DVZ.info. Kampf für Sicherheit. Auf den Weg gebracht. Nachgefragt? Aber sicher!

Transkript

1 DVZ.info GEMEINSAM VISIONEN VERWIRKLICHEN Auf den Weg gebracht Web Experience Management löst LiveLink als Landes-CMS ab Nachgefragt? Aber sicher! Mikrozensus erhält neue Technologien für mehr Datenschutz und Effizienz Kampf für Sicherheit Landesverwaltung ergreift präventive und nachhaltige Maßnahmen gegen IT-Angriffe, IT-Krisen und Notfälle

2 Impressum Herausgeber: DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Lübecker Straße Schwerin Chefredakteur & Anzeigen: Andrè Korsch (V. i. S. d. P.) [ak] Redaktion: Katrin Becker (Art Director) [kb] Laura Schubert (Chefin vom Dienst/Textchefin) [ls] Tobias Thobaben [tt] Foto-und Bildnachweis: Gudrun Büchner-Uhder (S. 15) (S. 12) Stand: 6. Oktober 2014 Fotolia: Andrey Kiselev (Titel); merydolla (S. 3); zzve (S. 2, S. 14); Fiedels (S. 2, S. 16f); Vladimir Melnikov (S. 3; S. 12); rh2010 (S. 3; S. 11); Nejron Photo (S. 4); vege (S. 7); Feenstaub (S. 8); basierend auf theseamuss (S. 11); cut (S. 13); settaphan (S. 13); Sergey Nivens (S. 13); Masson (S. 20f); alswart (S. 24); lassedesignen (S. 26); Sergey Nivens (S. 28) Die Rechte aller weiteren Fotos und Grafiken liegen bei der DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Grafik & Layout: DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Druck: Digital Design Druck und Medien GmbH Ausgabe: November 2014 Auflage: Exemplare Die DVZ.info erscheint zweimal im Jahr, die nächste Ausgabe präsentiert sich am 1. Mai DVZ.info 02I14

3 EDITORIAL Mit Sicherheit! Liebe Leserinnen, liebe Leser, kaum ein Thema beschäftigt die IT-Branche und die Verwaltungen heutzutage so sehr wie die Datensicherheit. Keine Anwendung und kein Service kann sich ohne Erfüllung höchster Sicherheitsstandards behaupten. Wie aber kann man flächendeckend und einheitlich dafür Sorge tragen, dass mit den Daten unserer Bürger auf höchst sensible Art und Weise verfahren wird? Dass Sicherheitslücken sofort entdeckt und geschlossen werden? Die Landesregierung Mecklenburg-Vorpommerns hat sich mit der Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern intensiv mit den Anforderungen und nötigen Maßnahmen beschäftigt. Wir als IT-Dienstleister der öffentlichen Verwaltungen und somit auch unserer Bürger haben dabei den steten Anspruch alles Notwendige umzusetzen, um die Datensicherheit und das rechtskonforme Arbeiten der Verwaltungen zu gewährleisten und die Kommunikationswege zwischen Bund und Land abzusichern. Die Einrichtung eines Computer-Notfall-Teams namens CERT M-V sowie der Einsatz eines Beauftragten für Informationssicherheit, kurz BeLVIS, durch das Ministerium für Inneres und Sport sind dabei die ersten Schritte. Welche Rolle wir als DVZ bei der Umsetzung spielen und wie die Leitlinie im Detail aussieht, können Sie in unserer Titelreihe nachlesen. Aber auch die übrigen Artikel dieser Ausgabe möchte ich Ihnen empfehlen. So nehmen wir den Mikrozensus in Mecklenburg-Vorpommern unter die Lupe, geben unserem Service-Desk ein Gesicht und starten unsere neue Artikelreihe zum Thema Cloud mit einem umfassenden Überblick und Testberichten. Ihr Hubert Ludwig DVZ.info 02I14 1

