E-Government-Initiative für D und den neuen Personalausweis

Transkript

1 E-Government-Initiative für D und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland-Pfalz Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Deshalb werden die jeweils Verantwortlichen im Impressum auf der letzten Seite der Dokumente genannt. Sie stehen Ihnen für inhaltliche Fragen zur Verfügung.

2 IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland- Pfalz Version Dezember 2013

3 Dokumentinformationen Datum 6. Dezember 2013 Version 0.1 Zustand in Bearbeitung seit: 16. Mai 2013 vorgelegt am: akzeptiert/abgeschlossen Verfasser Verantwortlich Alexander Hazenbiller Herbert Benz Dokumenten-ID Dokumentenhistorie Datum Version Änderungsgrund Bearbeiter 16. Mai Ersterstellung AH

4 Inhaltsverzeichnis 1 Einleitung Aufbau des Sicherheitskonzeptes Ziel der IT-Sicherheitskonzeption Fokus des Sicherheitskonzeptes Rahmenbedingungen Zuständigkeiten und Aufgabenzuordnungen Verfügbarkeitsanforderungen Aufbau und Zusammenhang von OBD Gesetzliche Vorschriften Erstellung des Sicherheitskonzeptes Bestimmung und Abgrenzung des Informationsverbundes Netzplan IT-Systeme und Anwendungen Räume und Gebäude Kommunikationsverbindungen Strukturanalyse Auswertung des Netzplans Geschäftsprozesse Erhebung der IT-Systeme Erfassung der Anwendungen Erfassung der Räume Feststellung des Schutzbedarfes Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung Auswertung aus den Ergebnissen der Schutzbedarfsanalyse Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Ergänzende Risikoanalyse Abkürzungen Referenzierte Dokumente KommWis GmbH Seite: i von iii

5 Abbildungsverzeichnis Abbildung 1 - Beschriftung... 1 Abbildung 2 - Übersicht über Verteilung der abhängigen IT-Systeme... 4 Abbildung 3 - Abgrenzung des Informationsverbundes (Physikalische Sicht)... 5 KommWis GmbH Seite: ii von iii

6 Tabellenverzeichnis Tabelle 1 - Servicezeiten... 3 Tabelle 2 - Schutzbedarfskategorien... 7 Tabelle 3 - Ermittlung und Abgrenzung von Schadensszenarien... 7 KommWis GmbH Seite: iii von iii

7 1 Einleitung In dem vorliegenden Dokument wird ein IT-Sicherheitskonzept zum Betrieb von Online- Bürgerdiensten in Rheinland-Pfalz (OBD) nach Empfehlungen der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Verbindung mit den BSI-Standards erstellt. Der Aufbau dieses Dokuments richtet sich dabei nach dem Vorgehensmodell ISO auf der Basis von IT-Grundschutz. In der nachfolgenden Abbildung 1 ist das Vorgehen zusammenfassend dargestellt. Abbildung 1 - Beschriftung 1.1 Aufbau des Sicherheitskonzeptes Die Erstellung einer Sicherheitskonzeption nach IT-Grundschutz besteht in dieser Ausarbeitung aus einem konzeptionellen und einem praktischen Teil. In Kapitel 2, dem konzeptionellen Teil, werden vorerst die Rahmenbedingungen erläutert. Ferner werden die Zuständigkeiten als auch der Aufbau von Online-Bürgerdiensten und deren Zusammenhang vorgestellt. Der konzeptionelle Teil enthält weiterhin die gesetzlichen Vorgaben des Bundesverwaltungsamtes für die Wahrnehmung des Geschäftszwecks. Der praktische Teil dieses Dokuments beginnt mit dem 3. Kapitel. Einleitend wird zunächst der Informationsverbund aus einer organisatorischen Sicht definiert. Anschließend erfolgt eine ausführliche Erfassung aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung der Informationsverarbeitung innerhalb des Informationsverbunds dienen. Darüber hinaus wird anhand einer detaillierten Schutzbedarfsanalyse unter Verwendung der vom BSI vorgeschlagenen Schadensszenarien der Schutzbedarf für die Komponenten ermittelt. Mit Hilfe der Informationen aus der Strukturanalyse und der Schutzbedarfsfeststellung folgt danach eine Nachbildung des definierten Informationsverbunds unter Zuhilfenahme des Grundschutz-Tools (GSTOOL). KommWis GmbH Seite: 1 von 14

