Leitlinien und Richtlinien

Transkript

1 Leitlinien und Richtlinien Zur Nutzung des Verfahrens Antrag-Online der Deutschen Rentenversicherung bei den Gemeindebehörden und Versicherungsämtern

2 Autoren Dörthe Rückl Deutsche Rentenversicherung/Bund, Würzburg Tel.: +49(0)

3 Inhaltsverzeichnis PRÄAMBEL LEITLINIEN ZUR IT-SICHERHEIT FÜR DEN EINSATZ DES VERFAHRENS "ANTRAG-ONLINE" KERNSATZ ZIEL DER RICHTLINIEN GELTUNGSBEREICH GENEHMIGUNG UND ÄNDERUNG VERANTWORTLICHE FÜR DAS VERFAHREN ANTRAG-ONLINE BEI DEN GEMEINDEBEHÖRDEN/ VERSICHERUNGSÄMTERN HANDLUNGSANWEISUNGEN IT-SICHERHEITSKOORDINATOR WARTUNGS- UND REPARATURARBEITEN BENUTZER- UND ZUGANGSVERWALTUNG REAKTION AUF STÖRUNGEN, VERLETZUNGEN DER SICHERHEITSPOLITIK ODER ALARMIERUNGEN EINWEISUNG UND SCHULUNG ALLGEMEINE SICHERHEITSANWEISUNG VERTRETUNGSREGELN REGELUNGEN ZUM PASSWORT, ABMELDEN VOM SYSTEM AUSSCHEIDEN EINES MITARBEITERS ORDNUNGSGEMÄßE ENTSORGUNG VON SCHÜTZENSWERTEN BETRIEBSMITTELN 11 ANHANG A: ALARMIERUNGSPLAN FÜR SICHERHEITSVORFÄLLE ANHANG B: RICHTLINIEN I. ORGANISATION DER LOKALE IT-SICHERHEITSKOORDINATOR BEI GEMEINDEBEHÖRDEN UND VERSICHERUNGSÄMTERN WARTUNGS- UND REPARATURARBEITEN IM HAUSE EXTERNE WARTUNGS- UND REPARATURARBEITEN EINRICHTUNG VON ACCOUNTS UMGANG MIT PASSWÖRTERN VERGABE VON ZUGRIFFSRECHTEN VORGEHEN BEI PROBLEMEN UND VERSTÖßEN II. PERSONAL EINARBEITUNG / EINWEISUNG NEUER MITARBEITER VERPFLICHTUNG DER MITARBEITER AUF EINHALTUNG EINSCHLÄGIGER GESETZE, VORSCHRIFTEN UND REGELUNGEN

4 10 VERTRETUNGSREGELUNGEN UMGANG MIT DEM PASSWORT, ABMELDEN VOM SYSTEM AUSSCHEIDEN EINES MITARBEITERS III. BEHANDLUNG VON SICHERHEITSVORFÄLLEN SICHERHEITSVORFÄLLE ESKALATIONSSTUFEN REAKTION AUF STÖRUNGEN ODER ALARMIERUNGEN EVALUIERUNG DER ESKALATIONSSTRATEGIE ANLAGE: ERFORDERLICHE SICHERHEITSMAßNAHMEN FÜR HARDWARE UND BETRIEBSYSTEME GLOSSAR

