Informations- und Cybersicherheit in Sachsen. Jahresbericht des Beauftragten für Informationssicherheit des Landes 2014/2015
|
|
- Katja Hermann
- vor 7 Jahren
- Abrufe
Transkript
1 Informations- und Cybersicherheit in Sachsen Jahresbericht des Beauftragten für Informationssicherheit des Landes 2014/2015
2 Inhaltsverzeichnis Vorwort Begriffsdefinition Informationssicherheit / Cybersicherheit Bedrohungslage Weltweit Industrie 4.0 und Internet der Dinge Deutschland Sachsen SVN Informationssicherheit in der öffentlichen sächsischen Verwaltung Organisatorische Strukturen der Informationssicherheit AG Informationssicherheit AK IT und E-Government IT Kooperationsrat AK SVN IT-Planungsrat AG Informationssicherheit des IT-Planungsrats Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung Erhöhung der Sicherheit der Internetseiten der Landesverwaltung Ressortübergreifendes Meldeverfahren Technische Projekte für mehr Informationssicherheit HoneySens Identity-Leak-Checker APT-Erkennung DDoS-Protection Stand der Informationssicherheit in den Kommunen Leitlinien- und Informationssicherheits-Management-Prozesse Informationssicherheit in der IT-Service-Beratung Erfahrungsaustausch und Kommunikation Informationssicherheit und Datenschutz Das KDN als sicheres Netz CERT-Leistungen für Kommunen Sicherheitstests Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen Bisherige Maßnahmen des Beauftragten für Informationssicherheit Maßnahmen weiterer Akteure Ergebnisse von repräsentativen Umfragen zu den Themen Informationssicherheit und Cybersicherheit Maßnahmen: Sensibilisierung und Kompetenzvermittlung Projekt: E-Learning Informations- und Netzwerkveranstaltungen im Rahmen des Cyber Security Month der EU Cybersicherheit für Bürger und Wirtschaft Zusammenfassung und Ausblick Abkürzungsverzeichnis... 41
3 Vorwort So wie das Internet aus dem Leben der Bürger nicht mehr wegzudenken ist, setzt auch die Verwaltung IT-basierte Lösungen ein, um Vorgänge effektiv und schnell zu bearbeiten. Zudem stellen die Behörden im Freistaat Sachsen den Bürgern zunehmend elektronische Angebote im Internet zur Verfügung. Die neuen Kommunikations- und Datenwege haben viele Vorteile, bergen aber auch Risiken in sich, denn die digitale Technik ist vor Missbrauch nicht einhundertprozentig zu schützen. Daher bedarf es fortwährender Anstrengungen in der Landesverwaltung, Daten und Kommunikationswege so hinreichend zu schützen, dass sie den potenziellen und sich immer weiter entwickelnden Angriffen von außen z.b. durch Hacker Stand halten. Der Freistaat Sachsen ist hierbei gut aufgestellt und verfügt über eine schlagkräftige CIO-Organisation, die zusammen mit weiteren Gremien wie der ressortübergreifenden Arbeitsgruppe Informationssicherheit Maßnahmen zur IT-Sicherheit beständig ausbaut und weiter entwickelt. Dem Beauftragten für Informationssicherheit des Landes obliegt hierbei die verantwortungsvolle Aufgabe, die Entwicklung der IT- Sicherheit in der Landesverwaltung strategisch zu steuern und hierbei immer wieder neuen technischen Lösungen zur Einführung zu verhelfen, die dem Schutz der Informationssicherheit dienen. Die Zusammenarbeit zwischen Gremien und Ressorts und das gemeinsame Erarbeiten von Sicherheitslösungen funktioniert auch deshalb so gut, weil der Freistaat frühzeitig die Bedeutung der Informationssicherheit auch gesetzlich verankert hat, und zwar in der Verwaltungsvorschrift Informationssicherheit im September 2011 und schließlich im Sächsischen E-Government-Gesetz, das im August 2014 in Kraft getreten ist. Auch auf Bundesebene erfährt das Thema Informationssicherheit eine große Beachtung: Im März 2013 hat der IT-Planungsrat die Leitlinie Informationssicherheit für die öffentliche Verwaltung verabschiedet und damit zwischen Bund und Ländern auch ein verbindliches Mindestsicherheitsniveau der IT-gestützten Ebenen übergreifenden Zusammenarbeit in der Verwaltung vereinbart. Der vorliegende Jahresbericht des Beauftragten für Informationssicherheit des Landes zeigt, mit welchen Strukturen und Maßnahmen die IT des Freistaates Sachsen gegen Angriffe von außen gehärtet werden und welche Anstrengungen darüber hinaus unternommen wurden, die Online-Kommunikation mit Bürgern und Unternehmen bestmöglich zu sichern. All die Beispiele und Maßnahmen zeigen dabei deutlich: Informationssicherheit genießt in Sachsen hohe Priorität. Dr. Michael Wilhelm Staatssekretär und CIO des Freistaates Sachsen Vorwort 1
4 Einführung: Informationssicherheit in Sachsen War vor dreißig Jahren der Begriff Informationstechnik noch etwas für Spezialisten, so ist er mittlerweile Bestandteil unseres täglichen Lebens geworden. Dies spiegelt sich zum einen in den allgegenwärtigen Smartphones, Laptops und PCs, zum anderen aber auch vielfach unsichtbar in Produkten für das tägliche Lebens wider. So bilden heute die IT-Komponenten in einem normalen Fahrzeug der gehobenen Mittelklasse die Komplexität eines kleineren Rechenzentrums der 80er Jahre ab. All diese technischen Geräte kommunizieren mit- und untereinander, in aller Regel über das Internet aber auch über eine Vielzahl anderer Netzwerke wie Bluetooth, ZigBee und so weiter. Die Kommunikation der Menschen aber auch der Dinge selbst, also dem Internet der Dinge von der intelligenten Zahnbürste bis hin zum Oberklasseauto, suchen und finden Plattformen für die Interaktion im Internet. Für die Menschen sind dies heute die sozialen Netzwerke wie Facebook, Twitter oder WhatsApp, für die Maschinen die Maschinen-Clouds, über die Daten aggregiert und ausgewertet werden. Die Informationstechnik ist überall. Parallel zu dieser Entwicklung hat sich aber auch eine Szene für den Missbrauch der Möglichkeiten der Informationstechnik herausgebildet. Die Anfänge waren noch von Neugier und dem Motto weil ich es kann! geprägt. Das hat sich geändert: Heute werden die Systeme und Netze aus wirtschaftlichen Gründen, mittlerweile aber auch aus politischen Gründen angegriffen. Die Art und Weise dieser Angriffe stellt sich je nach Ziel unterschiedlich dar. Werden Normalbürger in der Breite und mit automatisierten Verfahren angegriffen, so werden einzelne Prominente oder auch Firmen und Verwaltungen oft gezielt und mit passgenauen Methoden manuell ins Visier genommen. Es hat sich hier eine eigene Industrie für die Entwicklung, die Vermarktung und den Einsatz von Angriffsverfahren herausgebildet, die Züge organisierter Kriminalität trägt. Die sächsische Staatsregierung hat vor sich diesem Hintergrund im Sommer 2011 entschlossen, das Thema der strategischen Informationssicherheit in einer eigenen, spezialisierten Organisationseinheit zu bündeln und dadurch die Kräfte der einzelnen Ressorts besser zu koordinieren und wirksam werden zu lassen. Zusammen mit den im Computer Emergency Response Team (CERT) im Staatsbetrieb Sächsische Informatik Dienste (SID) vorhandenen Ressourcen soll sich so ein insgesamt höheres Niveau der Sicherheit der informationstechnischen Systeme aller Nutzer in der Landesverwaltung einstellen. Im Jahr 2013 konnten die Verhandlungen im IT-Planungsrat zwischen 2 Einführung: Informationssicherheit in Sachsen
5 den Ländern und dem Bund zu einer Leitlinie Informationssicherheit abgeschlossen werden, in der sich erstmals Bund und Länder zu einem gemeinsamen Vorgehen rund um die Informationssicherheit verpflichten. Diese Bündelung ist auch notwendig: Der Internetzugang des Sächsischen Verwaltungsnetzes verzeichnet monatlich hunderte Angriffsversuche. Die s, die an die Landesverwaltung gerichtet sind, bestehen zu 95 % aus sogenanntem Spam, also unerwünschten s. Aus den verbleibenden 5 % werden noch hunderte mit schädlichen Anhängen herausgefiltert. Parallel dazu gab und gibt es eine Reihe von versuchten Angriffen auf die Internetangebote der Landesverwaltung. Wie imminent die Bedrohung aus dem Internet ist, zeigt der erfolgreiche Angriff auf den Deutschen Bundestag. Die nicht nur materiellen Folgen dieses Angriffs sind derzeit noch gar nicht endgültig absehbar. Die Bedrohung ist also auch für die sächsische Landesverwaltung real. Der Schutz der informationstechnischen Systeme ist unverzichtbar. Es hat sich ein Hase und Igel - Spiel entwickelt mit sich immer weiter verfeinernden Angriffsmethoden und einer sich daraus ergebenden Notwendigkeit immer komplexerer Schutzmechanismen. Mit dem vorliegenden Jahresbericht des Beauftragten für Informationssicherheit des Landes sollen Mitarbeiter der sächsischen Landes- und Kommunalverwaltungen sowie Bürger und Wirtschaft gleichermaßen über den Stand der Informations- und Cybersicherheit im Freistaat Sachsen, die damit verbundenen Herausforderungen und die Arbeit des Beauftragten für Informationssicherheit des Landes informiert werden. Karl Otto Feger Beauftragter für die Informationssicherheit des Landes Einführung: Informationssicherheit in Sachsen 3
6 1. Begriffsdefinition Informationssicherheit/ Cybersicherheit Der Begriff Informationssicherheit in der Landesverwaltung hat in den letzten Jahren mehr und mehr den bisherigen Begriff IT-Sicherheit verdrängt. - Hintergrund dafür ist die Erkenntnis, dass jegliche Form der Information einen Wert an sich darstellt, nicht nur die informationstechnisch bearbeitete und ge- - speicherte. Vor diesem Hintergrund definierte das Bundesamt für Sicherheit in der Infor - mationstechnik im Standard BSI : Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT- Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. In der VwV Informationssicherheit 2 hat sich der Freistaat Sachsen für eine etwas andere Definition des Begriffs entschieden: Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung; siehe Begriffsdefinition Informationssicherheit/Cybersicherheit
7 Symbolbild für den Datenverkehr rund um den Globus, aus dem sich Gefahren für alle Nutzer ergeben können. Mit dieser Definition wird verdeutlicht, dass der Freistaat Sachsen bei der Betrachtung der Sicherheit mehr als nur die IT-Systeme im engeren Sinn ins Auge gefasst hat. Beispielsweise ist das Ziel der Verfügbarkeit nicht allein durch entsprechend dimensionierte IT-Systeme erreichbar. Vielmehr müssen auch flankierende bauliche und personelle Maßnahmen für die Zielerreichung ergriffen werden. Die Hochwasserereignisse in den Jahren 2002 und 2013 führten dies vor Augen, und die sich immer mehr verschärfende Bedrohung aus dem Internet unterstreicht es. Es ist daher erforderlich, die Informationssicherheit in der Landesverwaltung als ganzheitliche und gemeinsame Aufgabe aller betroffenen Akteure zu begreifen. Daher wurde seitens der Sächsischen Staatsregierung im September 2011 mit der VwV Informationssicherheit die Plattform geschaffen, die vielen anstehenden ressortübergreifenden Aufgaben anzugehen. In Ergänzung und Abgrenzung dazu beschreibt der Begriff Cybersicherheit die Informationssicherheit bei Bürgern und Wirtschaft. Dieses Themenfeld wird seit Anfang 2015 neu im Sächsischen Staatsministerium des Innern durch den BfIS-Land verantwortet. 1. Begriffsdefinition Informationssicherheit/Cybersicherheit 5
8 2. Bedrohungslage Im Berichtszeitraum 2014/15 zeigen Beispiele aus aller Welt wie auch aus der Öffentlichen Verwaltung in Deutschland, dass im wachsenden Maß aus bislang oft nur diffus wahrgenommenen Risiken für die IT-Sicherheit erhebliche reale Bedrohungen werden können. Das beschreiben auch die jährlich erscheinenden Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 3. Im Folgenden sind beispielhaft einige Beispiele für schwerwiegende Sicherheitsvorfälle genannt. 3 Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit in der Informationstechnik, pdf;jsessionid=e8b9233ed0e7cbfeff0b23d95a5ff28a.2_cid359? blob=publicationfile&v= Bedrohungslage
