IT-Sicherheit in der Landesverwaltung 7

Transkript

1 IT-Sicherheit in der Landesverwaltung 7 Die Bedeutung der IT-Sicherheit wird unterschätzt. Es fehlen verbindliche Vorgaben, die ein einheitliches Handeln gewährleisten. Für die Notfallvorsorge des Rechenzentrums der Steuerverwaltung ist nicht ausreichend Vorkehrung getroffen. 1 Prüfungsgegenstand IT-Sicherheit ist der Schutz elektronisch gespeicherter Informationen. Sie sollen vor unberechtigter Kenntnisnahme (Verlust der Vertraulichkeit), vor unberechtigter Veränderung (Verlust der Integrität) sowie vor Verlust oder Beeinträchtigung der Verfügbarkeit, z. B. infolge von Feuer oder Wasser geschützt werden. Mit der Prüfung sollten u. a. Erkenntnisse darüber gewonnen werden, wie sich die Behördenleitungen dem Thema IT-Sicherheit stellen. Es wurden deshalb insbesondere der Status und die Organisation der IT-Sicherheit in den Ministerien und den Behörden der nachgeordneten Bereiche untersucht. In die Prüfung sind 9 oberste Staatsbehörden sowie 124 nachgeordnete Behörden einbezogen worden. Bei seiner Bewertung hat sich der SRH an den Standards und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert. 2 Prüfungsergebnisse 2.1 Ausgangslage Der Arbeitskreis IT (AK-IT) hatte 1997 einstimmig beschlossen, für die Erstellung von Sicherheitskonzepten bei IT-Anwendungen bis zu einem mittleren Schutzbedarf in den Behörden der Landesverwaltung das IT-Grundschutzhandbuch des BSI anzuwenden. Mehrere Ressorts, u. a. das SMJus und das SMUL, haben dem AK-IT-Beschluss nur einen empfehlenden und keinen verbindlichen Charakter beigemessen. Sie fühlten sich nicht dadurch an die BSI-Standards und -Empfehlungen zu IT-Sicherheit gebunden. Andere Ressorts, wie das SMF, SMK oder das SMWK, orientierten sich bei der Einrichtung von IT-Sicherheitsprozessen in ihren Geschäftsbereichen, zumindest teilweise, an den BSI-Empfehlungen. Für ein einheitliches Vorgehen bei der Einrichtung von Sicherheitsprozessen in der Landesverwaltung ist eine allgemein als verbindlich anerkannte Grundlage zu schaffen. 2.2 Einrichtung von IT-Sicherheitsprozessen Die Behördenleitung ist verantwortlich für das zielgerichtete und ordnungsgemäße Funktionieren ihrer Behörde. Ohne eine funktionierende IT ist die Arbeitsfähigkeit der meisten Behörden gefährdet. Es ist deshalb Aufgabe jeder Behördenleitung, einen 143