4 Inhalt TITELTHEMA INFORMIEREN BEWEGEN 04 INFORMATIONS- SICHERHEIT Im Gespräch: Norbert Trilk über die Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von M-V 07 BELVIS Beauftragter der Landesverwaltung für Informationssicherheit koordiniert das ressortübergreifende Informationssicherheitsmanagement und kontrolliert die Einhaltung von ressortübergreifenden Regelungen zur Informationssicherhei 12 BEATA Welche Perspektiven die Umstellung auf digitalisierte Prozesse der Landesverwaltung bietet 19 SERVICE-DESK Blick hinter die Kulissen: Zentrale Anlaufstelle für alle kundenseitigen und internen Serviceanfragen 16 MIKROZENSUS Neues Equipment und erhöhte Sicherheit für die wichtigste Repräsentativstatistik der Bevölkerung 20 CONTENT MANAGEMENT So funktioniert das neue CMS und der Umzug der Landes-Portale ins neue System 08 CERT M-V Landesverwaltung bündelt Ressourcen in einem Computer- Notfall-Team 2 DVZ.info 02I14

5 MITTENDRIN ENTWICKELN VERNETZEN 14 SMART GOVERNMENT DDOS-ANGRIFFE 15 PROJEKT IPV6 RELEASE-TICKER 26 CLOUD-DIENSTE Ein Überblick der verschiedenen Dienste und der Anforderungen, die Cloudmodelle grundsätzlich erfüllen müssen 28 INFRASTRUCTURE AS A SERVICE IM TEST Das DVZ hat einen IaaS-Dienst auf Herz und Nieren geprüft 10 MOBILES ARBEITEN Über die stetig wachsende Vielfalt im Arbeitsalltag von Tablet & Co 24 ZENTRALES LOGMANAGEMENT Teil 4 zum Thema Netzsicherheit: Wieso gebündelte Systemmeldungen mehr als nur einen schnellen Überblick bieten DVZ.info 02I14 3

6 Titelthema Im Namen der (IT-)Sicherheit! Umsetzung der Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern hat begonnen 4 DVZ.info 02I14

7 Wo immer IT-Systeme im Einsatz sind, steigt die Zahl von Angriffen. Sicherheitsbehörden wie das Bundesamt für die Sicherheit der Informationstechnik (BSI) verzeichnen eine zunehmende Professionalisierung der Angriffe und sprechen von einer Bedrohungslage auf anhaltend hohem Niveau. Auch Mecklenburg-Vorpommern ist dieser Situation ausgesetzt. Die Landesregierung konzipierte daher eine Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern. DVZ.info sprach über deren Umsetzung mit Oberregierungsrat Norbert Trilk aus dem Ministerium für Inneres und Sport. DVZ.info: Herr Trilk, die Einschätzungen von Sicherheitsbehörden lassen vermuten, dass IT-Systeme einer immer größeren Gefährdung ausgesetzt sind. Stimmt das? Norbert Trilk: Wir verzeichnen in der Tat eine steigende Bedrohungslage der IT-Systeme. Angriffe werden immer ausgeklügelter und verfügen über ein hohes Maß an krimineller Energie. Verschiedene Sicherheitsvorfälle, auch in der Landesverwaltung, verdeutlichen das. Natürlich arbeiten wir kontinuierlich an der Gewährleistung der Informationssicherheit. So gibt es seit langem ressortübergreifende Sicherheitsteams und Revisionskommissionen, die beigetragen haben, Angriffe auf zentrale Sicherheitssysteme erfolgreich abzuwehren. Doch das wird künftig nicht mehr ausreichen. IT-Systeme werden ständig komplexer; ihre steigende Verflechtung durch die Nutzung von Verfahren, die über Verwaltungsgrenzen hinweg genutzt werden, führt zu einer sich weiter verschärfenden Gefährdungslage. Der technische Fortschritt erleichtert uns zwar vieles, er birgt jedoch auch Risiken. Wie wollen Sie diesen Risiken begegnen? Die Gewährleistung der Informationssicherheit darf nicht mehr nur als wichtige Aufgabe verstanden werden, sondern erfordert eine Umsetzung als Prozess. Nur so ist es möglich, den Schutz der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität auch bei sich verändernden Gefährdungslagen wirksam sicherzustellen. Die konsequente Anwendung der BSI-Grundschutzstandards und der Einsatz eines zentralen Grundschutz- Tool-Servers haben sich bereits als effiziente Mittel bei der Umsetzung unserer Sicherheitsrichtlinien bewährt. Diesen kommt auch weiterhin eine grundlegende Bedeutung zu. Darauf aufbauend muss nun jedoch dafür gesorgt werden, dass nicht mehr jede Behörde für sich allein Informationssicherheit plant und umsetzt, sondern ein Zusammenwirken aller Beteiligten in einem übergreifenden Informationssicherheitsprozess realisiert wird. Dies ist auch aufgrund der Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates geboten, die bereits seit Februar 2013 für alle Behörden des Bundes und der Länder gilt. Darin ist unter anderem festgelegt, wie beispielsweise ein Management zur Informationssicherheit aufzubauen ist. Die Umsetzung eines solchen Informationssicherheitsmanagementsystems bedarf einer umfassenden konzeptionellen Vorbereitung und Berücksichtigung landesspezifischer Gegebenheiten. Das Ministerium für Inneres und Sport hat daher ein Konzept zum Aufbau und Betrieb eines Informationssicherheitsmanagements in der Landesverwaltung von Mecklenburg-Vorpommern erarbeitet, welches zusammen mit der Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern im Juni dieses Jahres vom Landeskabinett in Kraft gesetzt wurde. Damit verfügt die Landesregierung nun über eine gemeinsame IT-Sicherheitsstrategie, die es im Weiteren umzusetzen gilt. Was ist geplant, um in Zukunft Informationssicherheit gewährleisten zu können? Zum Aufbau eines Informationssicherheitsmanagements muss zunächst eine ressortübergreifende Informationssicherheitsorganisation aufgebaut werden. Die zentrale Steuerung dieser Organisation wird durch einen Beauftragten der Landesverwaltung für Informationssicherheit erfolgen, der vom IT-Beauftragten der Landesverwaltung bestellt werden soll. Mit dem Informationssicherheitsmanagement wird ein kontinuierlicher DVZ.info 02I14 5