9 2.1. Weltweit Beispielhaft für einen Cyberangriff mit politischer Motivation war der Angriff auf einen französischen Fernsehsender im April Dabei gelang es vorgeblich islamistischen Hackern ( Cyber-Kalifat ) sowohl die Konten des Senders auf sozialen Netzen zu übernehmen und zu missbrauchen als auch den Sendebetrieb über Stunden zu unterbinden. Gerade letzteres ist überraschend, da es eigentlich nicht möglich sein sollte, die Steuerungsanlagen des Senders über die Redaktionsnetze zu erreichen. Gerade das schien aber im vorliegenden Fall passiert zu sein. Darüber hinaus müssen die Angreifer über sehr genaue Kenntnis der technischen Anlagen des Fernsehsenders verfügt haben, um einen derartigen Schaden anzurichten. Daher wurde darüber spekuliert, ob es sich hier um eine Auftragsarbeit im Sinne eines Outsourcing-Modells Cybercrime-as-a-Service handelt. Dass solche Dienstleistungen heute durchaus einkaufbar sind, ist schon länger bekannt. So führten denn auch die Spuren der Ermittler wenige Wochen nach dem Cyber-Angriff nach Osteuropa zu einer Gruppe russischer Hacker, die auch mit Angriffen auf die Informationssysteme der US-Regierung und NATO in Verbindung gebracht werden. Einen anderen sensiblen Bereich stellt der Angriff auf einen italienischen Hersteller von Überwachungssoftware im Juli 2015 dar. Dabei erbeuteten die Angreifer die komplette Datenstruktur inklusive aller internen s, Dokumente und Software-Quellcodes der umstrittenen Sicherheitsfirma und veröffentlichten diese im Netz. Zudem hatten sie zeitweilig den Web-Server und das offzielle Twitter-Konto des Unternehmens unter Kontrolle und berichteten darüber über ihre Aktion, die in erster Linie dazu diente, die Geschäftspraktiken und - Beziehungen des Unternehmens aufzudecken. Da die Angreifer auch eine Tabelle mit Passwörtern von Firmenmitarbeitern ins Internet stellten, die einfach zu knackende Passwörter wie PassW0rd und Pa$$w0rd verwendeten, kann davon ausgegangen werden, dass die Hacker-Attacke diese Schwachstelle der Sicherheitsspezialisten ausgenutzt haben dürfte, um im großen Stil die Daten abzugreifen. Dass es solche einfachen und gleichermaßen schwerwiegenden Verhaltensfehler im Umgang mit der IT selbst bei Mitarbeitern einer Sicherheitsfirma gibt, ist erstaunlich und zeigt, dass die Sensibilisierung von Mitarbeitern keinen Wirtschaftszweig ausklammern sollte. Ebenfalls im Juli 2015 wurde ein Cyberangriff auf die Personalverwaltung der US-Regierung bekannt. Hierbei erbeuteten Hacker, die vermutlich aus China stammen, Daten von rund 26 Millionen US-Bürgern. Aufgrund der Masse an abgegriffenen Datensätzen, zu denen Adressen, Sozialversicherungsnummern, Geburts-, Telefon- und Gesundheitsdaten sowie Informationen zu Finanzen, krimineller Vergangenheit und teils auch Fingerabdrücke gehören, ist dieser Hackerangriff sicherlich einer der bislang größten Datendiebstähle im Cyberraum in der Geschichte der Vereinigten Staaten. Die in zwei Wellen stattgefundenen Angriffe ereigneten sich dabei bereits im Vorjahr und sollen vom chinesischen Staat in Auftrag gegeben worden sein. Offenbar soll die Personalverwaltung der US-Regierung bereits seit dem Jahr 2007 von Schwachstellen in ihrem Netzwerk gewusst haben. 2. Bedrohungslage 7
10 2.2. Industrie 4.0 und Internet der Dinge Die Cybersicherheit in Unternehmen ist von hoher strategischer und ökonomischer Bedeutung sowohl für das Funktionieren von IT-basierten bzw. mit IT vernetzten Industrieprozessen (Industrie 4.0) als auch für die Sicherheit der Konsumenten, die Produkte oder Dienstleistungen von vernetzten Geräten nutzen (Internet der Dinge). Dass Defizite im Bereich der IT-Sicherheit für Unternehmen und Konsumenten gleichermaßen schwerwiegende Folgen haben können, beweisen allein die im Berichtszeitraum aufgedeckten Sicherheitslücken bei vernetzten Automobilen. Schwerwiegendster Fall war dabei die gezielte Manipulation eines Fahrzeugs, die Sicherheitsexperten in den USA im Juli 2015 nachgewiesen hatten. Hierbei war es gelungen, aus der Ferne über eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit dem Internet verbunden ist, bis zur Steuerung des Autos vorzudringen. Die IT-Spezialisten konnten demnach die Bremsen, Geschwindigkeit, Klimaanlage und das Radio des Fahrzeugs fernsteuern. Der Zugang geschah über eine GSM-Schnittstelle im Wagen, die bei Autos für den amerikanischen Markt verbaut wurde. Nach der Veröffentlichung dieser gravierenden Sicherheitslücke rief der Autobauer in den USA 1,4 Millionen Autos wegen mangelndem Schutz vor Hackerangriffen zurück. Ein entsprechendes Sicherheits-Update hatte der Hersteller zwar bereits im Internet veröffentlicht, jedoch muss es über einen USB-Stick ins Auto-System gespielt werden, so dass dieser Softwarefehler für den Hersteller direkte negative finanzielle Konsequenzen neben Auswirkungen für seine Reputation hat. Hätten die Hacker kriminelle Absichten verfolgt, hätte in diesem Fall sogar das Leben der Autofahrer in Gefahr geraten können Deutschland In Deutschland wurde gleich Anfang des Jahres 2015 die Bundesverwaltung auf höchster Ebene Opfer eines Cyberangriffs. Am 7. Januar kam es zum Ausfall der Erreichbarkeit der Webseiten und Wenig später war zusätzlich die Webseite des Auswärtigen Amtes zeitweise nicht zu erreichen. Die betroffenen Webseiten werden außerhalb der Netze der Bundesverwaltung betrieben. Auslösendes Moment war ein DDoS-Angriff (technische Erklärung, s ), zu dem sich die politisch motivierte Gruppierung Cyber- Berkut bekannte. Anlass für den Angriff sei der Besuch des Ukrainischen Ministerpräsidenten im Bundeskanzleramt gewesen. Die Tätergruppe ist nach Erkenntnissen des BSI Lagezentrums bereits mehrfach mit ähnlichen Angriffen (NATO-Webseiten etc.) in Erscheinung getreten. Bei dem Angriff handelte es sich um verschiedene, vom Angreifer aktiv variierte technische DDoS Angriffsformen mit einer signifikanten Bandbreite, die die Internetanbindung überlasteten. Zeitweilig waren an dem Angriff tausende weltweit verteilter Botnetz-Clients beteiligt. Nach sofort ergriffenen Maßnahmen wurden die Seiten zwar schnell wiederhergestellt, aber die Angreifer reagierten auf die Gegenmaßnahmen und variierten die DDoS-Angriffe noch weit bis in den nächsten Tag, was vermuten lässt, dass die Angreifer über einen direkten Zugriff auf die Infrastruktur eines Botnetzes oder einen intensiven Kontakt zu einem Botnetz-Betreiber verfügten Bedrohungslage
11 Als Gegenstück zu einem Angriff mit hohem Volumen wie dem oben beschriebenen DDoS-Angriff kann hingegen der Cyber-Angriff auf eine Mitarbeiterin des Bundeskanzleramts mittels des Trojaners Regin angesehen werden, der im Februar an die Öffentlichkeit gelangte. Untersuchungen des privaten Laptops der Referatsleiterin hatten ergeben, dass bereits im Jahr 2012 diese hochspezialisierte Spionagesoftware eingeschleust worden sei. Die Schadsoftware blieb demnach mehr als zwei Jahre lang unbemerkt. Die ausgefeilte Cyberwaffe war auch bei Attacken gegen die EU-Kommission, eine belgische Telekommunikationsfirma sowie gegen Ziele in mindestens 14 weiteren Ländern im Einsatz vorwiegend gegen Regierungen, Energieversorger und Airlines. Ein aus dem Snowden-Archiv veröffentlichter Teil eines Schadcodes gilt als Bestandteil der Schadsoftware Regin, was auf einen Angriff der Nachrichtendienste der sogenannten Five-Eyes-Staaten (USA, Großbritannien, Kanada, Australien, Neuseeland) zurückschließen lässt. Eine Überprüfung des Dienstrechners der Mitarbeiterin ergab allerdings keine Hinweise auf eine Verbreitung im Bundeskanzleramt. Die Frau hatte s zwischen ihrem privaten und ihrem dienstlichen Account verschickt. Als Super-GAU in den letzten 12 Monaten muss jedoch die Entdeckung von Hackern im IT-Netz des Bundestages gewertet werden. Anfang Mai 2015 sollen sie über Schadsoftware in das Netz des Bundestages eingedrungen sein und dann die dortigen Ressourcen (Server, andere PC s) ausgeforscht und auch übernommen habe. Bestätigt wurden auch vereinzelte zeitweise Datenabflüsse. Seit dem Vorfall wurde nur so viel bekannt, dass zumindest das BSI, möglicherweise aber auch BND und Verfassungsschutz aktiv wurden, Gegenmaßnahmen einzuleiten. Dabei befinden sich die Behörden als Teil der Exekutive in einem Spannungsfeld zum Bundestag, deren Abgeordnete als Teil der Legislative sich gegen tiefgreifende Eingriffe verwehren. Im Rahmen der Gegenmaßnahmen wurde u.a. der Zugang aus dem Parlaments-Netz zu Webseiten gesperrt, um zu verhindern, dass sich weitere Rechner mit Schadsoftware wie Trojanern infizieren. Diese Quarantäne-Liste, die mehrere zehntausend Einträge enthalten soll, stellte das BSI zur Verfügung. Wie im Fall des DDoS-Angriffs auf Webseiten der Bundesregierung sollen die Hacker aus dem Osten Europas stammen. Zu den angewendeten Methoden der Hacker und ihren Hintergründen ist bisher jedoch nichts Belastbares verlautbart worden. Neben den Angriffen auf Bundesbehörden soll jedoch auch eine Attacke auf anderer Behörden-Ebene genannt sein, da die Auswirkungen hier auch unmittelbar die behördliche Arbeit mit dem Bürger betrafen: So mussten im Juni 2015 die KFZ-Zulassungsstellen zweier Bundesländer nach einem Cyberangriff ungefähr einen Werktag ihre Arbeit einstellen. Betroffen waren insgesamt 62 Zulassungsstellen. Aus Sicherheitsgründen hatte der kommunale IT-Dienstleister in den betroffenen Rechenzentren alle Server vom Netz genommen. Die Hacker waren über eine Lücke in der Software des öffentlich zugänglichen Internetmoduls Kfz-Wunschkennzeichen in das Behördennetz eingedrungen. 2. Bedrohungslage 9
12 2.4. Sachsen Politische Motivation ist nicht nur ein vielfach beobachtetes Tatmotiv für Cyberangriffe auf internationaler und nationaler Ebene, sondern auch im Freistaat Sachsen. So wurde eine Partei in Sachsen kurz nach der Landtagswahl im September 2014 Opfer eines Hacks, bei dem Daten ihrer Mitglieder aus Sachsen abgegriffen und nachgehend veröffentlicht wurden. Dazu gehörten Name, Anschrift, -Adresse, Geburtsdatum, Telefonnummern wie auch gescannte Mitgliedsanträge und interne Strategiepapiere der Partei. Hinter der Attacke stand eine Hackergruppe aus Österreich, die sich zum Netzaktivistenverbund Anonymous zählt. Als Einfallstor für den Angriff wurden schlecht konfigurierte Webserver und nicht ausreichend sichere Internetseiten genannt. Der Angriff zeigt, dass zur Verringerung der Gefahr von Identitätsdiebstählen eine ausreichende Absicherung von Internetseiten und -diensten sowie eine Verschlüsselung von Identitätsdaten dringend geboten ist. Der Einsatz von Verschlüsselungsfunktionen auch auf nicht besonders schützenswerten Internetseiten ist auch über Sicherheitsaspekte hinaus ein gewinnbringender Standard im Internet. So setzt der Internetkonzern Google etwa standardmäßig eine verschlüsselte Suche ein und zeigt verschlüsselte Seiten in seiner Trefferanzeige priorisiert an. Ein typisch räuberisches Motiv lag einem Datenklau zugrunde, der sich über drei Jahre unbemerkt in einem Leipziger Gastronomiebetrieb abspielte. Durch einen Virus im System wurden die Daten hunderter Kreditkartenbesitzer geklaut, dann auf neue Plastikkarten aufgespielt und diese unter die Leute gebracht. Insgesamt 464 Kreditkarteninhaber meldeten sich beim Anbieter Visa, nachdem Sie Einkäufe abgebucht bekommen hatten, die sie gar nicht getätigt hatten. Das Kreditkartensystem des Leipziger Lokals könnte durch einen Virus von außen durch Hacker oder aber auch durch einen gezielt eingesetzten USB-Stick kompromittiert worden sein. Untersuchungen ergaben, dass die Daten nach Rumänien, Russland, in die Ukraine und Weißrussland versendet wurden. Da sich allerdings keine Identität der Täter ermitteln ließ, wurde das Ermittlungsverfahren von der Staatsanwaltschaft Leipzig ergebnislos eingestellt. Das Leipziger Lokal musste für sein System die gesamte Hardware neu kaufen und akzeptiert seit dem Vorfall keine Kreditkarten mehr als Zahlungsmittel. Nicht eine Sicherheitslücke, sondern infrastrukturell bedingte Kapazitätsgrenzen wollte ein weiterer politisch motivierter Cyberangriff bei der sächsischen Polizei ausnutzen. Im Dezember 2014 wurde kurz nach dem Bekanntwerden einer bundesweiten, von der Generalstaatsanwaltschaft Dresden angeordneten Durchsuchungsaktion im Umfeld des illegalen Filmportals kinox.to ein versuchter Überlastungsangriff (DDoS) mit über Paketen/Minute auf die Webseite der sächsischen Polizei gestartet. Aufgrund der geringen normalen Seitennutzung zur Angriffszeit (Feiertag, nachts) gab es keine schädlichen Auswirkungen auf den Betrieb. Der Angriff erinnert an die DDoS-Attacke im April 2012 nach der Verurteilung des Betreibers des inzwischen abgeschalteten illegalen Filmportals kino.to. Damals waren zahlreiche Seiten der Justiz - auch in Sachsen - stundenlang nicht erreichbar Bedrohungslage