8 Im 6. Kapitel bietet der Basis-Sicherheitscheck einen Überblick über das bereits vorhandene Sicherheitsniveau. Dadurch können noch nicht oder teilweise umgesetzte Maßnahmen identifiziert und Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Geschäftsprozesse und der aufgezeigt werden. 1.2 Ziel der IT-Sicherheitskonzeption Das Ziel dieses IT-Sicherheitskonzepts stellt die Wahrung der drei Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität dar. Dadurch soll die Abwicklung der Geschäftsprozesse aufrechterhalten, Gefahren bzw. Sicherheitsdefizite frühzeitig festgestellt und durch geeignete Maßnahmen abgewendet werden. Weiterhin gibt dieses Dokument Aufschluss darüber, welches Sicherheitsniveau angestrebt wird und auf welcher Grundlage die Sicherheitsmaßnahmen festgelegt wurden. 1.3 Fokus des Sicherheitskonzeptes Das vorliegende IT-Sicherheitskonzept fokussiert auf das s-managementsystem (ISMS) des kommunalen Dienstleisters KommWis GmbH, der die Gesamtverantwortung für den Betrieb der Online-Bürgerdienste übernimmt. Explizit nicht Gegenstand dieses IT-Sicherheitskonzeptes sind alle IT-Systeme, Netzkomponenten und Anwendungen des bürgerlichen Clients sowie die Webportale auf Seiten des Diensteanbieters und Payment-Providers. KommWis GmbH Seite: 2 von 14

9 2 Rahmenbedingungen 2.1 Zuständigkeiten und Aufgabenzuordnungen Die effiziente Planung, Umsetzung und nachhaltige Aufrechterhaltung des Sicherheitsniveaus erfordert ein kontinuierliches Engagement von allen an der Planung und Umsetzung beteiligten Personen. Daher ist das Zusammenwirken der Mitarbeiter folgender Bereiche erforderlich: Mitarbeiter KommWis GmbH (KommWis) Mitarbeiter Kommunales Gebietsrechenzentrum Koblenz (KGRZ) Die von jeder Arbeitsgruppe durchzuführenden Aufgaben wurden gemeinsam definiert und anschließend den einzelnen Arbeitsgruppen zugeordnet. Für den sicheren Betrieb der Online-Bürgerdienste übernimmt KommWis die Gesamtverantwortung, initiiert sowie koordiniert die erforderlichen Aktivitäten und sorgt für die notwendige Einhaltung der und der Umsetzung der festgelegten technischen und organisatorischen Maßnahmen. Das KGRZ liefert gemäß dem Mietschein alle wesentlichen infrastrukturellen Ausstattungen. 2.2 Verfügbarkeitsanforderungen Für den Betrieb der Online-Bürgerdienste sind keine garantierten Verfügbarkeitsregelungen getroffen (SLA). Die Anforderungen an die Servicezeiten sowie Instandsetzung leiten sich aus dem Mietschein zum Vertrag für die Anmietung von EDV-Anlagen und EDV-Geräten ab (siehe Referenzierte Dokumente Nr. 1): Servicezeiten: Montag bis Donnerstag Freitag 08:00 12:00 Uhr 13:00 16:00 Uhr 08:00 13:00 Uhr Tabelle 1 - Servicezeiten 2.3 Aufbau und Zusammenhang von OBD Die nachfolgende Abbildung 2 führt die Gesamtansicht aller zusammenhängenden Systeme und deren Vernetzung auf. Die Darstellung beinhaltet dabei sämtliche Komponenten der Informationstechnologie, die der Aufgabenerfüllung des Geschäftsprozesses dienen. Eine genaue Abgrenzung und Beschreibung des Informationsverbundes nach IT-Grundschutz erfolgt im Kapitel 3.1. Eine vollständige Erfassung aller Komponenten innerhalb des Informationsverbundes im Rahmen der Strukturanalyse wird im Kapitel 3.2 betrachtet. KommWis GmbH Seite: 3 von 14

10 OBD Physikalische Sicht (Gesamtansicht) Informationsverbund Online Dienste (KGRZ) KGRZ N3: Switch V2 Prüfung eid (BOS) Payment (ComputTop) V1 V4 KGRZ S1: Vmware ESXi KGRZ N1: Firewall Internet V5 KW N1: WAF V3 Formularserver (Chamäleon) Internet KGRZ N2: Firewall knrp knrp KDZ IREG-DB (Int.) Bürger KommWis (Internet DMZ) KommWis (LAN) Syslog Admin 2.4 Gesetzliche Vorschriften Abbildung 2 - Übersicht über Verteilung der abhängigen IT-Systeme Für die Wahrnehmung des Geschäftsprozesses Abwicklung von Verwaltungsleistungen mit Identifikationsbedarf ohne Registrierung im Sinne der GemO Rheinland-Pfalz hat das Bundesverwaltungsamt im Schreiben vom (siehe Referenzierte Dokumente Nr. 2) die Berechtigung für die Anfrage sowie flüchtige Datenhaltung für die folgenden Datenfelder des neuen elektronischen Personalausweises erteilt: Familienname Vornamen Tag der Geburt Anschrift Dokumentenart Abkürzung D für Bundesrepublik Deutschland Die Daten werden im Rahmen des Bestellvorganges einmalig ausgelesen und für die Dauer des Geschäftsprozesses im Arbeitsspeicher (RAM) gehalten. Ein dauerhaftes Anlegen und Nutzen der Daten findet nicht statt. Der elektronische Identitätsnachweis kann nur mittels eines Berechtigungszertifikats, das von der Vergabestelle für Berechtigungszertifikate (VfB) bereitgestellt wurde, genutzt werden. Das Berechtigungszertifikat wird alle zwei Tage bei dem Berechtigungszertifikatanbieter erneuert. Weiterhin gilt es die Vorgaben des Bundesdatenschutzgesetzes (BDSG) zu beachten: Einhaltung der Zweckbindung der ausgelesenen Daten Recht auf Auskunft über gespeicherte Daten bzw. Löschen gespeicherter Daten Verpflichtung zur Absicherung der Verarbeitung personenbezogener Daten Verbot der Weitergabe der Daten ohne Einwilligung KommWis GmbH Seite: 4 von 14

11 3 Erstellung des Sicherheitskonzeptes 3.1 Bestimmung und Abgrenzung des Informationsverbundes Da einige Komponenten und Bereiche außerhalb des Verantwortungsbereichs der KommWis liegen, kann eine Betrachtung der Gesamtheit aller infrastrukturellen, organisatorischen, personellen und technischen Aspekte nicht stattfinden. Stattdessen wird der Informationsverbund eindeutig abgegrenzt, indem nur die für den Betrieb der Online-Bürgerdienste essentiellen IT-Systeme, Anwendungen sowie deren Verbindungen betrachtet werden (Abbildung 3). Informationsverbund Online Dienste (KGRZ) KGRZ N3: Switch V2 V1 V4 KGRZ S1: Vmware ESXi KGRZ N1: Firewall Internet KW N1: WAF V5 V3 KGRZ N2: Firewall knrp Abbildung 3 - Abgrenzung des Informationsverbundes (Physikalische Sicht) Netzplan In Abbildung 3 sind die einzelnen physikalischen IT-Systeme und deren Vernetzung innerhalb des Informationsverbundes aufgeführt. Die beiden Firewalls (KGRZ N1 und KGRZ N2), der Switch (KGRZ N3) sowie der VMware ESXi Hypervisor (KGRZ S1) befinden sich zentral in einem Serverraum und werden vom KGZR bereitgestellt und administriert. Die Web Application Firewall (WAF, KW N1) ist ebenfalls im Serverraum der KGZR untergebracht, wird jedoch durch KommWis per Fernzugriff verwaltet. Die Schnittstellen zum bzw. aus dem Informationsverbund stellen jeweils die LAN-Ports der KGRZ und knrp (kommunales Netz Rheinland-Pfalz) Firewall dar IT-Systeme und Anwendungen Die virtuellen Maschinen sind mit einem Linux-Betriebssystem ausgestattet. Die einheitliche Haltung soll den Administrationsaufwand minimieren. Als Anwendung kommen eine Oracle 11g Datenbank sowie Komponenten der Firma HSH und bos zum Einsatz Räume und Gebäude Die oben genannten technischen Komponenten bzw. der Stellplatz für die WAF (KW N1) sind von der KommWis angemietet und werden durch das KGRZ in deren Räumlichkeiten betrieben. Leistungen wie Stromanschluss, Netzwerk und Klimatisierung stellt das KGRZ bereit. Der Zutritt zu dem Serverraum ist nur auf einen ausgewählten Personenkreis beschränkt, nachgewiesen und durch die Dienstanweisungen des KGRZ geregelt. Gemäß Geltungsbereich werden die Räumlichkeiten nicht näher betrachtet. KommWis GmbH Seite: 5 von 14