8 Prozess zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Anwendungen und IT-Systemen eingeführt. Dieser beinhaltet alle Verantwortlichkeiten und Aufgaben, mit denen ein angemessenes Sicherheitsniveau erreicht und gehalten wird. Dies betrifft insbesondere Meldepflichten bei Sicherheitsvorfällen, Abläufe zur ressortübergreifenden Behandlung von Sicherheitsvorfällen, die Durchführung von Informationssicherheitsrevisionen, regelmäßige Berichtspflichten und die Durchführung von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit. Worin unterscheidet sich das geplante Vorgehen von bisherigen Aktivitäten? Der Unterschied liegt zum einen im prozessualen Ansatz und zum anderen in der zentralen Bereitstellung von Unterstützungsleistungen für die Landesverwaltung. Wir etablieren ein Kompetenzzentrum für IT-Sicherheitsfragen das CERT M-V. Dahinter verbirgt sich ein Computer-Notfall-Team, an dessen Spitze der Beauftragte der Landesverwaltung für Informationssicherheit steht. Das CERT M-V stellt zentral Dienstleistungen zur Unterstützung des Informationssicherheitsmanagements zur Verfügung und trägt so zur Entlastung der IT-Sicherheitsbeauftragten der Ressorts bei. Welcher Zeitplan ist vorgesehen? Wir befinden uns gegenwärtig in der Detailplanung für die einzelnen CERT-Dienste und sind dabei, die ersten einer praktischen Erprobung zu unterziehen. Die Pilotphase für das gesamte Projekt beginnt 2015 und dauert bis Ende 2016 an. Der Wirkbetrieb setzt ab 2017 ein. Inwieweit bezieht das Ministerium für Inneres und Sport zusätzliche Partner ein? Wir setzen auf eine enge Zusammenarbeit mit den Ressorts der Landesregierung. Schließlich geht es um das gemeinsame Sicherheitsinteresse aller Behörden. Sobald alle Ressorts ihre jeweiligen IT-Sicherheitsbeauftragten offiziell benannt haben, wird eine Kommission für Informationssicherheit der Landesverwaltung gegründet. Diese Kommission wird insbesondere für die Erarbeitung und Fortschreibung von IT-Sicherheitsstandards und Regelungen zur Informationssicherheit, die Entwicklung und Überwachung von Kennzahlen zur Bewertung der Informationssicherheit und die Kontrolle der Umsetzung von IT- Sicherheitsmaßnahmen bei übergreifenden Verfahren und zentralen Infrastrukturkomponenten verantwortlich sein. In der Kommission werden die IT-Sicherheitsbeauftragten der Staatskanzlei und der Ressorts ständig vertreten sein. Darüber hinaus werden bei den Entscheidungen der Kommission auch der Städte- und Gemeindetag M-V und der Landkreistag M-V Die Kopfstelle des CERT M-V ist sinnvollerweise in der DVZ M-V GmbH angesiedelt. Dort, wo die zentralen Sicherheitskomponenten sich befinden. beteiligt. An den Sitzungen der Kommission können ferner der Landesbeauftragte für den Datenschutz M-V, der Landesrechnungshof M-V und die Landtagsverwaltung M-V teilnehmen und somit an Entscheidungsfindungen mitwirken. Beim CERT M-V werden darüber hinaus auch externe Dienstleister einbezogen, die über großes Know-how im Bereich Informationssicherheit verfügen. Es gibt nicht viele Dienstleister, die dafür in Frage kommen. Auch die länderübergreifende Zusammenarbeit wird als wichtiger Ansatz gesehen. Auf der Grundlage von Länderkooperationen sind zum Beispiel in den Bereichen Prävention und Forensik Rahmenverträge denkbar, auf die mehrere Länder zurückgreifen können. Welche Rolle kommt dabei der DVZ M-V GmbH zu? Wir haben in den einzelnen Häusern nicht die Ressourcen, um alle Aufgaben selbst wahrzunehmen. Deshalb ist es erforderlich, mit externen Unternehmen zusammenzuarbeiten. Und da ist unser Landesdienstleister die erste Wahl. Wir arbeiten eng mit der DVZ M-V GmbH zusammen, gerade bei zentralen Verfahren. Es bietet sich an, die Kopfstelle für das CERT M-V dort anzusiedeln, wo die zentrale Sicherheitstechnik und das Know-how gebündelt sind. Wir kooperieren im Bereich Informationssicherheit seit langem mit der DVZ M-V GmbH und können auf die guten Erfahrungen, die wir in den vergangenen Jahren gemacht haben, aufsetzen. Diese Zusammenarbeit ist gewachsen und von Vertrauen geprägt. Jetzt wollen wir das Miteinander auf eine neue Stufe stellen. Welche Kosten stehen hinter den enormen Bemühungen um Informationssicherheit? Im Etat unseres Ministeriums sind für das Vorhaben im Jahr 2015 insgesamt EUR und ab 2016 insgesamt EUR veranschlagt. Somit ist die Finanzierung der Aufbauphase zunächst gesichert. Es wird sich zeigen, ob diese Ansätze für den CERT-Betrieb auch künftig ausreichen oder zusätzliche Haushaltsmittel und mehr Personalaufwand nötig sind. Wir wissen, dass andere Bundesländer deutlich größere Potenziale einsetzen. Viel Erfolg für das Vorhaben und herzlichen Dank für das Gespräch. ABarbara Arndt 6 DVZ.info 02I14