13 2.5. SVN Dass auch die Landesverwaltung Sachsen Ziel von Angriffen ist, verdeutlichen die Zahlen zur Sicherheitslage des Sächsischen Verwaltungsnetzes (SVN). Danach konnten im Jahr 2015 knapp 900 Angriffe auf das SVN abgewehrt werden. Außerdem wurden fast 53 Mio. Spam- s aus dem Internet durch die Kopfstelle des SVN abgewiesen. In den aus dem Internet und internen Netzen eingehenden fast 53 Mio. s wurden über Viren gefunden und entfernt. Auch im eingehenden Internetverkehr konnten mehr als Schadprogramme entdeckt und unschädlich gemacht werden. Allerdings sind auf das SVN im abgeschlossenen Kalenderjahr 2015 vom SID keine erfolgreichen externen Angriffe registriert worden, die sich als Ereignisse mit direkten und/oder indirekten Auswirkungen auf die Informationssicherheit, also die Verletzung der Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, klassifizieren lassen. Auch in den Datennetzen im Geschäftsbereich der Ressorts sowie der Polizei wurden in diesem Zeitraum keine Einbrüche mit einem damit verbundenen gezielten Datenabfluss und / oder Manipulationen festgestellt. Angenommene Mails aus dem Internet 2011 bis 2015 Menge der Schadprogramme 2011 bis Angenommene Mails insgesamt Mails unmarkiert Mails als Spam markiert Schadprogramme in Mails Schadprogramme Web 2. Bedrohungslage 11
14 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Die immer stärkere Durchdringung aller Bereiche mit Informationstechnik führt zu neuen Möglichkeiten der verwaltungsübergreifenden Zusammenarbeit. Mit Hilfe der neuen Technologien werden mehr und mehr Verwaltungsdaten elekt- ronisch zwischen Bund, Ländern und Kommunen ausgetauscht, die bisher noch per Post oder Kurier übermittelt werden mussten. Hier reicht es nicht mehr, dass jede Behörde für sich gesonderte Sicherheitsregeln definiert; einheitliche Informationssicherheitsstandards sind zu schaffen, die für alle am Datenaus- tausch Beteiligten verbindlich gelten müssen. Der Freistaat Sachsen setzt im Bereich Informationssicherheit wie die meisten Bundesländer auf die Standards des Bundesamtes für Sicherheit in der Informationstechnik. Sachsen war aktiv an der Erarbeitung der im März 2013 in Kraft gesetzten Informationssicherheitsleitlinie für Bund und Länder sowie am Aufbau des länderübergreifenden Verwaltungs-CERT-Verbundes beteiligt. Als Mitglied der Arbeitsgruppe Informationssicherheit des IT-Planungsrates wird der Freistaat Sachsen auf diesem Gebiet auch weiterhin eng mit den anderen Ländern und dem Bund zusammenarbeiten. Die Abstimmung mit den Kommunen des Freistaats Sachsen ist durch einen ständigen kommunalen Vertreter in der regelmä-ßig tagenden sächsischen Arbeitsgruppe Informationssicherheit gewährleistet Informationssicherheit in der öffentlichen sächsischen Verwaltung
15 3.1. Organisatorische Strukturen der Informationssicherheit a) In Sachsen Mit der Verabschiedung der VwV Informationssicherheit im September 2011 als verbind liche Leitlinie für die Landesverwaltung Sachsen wurde eine wichtige Grundlage für den Aufbau einer leistungsfähigen Organisation der Informationssicherheit geschaffen. Sie enthält vier Grundelemente: den BfIS-Land als zentrale Sicherheitsinstanz, die Arbeitsgruppe Informationssicherheit (AG IS) als Plattform der ressortübergrei fenden Zusammenarbeit, BfIS-Land der Ressorts, der Polizei und des SID und das Sicherheitsnotfallteam ( Computer Emergency Response Team - SAX.CERT) im SID. Auf Basis dieser Organisationsstruktur werden die Vorgaben und Maßnahmen zur Informationssicherheit im Freistaat Sachsen abgestimmt und ausgebaut AG Informationssicherheit Die AG IS stellt das koordinierende Gremium für alle ressortübergreifenden Aspekte der Informationssicherheit dar. Ihr gehören der BfIS-Land als ihr Vorsitzender sowie die BfIS der Staatskanzlei und Staatsministerien (Ressorts), der Polizei und des SID als stimmberechtigte Mitglieder an. Als Mitglieder ohne Stimmrecht sitzen je ein Vertreter des SAX.CERT, der Verwaltung des Sächsischen Landtags, des Sächsischen Rechnungshofes und des Sächsischen Datenschutzbeauftragten sowie der Vorsitzende des Arbeitskreis Sächsisches Verwaltungsnetz (AK SVN) und ein gemeinsamer Vertreter der sächsischen Kommunen in der AG IS. Zu den Aufgaben der AG IS gehört u.a. die Weiterentwicklung der Leitlinie für Informationssicherheit des Freistaates Sachsen zu initiieren sowie auf die Anwendung einheitlicher Lösungen für IT-Verfahren zur Erhöhung der Informationssicherheit hinzuwirken. Für die ressortübergreifende Zusammenarbeit beschließt die AG IS Empfehlungen insbesondere über Leit- und Richtlinien der Informationssicherheit als auch über den Einsatz von Produkten, um das in den Leit- und Richtlinien definierte Informationssicherheitsniveau zu erreichen bzw. zu erhöhen. Die von der AG IS getroffenen Empfehlungen werden dem Arbeitskreis für IT und E-Government (AK ITEG) zur Beschlussfassung vorgelegt. Zudem berät die AG IS dieses Gremium wie auch den Lenkungsausschuss für IT und E-Government (LA ITEG) zu Fragen der Informationssicherheit. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 13
16 AK IT und E-Government Der BfIS-Land ist als Mitglied ohne Stimmrecht im Arbeitskreis IT und E-Government (AK ITEG) vertreten, welches als Abstimmungs- und Informationsgremium der Staatsverwaltung für Strategie, Planung und Nutzung der IT und des E-Governments in der Staatsverwaltung fungiert. Der AK ITEG ist dabei Teil einer CIO-Organisation bestehend aus dem LA ITEG unter Vorsitz des Beauftragten für Informationstechnologie des Freistaates Sachsen (Chief Information Offcer CIO, Staatssekretär Dr. Wilhelm), der in diesem Bereich die strategischen Grundsatzentscheidungen verantwortet, und der Abteilung 6 des Sächsischen Staatsministerium des Innern (SMI), die diese ressortübergreifenden Strategien für IT und E-Government erarbeitet und umsetzt. Die Koordinatoren für IT und E-Government der Ressorts und der Staatskanzlei, die neben dem Abteilungsleiter 6 des SMI die stimmberechtigten Mitglieder im AK ITEG sind, werden über dieses Gremium in die Erarbeitung der Strategie eingebunden. Sie tragen besondere Verantwortung bei der Umsetzung der strategischen Vorgaben in ihrem Ressort. Daneben beschließt der AK ITEG bezüglich der ressortübergreifenden Zusammenarbeit weitere Empfehlungen, u.a. über IT und E-Government-Standards, Informationssicherheit und IT-Beschaffung, strategische Marketing- und Kommunikationsmaßnahmen im E-Government als auch Aufgabenschwerpunkte des SID. Zudem initiiert das Gremium ressortübergreifende IT- und E-Government-Projekte, wirkt auf die Anwendung einheitlicher Lösungen für IT-Verfahren hin und fördert allgemein den Erfahrungs- und Informationsaustausch auf dem Gebiet der IT innerhalb der öffentlichen Verwaltung sowie mit Wirtschaft und Wissenschaft IT Kooperationsrat Der Sächsische IT-Kooperationsrat ist das gemeinsame Abstimmungs-, Beratungs- und Beschlussgremium für die Zusammenarbeit von Freistaat und Kommunen beim Ausbau von IT und E-Government in Sachsen. Darüber hinaus werden die im IT-Planungsrat behandelten Themen und seine Beschlüsse erörtert, soweit kommunale Belange berührt sind. Ziel dieser Kooperation ist insbesondere die Einführung elektronischer, verwaltungsebenenübergreifend interoperabler und sicherer Verwaltungsprozesse. Neben dem BfIS-Land gehören dem Gremium der CIO des Freistaates (als sein Vorsitzender), die Leiterin der Abteilung 3 der Staatskanzlei, der Leiter der Abteilung 2 des SMI, der Geschäftsführer des Sächsischen Städte- und Gemeindetages, das Geschäftsführende Präsidialmitglied des Sächsischen Landkreistages und der Direktor der Sächsischen Anstalt für Kommunale Datenverarbeitung als stimmberechtigte Mitglieder an Informationssicherheit in der öffentlichen sächsischen Verwaltung
17 AK SVN Als Mitglied ohne Stimmrecht gehört der BfIS-Land dem AK SVN an; dem Abstimmungsund Informationsgremium der Landesverwaltung für Strategie, Planung und Nutzung des Sächsischen Verwaltungsnetzes (SVN), das die Netzwerkinfrastruktur der Behörden und Einrichtungen des Freistaates Sachsen umfasst. Dieses Gremium ist dem AK ITEG nachgestellt und befasst sich mit den spezifischen Fragen der gemeinsamen Netzwerkinfrastruktur sowie deren Weiterentwicklung. Bezüglich der gemeinsamen Netzwerkinfrastruktur beschließt der AK SVN Empfehlungen, u.a. über die Strategie bezüglich Netzwerkinfrastruktur als auch die Netzwerk-Standards für das SVN sowie Standards für die Umsetzung von Infrastruktur- Projekten. Zudem initiiert der AK SVN zentrale und ressortübergreifende Netzinfrastruktur-Projekte und wirkt auf die Anwendung einheitlicher Lösungen für Netzinfrastruktur-Verfahren und damit des SVN hin. Stimmberechtigte Mitglieder des AK SVN sind die SVN-Verantwortlichen der Ressorts. b) Beteiligung auf Bundesebene Die Föderalismuskommission II hat im Jahr 2009 mit Artikel 91c Grundgesetz die Grundlage für eine verbindliche IT-Koordinierung von Bund und Ländern geschaffen. Durch diese Grundgesetzänderung hielt die Informationstechnik erstmals Einzug in die Deutsche Verfassung IT-Planungsrat Der IT-Planungsrat ist das zentrale Gremium für die föderale Zusammenarbeit in der Informationstechnik. Seinen rechtlichen Rahmen und das Aufgabenfeld definiert der Staatsvertrag zur Ausgestaltung von Artikel 91c Grundgesetz, der am 1. April 2010 in Kraft trat. Der IT-Planungsrat koordiniert die Zusammenarbeit von Bund und Ländern in Fragen der Informationstechnik, beschließt fachunabhängige und fachübergreifende IT-Interoperabilitäts- und IT-Sicherheitsstandards, steuert E-Government-Projekte im Rahmen der Nationalen E-Government-Strategie und beaufsichtigt das Verbindungsnetz der öffentlichen Verwaltung. Damit sollen ein sicherer und reibungsloser Datenverkehr ermöglicht sowie die Qualität und Effzienz der elektronischen Verwaltungsdienste gefestigt werden. Mitglieder im IT-Planungsrat sind der Beauftragte des BSI (Staatssekretär im Bundesministerium des Innern) und die in den Ländern jeweils Verantwortlichen für Informationstechnik (in der Regel Staatssekretäre) AG Informationssicherheit des IT-Planungsrats Die Arbeitsgruppe Informationssicherheit, in der der BfIS-Land Sachsen mit seinen Länderkollegen seinen Platz hat, arbeitet dem IT-Planungsrat Expertisen und Stellungnahmen zu Themen der Informationssicherheit zu. Weitere Institutionen und Gremien, in denen der BfIS-Land sitzt bzw. zu denen er Kontakte auf der Arbeitsebene pflegt, sind die UAG Cybersicherheit der IMK AG Cybersicherheit in ihr waren bis Ende 2014 Polizeibeamte aus der Abteilung 3 des SMI vertreten und natürlich die oberste Bundesbehörde im Bereich Informationssicherheit, das BSI. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 15