5 Präambel Die Deutsche Rentenversicherung (DRV) bietet den Gemeinden / Versicherungsämtern (GuV) eine Softwarelösung zur computerunterstützten Antragserfassung (kurz "Antrag-Online") von Rentenanträgen an. Da die Speicherung, Verarbeitung und die Kommunikation personenbezogene Daten beinhalten, ist ein hoher Schutzbedarf im Hinblick auf Integrität und Vertraulichkeit gegeben. Um mögliche Gefahren zu erkennen, die den Schutz der Daten bedrohen, und Maßnahmen dagegen zu definieren, wurde auf der Grundlage des IT-Grundschutzhandbuchs (GSHB) ein Sicherheitskonzept erstellt. Dies entspricht auch den Anforderungen des 151 a SGB IV für eine Onlineanbindung im Verfahren Antrag- Online. Die erforderlichen Sicherheitsvorkehrungen beim Zugang zum Programm sowie für die Datenspeicherung und den Datentransport sind in der Applikation implementiert. Darüber hinaus wurde die "Datensenke", dazu gehören Server und Hosts bei der Deutschen Rentenversicherung, die die Daten empfangen, und der Datentransfer vom Client (GuV) zum Server (DRV) sicherheitsgeprüft. Weitere Sicherheitsmaßnahmen sind für die im Antrag-Online-Verfahren eingesetzten IT-Komponenten bei der Gemeindebehörde bzw. dem Versicherungsamt erforderlich. Da die IT-Strukturen in den am Verfahren beteiligten GuV sehr vielfältig sind, wurden zunächst alle möglichen Komponenten (Bausteine) ermittelt. Zu diesen Bausteinen sind lt. GSHB gewisse Gefährdungen und entsprechende Maßnahmen dagegen definiert. Diese sind im Einvernehmen mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) im Basissicherheitscheck zu den GuV festgelegt worden. Eine ausführliche Beschreibung dieser Maßnahmen befindet sich im IT-Grundschutzhandbuch (GSHB). Einige der Maßnahmen betreffen direkt den Umgang mit dem Programm Antrag- Online (Organisation, Personal, Behandlung von Sicherheitsvorfällen). Für diese Maßnahmen sind im Teil 2 in dem vorliegenden Dokument in knapper Form Handlungsanweisungen beschrieben, die in den Leit- und Richtlinien im Anhang B ausführlicher beschrieben werden. Der Bezug zum Basissicherheitscheck und GSHB wird hier mit Referenzen verdeutlicht. Zum anderen muss gewährleistet sein, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Dafür sind die Maßnahmen umzusetzen, die im Teil 3, "Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme", aufgelistet und im GSHB genauer beschrieben sind. Das BSI weist im GSHB besonders auf die Notwendigkeit hin, dass für die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen ein IT-Sicherheitsma- 5

6 nagement notwendig sei, das die Planungs- und Lenkungsaufgaben wahrnimmt. Aufgaben zum IT-Sicherheitsmanagement, die speziell Antrag-Online betreffen, werden zentral von der Deutschen Rentenversicherung wahrgenommen. Dennoch werden die Maßnahmen zu diesem Baustein ebenfalls in Teil 3 unter Empfohlene Maßnahmen aufgelistet, da sie der Sicherheit der IT-Infrastruktur bei den GuV dienen, im Gegensatz zu den oben genannten Maßnahmen allerdings keinen direkten Einfluss auf die Sicherheit von Antrag-Online haben. Die Einhaltung der Handlungsanweisungen sowie der Maßnahmen für Hardware und Betriebssysteme ist eine Voraussetzung für die Teilnahme an dem Antrag-Online- Verfahren mit Datenabruf und Datenübermittlung von bzw. an die Rentenversicherung und liegt im Verantwortungsbereich der Gemeindebehörden und Versicherungsämter (siehe Verpflichtungserklärung, Teil 4). Teil 1: Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" Teil 2: Handlungsanweisungen Anhang A: Alarmierungsplan. Anhang B: Richtlinien gemäß GSHB Teil 3: Anlage: Erforderliche Basissicherheitsmaßnahmen für Hardware und Betriebsysteme Teil 4: Verpflichtungserklärung 6