9 Titelthema Ein Mann, eine Mission Der Beauftragte der Landesverwaltung für Informationssicherheit nimmt in Kürze seine Tätigkeit auf Das zentrale Informationssicherheitsmanagement der Landesverwaltung Mecklenburg-Vorpommerns bekommt mit der Kommission für Informationssicherheit und der Bildung des CERTs eine völlig neue Qualität. Und ein neues Gesicht: Mit dem Beauftragten der Landesverwaltung für Informationssicherheit (BeLVIS) wird erstmals ein Verantwortlicher für das ressortübergreifende Informationssicherheitsmanagement zentral durch den IT-Beauftragten der Landesverwaltung bestellt. Er ist Informatiker mit einschlägigen Erfahrungen in der Informationssicherheit. Er soll so schnell wie möglich für eine Koordinierung des ressortübergreifenden Informationssicherheitsmanagements im Lande sorgen. Er das ist der BeLVIS, der Beauftragte der Landesverwaltung für Informationssicherheit. Wir haben die neue Stelle öffentlich ausgeschrieben, Bewerbungsgespräche geführt und inzwischen einen externen Bewerber ausgewählt. Aus unserer Sicht Alles, was bereits jetzt - auch ohne den BeLVIS - vorbereitet werden kann, wird getan. Am Terminplan zum Aufbau des CERTs wird festgehalten. ist die Personalentscheidung gefallen, bestätigt Norbert Trilk vom Ministerium für Inneres und Sport. Alles, was bereits jetzt - auch ohne den BeLVIS - vorbereitet werden kann, wird getan. Am Terminplan zum Aufbau des CERTs wird festgehalten. Wir wollen bereits in diesem Jahr die ersten der insgesamt elf CERT-Dienste pilotieren und die restlichen konzipieren. Es geht jetzt erst einmal darum, das im Konzept zum Aufbau und Betrieb eines Informationssicherheitsmanagements in der Landesverwaltung von Mecklenburg- Vorpommern beschriebene Vorgehen zu untersetzen und die Umsetzung zu initiieren. Hierfür muss zunächst die ressortübergreifende Informationssicherheitsorganisation aufgebaut und im Ergebnis ein Zusammenwirken von Behörden und CERT in einem gemeinsamen Informationssicherheitsprozess realisiert werden. Eine tragende Rolle kommt hierbei dem Beauftragten der Landesverwaltung für Informationssicherheit zu. Er übernimmt nicht nur die koordinierenden Aufgaben im Informationssicherheitsprozess, sondern wird auch die Einhaltung von ressortübergreifenden Regelungen und Beschlüssen zur Informationssicherheit kontrollieren. Zugleich wird er die zu etablierende Kommission für Informationssicherheit der Landesverwaltung leiten und dem IT-Beauftragten der Landesverwaltung fortan regelmäßig über die IT-Sicherheitslage im Land berichten, erläutert Norbert Trilk. ABarbara Arndt DVZ.info 02I14 7