18 3.2 Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung Im Berichtszeitraum wurden in erster Linie durch die AG IS als dem koordinierenden Gremium für alle ressortübergreifenden Aspekte der Informationssicherheit wichtige Richtlinien und Maßnahmen zum Ausbau und zur Weiterentwicklung der IT-Sicherheit verabschiedet und durch die anderen beteiligten Gremien bestätigt. Die weitreichendsten seien folgt genannt Erhöhung der Sicherheit der Internetseiten der Landesverwaltung Unter der Aufgabe Sicherheitsmonitoring der Landesverwaltung ist die regelmäßige Überprüfung des tatsächlich erreichten Informationssicherheitsniveaus in der Landesverwaltung zu verstehen. Mögliche Maßnahmen sind Vor-Ort-Audits in den Ressorts und Behörden, aber vorrangig auch automatisierte bzw. teilautomatisierte Sicherheitsscans der IT-Infrastruktur der Landesverwaltung. Mit Hilfe solcher Erhebungen, angereichert mit Meldungen aus den Ressorts oder von externen Stellen kann dann ein realistisches Lagebild der aktuellen Sicherheitslage in der Landesverwaltung erstellt werden. Dieses Lagebild ist eine wichtige Grundlage für die Konzeption, Durchführung und Wirksamkeitsüberprüfung von Maßnahmen zur Erhöhung der Informationssicherheit. Der Freistaat Sachsen betreibt eine Vielzahl von Internetseiten und -diensten innerhalb und auch außerhalb des SVN. Rund dieser Angebote der Landesverwaltung Sachsen sind aus dem Internet erreichbar. Insofern wurden im Berichtszeitraum 2014/15 mehrere landesweite Schwachstellentests durchgeführt und ein entsprechender Lagebericht zur Sicherheit der Internetseiten und dienste der Landesverwaltung erarbeitet. Nach der Vorstellung des Berichts wurde ein Bündel von Maßnahmen zur Verbesserung der Sicherheitslage ( Handlungsempfehlungen Verschlüsselung ) erarbeitet und abgestimmt. Zu den Maßnahmen wurden jeweils konkrete Umsetzungstermine und Schritt-für-Schritt-Handlungsanleitungen vorgeschlagen. Nach Verabschiedung mehrerer entsprechender Beschlüsse in AG IS und AK ITEG zu den einzelnen Maßnahmen, konnten laut neuen Erhebungen zur Sicherheitslage in der Landesverwaltung inzwischen deutliche Verbesserungen erreicht werden. Eine weitere Verbesserung der Sicherheitslage wird davon zu erwarten sein, dass die Internetseiten des Freistaates Sachsen in einen höheren Sicherheitsstandard wechseln sollen. So stimmte der AK ITEG in einer Sitzung im ersten Quartal 2015 einstimmig dafür, alle Internetpräsenzen der Staatsverwaltung in Zukunft ausschließlich über das Kommunikationsprotokoll HTTPS (HyperText Transfer Protocol Secure) anzubieten. Der Standard HTTPS sorgt für die Verschlüsselung übertragener Inhalte und bietet damit deutlich mehr Sicherheit als das Übertragungsprotokoll HTTP. Durch den geplanten Wechsel zu HTTPS läuft der einzelne Nutzer einer Internetseite des Freistaates Sachsen kaum noch Gefahr, dass die Kommunikation zwischen seinem Browser und dem Server der Internetpräsenz belauscht wird. Zudem ist dieser Schutzmechanismus technisch einfach nachzuvollziehen und weit verbreitet: Internetseiten, die durch HTTPS geschützt sind, werden in allen gängigen Browsern automatisch markiert und dem Nutzer angezeigt Informationssicherheit in der öffentlichen sächsischen Verwaltung
19 Die Umstellung auf HTTPS ist eine von 15 Handlungsempfehlungen eines Krypto-Teams der AG IS zur Erhöhung der Informationssicherheit der Internetseiten der Landesverwaltung, die auch Teil des Handlungsleitfaden zur Umsetzung des Sächsischen E-Government Gesetzes sind. Seit der Verabschiedung der Handlungsempfehlungen Mitte 2014 wurde die -Verschlüsselung innerhalb der Ressorts um 41 %, zwischen den Ressorts um 24 % und nach extern um 30 % (eingehend) und 5 % (ausgehend) erhöht. Zudem sind bereits ein Drittel der Landesseiten mit HTTPS verschlüsselt. Insbesondere Angebote, die mit persönlichen Daten von Nutzern umgehen, laufen aus Datenschutzgründen bereits über das Verschlüsselungsprotokoll HTTPS. Der BfIS-Land führt weiterhin regelmäßig automatisierte Scans durch, um den Umsetzungsstand dieser Maßnahmen zu beobachten Ressortübergreifendes Meldeverfahren Die AG IS sieht die zentrale Erfassung wesentlicher Sicherheitsvorfälle innerhalb der Landesverwaltung als wichtige Grundlage vor allem für ein realistisches Lagebild zur Informationssicherheit im Freistaat Sachsen als auch für die effektive und frühzeitige Warnung sowie Unterstützung bei ressortübergreifenden Sicherheitsvorfällen. Der Aufbau dieses ressortübergreifenden Meldeverfahrens soll in mehreren Stufen erfolgen. Ziele sollen dabei ein möglichst geringer Meldeaufwand durch die automatisierte Einbindung vorhandener Vorfallbearbeitungssysteme und Prozesse in den Ressorts sowie eine möglichst hohe Verbindlichkeit durch die Erarbeitung einer entsprechenden Meldeverordnung durch die AG IS sein. Die erste Stufe eines ressortübergreifenden Meldeverfahrens wurde Ende 2015 durch die AG IS beschlossen. Hierbei soll in einem ersten Schritt bereits der Verdacht auf schwerwiegende Ereignisse in den Ressorts und den nachgeordneten Geschäftsbereichen unverzüglich gemeldet werden. Die Meldung soll dabei mit Hilfe des über die Internetseite des SAX. CERT bereitgestellten Meldeformulars an das Notfallteam erfolgen. Soweit notwendig wird das SAX.CERT kurzfristige, anonymisierte Warnmeldungen an die Mitglieder der AG IS verteilen und gemäß den vorhandenen Möglichkeiten unterstützen. Zusätzlich werden alle gemeldeten Vorfälle durch das SAX.CERT monatlich anonymisiert zusammengefasst und in Form eines Berichts im Rahmen der AG IS-Sitzung vorgestellt. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 17
20 3.3 Technische Projekte für mehr Informationssicherheit Neben Gremienbeschlüssen, die technische Maßnahmen nach sich ziehen können (s ), veranlasst der BfIS-Land auch technische Pilot-Projekte, um zentrale Bereiche wie das SVN mit neuen Sicherheitsmaßnahmen zu ergänzen. Die IT-Systeme der Sächsischen Landesverwaltung unterliegen schließlich nicht nur Bedrohungen aus dem Internet, sondern können ebenso zum Ziel von Angriffen aus dem internen Netzwerk werden. Ausgangspunkt solcher Angriffe sind typischerweise mit Schadsoftware befallene Rechner. Aber auch unbemerkt in das Netzwerk vorgedrungene Angreifer oder Mitarbeiter, die sich über geltende Sicherheitsbestimmungen hinwegsetzen, stellen Gefahrenquellen dar. Klassische Sicherheitsmaßnahmen, wie zentrale Firewalls und Antivirussysteme, können diese Gefahrenquellen nicht oder nur sehr eingeschränkt ausschalten HoneySens Ein innovatives technisches Pilotprojekt zur Informationssicherheit wurde vom BfIS-Land in Zusammenarbeit mit der Professur für Datenschutz und Datensicherheit der Technischen Universität Dresden im Rahmen einer Diplomarbeit unter dem Titel HoneySens entwickelt. Es sieht eine unter Berücksichtigung der Anforderungen des SVN gestaltete Architektur vor, in der innerhalb gefährdeter Teilnetze platzierte Sensoren Informationen über alle ankommenden verdächtigen Datenpakete aufzeichnen und an eine zentrale Serverkomponente zur Verarbeitung weiterleiten. Administratoren können anschließend mit Hilfe einer komfortablen Web-Anwendung die aggregierten Daten auswerten und bei Bedarf entsprechende Gegenmaßnahmen einleiten. Zur Erkennung potentieller Angriffe kommt auf den Sensoren Honey-pot-Software zum Einsatz, deren Zweck die Simulation typischer Netzwerkdienste und zugehöriger Sicherheitslücken ist. Je intensiver ein Eindringling mit diesen Hackerfallen kommuniziert, desto mehr Informationen können über dessen Motivation und Vorgehensweise gewonnen werden. Um ein möglichst umfassendes Bild über die Vorgänge innerhalb des Netzwerks zu gewinnen, können die Sensoren auch weitere Datenpakete aufzeichnen. Eine Erkennungsroutine für die von Angreifern häufig zur Informationsgewinnung genutzten Portscans erleichtert zudem die automatische Klassifikation der gesammelten Datenmengen. Grundanforderungen an das System HoneySens sind die spezifischen Gegebenheiten des SVN und der Wunsch nach einer wartungsarmen, benutzerfreundlichen Lösung. Um die Anforderungen genauer zu spezifizieren, wurde der zu erwartende Datenverkehr in ausgewählten Teilnetzen der Landesverwaltung analysiert. Die dabei gewonnenen Daten waren maßgebend für den Entwurf des autonomen Sensornetzwerks und die Auswahl der eingesetzten Hardwareplattform. Bei der prototypischen Implementierung des Systems wurde schließlich auf eine hohe Skalierbarkeit durch den Einsatz kostengünstiger Ein-Platinen-Computer als Sensoren, Standardkonformität, leichte Installation und Wartbarkeit, sowie die vollständig verschlüsselte Kommunikation zwischen allen beteiligten Komponenten geachtet. Ein weiterer wichtiger Teilaspekt war zudem die transparente Integration des Sensornetzwerkes in die derzeit bestehenden Strukturen der Landesverwaltung, um den Betrieb der IT-Infrastruktur nicht zu beeinträchtigten Informationssicherheit in der öffentlichen sächsischen Verwaltung
21 Die Architektur des HoneySens-Netzwerks basiert auf einem zentralen Server, der über gesicherte Datenwege (grüne Linien im Bild) von seinen Honeypot-Sensoren Informationen zu verdächtigem Datenverkehr in den überwachten Teilnetzen (Wolkenstrukturen im Bild) erhält und zusammenführt. Damit auch nicht im Bereich der Informationssicherheit geschulte Administratoren mit dem System HoneySens arbeiten können, wurde bei der Entwicklung des Prototyps viel Wert auf eine leicht verständliche graphische Benutzeroberfläche gelegt. Die Web-Anwendung unterstützt deshalb die Benutzer sowohl bei allen anfallenden Arbeitsschritten, darunter die komfortable Integration zusätzlicher Sensoren und die Bereitstellung automatischer Updates der Sensor-Software, als auch bei der Auswertung aller gesammelten Daten. Eine flexible Benutzerverwaltung stellt zudem sicher, dass nur berechtigte Personen Zugang zum System besitzen. Techniken des Responsive Web Design garantieren ferner, dass die Benutzerschnittstelle auch auf Mobilgeräten wie Smartphones und Tablets ohne Einschränkungen genutzt werden kann. Auch bei der Konzeption der zentralen Serverkomponente wurden Möglichkeiten zur unkomplizierten Installation berücksichtigt: Die Bereitstellung der Software in Form von virtualisierbaren Containern assistiert beim flexiblen, transparenten Betrieb der Anwendung und vereinfacht zukünftige Updates. Die prototypische HoneySens -Implementierung wurde im Rahmen der Diplomarbeit in einem mehrwöchigen Testzeitraum innerhalb des SVN und in einem Teilnetz der TU Dresden erprobt und verbessert. In einem nächsten Schritt wollen die Kooperationspartner den vorliegenden Prototyp für den Einsatz in komplexen Netzstrukturen weiterentwickeln und dabei auch weitere potentielle Anwender einbinden. Hauptaugenmerk ist dabei die Untersuchung und Bewertung der vielfältigen Anforderungen, die sich aus dem Einsatz innerhalb eines Verbunds aus zahlreichen heterogenen Teilnetzen ergeben. Abschließend sollen die gewonnenen Erkenntnisse über sinnvolle Gestaltungs- und Anwendungsmöglichkeiten eines solchen Sensornetzwerks nicht nur für die Erhöhung der Informationssicherheit in Sachsen genutzt, sondern auch in die entsprechenden Gremien der Länder und des Bundes eingebracht werden. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 19
