INHALT EDITORIAL LÖSUNGEN. Harmonisierung der Verfahren des LABO (HarVe) KUNDENINFORMATION AUSGABE 4/4 Dezember 2013

Transkript

1 KUNDENINFORMATION AUSGABE 4/4 Dezember 2013 KUNDENINFORMATION AUSGABE 3/4 August 2013 EDITORIAL INHALT Sehr geehrte Damen und Herren, wir alle sind an unserem so selbstverständlichen elektronischen Arbeitsplatz tagtäglich dafür verantwortlich IT-Sicherheitsrichtlinien einzuhalten und mit den verarbeiteten Daten sorgsam umzugehen. Verdeutlicht doch die aktuelle Debatte um die Datenbeschaffung der NSA, dass es zahlreiche Interessenten für diese Daten gibt. Die Themen Informations- und IT-Sicherheit sowie Datenschutz rücken damit noch stärker in den Fokus. Anlass genug für uns, das Thema IT-Sicherheit von mehreren Seiten zu beleuchten und einige der (Foto: ITDZ Berlin) wichtigsten IT-Sicherheitsleistungen des ITDZ Berlin zu beschreiben. Die Rollenverteilung in der Berliner Verwaltung beim Thema IT-Sicherheit erläutern unsere Hintergrundartikel sowie Interviews mit dem Datenschutzbeauftragten Dr. Alexander Dix, dem Leiter des Verfassungsschutzes Bernd Palenda und dem Leiter der AG IT-Sicherheit Matthias Hög. Ich wünsche Ihnen eine interessante Lektüre und bin gespannt auf Ihr Feedback. In dieser letzten Ausgabe des Jahres bedanke ich mich zudem für Ihr Interesse und wünsche Ihnen und Ihren Familien besinnliche Feiertage und einen Guten Rutsch ins neue Jahr. Bis dahin Ihre Anna-Maria Krebs, Vertriebsleiterin Thema IT-Sicherheit im Land Berlin... Seite 2/3 Fokus Kunde Matthias Hög (Leiter der AG IT-Sicherheit in der Berliner Senatsverwaltung für Inneres und Sport)... Seite 2/3 Lösungen Harmonisierung der Verfahren des LABO (HarVe)... Seite 1 Sonderthema Interview mit Dr. Alexander Dix (Berliner Beauftragter für Datenschutz und Informationsfreiheit)... Seite 4 Sonderthema Interview mit Bernd Palenda (Leiter des Berliner Verfassungsschutzes)... Seite 5 Sonderthema CERT... Seite 6 Sonderthema Security Awareness... Seite 7 Praxistipp Nutzung der AppBox... Seite 8 Aktuelles McAfee/Notfallmanagement... Seite 8 Veranstaltungen... Seite 8 LÖSUNGEN Harmonisierung der Verfahren des LABO (HarVe) Führen Behörden Fachverfahren ein, basieren die in der Regel auf einer eigenen IT-Infrastruktur. Jede Behörde nutzt zahlreiche Fachverfahren dies führt zu hohen IT-Infrastrukturkosten und erfordert Betreuungsaufwand. Deshalb begannen das Landesamt für Bürgerund Ordnungsangelegenheiten (LABO) und das ITDZ Berlin 2005 mit der Zusammenführung des Betriebs von insgesamt fünf IT-Verfahren in einer Systemumgebung und einem gemeinsamen Datenbanksystem. Dies war ein Novum. Das Ziel Harmonisierung der Infrastruktur für die unterschiedlichen IT-Verfahren prägte den Projektnamen HarVe. Gestiegene Anforderungen an das Gesamtsystem, die Entwicklung bestehender IT-Verfahren sowie die Einbeziehung neuer Verfahren erforderten neben einer Kapazitätserweiterung eine Neustrukturierung der HarVe-Systemumgebung. Deswegen begannen das LABO und das ITDZ Berlin im April 2010 damit, die HarVe- Umgebung technisch auf die Anforderungen an einen stabilen und wirtschaftlichen Betrieb für die nächsten Jahre auszurichten. Im Fokus standen eine zukunftssichere Systemarchitektur, definierte Prozessabläufe und Kommunikationswege im Sinne eines IT-Servicemanagements nach ITIL. HarVe wurde mit großem Engagement auf beiden Seiten im Dezember 2012 abgeschlossen. Das neue System läuft stabil. Wegen der Komplexität und der sich ständig ändernden Anforderungen passten beide Häuser ihre Kommunikationsstrukturen an und arbeiten täglich daran sie mit Leben zu füllen. (Foto: Wenn die Zusammenarbeit Früchte trägt Fotolia/mardoyan) 1