10 Titelthema Potenziellen Angreifern eine Nasenlänge voraus Computer-Notfall-Team steht künftig der Landesverwaltung bei Prävention und Behandlung von IT-Sicherheitsvorfällen zur Seite Per Onlinebanking wird abends schnell der Interneteinkauf bezahlt. Für die Hotelreservierung gehen die Kreditkartendaten per auf die Reise. Kopien persönlicher Dokumente sind in einer Cloud hinterlegt. IT ist toll. Kaum jemand aber bedenkt die Gefahren, die in der virtuellen Welt lauern. Die Landesverwaltung Mecklenburg-Vorpommerns hält dagegen und setzt verstärkt auf IT-Sicherheit. Sie bündelt Ressourcen in einem Computer-Notfall-Team. Spätestens ab 2017 soll das CERT M-V voll einsatzfähig sein. CERT diese Abkürzung steht für Computer Emergency Response Team. Dahinter verbirgt sich ein Kompetenzzentrum für IT-Sicherheitsfragen, quasi ein Computer-Notfall-Team. Dessen Aufgabe besteht darin, bei IT-Angriffen, IT-Krisen und in Notfällen schnell, effizient und umfassend zu handeln beziehungsweise geeignete Vorsorgemaßnahmen gegen solche Ereignisse zu treffen, erklärt Oberregierungsrat Norbert Trilk aus dem Ministerium für Inneres und Sport. Diese schnelle Eingreiftruppe ist dabei nicht auf sich gestellt: Ein Beauftragter der Landesverwaltung für Informationssicherheit (BeLVIS) leitet das Team, welches für die Planung und Umsetzung von präventiven, reaktiven und nachhaltigen Maßnahmen im Rahmen des Informationssicherheitsmanagements des Landes agiert. Zu den konkreten Aufgaben des CERTs M-V gehört künftig unter anderem die Entwicklung und strukturierte Verteilung von vorbeugenden Handlungsempfehlungen zur Vermeidung von Sicherheitsvorfällen. Für diese und viele andere Aufgaben benötigt das CERT zentrale Ansprechpartner zur Informationssicherheit in den Ressorts. Bisher, so Oberregierungsrat Norbert Trilk, gab es diese nicht. Zwar hatte in der Regel bereits jede Behörde einen IT-Sicherheitsbeauftragen, aber es gab keine vertikale Steuerung innerhalb der Ressorts. 8 DVZ.info 02I14