22 Identity-Leak-Checker Die Gefährdung der Landesverwaltung im Bereich des Identitätsdiebstahls nimmt wegen der verstärkten elektronischen Speicherung und Verarbeitung von Fachdaten im Freistaat Sachsen, aber auch wegen der Professionalisierung und Automatisierung im Bereich der Cyberkriminalität ständig zu. Im Ergebnis solcher Attacken, durch Nachlässigkeiten beim Aussortieren von Hardwarespeichern oder auch durch Verlust mobiler Geräte können interne dienstliche Informationen in die Öffentlichkeit gelangen. Besonders gefährlich ist dabei oft der Abfluss von Identitätsdaten in Form von Nutzernamen und zugehörigen Passwörtern, da externe Angreifer so Zugriff auf das interne Netz der Landesverwaltung erhalten können. Der BfIS-Land hat deshalb im Berichtszeitraum die Erforschung von Grundlagen zum Aufbau eines Warndienstes angestoßen, der beim Auftauchen von Identitätsdaten aus dem Freistaat Sachsen im Internet kurzfristig eine entsprechende Warnmeldung an die zuständigen Stellen in Sachsen generiert. So sollen einerseits kurzfristige Gegenmaßnahmen wie z.b. Löschanträge bei den jeweiligen Providern ermöglicht, andererseits aber auch ein Überblick über die aktuelle Gefährdungslage gewonnen werden. Ein erster wichtiger Schritt in diese Richtung war die Umsetzung einer prototypischen Lösung eines Warndienstes, der einen möglichst signifikanten Teil derjenigen Bereiche des Internets überwacht, in denen Identitätsdaten von Beschäftigten des Freistaats Sachsen gehandelt oder veröffentlicht werden könnten. In Absprache mit dem Hasso-Plattner-Institut an der Universität Potsdam, das im Mai 2014 den Online-Dienst Identity-Leak-Checker startete, wurden die im Rahmen dieses Dienstes entwickelten Funktionalitäten dem Freistaat Sachsen zur Verfügung gestellt und diese zusammen anforderungsgerecht weiter entwickelt. Basis des Identity-Leak-Checker ist ein Forschungsprojekt zur Verarbeitung großer Datenmengen mittels neuartiger, supercomputergestützter Datenbanktechnologien. Der Dienst deckt bereits große Teile des vom Freistaat Sachsen gesuchten Leistungsspektrums ab. Bisher konnte er weltweit schon über 182 Mio. gestohlene Identitätsdatensätze indizieren. In dem gemeinsamen Forschungsprojekt wird auf Basis des Identity-Leak-Checker ein Dienst zur Aufdeckung und Warnung vor Identitätsdiebstählen, die Beschäftigte des Freistaats Sachsen betreffen, durch das Hasso-Plattner-Institut umgesetzt Informationssicherheit in der öffentlichen sächsischen Verwaltung
23 APT-Erkennung Die Teststellung eines Produkts zur Erkennung hochspezialisierter Cyberangriffe (Advanced Persistent Threat, APT) auf das SVN lief im Zeitraum vom 13. Mai bis 12. Juni 2015 im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen. Im Unterschied zu den vorhandenen Schutzprogrammen scannte das Produkt den kompletten - und Internetverkehr des SVN während des Testlaufs nicht nur auf Signaturen bekannter Bedrohungen, sondern analysierte das Verhalten aller verdächtigen Programme und Dokumente auf einem simulierten Arbeitsplatz automatisch auf bösartige Aktivitäten. Nach 4 Wochen wurde das Testsystem planmäßig abgeschaltet. In diesem Zeitraum konnte mit Hilfe der Teststellung nachgewiesen werden, dass signaturbasierte Scanverfahren keinen ausreichenden Schutz mehr gegen aktuelle Schadsoftware bieten und eine zusätzliche Überwachung ausgehender Verbindungen auf Kontakte zu Schadsoftwareservern im Internet notwendig ist. Die Schutzmaßnahmen innerhalb des SVN wurden und werden auf Basis der gewonnenen Erkenntnisse weiter ausgebaut DDoS-Protection Ebenfalls im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen wurde die Betriebsbereitschaft des SVN und der Internetseiten der Landesverwaltung durch DDoS-Protection Dienstleistungen der TSI zusätzlich abgesichert. Einige Services davon werden seit Mai 2015 dauerhaft für den Freistaat bereitgestellt. In erster Linie sollen damit Netz und Access-Bandbreite gegen volumenbasierte Attacken geschützt werden. DDoS bezeichnet die Überlastung einer größeren Anzahl von Systemen der Informationstechnik durch einen v.a. absichtlichen Angriff auf einen Server, einen Rechner oder andere Komponenten eines Datennetzes. Solche mutwilligen DDoS-Angriffe werden mit speziellen Programmen durchgeführt, die z.b. Computerwürmer auf nicht ausreichend geschützten Rechnern installieren und dann versuchen weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen, welches mit vielen Rechnern zusammen selbst gut geschützte Systeme durchdringen kann. Im Falle eines vom Freistaat Sachsen gemeldeten Angriffs werden von der TSI geeignete Gegenmaßnahmen ergriffen, soweit diese technisch möglich sind. Durch die Gegenmaßnahmen wird versucht, den Angriff soweit abzumildern, dass der Internetzugang des Freistaates Sachsen wieder erreichbar ist. Abhängig von der Art des Angriffs kann es aber weiterhin zu einer Beeinträchtigung der betroffenen Dienste des Freistaates Sachsen kommen. Die TSI wird in Abstimmung mit dem Ansprechpartner der Landesverwaltung die bestmögliche Lösung (Abwehrmechanismen) ermitteln und anwenden. Hiermit soll erreicht werden, dass die kundeneigenen Sicherheitsmechanismen wieder greifen können. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 21
24 3.4. Stand der Informationssicherheit in den Kommunen Gastbeitrag von Thomas Weber, Direktor der Sächsischen Anstalt für kommunale Datenverarbeitung (SAKD) Die IT-Verfahren der Kommunen gewährleisten die internen Arbeitsabläufe der Verwaltung, stellen Dienste für Bürger bereit und sind häufig auch Bestandteil ebenenübergreifender Kommunikation mit dem Freistaat oder dem Bund. Alle drei Aspekte erfordern ein angemessenes IT-Sicherheitsniveau, um die Verfügbarkeit der Dienste und die Vertraulichkeit der Informationen zu gewährleisten Leitlinien- und Informationssicherheits Management-Prozesse Verbindliche Richtlinien, die auf staatlicher Seite bereits seit 2011 in Form der Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung existieren, gibt es übergreifend für alle Kommunen in Sachsen derzeit nicht. Der Versuch der kommunalen Bundesverbände, eine Sicherheitsleitlinie für Verwaltungen des Bundes für den Einsatz bei ebenenübergreifenden Verfahren auch für Kommunen für verbindlich erklären zu lassen, wurde vom IT-Planungsrat abgelehnt. Da die Festlegung dieser Leitlinie auf die BSI-Grundschutzmethodik erhebliche Aufwände für die Implementierung und die Umsetzung der erforderlichen Maßnahmen insb. in kleinen Kommunalverwaltungen erwarten ließ, sprachen sich auch SAKD und die sächsischen kommunalen Spitzenverbände gegen eine verbindliche Einführung dieser Leitlinie aus. In Kenntnis der unbefriedigenden Situation im Bereich der kommunalen Informations-Sicherheit (eine Umfrage im Jahr 2012 ergab, dass in weniger als 20 % der Kommunen ein IT-Sicherheitsbeauftragter namentlich benannt war), entwickelte die SAKD eine Musterleitlinie für die Herstellung von Informationssicherheit in Kommunalverwaltungen. Das Hauptziel des Dokumentes besteht darin, dass sich die Behördenleitungen zur Informationssicherheit bekennen, Ressourcen dafür bereitstellen und einen kontinuierlichen Sicherheitsprozess initiieren. Die Musterleitlinie orientiert sich an der Verwaltungsvorschrift der Landesverwaltung, verzichtet aber bewusst auf jeden Bezug zur BSI-Grundschutzmethodik, um keine Einstiegshürden wegen zu hoher Aufwendungen zu errichten. Nach Veröffentlichung der Leitlinie als Empfehlung des Fachausschusses der SAKD gemäß 4 Abs. 3 SAKDG im Amtsblatt vom 2. August 2012 wurde das Dokument inzwischen von mehr als 200 Kommunen von der Homepage der SAKD heruntergeladen und als Blaupause für eine eigene Sicherheitsleitlinie verwendet. Den gleichen Ansatz, das Thema als Leitungsverantwortung zu positionieren, verfolgte eine Initiative der kommunalen Spitzenverbände auf Bundesebene und der VITAKO (Bundesarbeitsgruppe der kommunalen IT-Dienstleister). Die Arbeitsgruppe Handreichung Informationssicherheitsleitlinie verfolgte das Ziel, praktikable Handlungsleitfäden für kommunale initiale Sicherheitsdokumente zu erstellen, die sich an der für Bundes- und Landesverwaltungen verbindlichen Leitlinie für IT-Sicherheit des IT-Planungsrates orientieren. Die SAKD arbeitete in dieser Arbeitsgruppe mit und setzte Textvorschläge durch, die es auch kleinen Verwaltungen ohne benannten Sicherheitsbeauftragten ermöglichen, diese Handreichung einzusetzen Informationssicherheit in der öffentlichen sächsischen Verwaltung
25 Die Veröffentlichung erfolgte 2014 über die VITAKO und das IT-SiBe-Forum. Die nicht öffentliche Plattform steht allen IT-Sicherheitsbeauftragten auf Länder- und Kommunalebene zum Informations- und Erfahrungsaustausch kostenfrei zur Verfügung, erfordert aber eine individuelle Registrierung beim Deutschen Landkreistag (DLT) Informationssicherheit in der IT-Service-Beratung Die beste Möglichkeit, das Thema IT-Sicherheit bei den Kommunen zu platzieren bieten individuelle Beratungsgespräche. Die kostenfreie IT-Serviceberatung für kleine Kommunen hat sich als Dienstleistung der SAKD etabliert und bietet sich dafür an. Im Rahmen dieses Programmes hat die SAKD bisher ca. 80 Kommunalverwaltungen vor Ort besucht und zu unterschiedlichen Themen beraten. Ausgangspunkt für die meisten Anfragen sind geplante Hardwareinvestitionen zum Ersatz überalterter Technik. Informationssicherheit ist dabei fast nie der Anlass der Beratungsanfrage - wird aber von der SAKD bei allen Gesprächen angesprochen. Das kennzeichnet das unzureichende Sicherheitsbewusstsein in vielen kleinen Verwaltungen, die meist ohne eigenes IT-Personal auskommen müssen. Falls überhaupt eine Benennung von Verantwortlichen erfolgt ist, liegen Datenschutz und IT-Sicherheit meist in der Hand des gleichen Mitarbeiters, dem aber oft weder finanzielle noch zeitliche Ressourcen dafür bereitgestellt werden. Nur die Erhöhung des Problembewusstseins in den Verwaltungsspitzen und bei allen Mitarbeitern kann hier zu Verbesserungen führen. Die seit 2013 jährlich vom BfIS-Land durchgeführte Awareness-Veranstaltung Infosic, zu der sich regelmäßig auch viele kommunale Teilnehmer anmelden, ist dafür eine gute Möglichkeit Erfahrungsaustausch und Kommunikation In großen Stadt- und Landkreisverwaltungen, in denen in der Regel hauptamtliche Sicherheitsbeauftragte benannt sind, ist die Situation besser. Hier sind Sicherheitsprozesse etabliert und entsprechende Ressourcen vorhanden. Mit der Arbeitsgruppe der IT-Sicherheitsbeauftragten der Landkreise existiert auch ein Gremium, in dem sich die Landkreise zu Sicherheitsthemen austauschen. Ursprünglich als AG zur Ertüchtigung der EU-Zahlstellen der Landkreise für BSI-Grundschutz gegründet, beschäftigt sich die AG inzwischen mit verschiedenen Sicherheitsthemen in den Landkreisverwaltungen. Die Gruppe tagt regelmäßig unter Leitung des Sächsischen Landkreistages und lädt themenabhängig Vertreter des BfIS-Land, der KDN GmbH oder der SAKD zu den Sitzungen ein. Der Versuch, ein vergleichbares Gremium für kleinere Verwaltungen zu etablieren, war leider nicht von dauerhaftem Erfolg gekrönt. So wurde die 2012 gegründete Arbeitsgruppe IT-Sicherheit im KDN II im Jahr 2013 wieder eingestellt. Die AG hatte versucht, über ein vereinfachtes Checklistenverfahren kleineren Verwaltungen, die am KDN angeschlossen sind, eine Alternative zur BSI-Grundschutzvorgehensweise anzubieten. In der Landesverwaltung werden Angelegenheiten der Informationssicherheit in einer Arbeitsgruppe IT-Sicherheit (AG IS) unter Leitung des BfIS-Land behandelt und voran getrieben. Die SAKD ist als Mitglied ohne Stimmrecht der kommunale Vertreter und Sachwalter kommunaler Interessen in dieser Arbeitsgruppe. Während die Beschlüsse des Gremiums für die Ressorts und Behörden der Landesverwaltung bindend sind, können sie für Kommunalverwaltungen nur empfehlenden Charakter haben. Entsprechende Empfehlungen werden regelmäßig über den Newsletter der SAKD publiziert. Beispiele dafür sind die 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 23