2 angemessenen IT-Sicherheitsprozess einzuleiten, zu steuern und zu kontrollieren. IT-Sicherheit sollte Chefsache sein. IT-Sicherheit ist nicht automatisch mit aufwendigen Investitionen verbunden. Die Aufwendungen dafür erbringen keinen sofort erkennbaren Nutzen und werden deshalb zugunsten anderer partikularer IT-Projekte häufig aufgeschoben. Die Behördenleitung, als die für die Gesamtstrategie verantwortliche Instanz, muss die IT-Sicherheit als strategisches Ziel vorgeben. Nur wenn die Behördenleitung sich der Aufgabe IT-Sicherheit annimmt, kann eine angemessene IT-Sicherheit erreicht werden. Ein wichtiges Hilfsmittel hierfür ist eine IT-Sicherheitsleitlinie. Sie ist das zentrale Strategiepapier der Amtsleitung für die IT-Sicherheit. In ihr werden die Sicherheitsziele und die Strategie für deren Umsetzung dokumentiert. Bei seiner Prüfung hat der SRH in keiner obersten Staatsbehörde eine IT-Sicherheitsleitlinie vorgefunden. Im SMUL lag nur ein Entwurf vor, der zwischenzeitlich in Kraft gesetzt wurde. Dass eine IT-Sicherheitsleitlinie erforderlich ist, haben die meisten Ressorts erst im Zuge der Prüfung anerkannt. Nur das SMWK sieht derzeit keinen Bedarf dafür. Das SMS wollte die künftige Entwicklung abwarten. Einige Ressorts, wie das SMI oder das SMJus, wiesen darauf hin, dass sich die IT-Strukturen des Freistaates Sachsen im Umbruch befänden. Mit der Einrichtung des zentralen IT-Dienstleisters würden sich Zuständigkeiten für die IT-Sicherheit verändern. Dies ist ein Trugschluss. Auch nach der Einrichtung eines zentralen IT-Dienstleisters verbleibt die Verantwortung für die IT-Sicherheit grundsätzlich im jeweiligen Ressort. Die Fachbereiche sind weiterhin verantwortlich für den Schutz ihrer Daten. Nur die Verantwortung für den Betrieb der Verfahren geht auf den zentralen Dienstleister über. Die beabsichtigte Einrichtung eines zentralen IT-Dienstleisters in der Landesverwaltung entlastet die Amtsleitungen nicht von ihrer Zuständigkeit, die Sicherheitsziele und die Strategie ihrer Umsetzung für ihren Geschäftsbereich mittels IT-Sicherheitsleitlinie durchzusetzen. 2.3 Organisation der IT-Sicherheit Zum Zeitpunkt der örtlichen Erhebungen hatten 11 der 133 geprüften Behörden einen IT-Sicherheitsbeauftragten benannt. Größtenteils sind die Aufgaben Steuerung und Koordination der IT-Sicherheit von den IT-Referaten mit wahrgenommen worden. Nur teilweise erklärten sich die Behördenleiter für diese Aufgaben zuständig. Das SMS gab an, dass alle Mitarbeiter, die IT-Aufgaben bearbeiten, dafür zuständig seien. Von den obersten Staatsbehörden hatte das SMF eine Stelle für den IT-Sicherheitsbeauftragten im Geschäftsverteilungsplan vorgesehen. Sie war aber zum Zeitpunkt der Prüfung nicht besetzt. Das SMJus benannte zum einen IT-Sicherheitsbeauftragten. Auch im Polizeibereich sind zwischenzeitlich IT-Sicherheitsbeauftragte benannt worden. 144

3 Mitunter beklagten Behörden, u. a. das SMWA, dass die personelle Situation keine weitere Aufgabenaufstockung zulasse und verwiesen dabei auf die Forderung der Staatsregierung zum nachhaltigen Stellenabbau. Die konkrete Aufbauorganisation für das Management der IT-Sicherheit einer Behörde und der dazu erforderliche Ressourceneinsatz sind in Abhängigkeit von Behördengröße und deren Besonderheiten festzulegen. Es empfiehlt sich unabhängig davon, in jeder Behörde einen IT-Sicherheitsbeauftragten zu benennen. Um seiner besonderen Rolle in der Behörde gerecht zu werden, ist dem IT-Sicherheitsbeauftragten das unmittelbare Vortragsrecht bei der Amtsleitung einzuräumen. Die Behörden können von dieser Aufgabe nicht entlastet werden. Durch die Aufgabenbündelung auf eine Person muss mit der Berufung eines IT-Sicherheitsbeauftragten nicht zwangsläufig ein Mehraufwand verbunden sein. Im BSI-Standard wird z. B. nicht ausgeschlossen, dass die Aufgaben des IT-Sicherheitsbeauftragten in Personalunion mit anderen Aufgaben wahrgenommen werden können. Der SRH geht nicht davon aus, dass dafür eine ganze Planstelle/Stelle notwendig ist. Der Stellenabbau ist kein Argument dafür, die IT-Sicherheit zu vernachlässigen. 2.4 IT-Sicherheitskonzepte Nach BSI-Standard besteht ein IT-Sicherheitskonzept aus den dokumentierten Phasen Strukturanalyse (Erfassung der IT-Systeme und der Anwendungen), Schutzbedarfsfeststellung, IT-Grundschutzanalyse, Realisierungsplanung und bei hohem und sehr hohem Schutzbedarf aus einer ergänzenden Sicherheitsanalyse. Inhalt und Aktualität In sechs der neun geprüften obersten Staatsbehörden (außer SMF, SMK, SMWK) war zum Zeitpunkt der Prüfung kein IT-Sicherheitskonzept nach BSI-Standard vorhanden. Alle vorgelegten Konzepte waren unvollständig oder veraltet. So war z. B. das Konzept des SMF seit dem Jahr 2000 und das des SMWA seit 2002 nicht fortgeschrieben worden. Lückenhafte oder veraltete Konzepte bieten keine Sicherheit. 109 von 124 Behörden und Einrichtungen des nachgeordneten Bereiches hatten kein IT-Sicherheitskonzept. Es gab nur Einzeldokumente bzw. -regelungen zur IT-Sicherheit. Von nur 15 Behörden konnte zumindest formal ein IT-Sicherheitskonzept vorgelegt werden. Diese entsprachen aber nicht den Anforderungen des BSI. So startete z. B. im Statistischen Landesamt im März 2004 ein Pilotprojekt zur Evaluation des IT-Grundschutzes nach BSI. Im Februar und damit rd. drei Jahre später - war ein IT-Sicherheitskonzept erst in Teilen fertig gestellt. Im Statistischen Landesamt werden u. a. für die Landesverwaltung und für das SMI- Ressorts wichtige IT-Verfahren, wie die Fördermitteldatenbank betrieben. Im Rechenzentrum des Statistischen Landesamtes ist das Fehlen des IT-Sicherheitskonzeptes nicht hinnehmbar. 145