7 1 Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" 1.1 Kernsatz 1 Alles, was nicht explizit erlaubt ist, ist verboten. 1.2 Ziel der Richtlinien 2 Die Richtlinien dienen der Erreichung und Aufrechterhaltung eines hohen Schutzbedarfs im Hinblick auf Integrität und Vertraulichkeit der Daten gemäß Empfehlungen des BSI Grundschutzhandbuchs. 1.3 Geltungsbereich 3 Der Geltungsbereich der Leitlinien und Richtlinien sowie der Basissicherheitsmaßnahmen erstreckt sich auf alle Daten, Systeme und Netzwerkkomponenten, die im Zusammenhang mit dem Programm "Antrag-Online" stehen. 4 Die Leitlinien und Richtlinien sind für alle Mitarbeiter der Gemeinden und der Versicherungsämter, die "Antrag-Online" bedienen, benutzen oder damit zu tun haben, bindend. 1.4 Genehmigung und Änderung 5 Die Leitlinien und die Richtlinien zur IT-Sicherheit des Programms "Antrag-Online" werden durch den IT-Sicherheitsbeauftragten der Deutschen Rentenversicherung in Absprache mit dem Datenschutzbeauftragten und mit dem Verantwortlichen für Antrag-Online im Einklang mit dem BSI-Grundschutzhandbuch verabschiedet bzw. geändert und in Kraft gesetzt. 6 Der IT-Sicherheitsbeauftragte ist für die Definition, Dokumentation, Freigabe und Kontrolle von Sicherheitsstandards für Antrag-Online gemäß dem IT-Grundschutzhandbuch verantwortlich. Er kann diese Aufgabe an den Verantwortlichen für Antrag-Online bei der Deutschen Rentenversicherung delegieren. 7 Der Verantwortliche für Antrag-Online ist der Ansprechpartner der Deutschen Rentenversicherung für Versicherungsämter und Ge- 7

8 meindebehörden in Fragen der Sicherheit, die Antrag-Online betreffen. 8 Alle Vereinbarungen mit den Teilnehmern am Antrag-Online- Verfahren bedürfen einer schriftlichen Form. 1.5 Verantwortliche für das Verfahren Antrag-Online bei den Gemeindebehörden/ Versicherungsämtern 9 Der Leiter der Gemeindebehörde bzw. des Versicherungsamtes ist der Verfahrensverantwortliche für Antrag-Online. Er sorgt für die Einhaltung der Sicherheitsvorschriften, die in den Richtlinien und in den erforderlichen Basissicherheitsmaßnahmen beschrieben sind. 8

9 2 Handlungsanweisungen Die Handlungsanweisungen stellen in knapper Form Maßnahmen dar, die in den Richtlinien im Anhang B an den in Klammern angegeben Stellen (R n, R = Richtlinie, n = Nummer) ausführlicher beschrieben werden. 1 IT-Sicherheitskoordinator Die am Verfahren Antrag-Online teilnehmenden Gemeindebehörden und Versicherungsämter (GuV) benennen den zuständigen Versicherungsträgern und der Deutschen Rentenversicherung einen IT-Sicherheitskoordinator und seinen Vertreter (R 1) 2 Wartungs- und Reparaturarbeiten Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fachkundige Kraft beaufsichtigt werden. Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. (R 2, 3) 3 Benutzer- und Zugangsverwaltung Die Anmeldung an die Anwendung erfolgt über Benutzerkennung und Passwort. Der Leiter der Organisation, der für die Nutzung des Verfahrens verantwortlich ist, und der lokale Administrator regeln die Vergabe von Zugriffsrechten grundsätzlich und dokumentieren diese. Dabei ist nur den Benutzern und Administratoren, die mit Antrag-Online arbeiten, Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren. Es ist darauf zu achten, dass die Rollentrennung von Administrator und Anwender, wie im Programm vorgesehen, eingehalten wird. Benutzer, die online Daten empfangen oder senden sollen, müssen zuvor vom Leiter der Organisation der Deutschen Rentenversicherung zur Freigabe gemeldet und zertifiziert werden. (R 4-6) (Kryptokonzept) 4 Reaktion auf Störungen, Verletzungen der Sicherheitspolitik oder Alarmierungen Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan (Anhang A) festgelegte Schritte einzuhalten. (R 7 + R 13) 9