26 Hinweise zur Verwendung sicherer Verschlüsselungsverfahren, die Umstellung von Mailservern auf verschlüsselte Kommunikation oder die Mitnutzung von Diensten des Landes zur Prüfung von Identitätsdiebstahl von Nutzeraccounts Informationssicherheit und Datenschutz Eine unmittelbare gesetzliche Vorgabe zur Erstellung und Umsetzung von IT-Sicherheitskonzepten besteht für Kommunen erst seit Inkrafttreten des Sächsischen E-Government Gesetzes (SächsEGovG). Bereits seit langem verpflichtet jedoch das Sächsische Datenschutzgesetz (SächsDSG) zur Einhaltung des Schutzes personenbezogener Daten. Das SächsDSG enthält die Vorgaben zum Führen von Verfahrensverzeichnissen, bei denen die umgesetzten organisatorischen und technischen Sicherheitsmaßnahmen konkret zu benennen sind. Die SAKD bietet kleinen Kommunen die vertragliche Übernahme der Funktion eines (externen) behördlichen Datenschutzbeauftragten. Bisher haben 20 Kommunen einen entsprechenden Auftrag erteilt. Sie bekommen so direkte Hilfestellung bei der Implementierung von Sicherheitsmaßnahmen. Das Leistungspaket umfasst neben der Erstellung der Verfahrensverzeichnisse Schulungsmaßnahmen für Mitarbeiter und Vorabkontrollen bei der Einführung neuer Verfahren Das KDN als sicheres Netz Als wesentliche sicherheitsrelevante Infrastrukturkomponente im kommunalen Umfeld muss das Kommunale Datennetz (KDN) genannt werden. Durch seine Realisierung auf teilweise exklusiver Infrastruktur, gesicherten Netzübergängen und weiteren Sicherheitsmaßnahmen wie Online-Content-Scanning, Anti-Virus- und Anti-Spam-Lösungen, bietet es schon per se ein höheres Sicherheitsniveau gegenüber einem Standard-Internetanschluss. KDN GmbH und SAKD argumentieren deshalb bei allen Gelegenheiten für einen KDN-Anschluss; Zielstellung hier ist die Flächendeckung des KDN über alle Kommunen. Seit Inkrafttreten des SächsEGovG, das die Kommunikation nur noch über gesicherte Netze vorgibt, besteht de facto für alle Kommunen ein Anschlusszwang an das KDN. Die im Gesetz genannte alternative Schnittstelle mit vergleichbarer Sicherheit wurde bisher nicht definiert. Trotzdem gibt es noch ca. 80 KDN-Verweigerer, die nur über einen direkten Internetanschluss mit Landes- oder Bundesbehörden kommunizieren und damit eigentlich einen Gesetzesverstoß begehen CERT-Leistungen für Kommunen Nach Beschluss der AG IS stehen ausgewählte Leistungen des beim SID betriebenen SAX. CERT, wie zum Beispiel der Message-Dienst, auch den Kommunen zur Verfügung. Die technische Realisierung erfolgt über eine bei der SAKD gepflegte Verteilerliste. Von den ca. 60 Kommunen, die sich bisher für diesen Dienst registriert haben, hat sich allerdings inzwischen die Hälfte wieder abgemeldet, da die verteilten Meldungen für ihre jeweilige Infrastruktur zu unspezifisch sind. Eine verbesserte Selektivität dieser Nachrichten kann allerdings nur über detaillierte Beschreibung der verwendeten Hard- und Software geleistet werden. Diese für die Landesverwaltung angestrebte Lösung ist mit einer einzigen zentralen kommunalen Verteilerliste nicht realisierbar. Hier sind weitergehende Überlegungen vonnöten Informationssicherheit in der öffentlichen sächsischen Verwaltung
27 Symbolbild für Datenströme, die geschützt durch eine Art Sicherheitsschleuse, in einen Serverraum gelangen Sicherheitstests Ebenfalls auf Beschluss der AG IS finden seit 2014 regelmäßige, anfangs unangekündigte Tests der Webpräsenzen von Landes- und Kommunalverwaltungen unter Sicherheitsaspekten statt. Kritische Ergebnisse für kommunale Websites wurden der SAKD mitgeteilt, die daraufhin alle betroffenen Betreiber von Webservern und Diensten innerhalb des KDN direkt kontaktiert hat. Die meisten kommunalen Webpräsenzen liegen jedoch bei Providern im Internet, so dass hier nur die jeweilige Kommune selbst bei ihrem Dienstleister auf die Verbesserung des Sicherheitsniveaus drängen kann. Bei den in diesem Zusammenhang erfolgten Tests von Schul-Webpräsenzen sind die von Sicherheitsproblemen betroffenen Schulen unter Verwendung der beim Sächsischen Kultusministerium vorliegenden Schuldatenbank einzeln angeschrieben worden. Neben einem personalisierten Fehlerbericht wurden dabei auch Kontaktinformationen für Hilfe bei der Problembewältigung übermittelt. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 25
28 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Eines der schwächsten Glieder in der Sicherheitskette ist immer noch der Mensch. Da die beste Technik und die durchdachtesten Sicherheitsvorkehrun - gen die Informations- und Cybersicherheit alleine nicht garantieren können, solange der einzelne Nutzer Defizite im Umgang mit technischen Mitteln zeigt, führt der Weg zu einer nachhaltigen Erhöhung der Informations- und Cybersi- - cherheit nur über eine Sensibilisierung eines jeden Einzelnen. Hauptaugenmerk sollte daher darin liegen, Defiziten wie fahrlässigem Handeln oder mangelnden Kenntnissen entgegenzuwirken. Ein zentraler Baustein zu mehr Sicherheit liegt in der Sensibilisierung vor Gefahren bei der alltäglichen Nutzung von PC, Smartphone und Internet einerseits und in der Vermittlung von Kompetenzen zur Gefahrenabwehr andererseits. Dazu zählen der bewusste Umgang mit der IT, die Erlernung einfacher Regeln und die Anwendung ver- - ständlicher Sicherheitsmaßnahmen Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen
29 4.1. Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen Der Handlungsbedarf für Sensibilisierungsmaßnahmen zu den Themen Informations- und Cybersicherheit im Freistaat Sachsen soll abgeleitet werden aus a) einer Übersicht bisheriger Maßnahmen des BfIS-Land b) einer Übersicht weiterer relevanter Initiativen und Aktionen von Staat, Wirtschaft und Bürgern unter besonderer Berücksichtigung ihrer Wirkung auf den Freistaat Sachsen sowie c) einer aktuellen Zusammenfassung der zentralen Ergebnisse von repräsentativen Umfragen zum Thema Cybersicherheit in der deutschen Bevölkerung und Befragungen von Unternehmen Bisherige Maßnahmen des BfIS-Land 572 Menschen wurden gefragt Wie hat Ihnen die Veranstaltung insgesamt gefallen? Mit der Großveranstaltung Infosic organisierte der BfIS-Land in den Jahren 2012, 2013 und 2015 die größten Sensibilisierungsveranstaltungen für Informationssicherheit auf Landesebene. Diese basiert auf der Veranstaltungsreihe Roadshow Informationssicherheit, die ursprünglich von der Bundesakademie für öffentliche Verwaltung (BAköV) zusammen mit dem BSI entwickelt worden war, um die Bediensteten des Bundes auf die Risiken beim Einsatz der IT hinzuweisen und sie für den richtigen, sicherheitsbewussten Umgang mit der IT zu sensibilisieren. Nachdem sich der BfIS-Land der BAköV als Partner angeboten hatte, um die Veranstaltungsreihe auch im Freistaat Sachsen den Landesbediensteten anzubieten, wurden im Jahr 2012 in Leipzig mit 600 Teilnehmern, im Jahr 2013 in Chemnitz mit 700 Teilnehmern und im Jahr 2015 in Dresden mit insgesamt Teilnehmern bei gleich zwei entsprechenden Großveranstaltungen 4 insgesamt bislang über Bedienstete der sächsischen Landesund Kommunalverwaltung, sowie weiterer öffentlicher Einrichtungen und Institutionen erreicht. Die sich sehr positiv entwickelnden Teilnehmerzahlen sind sicherlich auch Ergebnis des kontinuierlichen Angebots einer solchen Veranstaltung. Die gesamte Veranstaltungsreihe wurde und wird dabei aus Projektmitteln des IT-Planungsrats unterstützt. Nach der erfolgreichen Auftaktveranstaltung 2012 in Sachsen folgten die meisten anderen Bundesländer mit ähnlichen Veranstaltungen. 4 Nachdem die erste Sensibilisierungsveranstaltung bereits nach drei Wochen ausgebucht war, wurde kurzfristig eine zweite Veranstaltung organisiert, die ebenfalls weitere drei Wochen später ausgebucht war. 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen 27
Informationssicherheit
Informationssicherheit Informationssicherheit im Freistaat Sachsen Eine moderne Verwaltung funktioniert heutzutage nicht mehr ohne Computer. Als Dienstleister stellt der Freistaat Sachsen für Bürger und
MehrZwischenbericht der UAG NEGS- Fortschreibung
Zwischenbericht der UAG NEGS- Fortschreibung Vorlage zur 16. Sitzung des IT-Planungsrats am 18. März 2015 Entwurf vom 29. Januar 2015 Inhaltsverzeichnis 1 Anlass für die Fortschreibung der NEGS... 3 2
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/1319 14.11.2013 Mitteilung zur Kenntnisnahme Leitlinien für einen standardisierten IT-Arbeitsplatz offen und Zukunftsorientiert Drucksachen 17/1077 Neu und 17/0996 und Zwischenbericht
MehrRahmenvereinbarung über die E-Government-Zusammenarbeit
Staatskanzlei Informationsdienst Rahmenvereinbarung über die E-Government-Zusammenarbeit Die Politische Gemeinde. (nachstehend Gemeinde genannt) und der Kanton Thurgau, vertreten durch die Staatskanzlei
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
MehrInformationen zum neuen Studmail häufige Fragen
1 Stand: 15.01.2013 Informationen zum neuen Studmail häufige Fragen (Dokument wird bei Bedarf laufend erweitert) Problem: Einloggen funktioniert, aber der Browser lädt dann ewig und zeigt nichts an Lösung:
MehrKooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung
Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss
MehrSchriftwechsel mit Behörden Ratgeber zum Datenschutz 1
Datenschutz und Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1 Datenschutz und Herausgeber: Berliner Beauftragter für Datenschutz und Verantwortlich: Volker Brozio Redaktion: Laima Nicolaus An
MehrLagedarstellung Cybercrime
Informationsveranstaltung der IHK Halle-Dessau am 07.04.2015 Lagedarstellung Cybercrime, Cybercrime Competence Center Cybercrime: umfasst die Straftaten, die sich gegen - das Internet, - weitere Datennetze
MehrVerband der TÜV e. V. STUDIE ZUM IMAGE DER MPU
Verband der TÜV e. V. STUDIE ZUM IMAGE DER MPU 2 DIE MEDIZINISCH-PSYCHOLOGISCHE UNTERSUCHUNG (MPU) IST HOCH ANGESEHEN Das Image der Medizinisch-Psychologischen Untersuchung (MPU) ist zwiespältig: Das ist
Mehr» Weblösungen für HSD FM MT/BT-DATA
Die Bedeutung der Online-Verfügbarkeit von aktuellen Daten ist in vielen Bereichen fester Bestandteil der täglichen Arbeit. Abteilungen werden zentralisiert und dezentrales Arbeiten wird immer wichtiger.