2 FOKUS KUNDE Interview partner Matthias Hög Leiter der AG IT-Sicherheit in der Berliner Senatsverwaltung für Inneres und Sport Interview Welche Aufgaben hat die Senatsverwaltung für Inneres und Sport in Bezug auf die IT- Sicherheit in der Berliner Verwaltung? Wir erstellen IT-Sicherheitsgrundsätze und landesweite Regelungen, wie Verwaltungsvorschriften, für den IT-Grundschutz der Berliner Verwaltung. Auch definieren wir technische und organisatorische Standards, wie aktuell über die Einbindung mobiler Endgeräte. Darüber hinaus erstellen wir den jährlichen Bericht zur Informationssicherheit und sind Ansprechpartner des Bundes zum Thema IT- Sicherheit. Auch bei der IT-Sicherheit gilt das Ressortprinzip. Die Senatsverwaltung für Inneres und Sport ist zuständig, wenn keine dezentrale Fach- und Ressourcenzuständigkeit vorliegt. THEMA IT-SICHERHEIT IM LAND BERLIN Die aktuelle Debatte um das Abgreifen von Daten durch amerikanische und englische Geheimdienste hat die Themen IT-Sicherheit und Datenschutz erneut in den Fokus gerückt. Was leistet dabei die AG IT-Sicherheit? Die AG ist ein Gremium auf Arbeitsebene. Mitglieder sind IT-Experten aus Behörden mit unterschiedlichen Funktionen, wie die Verantwortlichen der IT-Stellen oder Beauftragte für Informationssicherheit. Die AG identifiziert Themen, bei denen landesweite Regelungen zur IT-Sicherheit empfehlenswert oder notwendig sind. Aktuell beispielsweise zu den Themen Signatur, mobile Endgeräte oder Cloud Computing. Wir erstellen auch konkrete Handlungsempfehlungen oder Sicherheitsmaßnahmen. Die Umsetzung verantwortet jede Behörde selbst. Darüber hinaus dient die AG dem Informationsaustausch zwischen Experten für Informationssicherheit in der Berliner Verwaltung. Fortsetzung auf Seite 3 >>> Anlass für uns, einige der wichtigsten IT-Sicherheitsleistungen des ITDZ Berlin kurz zu beschreiben. Bei einem großen Teil der IT-Sicherheitsleistungen des ITDZ Berlin handelt es sich nicht um Produkte, die beim ITDZ Berlin bestellt werden können, sondern um Mechanismen, die der Sicherung aller Systeme der Berliner Verwaltung dienen und elementarer Bestandteil aller Zugänge zum Berliner Landesnetz sind. Der Übergang ins Landesnetz Allen voran grenzt ein mehrstufiges Firewall- System das Netz der Berliner Verwaltung von (Foto: Fotoli /Brocreative) Fremdnetzen, insbesondere dem Internet, ab. Es stellt sicher, dass nur Datenpakete weitergeleitet werden, die von den angesprochenen internen Systemen erwartet werden. Täglich werden hierdurch mehr als eine Million Kommunikationsversuche, die ein potenzielles Sicherheitsrisiko darstellen, abgefangen. Zwischen den Firewalls befindet sich das Grenznetz. Eine Sicherheitsinfrastruktur prüft hier die durchgeleiteten Datenpakete auf verschiedene Risiken. Zunächst erfolgt ein Virencheck, wobei der Zugang zum Internet und zu dem -System im Mittelpunkt steht. Gerade per wird noch immer viel Schad- 2