10 Nach einem eingetretenen Sicherheitsvorfall ab Eskalationsstufe 2 soll der IT-Sicherheitskoordinator die Durchführung der Maßnahmen einer abschließenden Bewertung unterziehen und die Ergebnisse dieser Bewertung allen beteiligten Stellen mitteilen. (R 16) 5 Einweisung und Schulung Die Benutzer und Administratoren, die mit Antrag-Online arbeiten, erhalten eine Unterweisung in der Anwendung des Programms. Der Administrator muss außerdem fundierte Kenntnisse über die eingesetzten IT-Komponenten bzw. Protokolle besitzen und auch entsprechend geschult werden. (R 8) 6 Allgemeine Sicherheitsanweisung Alle Mitarbeiter erhalten eine allgemeine Sicherheitsanweisung für die Nutzung der allgemeinen technischen Infrastruktur sowie der sicherheitsorganisatorischen Maßnahmen, die in einer Dienstanweisung zusammengefasst sind. Die Mitarbeiter sind auf die Einhaltung der einschlägigen Gesetze, Vorschriften und Regelungen zu verpflichten. (R 9) 7 Vertretungsregeln Es muss geregelt sein, wer den Administrator für Antrag-Online vertritt. Der Vertreter muss ausreichend geschult sein. Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. (R 10) 8 Regelungen zum Passwort, Abmelden vom System Folgende Regelungen zum Passwort müssen eingehalten werden (R 11): Die im Programm implementierten Sicherheitsvorkehrungen bei der Passworteingabe und -verwaltung sind im Handbuch nachzulesen Das Passwort darf nicht leicht zu erraten sein. Das Passwort muss geheim gehalten werden und sollte nur dem Benutzer persönlich bekannt sein. Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist. Jeder Benutzer muss sich nach Aufgabenerfüllung am IT-System abmelden. 10

11 9 Ausscheiden eines Mitarbeiters Beim Ausscheiden eines Mitarbeiters sind folgende Schritte durchzuführen (R 12): Es dürfen keine Daten vernichtet oder entwendet werden. Der Account des Mitarbeiters ist zu sperren. Der Schlüssel des Mitarbeiters für die Datenübertragung zur/von der Deutschen Rentenversicherung ist zu sperren. 10 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln Beim Entsorgen von Festplatten, auf denen Daten aus dem Verfahren Antrag-Online gespeichert sind, und von gedruckten Materialien, wie z.b. Formulare oder Unterschriftenblatt, ist darauf zu achten, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind. 11

12 Anhang A: Alarmierungsplan für Sicherheitsvorfälle Nach Eingang einer Meldung über eine sicherheitsrelevante Unregelmäßigkeit muss zunächst entschieden werden, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall mit ggf. zu erwartenden größeren Schäden handelt. Verantwortlichkeiten Der IT-Sicherheitskoordinator ist aus Sicht der Deutschen Rentenversicherung der Notfall-Verantwortliche. Er ist für die Bewertung von Sicherheitsvorfällen (Eskalationsstufen) und rechtzeitige Einleitung von Notfallmaßnahmen zuständig. Er sollte eine erste Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgeben. Weitere Ansprechpartner sind der Behördenleiter und der Datenschutzbeauftragte. Eskalationsstufen Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Sicherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegenden beinhaltet. Stufe 1 Was kennzeichnet Sicherheitsstufe 1: z.b.: - gehäufte Probleme bei der Benutzeranmeldung - gehäufte Probleme beim Versenden und Empfangen der Datensätze - gehäufte Probleme bei der Installation - gehäufte Probleme beim Anlegen/Sperren von Nutzern - gehäufte Probleme bei der Vergabe von Zertifikaten - Verlust von Daten Maßnahmen: - Mitarbeiter meldet den Vorfall dem Administrator - Administrator meldet den Vorfall dem IT-Sicherheitskoordinator - IT-Sicherheitskoordinator sorgt für die Qualitätssicherung - IT-Sicherheitskoordinator informiert die Hotline der Versicherungsträger - Innerhalb von 2 Werktagen erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen 12