MehrMIT NEUEN FACHTHEMEN
ZUM UMGANG MIT Version: 1.0 Datum: 15.10.2012 INHALTSVERZEICHNIS 1 EINLEITUNG... 3 1.1 Ziel und Zweck... 3 1.2 Anwendungsbereich... 3 1.3 Entwicklung und Fortführung... 3 2 DOKUMENTE... 4 2.1 Formular
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
Mehr15 Arten von QR-Code-Inhalten!
15 Arten von QR-Code-Inhalten! Quelle: www.rohinie.eu QR-Codes(= Quick Response Codes) sind Pop-Art-Matrix Barcodes, die Informationen in einer kleinen rechteckigen Grafik enthalten. Sie sind auch eine
MehrStaatssekretär Dr. Günther Horzetzky
#upj15 #upj15 Staatssekretär Dr. Günther Horzetzky Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk des Landes Nordrhein-Westfalen Ministerium für Wirtschaft, Energie, Industrie,
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrUmfrage: Ihre Erwartungen, Ihr Bedarf und der aktuelle Einsatz von Informationstechnologie (IT) in Ihrem Unternehmen
Umfrage: Ihre Erwartungen, Ihr Bedarf und der aktuelle Einsatz von Informationstechnologie (IT) in Ihrem Unternehmen A.1 Welche Funktion bekleiden Sie in Ihrem Unternehmen? A.2 Sind Sie entscheidungsbefugt
MehrInternet- und E-Mail-Überwachung in Unternehmen und Organisationen
Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet
MehrVon Perimeter-Security zu robusten Systemen
Von Perimeter-Security zu robusten Systemen Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Inhalt Motivation Perimeter
MehrEinführung von De-Mail im Land Bremen
BREMISCHE BÜRGERSCHAFT Drucksache 18/513 Landtag 18. Wahlperiode 10.07.2012 Antwort des Senats auf die Kleine Anfrage der Fraktion der CDU Einführung von De-Mail im Land Bremen Antwort des Senats auf die
MehrDOKUMENTATION WLAN VOR ORT FREIFUNK UND OFFENES WLAN IN DEN STÄDTEN UND GEMEINDEN KOMMUNALPOLITISCHER RATSCHLAG
KOMMUNALPOLITISCHER RATSCHLAG WLAN VOR ORT FREIFUNK UND OFFENES WLAN IN DEN STÄDTEN UND GEMEINDEN DIENSTAG, 14. APRIL 2015 18.00 BIS 20.00 UHR LANDTAG NRW, RAUM E1 D 05 DOKUMENTATION IMPRESSUM WEITERE
MehrTipps und Tricks zu den Updates
Tipps und Tricks zu den Updates Grundsätzlich können Sie Updates immer auf 2 Wegen herunterladen, zum einen direkt über unsere Internetseite, zum anderen aus unserer email zu einem aktuellen Update. Wenn
MehrProf. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand
Lage der IT-Sicherheit im Mittelstand Inhalt Die Situation heute: Eine kritische Bewertung 2 Inhalt Die Situation heute: Eine kritische Bewertung 3 IT-Sicherheit u. Vertrauenswürdigkeitrdigkeit Veränderung,
MehrKeine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY
Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden
MehrFragen und Antworten zur Prüfmöglichkeit für ausländische Investitionen (Änderung des Außenwirtschaftsgesetzes und der Außenwirtschaftsverordnung)
Fragen und Antworten zur Prüfmöglichkeit für ausländische Investitionen (Änderung des Außenwirtschaftsgesetzes und der Außenwirtschaftsverordnung) 1. Welche Investitionen können geprüft werden? Einer Prüfung
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrBeschluss Nr. 02/2014 vom 22. Mai 2014 Handlungsempfehlungen und Umsetzungsplan zum verbesserten Einsatz von Verschlüsselungsverfahren
Arbeitsgruppe Informationssicherheit Beschluss Nr. 02/2014 vom 22. Mai 2014 Handlungsempfehlungen und Umsetzungsplan zum verbesserten Einsatz von Verschlüsselungsverfahren Die AG IS beschließt die in der
MehrIT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern
IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der
MehrEntwurf einer. IT-Sicherheitsleitlinie. für die Technische Universität Hamburg-Harburg
Entwurf einer IT-Sicherheitsleitlinie für die Technische Universität Hamburg-Harburg Motivation Beispiele 1 Microsoft SQL-Server Wurm Juli 2002: öffentliche Warnungen vor Sicherheitslücke, Update verfügbar
MehrWeb-Umfrage zu IT-Security: Größtes IT-Sicherheitsrisiko bleibt der Mensch
Web-Umfrage zu IT-Security: Größtes IT-Sicherheitsrisiko bleibt der Mensch Viele Unternehmen halten VoIP-Anwendungen für unsicher. Aachen, den 19. Oktober 2006. Der Verband der EDV-Software- und -Beratungsunternehmen
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/2057 13.01.2015 Mitteilung zur Kenntnisnahme Vertraulichkeit des Inhalts elektronischer Kommunikation mit öffentlichen Stellen schützen Drucksachen17/1758 und 17/1059 und
Mehr4096/AB XXIII. GP. Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.
4096/AB XXIII. GP - Anfragebeantwortung 1 von 5 4096/AB XXIII. GP Eingelangt am 17.06.2008 BM für Justiz Anfragebeantwortung DIE BUNDESMINISTERIN FÜR JUSTIZ BMJ-Pr7000/0078-Pr 1/2008 An die Frau Präsidentin
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrStammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing
Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag
MehrMarketingmaßnahmen effektiv gestalten
Marketingmaßnahmen effektiv gestalten WARUM KREATIVE LEISTUNG UND TECHNISCHE KOMPETENZ ZUSAMMENGEHÖREN Dr. Maik-Henrik Teichmann Director Consulting E-Mail: presseservice@cocomore.com Um digitale Marketingmaßnahmen
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
MehrPersonalentwicklung und Fortbildung
Qualifizierungssystem Bildungsmanagement Personalentwicklung und Fortbildung Blick ins Heft Wie man Fortbildung mit Personalentwicklung professionell verzahnt Personalentwicklung und Fortbildung Q u a
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
MehrDeutschland-Check Nr. 35
Beschäftigung älterer Arbeitnehmer Ergebnisse des IW-Unternehmervotums Bericht der IW Consult GmbH Köln, 13. Dezember 2012 Institut der deutschen Wirtschaft Köln Consult GmbH Konrad-Adenauer-Ufer 21 50668
MehrSicherheit - Dokumentation. Erstellt von James Schüpbach
- Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrBedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen
Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service
MehrTag des Datenschutzes
Tag des Datenschutzes Datenschutz und Software: Vertrauen ist gut, Kontrolle ist besser Dr. Michael Stehmann Zur Person Rechtsanwalt Dr. Michael Stehmann Studium der Rechtswissenschaft an der Universität
MehrDer nachhaltigere Anbieter sollte den Auftrag kriegen Interview mit Klaus-Peter Tiedtke, Direktor des Beschaffungsamtes des Bundes
Der nachhaltigere Anbieter sollte den Auftrag kriegen Interview mit Klaus-Peter Tiedtke, Direktor des Beschaffungsamtes des Bundes Der öffentliche Einkaufskorb soll nach dem Willen der Bundesregierung
MehrNutzungsbedingungen und Datenschutzrichtlinie der Website
Nutzungsbedingungen und Datenschutzrichtlinie der Website Besucher unserer Website müssen die folgenden Bestimmungen akzeptieren, um Informationen über uns, unser Unternehmen und die von uns mittels unserer
MehrDer Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?
GHR Arbeitsrechtsteam Vertrauen ist gut Kontrolle besser? Die Verwendung von Social Media, insbesondere Internet und E-Mails, für private Zwecke am Arbeitsplatz ist für jeden Arbeitgeber und jeden Arbeitnehmer
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/1970 14.11.2014 Mitteilung zur Kenntnisnahme Lizenzmanagement Drucksache 17/0400 ( II.A.14.6) Schlussbericht Abgeordnetenhaus von Berlin 17. Wahlperiode Seite 2 Drucksache
MehrWissenschaftlicher Bericht
Ein Auszug aus... Wissenschaftlicher Bericht Augmented Reality als Medium strategischer medialer Kommunikation Die komplette Studie ist bei amazon.de käuflich zu erwerben. Inhaltsverzeichnis 1 Einführung
MehrSoziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.
Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co. www.bsi-fuer-buerger.de Sicher unterwegs in studivz, Facebook & Co. Die sozialen
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrSächsischer Baustammtisch
Sächsischer Baustammtisch Leipziger Straße 3 09599 Freiberg Tel.: 03731/215006 Fax: 03731/33027 Handy: 0172 3510310 Internet: www.saechsischer-baustammtisch.de Mail: info@saechsischer-baustammtisch.de
MehrDer einfache Weg zu Sicherheit
Der einfache Weg zu Sicherheit BUSINESS SUITE Ganz einfach den Schutz auswählen Die Wahl der passenden IT-Sicherheit für ein Unternehmen ist oft eine anspruchsvolle Aufgabe und umfasst das schier endlose
MehrStellungnahme der Bundesärztekammer
Stellungnahme der Bundesärztekammer zum Referentenentwurf für ein Gesetz zur Änderung des 87 der Strafprozessordnung Berlin, 21. Februar 2012 Korrespondenzadresse: Bundesärztekammer Herbert-Lewin-Platz
MehrAnleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem
Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem Information Wichtiger Hinweis: Microsoft hat am 8. April 2014 den Support für Windows XP eingestellt. Neue Sicherheitsaktualisierungen
MehrOrganisation des Qualitätsmanagements
Organisation des Qualitätsmanagements Eine zentrale Frage für die einzelnen Funktionen ist die Organisation dieses Bereiches. Gerade bei größeren Organisationen Für seine Studie mit dem Titel Strukturen
MehrInternetkriminalität
Informatikstrategieorgan Bund ISB Nachrichtendienst des Bundes NDB Internetkriminalität Aktuelle und zukünftige (mögliche) Bedrohungen Pascal Lamia, Leiter MELANI Bedrohungen Immer grössere Bedeutung der
MehrZwischenablage (Bilder, Texte,...)