11 Diese soll nun eingeführt werden, indem jedes Ministerium einen IT-Sicherheitsbeauftragten des Ressorts benennen soll. Erst mit diesen zentralen Ansprechpartnern ist ein rationelles Arbeiten innerhalb des ressortübergreifenden Informationssicherheitsprozesses möglich. Diese IT-Sicherheitsbeauftragten sind ebenfalls für die Einhaltung von ressortübergreifenden und ressortinternen Regelungen und Beschlüssen zur Informationssicherheit innerhalb ihres Geschäftsbereichs zuständig. In diesem Zusammenhang prüfen Sie regelmäßig, ob es für einzelne Verfahren notwendige Sicherheitskonzepte gibt und inwieweit deren Umsetzung erfolgt ist und die Schulungs- und Sensibilisierungsmaßnahmen wie gefordert durchgeführt wurden. Hierüber müssen sie dem CERT fortan vierteljährlich Bericht erstatten. Anhand der damit zur Verfügung stehenden Informationen über den Stand der Informationssicherheit wollen wir Steuerungsmöglichkeiten erkennen und geeignete Entscheidungen zur Verbesserung des Sicherheitsstatus herbeiführen. Maßnahmenkatalog für Verbesserung des Sicherheitsbewusstseins Direktes operatives Handeln des CERTs setzt bei Sicherheitsvorfällen ein, die ressortübergreifende Auswirkungen haben. Ob Angriffe oder großflächiger Virenbefall aufgrund des hohen, akuten Bedrohungspotenzials übernimmt das CERT in diesen Fällen in eigener Zuständigkeit unmittelbar die Vorfallbearbeitung und ist befugt, alle zur Schadensbegrenzung bzw. behebung erforderlichen Maßnahmen umzusetzen. Selbstverständlich erfolgt dies in Abstimmung mit der jeweils betroffenen Behörde. Bei Sicherheitsvorfällen mit ausschließlich ressortinternen Auswirkungen kann sich die jeweils betroffene Behörde vom CERT beraten lassen, welche Maßnahmen zur Schadensbegrenzung und -behebung im speziellen Fall infrage kommen. Es existieren aber verschiedene Arten von Sicherheitsvorfällen längst nicht jede davon ist meldepflichtig. Anhand von speziellen Formularen kann der jeweilige Status präzise erfasst und die entsprechende Information zielgerichtet weitergeleitet werden. Ein weiterer, aus meiner Sicht wichtiger Aspekt ist die Sensibilisierung des Sicherheitsbewusstseins. Hierzu erwarten wir vom CERT einen modularen Maßnahmenkatalog, welcher sowohl den Sicherheitsanforderungen gerecht wird als auch von den Mitarbeiterinnen und Mitarbeitern der Landesverwaltung angenommen wird, führt Norbert Trilk aus. Eine beratende Funktion übernimmt das CERT gegenüber der Kommission für Informationssicherheit. Ein enger Austausch wird mit anderen CERTs angestrebt. Die Aufgabenliste ist lang und wird schrittweise abgearbeitet. Die dringendsten Aufgaben haben selbstverständlich die höchste Priorität. Unmittelbar mit Arbeitsaufnahme des BeLVIS wird die ressortübergreifende Informationssicherheitsorganisation aufgebaut und die Arbeit der Kommission für Informationssicherheit aufgenommen. Die Detailplanungen zum Aufbau des CERTs und die Spezifikation der CERT-Dienste befinden sich derzeit bereits in der Bearbeitung. Anfang nächsten Jahres wird die CERT-Kopfstelle ihren Betrieb aufnehmen. Um eine länderübergreifende Zusammenarbeit zu ermöglichen, soll das CERT M-V dann auch in den VerwaltungsCERT-Verbund eingegliedert werden, so Oberregierungsdirektor Norbert Trilk. Kurze Wege für unverzügliche und kompetente Handlungsfähigkeit Das CERT ist, wie seine deutsche Bezeichnung Computer- Notfall-Team ausdrückt, ein maßgeblich operativ tätiges Gremium. Eine so genannte Kopfstelle bildet den Kern und agiert von zentraler Stelle aus für die gesamte Landesverwaltung. Bei der Bearbeitung von Sicherheitsvorfällen können bei Bedarf externe Experten hinzugezogen werden. Diese Kopfstelle wird sinnvollerweise in der DVZ M-V GmbH angesiedelt. Dort, wo sich die zentralen Sicherheitskomponenten befinden und das Störungs- und Notfallmanagement des IT-Landesdienstleisters seinen Sitz hat. Kurze Wege ermöglichen also im Krisenszenario eine unverzügliche und kompetente Handlungsfähigkeit. Das CERT an sich ist jedoch umfassender als die geplanten drei Experten der Kopfstelle. Sicherheitsfachleute aus verschiedenen Verwaltungsbereichen bringen ihre spezifischen Kenntnisse und ihr Know-how ein. Dies, so beschreibt Norbert Trilk die angedachte Vorgehensweise, erfolge anlassbezogen und ist zunächst auf Spezialisten des Finanzministeriums, des LKA und des Geheimschutzbeauftragten des Landes begrenzt. Auch das Sicherheitsteam der DVZ M-V GmbH kann punktuell in die Tätigkeit des CERTs einbezogen werden. Wir verstehen diese Anstrengungen als eine Aufgabe mit strategischer Bedeutung. Es geht darum, die Daten der Bürgerinnen und Bürger zu schützen und das Vertrauen in die Informationsverarbeitung zu wahren. Im Vordergrund steht eine frühzeitige Erkennung und Abwehr von Angriffen und die Verbesserung der Widerstandsfähigkeit gegen solche Angriffe. Auch wenn das Computer-Notfall-Team in erster Linie der Landesverwaltung zur Verfügung stehen soll, können ebenfalls die kommunalen Behörden davon profitieren. Sie sollen unter anderem in einen aufzubauenden Warnund Informationsdienst mit einbezogen werden, mit dem das Computer-Notfall-Team die Behörden über mögliche Angriffe, Warnmeldungen zu neu festgestellten Sicherheitslücken sowie neue Angriffswerkzeuge und Entwicklungen informieren wird. Auf Basis solcher Bekanntgaben können die Behörden ihre Systeme und Netzwerke vor akuten Gefährdungen schützen, bevor diese ausgenutzt werden, so Norbert Trilk. ABarbara Arndt DVZ.info 02I14 9

12 Vernetzen Unterwegs und doch am Platz Mobiles Arbeiten in der Landesverwaltung Mecklenburg-Vorpommerns Mobiles Arbeiten am Laptop gehört für einen Großteil der Landesverwaltung Mecklenburg- Vorpommerns längst zum festen Bestandteil des Arbeitsalltages. Ein Mobile Device Management ermöglicht nun, dass auch per Tablet PC und Smartphone von unterwegs bequem s abgerufen, Termine organisiert und Kontakte gepflegt werden können, wann immer sich eine Gelegenheit im Außeneinsatz bietet. Mit der Einführung eines Systems zur Verwaltung mobiler Endgeräte (Mobile Device Management MDM) im Herbst 2012 wurden zunächst Grundanforderungen wie Internetnutzung und die sichere Bereitstellung des Postfachs und von Dokumenten erfüllt. Zudem wurden neben der Umsetzung sicherheitstechnischer Maßnahmen Regelwerke verabschiedet, die den Umgang der Benutzer mit den mobilen Geräten festlegen. Das Bereitstellen von Sitzungsunterlagen auf Tablets vereinfacht Arbeitsabläufe und vermeidet unnötiges Drucken. Der Landtag Mecklenburg-Vorpommerns stellt bereits seit der Landtagswahl 2011 Landtagsdrucksachen digital auf Tablets zur Verfügung. Unter Verwendung von Software zum sicheren Dokumentenaustausch (TeamDrive, DVZ.info berichtete darüber in Ausgabe 01/14) können aktuell in der Landesverwaltung Dokumente zeitnah aus Zuarbeiten am Dienstsitz direkt auf mobilen Geräten bereitgestellt und kommentierte oder bearbeitete Versionen auf dem gleichen Wege wieder zurück zum Arbeitsplatz synchronisiert werden. Kompatibel und sicher Aktuell wurden Nutzungsmöglichkeiten der mobilen Geräte dahingehend erweitert, von unterwegs Zugang zu Daten und Verfahren in den Behörden zu erhalten. Ausgenommen bleiben nach wie vor Anwendungen und Verfahren mit hohem Schutzbedarf. Die Lösung setzt auf bereits bestehende Dienste auf und erfordert lediglich zusätzliche Software-Komponenten 10 DVZ.info 02I14

13 Office-Suite zur Bearbeitung von Dokumenten Postfachsynchronisierung Dokumentenbereitstellung Dateifreigaben im Hausnetz gemäß den Benutzerrechten; SharePoint- und WebDav-Freigaben gemäß den Benutzerrechten Terminal-Server Sitzung MOBILITY Internetangebote; browsergestützte Informationssysteme im Internet (z. B. LOTSE) Informationsdienste Freischaltung von Ressourcen AMobil und dennoch flexibel: Auch von Unterwegs ist uneingeschränktes Arbeiten möglich. auf den mobilen Geräten. So ist eine Anbindung der mobilen Endgeräte sowohl an das MDM-System als auch an die VPN-Infrastruktur der Landesverwaltung Mecklenburg-Vorpommerns nötig. Für mobile Geräte werden dazu geeignete VPN- Profile bereitgestellt und installiert. Außerdem bedarf es der Bereitstellung der betreffenden Anwendungen und Fachverfahren auf Terminal-Server-Infrastrukturen im internen Behördennetzwerk und mit Zugriffsmöglichkeiten über Citrix Access Gateway, Webinterface und XenApp. In den meisten Fällen steht die Umgebung bereits für andere Geräteklassen und Anwendungsbereiche zur Mitnutzung mobiler Geräte bereit. Für den Zugriff wird die Citrix-Receiver-App benötigt, die aus den App-Stores kostenfrei heruntergeladen und installiert werden kann. Der Zugriff selbst kann DOMEA-WinDesk; Zeiterfassung; ressortspezifische Fachverfahren Fachverfahren Dokumentenbearbeitung Outlook, speziell zum Zugriff auf freigegebene Postfächer, öffentliche Ordner etc. dann über eine stabile, leistungsgerechte Mobilfunkverbindung und eine darauf aufsetzende VPN-Verbindung vom mobilen Endgerät zum internen Netzwerk erfolgen. Der Mix aus Technik, Software, Sicherheitsmaßnahmen, dem Mobile Device Management und Support des DVZ machen das mobile Arbeiten somit für die Landesregierung Mecklenburg-Vorpommerns immens sicher und flexibel. ASebastian Hoppenhöft ADie technische Infrastruktur ermöglicht ein sicheres Arbeiten am mobilen Verwaltungsschreibtisch DVZ.info 02I14 11

14 Informieren Mehrwerte ansteuern Umstellung auf digitalisierte Prozesse im Landesbesoldungsamt M-V und was durch das Projekt BEATA perspektivisch möglich ist Bereits in der DVZ.info vom November 2012 berichteten wir über das Projekt BEATA (Bezügedaten elektronisch anweisen, transportieren und aufbewahren) im Titelthema. Neben der Einführung einer elektronischen Zahlfallakte werden hier zwei Portal-Lösungen aufgebaut, die eine behördenübergreifende Zusammenarbeit sowie eine direkte elektronische Kommunikation mit dem Landesbediensteten ermöglichen. Wie ist der aktuelle Stand des Projekts? Wie lässt sich BEATA auf andere Bereiche übertragen? Nach Einführung des Bestandsaktenscannens im Frühjahr 2013 wird seit April dieses Jahres auch die tägliche Eingangspost digitalisiert und die Dokumente in das Dokumentenmanagement- und Vorgangsbearbeitungssystem (DMS/VBS) überführt, sodass sie dem Sachbearbeiter im Landesbesoldungsamt M-V (LBesA) nun viel schneller als zuvor in der Papierwelt zur Verfügung stehen. Damit wählt BEATA eine stufenweise Einführungsstrategie. Die rechtssichere Ablage der digital signierten Dokumente übernimmt dabei der vertrauenswürdige Lang zeitspeicher nach der BSI-Richtlinie TR-ESOR, welcher für den Nutzer transparent an das DMS/VBS gekoppelt ist. Im September 2014 wurde die letzte Etappe der E-Akte bewältigt. Sämtliche Ausgaben der Bezüge-, Entgelt- und Beihilfeberechungsverfahren werden seitdem elektronisch ausgegeben und ebenfalls direkt in das DMS/VBS importiert. Von jetzt an erfolgt die Sachbearbeitung im LBesA vollelektronisch. Doch die Modernisierung geht weit über das Landesbesoldungsamt hinaus. Auch die Zusammenarbeit mit den etwa 130 personalführenden Dienststellen des Landes und den Bezüge- bzw. Entgeltempfängern soll zukünftig elektronisch erfolgen. Dies wird via Webportal-Lösungen realisiert, in welche elektronische Formulare integriert sind. Diese sind am Bildschirm auszufüllen und per Mausklick an den zuständigen Sachbearbeiter im LBesA zu versenden. Für den Bezüge- bzw. Entgeltempfänger besteht außerdem die Möglichkeit, sich die Abrechnungsblätter aus dem Internet elektronisch abzurufen. Der gesamte Prozess zählt Die Einführung von DMS- und VBS- Lösungen für die Umstellung auf elektronische Prozesse in Behörden ist nicht unbedingt ein neues Thema. Nicht selten gehen Geschäftsprozesse über die Behörde hinaus und betreffen Dritte oder 12 DVZ.info 02I14