4 Schutzbedarf Mit der Feststellung des Schutzbedarfs wird ermittelt, welcher Schutz für Informationen und die eingesetzte IT ausreichend und angemessen ist. Nach BSI-Klassifikation kann der Schutzbedarf in die Kategorien normal, hoch oder sehr hoch eingeteilt werden. Der SRH hat in den Ressorts widersprüchliche Feststellungen des Schutzbedarfs für vergleichbare IT-Anwendungen vorgefunden. Dazu einige Beispiele: Die Polizei hat ihre IT-Verfahren, die auch personenbezogene Daten u. a. zu Ordnungswidrigkeiten oder Straftaten beinhalten, mit einem normalen Schutzbedarf eingestuft. Alle Staatsanwaltschaften haben den Schutzbedarf ihrer IT- Verfahren mit hoch bewertet. Die unterschiedliche Einstufung überrascht, da Daten zu Beschuldigten auch elektronisch von der Polizei an die Staatsanwaltschaften weitergegeben werden. Im Rechenzentrum des FA Dresden I wird ein gleichgerichtetes IT-Verfahren betrieben, in dem ebenfalls Daten zu Beschuldigten - aus anhängigen Ermittlungs- und Steuerstrafverfahren - gespeichert werden. Für dieses IT-Verfahren ist der Schutzbedarf sehr hoch festgelegt worden. Für vergleichbare personenbezogene Daten sollten die Behörden den gleichen Schutzbedarf erkennen und festlegen. Die Feststellung des Schutzbedarfs ist überwiegend von den IT-Referaten ohne Beteiligung der Fachabteilungen vorgenommen worden. Dies ist nicht sachgerecht. Nur die Fachabteilungen können die möglichen materiellen oder ideellen Schäden realistisch vorausschauend einschätzen. Die Höhe der Schäden bestimmt den Schutzbedarf einer IT-Anwendung. Der Schutzbedarf für IT-Anwendungen ist von den zuständigen Fachabteilungen gewissenhaft vorzugeben. 2.5 Notfallvorsorge Die IT-Sicherheit verlangt auch den unversehrten Erhalt der gespeicherten Daten. Gemäß BSI umfasst die Notfallvorsorge Maßnahmen, die die Wiederherstellung der Betriebsfähigkeit nach - technisch bedingtem oder durch fahrlässige oder vorsätzliche Handlungen herbeigeführtem - Ausfall eines IT-Systems zum Ziel haben. Im LfF sind zentrale IT-Komponenten für das Landesamt und den Geschäftsbereich des SMF (u. a. 70 Servereinheiten mit 200 Datenbanken) in Kellerräumen untergebracht. Über den Servern verlaufen wasserführende Heizungsrohre. Im Schadensfall würde der Betrieb aller wichtigen IT-Verfahren des LfF, u. a. das Kassenverfahren und das Bezügeverfahren sowie die zentralen IT-Dienste des Ressorts, u. a. der Datenaustausch zwischen SMF und LfF zum Haushalt, beeinträchtigt oder unmöglich werden. Die Serverräume des LfF entsprechen nicht den Minimalanforderungen an Serverräume gemäß BSI-Standard. In 133 der 134 geprüften Behörden und Einrichtungen hat der SRH zum Zeitpunkt der Prüfung keine angemessenen IT-Notfallkonzepte vorgefunden. 146

5 Selbst für große IT-Betriebsstätten mit Rechenzentrumsbetrieb, wie das Statistische Landesamt oder das Rechenzentrum im FA Dresden I, lag kein IT-Notfallkonzept vor. Das Landeskriminalamt hatte sich 2003, damals noch zuständig für den Betrieb der zentralen IT-Verfahren der sächsischen Polizei, ein Notfallkonzept erarbeiten lassen. Der Betrieb der IT-Verfahren ging später auf eine andere Behörde über, das Notfallkonzept wurde aber nicht fortgeschrieben. Das SMUL teilte im Juni 2007 mit, zwischenzeitlich u. a. ein Notfallvorsorgekonzept erarbeitet und verabschiedet zu haben. Das Rechenzentrum der sächsischen Steuerverwaltung im FA Dresden I hat die Datensicherung für den Katastrophenfall, wie Brand, Zerstörung des Gebäudes oder Stromausfall, untersucht. Ergebnis war, dass trotz mehrfach durchgeführter Testläufe mit den erstellten Datensicherungskassetten die Wiederaufnahme des Produktionsbetriebes nicht möglich gewesen wäre. Eine vollständige Notfallvorsorge sei nur über die Datenspiegelung vom Rechenzentrum im FA Dresden I zu einem auswärtigen Rechenzentrum möglich. SMF und OFD hatten sich zu diesem grundlegenden Mangel bei der Notfallvorsorge im Rechenzentrum im FA Dresden I zum Zeitpunkt der örtlichen Erhebungen noch nicht für eine wirksame Notfallvorsorge entschieden. Der Wiederaufnahme des Produktionsbetriebes im Rechenzentrum im FA Dresden I ist bei den dargestellten Schadensszenarien nicht möglich. Dies gefährdet nicht nur die Arbeitsfähigkeit der sächsischen Finanzverwaltung, sondern nimmt im Notfall, wegen der notwendigen Datenrekonstruktion, eine zusätzliche Inanspruchnahme der Steuerbürger in Kauf. 3 Folgerungen Das Thema IT-Sicherheit hat bis jetzt in der Landesverwaltung noch nicht den Stellenwert, der ihm zukommt. Die IT-Sicherheit muss stärker in das Blickfeld der Amtsleitungen rücken. Für den Mindeststandard bei der IT-Sicherheit sind Vorgaben der Staatsregierung erforderlich. Die BSI-Standards sollten dafür die Grundlage bilden. 4 Stellungnahmen Die SK und das SMI haben in Abstimmung mit den anderen Ressorts zum Sachverhalt Stellung genommen. Sie erklärten, eine weiterführende ressortübergreifende Koordinierung der IT-Sicherheit werde von der Koordinierungs- und Beratungsstelle für Informationstechnik in der SK und dem Aufbaustab zur Optimierung der IT-Organisation im SMI als notwendig erachtet. Wichtigster Schritt in diese Richtung sei die Optimierung der IT-Organisation in der Landesverwaltung. Mit der Einsatzbereitschaft des Stabes IT und E-Government und 147

6 des zentralen IT-Dienstleisters zum werde dort eine IT-Sicherheitsorganisation aufgebaut. In den Landesbehörden soll ein am BSI-Grundschutzhandbuch orientierter Prozess zur IT-Sicherheit initiiert werden. Der Prozess werde die fachliche Leitungsebene einbeziehen und nutze bereits vorliegende Konzepte der Ressorts. Die Anforderungen der Ressorts - insbesondere bezüglich Datensicherheit, Verfügbarkeit und Notfallvorsorge - sollten in den Leistungsvereinbarungen mit dem zentralen IT-Dienstleister festgeschrieben werden. Als weiterer Schritt werde eine IT-Sicherheitsrichtlinie, geltend für alle Landesbehörden, unter Beteiligung der Ressorts erarbeitet und in Kraft gesetzt. Ergänzend zur Stellungnahme der SK und des SMI teilte das SMF mit, es beabsichtige bis Ende 2007 eine IT-Sicherheitsrichtlinie sowie aktuell ein IT-Sicherheitsrahmenkonzept für seinen Geschäftsbereich zu erarbeiten. Die vakante Stelle des IT-Sicherheitsbeauftragten sei zwischenzeitlich besetzt worden. Für die Steuerverwaltung genieße der Aufbau eines leistungsfähigen Ausweichrechenzentrums oberste Priorität und sei ein strategisches Handlungsziel für das Jahr Eine Prüfung der baulichen Mängel in den Serverräumen des LfF hätte es veranlasst. 148