufgelistet, die insbesondere für die Sicherheit der VPS relevant sind und deshalb beachtet werden sollen. Des Weiteren ist eine ergänzende Risikoanalyse (vgl. [Risiko]) durchzuführen, sofern für Komponenten oder Verbindungen ein hoher oder sehr hoher Schutzbedarf festgestellt wurde. 11 Dabei muss geprüft werden, ob den bereits thematisierten oder zusätzlich identifizierten Gefährdungen durch entsprechende Maßnahmen entgegen gewirkt wird. Als ein Hilfsmittel dazu bieten sich die Kreuzreferenz-Tabellen des IT-GSHB an, mit denen gewährleistet werden kann, dass zu jeder explizit aufgeführten Gefährdung hinreichende Maßnahmen geprüft werden. 5.4 Erstellung eines Sicherheitskonzeptes Da die Ausführungen im generischen Sicherheitskonzept im Gegensatz zu einem konkreten Sicherheitskonzept abstrakter formuliert sind, sind am Ende eines jeden Kapitels Hinweise darauf verfügbar, wie aus dem generischen Sicherheitskonzept ein konkretes Sicherheitskonzept für eine konkrete Realisierung der VPS entwickelt werden kann, die dann die spezielle Konfiguration und Ausprägung der Virtuellen Poststelle mit Servern, Räumen, Anwendungsszenarien sowie Datenarten berücksichtigt. Zusätzlich sind Handlungsempfehlungen zum Umgang mit dem vorliegenden generischen Sicherheitskonzept ausgeführt. 6 Fazit Die Virtuelle Poststelle des Bundes stellt einen wichtigen Baustein im E-Government dar. Das nun vorliegende generische Sicherheitskonzept, das auf dem IT-Grundschutzhandbuch des BSI und damit einem Quasi-Standard zur Entwicklung von IT- Sicherheitskonzepten basiert, beschreibt die Anforderungen, die der Betreiber von Komponenten der Virtuellen Poststelle umsetzen soll, die allerdings in einem separaten Sicherheitskonzept hinsichtlich der konkreten Realisierung weiter spezifiziert werden müssen und unter denen die Virtuelle Poststelle sicher betrieben werden kann, das also die postulierten Sicherheitsziele vollständig gewährleisten kann. Die bewährte Methodik des IT-Grundschutzhandbuchs konnte auch im komplexen, anwendungs- und systemübergreifenden Kontext der VPS zielführend eingesetzt werden. Für die nächste Zukunft steht neben der Erstellung eines analogen generischen Sicherheitskonzepts für die Mail- Komponente der VPS auch die Praxisbewährung des Konzepts im BundOnline 2005-Piloteinsatz bevor. Das generische Sicherheitskonzept für die von bremen online services entwickelten der Kern- und Webkomponenten der Virtuellen Poststelle ist auf der E- Government-Seite des BSI verfügbar. 12 Literatur [bos] bremen online services GmbH & Co. KG, [GSHB] Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutzhandbuch, Oktober [LfD-Nds] Der Landesbeauftragte für den Datenschutz Niedersachsen, Die Virtuelle Poststelle im datenschutzgerechten Einsatz Handlungsempfehlungen, [OSCI] Online Services Computer Interface (OSCI), [Risiko] Bundesamt für Sicherheit in der Informationstechnik, Risikoanalyse auf der Basis von IT-Grundschutz, Version 1.0, [SiKo] bremen online services GmbH & Co. KG, Generisches Sicherheitskonzept für die Kern- und Webkomponenten der Virtuellen Poststelle, Version 1.0, 11. August Hierbei muss natürlich auch berücksichtigt werden, dass bei einem sehr hohen Schutzbedarf die Frage, ob eine serverbasierte Lösung anstelle von Ende-zu-Ende-Mechanismen überhaupt angemessen ist, kritisch überdacht werden muss htm 664 DuD Datenschutz und Datensicherheit 28 (2004) 11

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback