Informationssicherheit im Öffentlichen Sektor

Transkript

1 Informationssicherheit im Öffentlichen Sektor - Anforderungen, Bedrohungen, Maßnahmen - - Überblick über das IBM Leistungsangebot - "IT Trends & Öffentliche Verwaltung Martin W. Murhammer Certified Consultant IBM Security & Privacy Services murhammer@at.ibm.com

2 Zeitgemäße Anforderungen an die IT von Öffentlichen Institutionen Annahmen: Das Ziel von Einrichtungen der öffentlichen Verwaltung im 21. Jahrhundert ist die weitestgehend automatisierte Verarbeitung und Verfügbarmachung von Informationen von und für die Bürger im Sinne eines modernen Dienstleistungsunternehmens. Dieses Ziel wird auf allen Ebenen der Verwaltung (Gemeinde, Bezirk, Land, Bund, Gebietskörperschaften, etc.) gleichermaßen verfolgt. Aufgaben (Beispiele): Umstellung vom internen zum externen Dienstleistungsbetrieb Die Behörde wird zum Unternehmen Dienstleistungen müssen verkauft werden ( Portal ) Kunden können die Einhaltung von Service Levels verlangen Umgehen mit digitalen Informationsinhalten und Identitäten Digitale Zertifikate statt Lichtbildausweise Digitale Signatur statt Stempel und Unterschrift Work-Flow statt Aktenlauf Parteienverkehr im Internet statt in der Amtsstube Seite 2

3 Im Bereich der Öffentlichen Verwaltung befindet sich eine Vielzahl von Informationen, die aus verschiedenen Gründen schützenswert sind Personenbezogene Daten Urkunden Ausweise Melderegister Informationen des Gesundheitswesens Informationen des Bildungswesens Informationen finanzieller Natur (Personen, Firmen, Ämter, Behörden, Organisationen,...) Finanz- und Zollämter Bundesrechenamt Statistik und Staatsarchiv Informationen der Wahlbehörde Interne Informationsbestände der Behörden und Regierungsstellen Informationen von Polizei und Justiz Militärische Informationen und Geheimnisse Rechnungshof Seite 3

4 Anforderungen an die IT Sicherheit in der Öffentlichen Verwaltung g und Bedrohungen, vor denen Schutz zu gewähren ist Erbringung und Wahrung der folgenden Leistungen nach rechtlichen (u.a. DSG, SigG, SigV) und betriebswirtschaftlichen Aspekten: Vertraulichkeit Integrität Verfügbarkeit Zugangskontrolle Identität Verbindlichkeit Überprüfbarkeit Schutz vor unerlaubter Einsichtnahme Schutz vor unerlaubter Veränderung Schutz vor Unterbrechung von Diensten Schutz vor unrechtmäßigem Zugang Schutz vor Betrug Schutz vor Widerruf von Transaktionen Schutz vor Unterschlagung von Beweisen Seite 4

5 Veränderungen, die im digitalen Zeitalter auf die IT von Öffentlichen Institutionen zukommen können IT Alt Rechenzentrum Interne (Beamte, Behörden) Benutzer Verkehr zwischen Behörden über dedizierte Netze Einwahl/Rückwahl (Wartung, Teleworker) Häufig Klartext Zentrale Host Anwendungen Abgrenzung durch Router oder FEP Bedrohungsszenario: Innen, relativ hoher Skillbedarf für Angreifer Niedriges bis mittleres Risiko User-ID und Passwort (max.) Wenig zusätzliche Sicherheitsmassnahmen (außer physische) IT Neu Service Provider Interne und externe (Bürger, Firmen) Benutzer Verkehr über öffentliche Netze (Internet, Extranet) Virtual Private Networks Starke Verschlüsselung Verteilte Web Anwendungen Abgrenzung durch Firewalls und DMZ Bedrohungsszenarien: Innen und Aussen, relativ niedriger Skillbedarf für Angreifer Mittleres bis hohes Risiko Digitale Zertifikate und Signaturen, 2-Faktor Authentisierung, biometrische Verfahren Virus Scanning, Content Inspection, Intrusion Detection, Audits Seite 5

6 Gab es während der letzten zwölf Monate Sicherheitsverletzungen? Quelle: CSI/FBI Computer crime and Security Survey 2000 Prozent der Befragten Ja Nein Weiß nicht Seite 7

7 33% der Zustimmenden erlebten 1 bis 5 Vorfälle, 31% kennen die Anzahl der Vorfälle nicht Quelle: CSI/FBI Computer Crime and Security Survey Prozent der Befragten bis 5 6 bis bis bis Weiß nicht Seite 8

8 Mißbrauch durch Insider, Viren und Laptop Diebstahl sind die Hauptprobleme Quelle: CSI/FBI Computer Crime and Security Survey 2000 Aktives Abhören Telko-Abhören Sabotage Finanzbetrug Telko-Betrug Info-Diebstahl Systemattacken Unerlaubte Insider-Zugriffe Laptop-Diebstahl Viren Insider-Netzmißbrauch Anzahl der Unternehmen, die Vorfälle berichteten Seite 9

9 Und was noch so alles geschieht... Der Administrator ändert das (Admin-) Kennwort Guest nicht... Mitarbeiter X brennt eine CD mit wichtigen Daten und nimmt diese auf eine Reise mit... Der Anwendungsprogrammierer Y kann ohne Kontrolle jederzeit Code verfassen, der direkt auf die Produktionsdaten zugreift... Defekte Notebooks werden dem Lieferanten zur Reparatur übergeben, ohne die Festplatten zu löschen... Der Helpdesk vergibt neue Kennwörter mündlich an Anrufer... Standardkennwörter lauten auf den Namen des Benutzers und müssen nie geändert werden... Die Firewall schlägt Alarm, aber es ist niemand da, der darauf reagieren könnte... Jener Schlüsselmitarbeiter, der alles weiß (aber leider ungern dokumentiert), paßt kurz nicht auf und wird vom Bus überfahren... Der externe Berater X, der auch beim Kunden Y arbeitet, greift aus dessen Netzwerk zu dringenden Wartungszwecken auf die Produktionsdaten seines anderen Auftraggebers Z zu - leider ist Y aber Konkurrent von Z und sehr an Ausdrucken interessiert... Seite 10

10 Wie Informationssicherheit oft verstanden wird... Projekte zum Thema Informationssicherheit sind meist technikgetrieben und ITbasierend, selten an betrieblichen Aufgaben orientiert und meist nicht strategisch ausgerichtet. Eine einhergehende Standardisierung ist damit selten verbunden. Ein Rahmen für das Design neuer Lösungen wird nur vereinzelt geschaffen. Die Projekte liefern meist punktuelle Lösungen - für operationelle Probleme einzelner Fachabteilungen. Informationssicherheit wird als notwendiges Übel gesehen. Eine gesamtheitliche Sicht und ein dementsprechender Zugang fehlen meistens. Seite 11

11 Wie könnte Informationssicherheit verstanden werden? Sinnvoll sind Lösungen, die auf einem strategisch ausgerichteten Architekturmodell basieren, von betrieblichen Anforderungen getrieben und interoperabel sind. Darüber hinaus müssen Sicherheitsmaßnahmen zu Standardisierung führen und eine verhältnismäßig hohe Systemintegrierbarkeit aufweisen. Konzepte müssen leicht wartbar sein und die Sicherheitsmaßnahmen müssen alltagstauglich sein. Informationssicherheit ist als Enabler zu verstehen (z.b. für die Anbindung von Partnern oder Drittfirmen im Netzwerkbereich oder im Bereich des Internet Banking) und darf nicht als Bremse gesehen werden. Seite 12

12 Die Kunst der richtigen Umsetzung von Sicherheitsmaßnahmen Unzureichend Überzogen Optimal Seite 13

13 Zusammenfassung: Grundlagen einer Informationssicherheits-Architektur Betriebliche Anforderungen: Grundlegende Sicherheitsstrategien Richtlinien und Leitlinien Standards und Prozeduren Prozesse zur Umsetzung und Durchsetzung der Richtlinien Klare, ausformulierte Verantwortlichkeiten und Aufgaben Risiko-Management (inkl. Risikoanalyse) Sicherheitsdienste und -mechanismen Sicherheitstechnologien und -produkte Seite 14

14 Die Angebote von IBM Security and Privacy Services Erheben Erheben Planen Planen Entwerfen Entwerfen Umsetzen Umsetzen Betreiben Betreiben Security Health Check Site Security Assessment Security Process Assessment System Security Assessment Network Security Assessment Security Workshop Privacy Workshop PKI Business Workshop Information Asset Profile Privacy Strategy and Implementation VPN Workshop Security Policy Definition Security Standards Definition Security Process Development Enterprise Security Architecture Internet Security Architecture Security Product Selection and Implementation Tivoli PKI Solutions AIX Firewall Installation Smooth Start für AS/400 SmoothStart für OS/390 Internet Emergency Response Service Real Time Intrusion Detection Remote Firewall Management Internet Security Assessment Awareness Workshop Secure Solution Design OS/390 VPN Operation Support Application Security Assessment Ethical Hacking YourWorkShop Enterprise Security Program (blue track) S/390 Crypto- CoProcessor Installation Enterprise Risk Assessment (red track) Seite 15

15 Die Methoden und Erfahrung von IBM Security Spezialisten Anwendung internationaler Standards und Methoden IT Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI D) British Standard BS7799 (ISO GB) Common Criteria (EU, USA, CDN, AUS) Method Risk Analysis Methods (Sprint, Sara Information Security Forum) Projekte bei nationalen und internationalen Institutionen des öffentlichen Sektors (Beispiele) Bundesministerien (BMI, BMLV, BMWA A) United Nations (A, CH) Pennsylvania State Police (USA) Projekte in eigener Sache (Beispiele) Corporate Security Guidelines Weltweites Virtual Private Network (VPN) für Teleworker Grundlagenforschung im Bereich der IT Sicherheit IBM Watson Research Center, NY, und IBM Labor Zürich-Rüschlikon Seite 16

16 Beispiele für Referenzen für Projekte von IBM Security Consulting bei Öffentlichen Institutionen Sicherheitsarchitektur für Schweizer Informationsdienstleister Modernes 7x24 Rechenzentrum Application Service Provider (ASP) für Teile der öffentlichen Verwaltung eines Schweizerischen Kantons Anforderungen Host Services Internet Zugang Netzwerk Dienste Remote und Dial-in Zugang / Fernwartung Web Services Collaboration / Extranet E-Commerce Lösungsansatz nach IBM Method für Architecting Secure Solutions (MASS) Firewall Architektur, Netzwerk Design, User Management, Public Key Infrastructure (PKI) Implementierung in mehreren Phasen Seite 17

17 Beispiele für Referenzen für Projekte von IBM Security Consulting bei Öffentlichen Institutionen (Forts.) Sicherheitsarchitektur für ein Portal öffentlicher Dienste einer Kanadischen Provinz Anforderungen: Klärung und Wahrung der gesetzlichen Rahmenbedingungen Online Registrierung und Validierung von Benutzern Eine User ID für alle Anwendungen Verschlüsselung für Informationen während der Übertragung Modell für Zugriffsrechte Schutz der Infrastruktur Aufzeichnungsmöglichkeit für alle Transaktionen Lösungsvorschläge nach MASS: Firewall Design Mehrstufiges, rollenbasiertes Zugriffssystem Anwendungsentwicklung für Web Interface in Java Single Sign-on für Benutzer PKI für digitale Benutzer IDs und Wahrung der Verbindlichkeit Zeitplan für Implementierung in mehreren Phasen Seite 18

18 Wo können Sie weitere, für Sie nützliche Informationen bekommen? ❶ Portal zum Thema Security Überblick über das Leistungsspektrum von IBM auf dem Gebiet Security und Privacy. Weiters: Informationen zu Produkten, Dienstleistungen, Neuigkeiten, White Papers etc. ❷ Näheres zu den Security and Privacy Services insgesamt ❸ Details der einzelnen Security and Privacy Services ❹ Details der einzelnen Security and Privacy Services, teilweise in Deutsch Seite 20

19 Wo können Sie weitere, über Security und Privacy Consulting hinausgehende Informationen bekommen? ❶ Überblick über die angebotenen Business Continuity and Recovery Services ❷ Überblick über die angebotenen Business Continuity and Recovery Services in Deutsch ❸ Details zu den Internet Emergency Response Services ❹ Portal zum Thema Consulting ❺ Patterns for e-business Gruppen von wiederverwendbaren Modulen zur Entwicklung von e-business Anwendungen Seite 21