13 Stufe 2 Was kennzeichnet Sicherheitsstufe 2: z.b.: - Verdacht auf Missbrauch von Daten - Verlust von Daten - Verdacht auf unautorisierte Änderung von Daten - Verdacht auf unerlaubte Änderung am Programm (Code und Konfiguration) - Datensätze, die nicht mehr zugreifbar sind (z.b. durch Datenmanipulation) - Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten - massenhaftes Auftreten von Computer-Viren Maßnahmen: - Mitarbeiter meldet den Vorfall dem IT-Sicherheitskoordinator - IT-Sicherheitskoordinator veranlasst Sperrung der Benutzerschlüssel für die Onlineübertragung aller Antrag-Online-Nutzer des betroffenen Versicherungsamtes/der Gemeindebehörde und informiert den Behördenleiter - IT-Sicherheitskoordinator veranlasst Sperrung aller lokalen Nutzer-Accounts zum Programm Antrag-Online sowie zu den entsprechenden Verzeichnissen - IT-Sicherheitskoordinator informiert den Antrag-Online-Verantwortlichen der Deutschen Rentenversicherung - Die Unterstützung der Deutschen Rentenversicherung bei der Aufklärung des Sicherheitsvorfalls wird durch die lokal Verantwortlichen sichergestellt (Dokumentation, Sicherung von Beweismitteln, Erreichbarkeit der Verantwortlichen) - Der Verantwortliche für Antrag-Online definiert die Voraussetzungen für einen Wiederanlauf - Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen 13

14 Stufe 3 Was kennzeichnet Sicherheitsstufe 3: z.b.: - vorsätzlicher Missbrauch der Anwendung (z.b. Screenshots) - Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätzlicher Versicherungskonten) - Missbrauch von Daten - unerlaubte Weitergabe von Daten - unautorisierte Änderung von Daten - unerlaubte Änderung am Programm (Code und Konfiguration) Maßnahmen: - IT-Sicherheitskoordinator informiert umgehend den Verantwortlichen für Antrag - Online der Deutschen Rentenversicherung und den Behördenleiter - Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen - Prüfung durch den zuständigen Datenschutzbeauftragten des Versicherungsamtes - Information der Aufsichtsbehörden der Versicherungsämter 14

15 Anhang B: Richtlinien In dem Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter (GuV) sind Maßnehmen festgelegt, deren Umsetzung die Sicherheit des Verfahrens Antrag-Online gewährleisten. Diejenigen, die direkt den Umgang mit dem Programm Antrag-Online betreffen, sind hier auf der Grundlage des GSHB in verkürzter Form beschrieben. Sie sind folgenden Bausteinen zugeordnet: I. Organisation II. Personal III. Behandlung von Sicherheitsvorfällen Mit dem angegeben Paragrafen (R n) werden die Richtlinien im Basissicherheitscheck referenziert, andererseits wird zu jeder Richtlinie im Abschnitt Grundlage auf die entsprechende Maßnahme (M n.m) im GSHB bzw. Basissicherheitscheck hingewiesen: - n enthält die Nummer der Richtlinie - der Titel enthält eine Kurzbezeichnung der Richtlinie bzw. der Gruppe von Richtlinien - Grundlage beschreibt die Maßnahme im Grundschutzhandbuch I. Organisation Die folgende Grafik stellt eine rollenbasierte Darstellung der Sicherheitsorganisation im Rahmen des Antrag-Online dar: DRV GuV Anm.: Es handelt sich bei den Rollendefinitionen um Idealformen; so kann es sein, dass in kleinen GuV der Behördenleiter gleichzeitig auch IT-Sicherheitskoordinator ist. 15

16 1 Der lokale IT-Sicherheitskoordinator bei Gemeindebehörden und Versicherungsämtern Er trägt die Verantwortung für: die Umsetzung von Sicherheitsstandards für Installation, Konfiguration, Betrieb und Nutzung der Antrag-Online-Clients, die autorisierte und rechtzeitige Einleitung von Notfallmaßnahmen (Notfall- Verantwortlicher) bei Eintreten der unten definierten Sicherheitsvorfälle, die Entgegennahme von Meldungen über Sicherheitsvorfälle, die Untersuchung und Bewertung von Sicherheitsvorfällen, die Nachbearbeitung des Sicherheitsvorfalls und die Überprüfung der Einhaltung der Sicherheitsvorkehrungen. Grundlage: BSI Grundschutzhandbuch (M 2.1 (2)) Vorgaben aus der Definition des Datenschutzbeauftragten Notfall-Definition, Notfall-Verantwortlicher Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen 2 Wartungs- und Reparaturarbeiten im Hause Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fachkundige Kraft beaufsichtigt werden. Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind einzuplanen: Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern. Wartungstechniker müssen sich auf Verlangen ausweisen. Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich zu vermeiden. Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten zu widerrufen bzw. zu löschen. Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je nach "Eindringtiefe" des Wartungspersonals - Passwortänderungen erforderlich. 16

17 Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers). Grundlage: BSI Grundschutzhandbuch (M2.4 (2)) Regelungen für Wartungs- und Reparaturarbeiten 3 Externe Wartungs- und Reparaturarbeiten Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. Grundlage: BSI Grundschutzhandbuch (M2.4 (2)) Regelungen für Wartungs- und Reparaturarbeiten 4 Einrichtung von Accounts Account-Namen müssen eindeutig gewählt werden. Aus der Wahl eines Account- Namens sollte der Verwendungszweck hervorgehen. Accounts dürfen grundsätzlich nur durch den Administrator eingerichtet werden. Accounts für den Administrator und seinen Vertreter müssen auf diese Mitarbeiter beschränkt sein. Wenn ein Mitarbeiter ausscheidet oder seine Tätigkeit wechselt, müssen alle ihm zugewiesenen Accounts unverzüglich gelöscht und alle ihm bekannten Passwörter geändert werden. Die vorübergehende Sperrung einer Zugangsberechtigung sollte bei länger währender Abwesenheit der berechtigten Person vorgenommen werden, um Missbräuche zu verhindern. Die Ausgabe bzw. der Einzug von Zugangsmitteln wie Benutzerkennungen ist zu dokumentieren. Jeder Arbeitsplatzrechner eines Mitarbeiters muss so konfiguriert werden, dass nach 5 Minuten ohne Benutzerrückmeldung der manuelle Zugriff auf den Rechner automatisch gesperrt wird, z. B. durch einen Bildschirmschoner mit Passwortschutz. 17

18 Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1)) Organisation Vergabe von Zugangsberechtigungen Vergabe von Zugriffsberechtigungen 5 Umgang mit Passwörtern Passwörter dürfen grundsätzlich nicht weitergegeben werden. Bei Verlust eines Administrationspasswortes müssen zusätzliche Möglichkeiten existieren, um administrativen Zugang zum jeweiligen System zu erlangen. Bei Verdacht auf Kompromittierung von Accounts oder Passwörtern sind die Passwörter unverzüglich zu ändern. Es ist verboten, die Benutzer-Passwörter zu hinterlegen. Die Administrator- Passwörter müssen dagegen sicher deponiert werden (z.b. im Tresor). Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1) M 2.22(2)) Organisation Regelungen des Passwortgebrauchs Hinterlegen des Passwortes 6 Vergabe von Zugriffsrechten Die Festlegung und Veränderung von Zugriffsrechten ist vom Administrator oder IT-Sicherheitskoordinator für Antrag-Online zu veranlassen und zu dokumentieren. Nur den Benutzern und Administratoren, die mit dem Programm Antrag-Online arbeiten, ist Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren. Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1)) Vergabe von Zugriffsrechten 18

19 7 Vorgehen bei Problemen und Verstößen Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan festgelegten Schritte einzuhalten. Bei vorsätzlichem oder fahrlässigem Verstoß gegen die Leit- und Richtlinien durch die Mitarbeiter sind die gleichen Maßnahmen zu treffen wie bei Missachtung von Organisationsanweisungen. Nach Prüfung durch den Datenschutzbeauftragten der Deutschen Rentenversicherung sind in Abhängigkeit von der Schwerwiegendheit des Verstoßes die Aufsichtsbehörden der Versicherungsämter zu informieren. Grundlage: BSI Grundschutzhandbuch (M 2.39 (2)) Reaktion auf Verletzung der Sicherheitspolitik II. Personal 8 Einarbeitung / Einweisung neuer Mitarbeiter Neue eingestellte Mitarbeiter müssen vor Nutzung des Programms Antrag-Online eine Einweisung bekommen. Jedem Mitarbeiter sind die notwendigen Dokumentationen (Handbuch, Installationshandbuch) zur Verfügung zu stellen. Im Rahmen der Einweisung neuer Mitarbeiter müssen diesen die Handlungsanweisungen sowie der Leitfaden und die Richtlinien bekannt gemacht werden. Grundlage: BSI Grundschutzhandbuch (M 3.1 (1), M 3.4 (1), M 3.5 (1), M 3.6 (2) ) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen Schulung zu IT-Sicherheitsmaßnahmen 19