12 3.1.4 Kommunikationsverbindungen Alle physikalischen IT-Systeme besitzen ein dediziertes Netzwerkkabel zum Switch. Die Kommunikationsverbindungen der jeweiligen IT-Systeme sind entsprechend mit V1 bis V5 gekennzeichnet. Über die beiden Firewalls KGRZ N1 und KGRZ N2 werden Außenverbindungen aus dem knrp bzw. zum und vom Internet aufgebaut. Zum reinen Firewalling-Prozess wird der Datenstrom der Anwendungen vom und zum Internet zusätzlich durch eine WAF (KW N1) kontrolliert. 3.2 Strukturanalyse Auswertung des Netzplans Die Bereinigung des Netzplans gemäß IT-Grundschutz zur Komplexitätsreduzierung findet nicht statt, da die einzelnen IT-Systeme in ihrer Eigenschaft und Konfiguration unterschiedlich sind und daher nicht zu einer Gruppe zusammengefasst werden können. Der in Abbildung 3 dargestellte Netzplan bildet die Grundlage für die nachfolgenden Schritte der Strukturanalyse Geschäftsprozesse Die Kernprozesse (Abläufe) im Bereich Meldewesen zur Antragsstellung sind in einem separaten Dokument detailliert beschrieben (siehe Referenzierte Dokumente Nr. 3) Erhebung der IT-Systeme Die IT-Systeme sind im GSTOOL erfasst und beschrieben. Es werden nur die IT-Systeme betrachtet, die unmittelbar zur Unterstützung der Vorgänge dienen Erfassung der Anwendungen Die Anwendungen sind im GSTOOL erfasst und beschrieben. Bei der Erfassung wird angegeben, ob personenbezogene Daten mit der Anwendung verarbeitet werden Erfassung der Räume Die Räumlichkeiten bei der KGRZ werden gemäß Geltungsbereich nicht näher betrachtet. Eine detaillierte Sicherheitsbetrachtung findet in dem Sicherheitskonzept der KGRZ statt. KommWis GmbH Seite: 6 von 14

13 4 Feststellung des Schutzbedarfs Die Schutzbedarfsfeststellung betrachtet die oben ermittelten sicherheitsrelevanten Objekte (Prozesse, Informationen, Anwendungen). Der Schutzbedarf bezieht sich jeweils auf die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. 4.1 Definition der Schutzbedarfskategorien Der Schutzbedarf wird in die Kategorien normal, hoch und sehr hoch unterteilt. Als Rahmen dient hierbei die folgende Einstufung: Schutzbedarfskategorie normal hoch sehr hoch Beschreibung Die Schadensauswirkungen sind begrenzt und überschaubar. Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Tabelle 2 - Schutzbedarfskategorien Damit eine eindeutige Abgrenzung der Schutzbedarfskategorien voneinander stattfinden kann, wurden die potenziellen Schadensauswirkungen anhand einer Schutzbedarfsanalyse in Kollaboration mit der Geschäftsleitung erarbeitet. Kategorie normal/ hoch/ sehr hoch Schadensszenario [Verstoß gegen Gesetze/Vorschriften/Verträge] Verstöße gegen Vorschriften und Gesetze haben geringfügige/erhebliche/ruinöse Konsequenzen. Vertragsverletzungen mit geringen/hohen/sehr hohen Vertragsstrafen. [Beeinträchtigung des informationellen Selbstbestimmungsrechts] Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel/bedeutend/nicht akzeptabel eingeschätzt werden. Ein möglicher Missbrauch personenbezogener Daten hat nur geringfügige/erhebliche/gravierende Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Schadensersatzansprüche Dritter sind nicht/wahrscheinlich/zu erwarten. [Beeinträchtigung der persönlichen Unversehrtheit] Eine Beeinträchtigung der persönlichen Unversehrtheit kann wahrscheinlich/nicht absolut/nicht ausgeschlossen werden. [Beeinträchtigung der Aufgabenerfüllung] Die Beeinträchtigung würde von den Betroffenen als tolerabel/arbeitsverhindernd/nicht hinnehmbar eingeschätzt werden. Die zugesicherte Wiederherstellungszeit beträgt mehr als 24/zwischen 8 und 24/weniger als 8 Stunden. [Negative Außenwirkung] Eine geringe bzw. nur interne/breite/landesweite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. Keine/hohe/sehr hohe Abwanderung von Kunden ist zu erwarten. [Finanzielle Auswirkungen] Der finanzielle Schaden bleibt für die KommWis tragbar/geschäftsschädigend/existenz bedrohlich. Tabelle 3 - Ermittlung und Abgrenzung von Schadensszenarien KommWis GmbH Seite: 7 von 14

