Die IT Sicherheitsstrategie. Landes Niedersachsen

Transkript

1 Die IT Sicherheitsstrategie des Landes Niedersachsen

2 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umfassende Umsetzung der IT Security Netzwerk Management Infrastruktur Management Identity Management ejustice Das Signaturbündnis Niedersachsen Zusammenfassung

3 Vorspann? Die Lage der IT-Sicherheit in Deutschland 2007 Gefahrentrends: Trojanische Pferde Spam Identitätsdiebstahl Spyware Social Engineering Zero Day Exploits

4 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umfassende Umsetzung der IT Security Netzwerk Management Infrastruktur Management Identity Management E-Justiz Das Signaturbündnis Niedersachsen Zusammenfassung

5 Neuausrichtung der IT in Niedersachsen Zentrale IT Steuerung Strategiet Infrastrukturmanagement IT-Architekturmanagement Programmanagement Steuerung IT Sicherheit IT Landeskonzept Leitlinie für die Neuausrichtung, 10 Leitsätze IT Betriebsmodell Fachliche Vertiefung und konzeptionelle Ausgestaltung des Landeskonzeptes Zentralisierungsmasterplan egovernment Masterplan

6 IT Landeskonzept Das IT Landeskonzept legt auf abstrakter Ebene die Leitlinien der zukünftigen Entwicklung der IT in der Landesverwaltung fest IT unterstützt die Effizienz und Leistungsfähigkeit der Landesverwaltung Die Ressorts verantworten die fachliche und organisatorische Gestaltung Der IT Dienstleister (Landesbetrieb) verantwortet die technische Realisierung Einsatz moderner Instrumente für Planung, Steuerung, Koordination Informationssicherheit wird als integraler Bestandteil der Geschäftsprozesse verstanden

7 Das Betriebsmodell für die IT des Landes Landeseinheitlicher itli h Zielbetrieb: i b Operationalisierung i der strategischen Zielsetzungen des Landeskonzeptes Festlegung der Beziehungen zwischen den IT-Organisationen der Ressorts/Fachverwaltungen und dem IT Dienstleister Einfach zu handhabenden und überschaubarer Betrieb der IT in einem immer komplexer werdenden Umfeld Standardisierung Vereinheitlichung einfacheres Handling (Austauschbarkeit, Synergie, einheitliche Arbeitsumgebung, Flexibilität, Kostenreduktion) Bündelung von vorhandenen Kompetenzen Verbesserung der Qualität und Sicherheit der IT-Leistungen Einheitlichkeit und Transparenz der IT-Leistungen, Prozesse und Rollen

8 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umsetzung der IT Security IT Security im Rechenzentrum IT Security im Netzwerkbereich Zentrales edirectory Das Signaturbündnis Niedersachsen Zusammenfassung

9 IT Security in der IT Governence (Steuerung) Beratung IT Alignment Anforderungsmanagement Strategische Beratung Innovationsmanagement Aufbau u. Betrieb (Multi-) Projektmanagement Service Level Management Planung IT Strategie IT Planung Releasemanagement IT Portfoliomanagement Steuerung/Kontrolle Architekturmanagement Riskmanagement Securitymanagement Qualitätsmanagement Performancemanagement Budetsteuerung, Finanzmgmt Auftragsmanagement Lieferantenmanagement

10 IT Security in der IT Governence Beratung IT Alignment Anforderungsmanagement Strategische Beratung Innovationsmanagement Aufbau u. Betrieb (Multi-) Projektmanagement Service Level Management Planung IT Strategie IT Planung Releasemanagement IT Portfoliomanagement Steuerung/Kontrolle Architekturmanagement Riskmanagement Securitymanagement Qualitätsmanagement Performancemanagement Budetsteuerung, Finanzmgmt Auftragsmanagement Lieferantenmanagement

11 IT Security in der IT Governence CISO Oberster IT Sicherheitsverantwortlicher bei Sicherheitsstrategie Vorgaben für IT Sicherheit Koordination der Maßnahmen zur IT Sicherheit Initiierung und Begleitung von IT-Sec Projekten Koordination und Begleitung von Notfalltests Beratung der Ressorts Weitere IT Sicherheitsverantwortliche in jedem Ressort

12 Ebenen des niedersächsischen IT-Sicherheitskonzepts für Inneres, Sport, Integration für Inneres, Sport, Integration Leitlinie zur Informationssicherheit Leitlinie für Informationssicherheit in der Niedersächsischen Landesverwaltung (LL IS NLVw) für Inneres, Sport, Integration für Inneres, Sport, Integration Richtlinie für Informationssicherheit in der Niedersächsischen Landesverwaltung (RL IS NLVw) Richtlinie für Informationssicherheit in der Niedersächsischen Landesverwaltung (RL IS NLVw) Richtlinie für Informationssicherheit in der Niedersächsischen Landesverwaltung Einführung zu Standards (RL der IS Informationssicherheit NLVw) Richtlinie zur IT Security Technische Standards, Definitionen, Maßnahmen Detaillierte IT-Security Konzepte Konkrete Produkteinstellungen und zu verwendende Mechanismen ressortübergreifend Vorgehensmodell Schutzbedarfsfeststellung Arbeitshilfe Vereinfachte IT-Risikoanalyse sach- und zielgruppenspezifisch Lokale Arbeitsanweisungen IT-Security Vorgaben für die Mitarbeiter, Eigenverantwortlich nachvollziehbar am jeweiligen Arbeitsplatz

13 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umfassende Umsetzung der IT Security IT Security im Rechenzentrum IT Security im Netzwerkbereich Zentrales edirectory E-Justiz Das Signaturbündnis Niedersachsen Zusammenfassung

14 Netzwerk Management aus iznnet wird NI-NGN Projekt TK2010 Flächendeckendes d Landesnetz iznnet seit 2002 Kenngrößen TK Infrastruktur ca Ports für lokale Netz ca Telefon Ports ca Fernsprechnebenstellenanlagen ca Dienststellen in ca Gebäuden Weiterentwicklung des Netzes: NI-NGN Konvergenz Vertragsgestaltung GU (Projektgesellschaft) Zentralisierung Nahtlose Einbindung Security-relevanter Aspekte die IT-Security-Gesamtstrategie

15 Projekt TK2010 Netzwerk Management: Security-relevante Aspekte im NI-NGN IT-Sicherheitsmaßnahmen h it h Definition eines Basisschutzniveau (z.b. einen sicheren Netzzugang) g) Einbindung konsolidierter Anforderungen an das NI-NGN (u.a. Sonderanforderungen der Polizei, Steuerverwaltung und Justiz) Berücksichtigung im Leistungsverzeichnis zu NI- NGN: Informationssicherheitsmanagement (ISM) Intrusion Detection, Systematic Attack Detection Berücksichtigung besonderer Gefahrenlagen / Notbetrieb Security im WAN Verschlüsselte Sprachkommunikation

16 Infrastruktur Management: Standardisierung und Zentralisierung Unterstützung der Ziele von Informationssicherheit durch... Sicherstellung der Beherrschbarkeit von Prozessen und IT Verringerung der Komplexität Risiko-Minimierung durch zentrale Verantwortlichkeiten effiziente Umsetzung von Sicherheitsmaßnahmen effektive Reaktion auf Sicherheitsvorfälle zeitnahe Anpassungen an die jeweilige Sicherheitslage Erschließung neuer Ressourcen (Personal, Budget) für IT- Sicherheit Nutzung von Synergien für Informationssicherheit

17 Identity Management: Zentrales edirectory für Niedersachsen Aspekte zur Einführung eines zentralen edirectory Landesweiter Verzeichnisdienst einschließlich Schnittstellen zum kommunalen Bereich als Informationsbasis der Verwaltung mit einer einheitlichen, standardisierten Sicht Element der serviceorientierten Architektur (SOA), Anbindungsmöglichkeiten zu den anderen Verfahren, Prozessen und Organisationen Basisverzeichnis eichnis für Einführung ng egovernmenternment Basisverzeichnis für TK2010 Integration mit dem deutschen Verwaltungsdiensteverzeichnis (DVDV)

18 Identity Management: Zentrales edirectory für Niedersachsen Fundament für zahlreiche IT- Sicherheitslösungen Identity und Access Management Rollenbasierendes Berechtigungskonzept Public-Key-Infrastruktur, Digitale Zertifikatsdienste Single Sign-On auch für E-Government Anwendungen Passwortmanagement Benutzerverwaltung (Provisioning) Auditing, Monitoring, Compliance Verschlüsselte Kommunikation (VoIP, Unified Messaging, VPN, VLAN)

19 Risiken durch Zentralisierung Verstärkung der Schadenswirkung durch... Erhöhung des Schadenspotentials bei Vorfällen aufgrund höherer Gewalt, Irrtum oder kriminellen Handlungen Umfassender Zugriff auf Informationen nach erfolgreicher Penetration möglich schnellere Ausbreitung von Schadsoftware möglich Steigerung des Interesses für Eindringlinge aufgrund der Konzentration unterschiedlicher Informationen Risiken in der IT können nicht beseitigt werden sie müssen gemanaged werden

20 Strategie: Zertifizierung der zentralen IT-Services Ziele: Qualitätssicherung durch unabhängige Zertifizierung stetige Optimierung von Sicherheitsmaßnahmen Schaffung von Nachhaltigkeit für den Sicherheitsprozess Steigerung der Effektivität der Sicherheitsmaßnahmen Ausgewogenheit und Durchgängigkeit des Sicherheitsniveau saubere Schnittstelle für die Fachverfahren der Ressorts Aufwandssenkung bei Zertifizierungsvorhaben i der Ressorts Nachhaltige Schaffung einer Sicherheitskultur Verbesserung der Wettbewerbsfähigkeit Basis einer sicheren egovernment-plattform!

21 Das Ziel: Zertifizierung zentrale IT-Services LSKN Göttinger Chaussee Unterstützung der Zertifizierung von IT-Verbünden der Ressorts Aussenstelle Hannover z. B. EU-Zahlstelle Niedersachsen/Bremen Aussenstelle Braunschweig IT-Verbund zentrale IT-Services LSKN Aussenstelle Oldenburg Aussenstelle Lüneburg Erweiterbarkeit des IT-Verbundes im Zuständigkeitsbereich des LSKN Erweiterbarkeit um IT-Verbünde im Zuständigkeitsbereich der Ressorts Lokationen des LSKN kritische Verwaltungsprozesse

22 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umfassende Umsetzung der IT Security IT Security im Netzwerkbereich IT Security zentraler Rechenzentrums-Services edirectory E-Justiz Das Signaturbündnis Niedersachsen Zusammenfassung

23 Fachanwendungswelten in der Justiz: EUREKA (ordentliche Gerichte) SolumSTAR (elektr. Grundbuch) RegisSTAR (elektr. Handelsregister) Automatisiertes gerichtliches Mahnverfahren EUREKA-Fach (Fachgerichte) web.sta (Staatsanwaltschaften) BASIS.web (Justizvollzug)

24 E-Justiz Herausforderungen Zum Teil äußerst sensible Daten (bis Schutzstufe E E : Zeugenschutzprogramme, Verfahren gegen organisierte Kriminalität, Gefangenendaten) Zugriffsmölichkeiten von extern auf Justizdaten (Telearbeit, Projektarbeit) Zunehmende Anzahl mobiler Endgeräte Integration von elektronischem Rechtsverkehr in die Geschäftsprozesse. (sichere Außenkommunikation und Digitale Signatur)

25 Beispiel: i Elektronischer Rechtsverkehr im Registerverfahren Handels- und Genossenschaftsregister werden in Niedersachsen ausschließlich h in 11 Registergerichten i geführt. Seit Januar 2008 müssen Anmeldungen zur Eintragung in das Handels- und Genossenschaftsregister sowie andere Dokumente elektronisch bei den Registergerichten eingereicht werden. Papierform ist unzulässig.

26 Beispiel: i Elektronischer Rechtsverkehr im Registerverfahren Lösung: Elektronisches Gerichts- und Verwaltungspostfach (EGVP), XJustiz-Datensatz und Integration in das Fachverfahren RegisSTAR EGVP bedeutet nur eine Software für das Zusammenstellen, Signieren, i Verschlüsseln l und Übertragen von Nachrichten Erfolgreiche Einführung: Nutzerzahl ( ): (überwiegend Notare) Eingegangene g g Nachrichten (01-02/2008): Öffnung für andere Gerichtsverfahren und zweige ist geplant

27 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umfassende Umsetzung der IT Security IT Security im Netzwerkbereich IT Security zentraler Rechenzentrums-Services edirectory E-Justiz Das Signaturbündnis Niedersachsen Zusammenfassung

28 Ziele Signaturbündnis Niedersachsen Unterstützung des Einsatzes Elektronischer Signaturen bei Prozessen in Wirtschaft und Verwaltung, insbesondere an der Schnittstelle zwischen Wirtschaft und Verwaltung zur Erreichung von Effizienzsteigerungen Sichere, einfache Kommunikation, Interaktion und Transaktion Bedarfsorientierte Anwendungen entwickeln und unterstützen Mitwirkung an nationalen Standardisierungsprozessen Praxisorientierte und pragmatische Zusammenarbeit Handlungsschwerpunkte Interoperabilität Identifizierung neuer Anwendungen und Prozesse an der Schnittstelle zwischen Wirtschaft und Verwaltung Maßnahmen zur Akzeptanzverbesserung

29 Signaturbündnis Niedersachsen Mitgliederstruktur: Anwender (KMU, Mittelstand, Handwerk) vertreten durch Verbände als Multiplikatoren: NIHK, UVN, VHN Anwender vertreten durch Großunternehmen: VW, Solvay Anwender (Verwaltung/Politik) vertreten durch: Land und Kommunale Spitzenverbände Lösungsanbieter aus Finanz- und Kreditwirtschaft: SVN Lösungsanbieter aus IT-Wirtschaft: Microsoft, CISCO, T-Systems, FSC Innovatives Kooperationsmodell, orientiert sich an der Wertschöpfungskette zwischen Anwendern und Anbietern. Dadurch werden neue Synergien und Mehrwerte geschaffen.

30 Signaturbündnis Niedersachsen aktuell: European Bridge CA (EB-CA) Ziel: Die European Bridge CA (EB-CA) ist eine zentrale und übergreifende Vertrauensinstanz, die als Zertifikatsprüfstelle elektronisch signierter und verschlüsselter Dokumente eine interoperable und sichere Kommunikation zwischen Verwaltung und Wirtschaft ermöglicht. Die Public-Key-Infrastrukturen der einzelnen Organisationen werden miteinander verknüpft und bereits ausgegebene Zertifikate können über die lokalen Identitätsinseln" hinaus verwendet werden. Einzelne Organisationen müssen sich nicht mehr damit beschäftigen Vertragsvereinbarungen mit all ihren Kommunikationspartnern zu führen. Ein einzelner Vertrag mit der European Bridge-CA ist ausreichend um mit allen anderen Mitgliedern sichere elektronische Geschäftsprozesse zu realisieren.

31 Signaturbündnis Niedersachsen aktuell: European Bridge CA (EB-CA) EB-CA verringert administrativen und vertragstechnischen Aufwand EB-CA schafft Interoperabilität EB-CA erleichtert die Abwicklung elektronischer Prozesse Das Land steht in Verhandlungen mit der TeleTrust (Ansprechpartner für EB- CA) bezüglich eines Mitgliedsvertrages (Vorreiterrolle) Beschlussvorlage für Sitzung des KoopA ADV (April 2008) zur Nutzung der EB- CA als Schnittstelle für die Prüfung von elektronischen Signaturen und Authentifikationsprozessen

32 Agenda Neuausrichtung der IT in Niedersachsen IT Security in der IT Governance Umfassende Umsetzung der IT Security IT Security im Netzwerkbereich IT Security zentraler Rechenzentrums-Services edirectory ejustiz Das Signaturbündnis Niedersachsen Zusammenfassung

33 IT-Sicherheit fördert egovernment Niedersachsen stellt IT Sicherheit auf Basis ganzheitlicher Konzepte und pragmatischer Umsetzungsschritte sicher IT Security ist integraler Bestandteil der IT Governence Niedersachsen fördert mit Initiativen wie dem Signaturbündnis den Einsatz moderner IT Sec Technologien Eine zertifizierte egovernment-plattform erhöht die Akzeptanz bei den Zielgruppen (Bürger, Unternehmen) IT Landeskonzept: Zentralisierung und Standardisierung hebt das Sicherheitsniveau Auch sensible Verwaltungsprozesse können mittels IT erschlossen werden effzientes Verwaltungshandeln fördert den Wirtschaftsstandort Niedersachsen Abgesicherte IT ist ein entscheidender d Ef Erfolgsfaktor! f