20 9 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen Bei der Einstellung von Mitarbeitern müssen diese verpflichtet werden, einschlägige Gesetze (z. B. 5 BDSG "Datengeheimnis"), Vorschriften und interne Regelungen einzuhalten. Damit sollen neue Mitarbeiter mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. Die erforderlichen Exemplare der Vorschriften und Regelungen müssen ausgehändigt bzw. an zentraler Stelle zur Einsichtnahme vorgehalten werden. Die Verpflichtung muss von den Mitarbeitern gegengezeichnet werden. Grundlage: BSI Grundschutzhandbuch (M 3.5 (2)) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen 10 Vertretungsregelungen Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. Es muss geregelt sein, wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. Der Vertreter muss ausreichend geschult sein, damit er die Aufgaben inhaltlich übernehmen kann. Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. Grundlage: BSI Grundschutzhandbuch ( M 3.3 (1)) Vertretungsregelungen 11 Umgang mit dem Passwort, Abmelden vom System Jeder Antrag-Online Account muss bei der ersten Anmeldung geändert werden. Folgende Regelungen zum Passwort müssen eingehalten werden: 20

21 Das Passwort darf nicht leicht zu erraten sein. Das Passwort muss geheim gehalten werden und darf nur dem Benutzer persönlich bekannt sein. Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist. Die im Programm implementierten Sicherheitsvorkehrungen bei der Passworteingabe und -verwaltung sind im Handbuch nachzulesen. Wird ein System von mehreren Benutzern genutzt und besitzen die einzelnen Benutzer unterschiedliche Zugriffsrechte, so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden, wenn jeder Benutzer sich nach Aufgabenerfüllung am IT- System abmeldet. Grundlage: BSI Grundschutzhandbuch (M 3.5(1)) (3.5(1)) Regelungen des Passwortgebrauchs (M 2.11) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung 12 Ausscheiden eines Mitarbeiters Beim Ausscheiden eines Mitarbeiters ist zu gewährleisten, dass keine Daten vernichtet oder entwendet werden. Der Account des Mitarbeiters ist zu sperren. Der Schlüssel des Mitarbeiters für die Datenübertragung zur/ von der Deutschen Rentenversicherung ist zu sperren. Wenn der Mitarbeiter die Rolle des Administrators inne hatte, müssen die Passwörter aller Systeme geändert werden, zu denen der ausgeschiedene Mitarbeiter Zugang besaß. Grundlage: BSI Grundschutzhandbuch (M3.6 (2)) Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern 21

22 III. Behandlung von Sicherheitsvorfällen 13 Sicherheitsvorfälle Als Sicherheitsvorfall wird ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann, die einen großen Schaden sowohl bezüglich Vertraulichkeit als auch Integrität der Daten hervorrufen können. Die Verfügbarkeit hat dabei keine Bedeutung. Sicherheitsvorfälle werden zum Beispiel erkennbar durch: Datensätze, die ohne erkennbaren Grund verloren gehen Ohne erkennbaren Grund gesperrte Kennungen Datensätze, die nicht mehr zugreifbar sind (z.b. durch Datenmanipulation) Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten massenhaftes Auftreten von Computer-Viren vorsätzlicher Missbrauch der Anwendung (z.b. Screenshots) Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätzlicher Versicherungskonten) Grundlage: BSI Grundschutzhandbuch (M 6.58 (1)) Behandlung von Sicherheitsvorfällen 14 Eskalationsstufen Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Sicherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegenden beinhaltet. Für Antrag-Online werden folgende Eskalationsstufen unterschieden: Stufe 1 Stufe 2 Stufe 3 Qualitätssicherung als Vorstufe zur Eskalation Standard-Eskalation Krisen-Eskalation Die Qualitätssicherung sichert die Systemdaten und beschreibt die zur Klassifizierung und Bearbeitung nötigen Informationen für eintretende Sicherheitsvorfälle. Die Standard-Eskalation beschreibt die Vorgehensweise bei absehbaren bzw. eingetretenen Abweichungen der Standardnutzung. Die Krisen-Eskalation ist eine weitere Aktionsstufe innerhalb der Eskalationsprozedur, die bei Störungen mit hohem Schaden und hoher Tragweite zur Anwen- 22