Zwischenablage was ist das? Informationen über. die Bedeutung der Windows-Zwischenablage Kopieren und Einfügen mit der Zwischenablage Vermeiden von Fehlern beim Arbeiten mit der Zwischenablage Bei diesen
MehrOutlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang
sysplus.ch outlook - mail-grundlagen Seite 1/8 Outlook Mail-Grundlagen Posteingang Es gibt verschiedene Möglichkeiten, um zum Posteingang zu gelangen. Man kann links im Outlook-Fenster auf die Schaltfläche
MehrRechnungshöfe des Bundes und der Länder. Positionspapier zum Thema Aktenführung
Rechnungshöfe des Bundes und der Länder Positionspapier zum Thema Aktenführung Inhaltsverzeichnis Inhaltsverzeichnis Seite 1 Vorgeschichte 2 2 Ausgangssituation 3 3 Grundsätze der Aktenführung 4 4 Hinweise
MehrMehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.
Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen. Immer schon ein gutes Zeichen. Das TÜV Rheinland Prüfzeichen. Es steht für Sicherheit und Qualität. Bei Herstellern, Handel
Mehr64% 9% 27% INFORMATIONSSTATUS INTERNET. CHART 1 Ergebnisse in Prozent. Es fühlen sich über das Internet - gut informiert. weniger gut informiert
INFORMATIONSSTATUS INTERNET Frage: Wie gut fühlen Sie sich ganz allgemein über das Internet informiert? Würden Sie sagen Es fühlen sich über das Internet - gut informiert 64% 9% weniger gut informiert
MehrIhr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR 20.09.2012
Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen LSKN Postfach 91 04 55 30424 Hannover Bearbeitet von: VPS-Team E-Mail: VPS-Admin(at)lskn.niedersachsen.de Ihr Zeichen, Ihre Nachricht
MehrDatenschutz - Ein Grundrecht
Datenschutz - Ein Grundrecht? Der Sächsische Datenschutzbeauftragte Datenschutz als Grundrecht Argumente für den Datenschutz Der Sächsische Datenschutzbeauftragte Andreas Schurig GRuSSwort 2 Liebe Leserin,
MehrEin mobiler Electronic Program Guide
Whitepaper Telekommunikation Ein mobiler Electronic Program Guide Ein iphone Prototyp auf Basis von Web-Technologien 2011 SYRACOM AG 1 Einleitung Apps Anwendungen für mobile Geräte sind derzeit in aller
MehrÜberwachung elektronischer Daten und ihr Einfluss auf das Nutzungsverhalten im Internet
Überwachung elektronischer Daten und ihr Einfluss auf das Nutzungsverhalten im Internet Repräsentativ-Befragung im Auftrag des DIVSI durchgeführt vom SINUS-Institut Heidelberg Hamburg, 3. Juli 2013 Methodische
MehrIT Sicherheit: Lassen Sie sich nicht verunsichern
IT Sicherheit: Lassen Sie sich nicht verunsichern Guido Bunsen IT Manager Security IT Center AGENDA Betrieb von Firewalls Webfilter E-Mail-Filter Netzwerküberwachung / Blast-O-Mat Virenschutz-Software
Mehr10 Bundesverkehrsministerium verstößt gegen haushaltsrechtliche Vorschriften und unterrichtet den Haushaltsausschuss unzutreffend
Bundesministerium für Verkehr, Bau und Stadtentwicklung (Einzelplan 12) 10 Bundesverkehrsministerium verstößt gegen haushaltsrechtliche Vorschriften und unterrichtet den Haushaltsausschuss unzutreffend
MehrErster Schritt: Antrag um Passwort (s. www.ifb.co.at Rubrik -> techn. Richtlinien/Antrag für Zugangsberechtigung)
Benutzeranleitung Sehr geehrte Mitglieder und Experten! Diese Benutzeranleitung erklärt die Handhabung und Navigation zu den spezifischen Arbeitsgruppen unter der Rubrik Technische Richtlinien auf der
Mehreco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand
eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand Für den Report wurden 219 Experten aus der IT Branche befragt Branchenverteilung
MehrEINFÜHRUNG DER erechnung
1 EINFÜHRUNG DER erechnung DIE VORGEHENSWEISE IM ÜBERBLICK Martin Rebs Bereichsleiter Beratung Schütze Consulting AG 28.04.2016 Juliane Mannewitz Beraterin erechnung und epayment Schütze Consulting AG
MehrI N S T I T U T F Ü R D E M O S K O P I E A L L E N S B A C H
I N S T I T U T F Ü R D E M O S K O P I E A L L E N S B A C H Erwartungen der Bevölkerung an die Familienpolitik Die Erleichterung der Vereinbarkeit von Familie und Beruf gehört unverändert zu den familienpolitischen
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrUpdate VR-NetWorld-Software 3.34 PROFILWECHSEL SICHERHEITSDATEI (ALT) NACH SICHERHEITSDATEI (NEU) Anleitung nur für Versionen ab 3.34.
Update VR-NetWorld-Software 3.34 PROFILWECHSEL SICHERHEITSDATEI (ALT) NACH SICHERHEITSDATEI (NEU) Anleitung nur für Versionen ab 3.34 Für Der Empfehlung der Bundesnetzagentur und des Bundesamtes für Sicherheit
MehrVorbemerkung: Die folgenden Aussagen gelten, soweit nicht ausdrücklich anders vermerkt, für das Gebiet der Stadt München.
Erfahrungen mit der Verlagerung der Zuständigkeit für die ambulante Eingliederungshilfe Stellungnahme des Behindertenbeauftragten der Landeshauptstadt München zur Anhörung des Ausschusses für Soziales,
MehrInformations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich
Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken Upload- / Download-Arbeitsbereich Stand: 27.11.2013 Eine immer wieder gestellte Frage ist die, wie man große Dateien austauschen
MehrExterne Abfrage von E-Mail für Benutzer der HSA über Mozilla-Thunderbird
Externe Abfrage von E-Mail für Benutzer der HSA über Mozilla-Thunderbird Vorweg zunächst einige allgemeine Worte: Sie müssen über einen Account bei uns verfügen und ein E-Mail-Postfach bei uns haben. Dann
MehrQualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!
Beitrag: 1:43 Minuten Anmoderationsvorschlag: Unseriöse Internetanbieter, falsch deklarierte Lebensmittel oder die jüngsten ADAC-Skandale. Solche Fälle mit einer doch eher fragwürdigen Geschäftsmoral gibt
MehrI N N E N M I N I S T E R I U M B A D E N - W Ü R T T E M B E R G. Postfach 10 34 65 70029 Stuttgart E-Mail: poststelle@im.bwl.de FAX: 0711/231-5000
I N N E N M I N I S T E R I U M B A D E N - W Ü R T T E M B E R G Postfach 10 34 65 70029 Stuttgart E-Mail: poststelle@im.bwl.de FAX: 0711/231-5000 An den Präsidenten des Landtags von Baden-Württemberg
MehrPositionspapier zum Thema Aktenführung
Rechnungshöfe des Bundes und der Länder Positionspapier zum Thema Aktenführung 8. bis 10. Juni 2015 Entwurf des Arbeitskreises Organisation und Informationstechnik Inhaltsverzeichnis 1 Vorgeschichte 2
Mehr4 Ideen zur Verbesserung des E-Mail-Marketings!
4 Ideen zur Verbesserung des E-Mail-Marketings! Quelle: www.rohinie.eu E-Mail-Kampagnen können zu den wirksamsten Werkzeugen im Marketing-Arsenal gehören. Allerdings können sie genauso gut die Quelle großer
MehrDatenübernahme und Datensicherheit
Datenübernahme und Datensicherheit Gerade bei Investment- und Versicherungsmaklern werden viele sensible Daten versendet. Die herkömmlichen Versandwege per Post und E-Mail bieten nur wenig Sicherheit.
MehrDominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH
Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH Peter Cullen, Microsoft Corporation Sicherheit - Die Sicherheit der Computer und Netzwerke unserer Kunden hat Top-Priorität und wir haben
MehrLeitfaden. zur Einführung neuer Studiengänge
Leitfaden zur Einführung neuer Studiengänge Entstehung des Leitfadens Einführung neuer Studiengänge Die Grundlagen des Leitfadens wurden auf der Basis des bisherigen Verfahrens in einer Workshopreihe des
MehrDie neue Datenträgervernichter DIN 66399
AUSGABE 07 Die neue Datenträgervernichter DIN 66399 Núria i JC; www.piqs.de Nicht alles Gute kommt von oben. Das mussten auch einige New Yorker feststellen, als es auf der jährlichen Thanksgiving-Parade
MehrVerpasst der Mittelstand den Zug?
Industrie 4.0: Verpasst der Mittelstand den Zug? SCHÜTTGUT Dortmund 2015 5.11.2015 Ergebnisse einer aktuellen Studie der Technischen Hochschule Mittelhessen 1 Industrie 4.0 im Mittelstand Ergebnisse einer
Mehrmelin B2B Email Marke2ng Basics, Blacklist, Whitelist, MX, SPF und das drumherum 4. Mai 2009 ld@melin.de www.melin.com 1
B2B Email Marke2ng Basics, Blacklist, Whitelist, MX, SPF und das drumherum 4. Mai 2009 ld@.de 1 Inhalt Firmen, Webmail Anbieter und Privatleute versuchen sich vor ungewollten E Mails zu schützen. Zum Einsatz
MehrNutzung von GiS BasePac 8 im Netzwerk
Allgemeines Grundsätzlich kann das GiS BasePac Programm in allen Netzwerken eingesetzt werden, die Verbindungen als Laufwerk zu lassen (alle WINDOWS Versionen). Die GiS Software unterstützt nur den Zugriff
MehrPädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?
Pädagogik Melanie Schewtschenko Eingewöhnung und Übergang in die Kinderkrippe Warum ist die Beteiligung der Eltern so wichtig? Studienarbeit Inhaltsverzeichnis 1. Einleitung.2 2. Warum ist Eingewöhnung
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrEinzel-E-Mails und unpersönliche Massen-Mails versenden
Einzel-E-Mails und unpersönliche Massen-Mails versenden Copyright 2012 cobra computer s brainware GmbH cobra Adress PLUS ist eingetragenes Warenzeichen der cobra computer s brainware GmbH. Andere Begriffe
MehrIndustriespionage im Mittelstand
Industriespionage im Mittelstand Die Sicherheitsbranche hat für die neue Art dieser Bedrohung den Fachterminus Advanced Persistent Threats (APTs) geprägt. Darunter versteht sie die fortwährende und fortgeschrittene
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrAnleitung über den Umgang mit Schildern
Anleitung über den Umgang mit Schildern -Vorwort -Wo bekommt man Schilder? -Wo und wie speichert man die Schilder? -Wie füge ich die Schilder in meinen Track ein? -Welche Bauteile kann man noch für Schilder
Mehrrobotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand: 28.05.2014
robotron*e count robotron*e sales robotron*e collect Anwenderdokumentation Version: 2.0 Stand: 28.05.2014 Seite 2 von 5 Alle Rechte dieser Dokumentation unterliegen dem deutschen Urheberrecht. Die Vervielfältigung,
MehrDie Internet-Schnittstelle im Verfahren
Die Internet-Schnittstelle im Verfahren (Sport-, Schul-, Kultur- und Bürgerhaus-Informations-System) Internet-Schnittstelle 1. Selektion und Filtern der Inhalte 2. Automatisierte Datenübergabe ORBIT GmbH
Mehr