14 4.2 Schutzbedarfsfeststellung Eine detaillierte Ermittlung des Schutzbedarfs nach BSI-Grundschutz ist dem Anhang 1 zu entnehmen. 4.3 Auswertung aus den Ergebnissen der Schutzbedarfsanalyse Die Schutzbedarfsfeststellung hat ergeben, dass die verarbeiteten Informationen aufgrund der gesetzlichen Vorschriften als sicherheitskritisch eingestuft werden und daher eines höheren Schutzbedarfs bedürfen. Welche Maßnahmen sich als geeignet erweisen, wird nach der Durchführung des Basis- Sicherheitschecks und einer ergänzenden Sicherheitsanalyse ermittelt. KommWis GmbH Seite: 8 von 14

15 5 Modellierung Die Modellierung des Informationsverbunds nach IT-Grundschutz sowie die Ermittlung der notwendigen Sicherheitsmaßnahmen erfolgt unter Zuhilfenahme des GSTOOL. KommWis GmbH Seite: 9 von 14

16 6 Basis-Sicherheitscheck Die Ermittlung des aktuellen Umsetzungsgrades der einzelnen Sicherheitsmaßnahmen eines Bausteines erfolgt direkt im GSTOOL (siehe Anhang 2). KommWis GmbH Seite: 10 von 14

17 7 Ergänzende Sicherheitsanalyse Die Schutzbedarfsfeststellung hat ergeben, dass der Grundwert Vertraulichkeit einen hohen Schutzbedarf besitzt. Daher wird mittels einer ergänzenden Sicherheitsanalyse festgestellt, ob höherrangige Sicherheitsmaßnahmen ergriffen werden müssen. Eine ausführliche Risikoanalyse auf der Basis von IT-Grundschutz ist in einem separaten Dokument beschrieben (siehe Referenzierte Dokumente Nr. 4). KommWis GmbH Seite: 11 von 14

18 8 Ergänzende Risikoanalyse Die ergänzende Sicherheitsanalyse hat ergeben, dass eine ergänzende Risikoanalyse nicht notwendig ist. KommWis GmbH Seite: 12 von 14

19 9 Abkürzungen BDSG bos KGRZ knrp OBD RAM VfB WAF Bundesdatenschutzgesetz bremen online services Kommunales Gebietsrechenzentrum Kommunales Netz Rheinland-Pfalz Online-Bürgerdienste Random Access Memory Vergabestelle für Berechtigungszertifikate Web Application Firwall KommWis GmbH Seite: 13 von 14

20 10 Referenzierte Dokumente Nr. Dokumententitel, Version, Datum, Ersteller, Dokumentname /1/ Mietschein, 2.0, KGRZ/KommWis GmbH, KGRZ-Mietschein.docx /2/ Schreiben vom bzgl. Berechtigungszertifikat /3/ OBD Meldewesen Prozesse, 0.1, Achim Fürst, OBD_Konzept- Meldewesen_Prozesse.docx /4/ Ergänzende Sicherheitsanalyse, 1.0, Detlev Reimann, ODB-Ergaennzende- Sicherheitsanalyse.doc KommWis GmbH Seite: 14 von 14

21 Herausgeber Bundesministerium des Innern IT-Stab, Referat IT4 Alt-Moabit 101 D, Berlin Bezugsquelle Bundesministerium des Innern Internet: und Tel.: +49(0) Fax: +49(0) Veröffentlicht Dezember 2013 HINWEIS Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für D und den neuen Personalausweis erstellt wurden. Bitte wenden Sie sich bei inhaltlichen Fragen direkt an die hier genannten Ansprechpartner. Verantwortlich für den Inhalt dieses Ergebnisdokumentes Gesellschaft für Kommunikation und Wissenstransfer mbh (KommWis) Herr Herbert Benz Hindenburgplatz 3, Mainz Tel.: + 49 (0) hbenz@kommwis.de Internet: Diese Veröffentlichung ist Teil der Öffentlichkeitsarbeit der Bundesregierung. Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.