23 dung kommt, sofern die Möglichkeiten der Standard-Eskalation für diese spezielle Situation nicht ausreichend sind. Grundlage: BSI Grundschutzhandbuch (M 6.61 (1)) Eskalationsstrategie für Sicherheitsvorfälle 15 Reaktion auf Störungen oder Alarmierungen Es muss untersucht werden, wie und wo die Verletzung der Leit- und Richtlinien entstanden ist. Anschließend müssen die angemessenen schadensbehebenden oder -mindernden Maßnahmen durchgeführt werden. Soweit erforderlich, müssen zusätzliche schadensvorbeugende Maßnahmen ergriffen werden. Die durchzuführenden Aktionen hängen sowohl von der Art der Verletzung als auch vom Verursacher ab. Es muss geregelt sein, wer für Kontakte mit anderen Instanzen/Organisationen verantwortlich ist, um Informationen über bekannte Sicherheitslücken einzuholen oder um Informationen über aufgetretene Sicherheitslücken weiterzugeben. Es muss dafür Sorge getragen werden, dass evtl. mitbetroffene Stellen schnellstens informiert werden. Die Verantwortlichkeiten und Maßnahmen sind im Alarmierungsplan beschrieben. Der Alarmierungsplan muss - allen Notfallverantwortlichen in den GuV zur Verfügung gestellt werden, - an zentraler Stelle redundant gehalten werden, - allen Mitarbeitern bekannt gemacht werden. Grundlage: BSI Grundschutzhandbuch (M6.58 (1) M 6.65 (2)) ) Behandlung von Sicherheitsvorfällen 16 Evaluierung der Eskalationsstrategie Nach einem eingetretenen Sicherheitsvorfall ist die Durchführung der Maßnahmen zu auditieren und einer abschließenden Bewertung zu unterziehen. Die Ergebnisse dieser Bewertung sind allen beteiligten Stellen mitzuteilen, um eine transparente Optimierung der Sicherheitsmechanismen zu ermöglichen. Grundlage: BSI Grundschutzhandbuch (M6.66 (2)) Behandlung von Sicherheitsvorfällen 23

24 Anlage: Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme Wie in der Präambel erwähnt, wurde auf der Grundlage des IT-Grundschutzhandbuches ein Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter durchgeführt. Dabei wurden Maßnahmen für bestimmte IT-Komponenten (Bausteine) festgelegt, die gewährleisten sollen, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Im folgenden sind die Maßnahmen aus dem Basissicherheitscheck zusammengestellt, für die keine Handlungsanweisungen im vorliegenden Dokument abgeleitet wurden: 1. Maßnahmen für bestimmte IT-Komponenten Baustein Serverraum Maßnahme Beschreibung M 1.15 Geschlossene Fenster und Türen M 1.23 Abgeschlossene Türen M 1.58 Technische und organisatorische Vorgaben für Serverräume M 2.14 Schlüsselverwaltung M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen M 2.17 Zutrittsregelung und kontrolle M 2.18 Kontrollgänge (optional) Baustein 5.5 PC unter Windows NT Maßnahme Beschreibung M 2.4 Regelungen für Wartungs- und Reparaturarbeiten M 2.9 Nutzungsverbot nicht freigegebener Software M 2.10 Überprüfung des Software-Bestandes M 2.22 Hinterlegen des Passwortes 24