3 KUNDENINFORMATION AUSGABE 4/4 Dezember 2013 FOKUS KUNDE software versandt. Etwa 50 bis 80 Prozent der s, die an Adressen der Berliner Verwaltung gerichtet sind, lehnt der Spamschutz täglich ab. Damit werden die meisten schädlichen Sendungen, aber auch störende Werb s verhindert. Die angenommenen s werden dann vor der Zustellung von zwei Scannern auf Viren überprüft. In der Regel finden sich pro Tag weniger als 15 befallene s. Trotz mehr als zugestellten s täglich ist bislang kein einziger Fall bekannt, in dem eine einen Virenbefall in einer Dienststelle ausgelöst hat. Das zeigt, wie erfolgreich der Spamund Virenschutz an den Mailservern arbeitet. Innerhalb des Landesnetzes Auch innerhalb des Landesnetzes sind Sicherheitsvorkehrungen erforderlich. Immerhin handelt es sich um ein Netz mit etwa Endgeräten und einer Vielzahl von Servern und Fachverfahren. Die größte Gefahr für die dezentralen Systeme geht momentan von Wechseldatenträgern wie USB-Sticks, mobilen Festplatten und CDs aus. Eine Kompromittierung oder ein Virenbefall könnten sich auf diesem Wege schnell über unzählige Systeme ausbreiten. Deshalb betreibt das ITDZ Berlin vor jedem Fachverfahren eine Firewall, die das System bis auf die dediziert gewünschte Kommunikation vom Rest des Landesnetzes trennt. Auch die einzelnen Standorte der Dienststellen sind per Firewall, teilweise durch das ITDZ Berlin betrieben, abgesichert. Sicherheitstechnische Herausforderungen sind auch Fernzugriffe, d.h. Verbindungen von Endgeräten außerhalb des Landesnetzes mit Ressourcen der Berliner Verwaltung. Das geht vom -Zugriff via Smartphone bis zum Administrationszugang externer Firmen. Hier bietet das ITDZ Berlin je nach Anforderung unterschiedliche Lösungen an. Diese beinhalten immer eine Authentifikation des Nutzers mit Hilfe zweier Faktoren (häufig ein Zertifikat und ein Passwort), eine Verschlüsselung der Kommunikation und eine Kontrolle, auf welche Systeme zugegriffen werden darf. Schutz personenbezogener Daten Normaler -Verkehr ist bezogen auf den Datenschutz mit einer Postkarte zu vergleichen. Jede Station, über die eine auf ihrem Versand geleitet wird, kann den Inhalt der lesen. Bei der Weiterleitung personenbezogener Daten sind die gesetzlichen Regelungen des Datenschutzes und die Best- Practice-Maßnahmen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die Berliner Verwaltung verpflichtend. Danach muss der -Verkehr die Sicherheitskriterien Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachweisbarkeit der Kommunikation erfüllen. Diesen Anforderungen wird durch Verschlüsselung von s mit zusätzlicher Signatur des Versenders entsprochen. Weitere Schutzmaßnahmen sind bei der Speicherung personenbezogener Daten anzuwenden. So liegt es auf der Hand, dass Daten bei der Speicherung auf mobilen Datenträgern, zum Beispiel in Form einer Festplatte innerhalb eines Notebooks verschlüsselt werden müssen, um im Falle eines Verlustes den unbefugten Zugriff zu verhindern. Zu den notwendigen Maßnahmen des Datenschutzes gehört auch eine ordnungsgemäße Entsorgung von Datenträgern wie Festplatten, CDs und DVDs nach der Nutzung. Insbesondere wenn schützenswerte Daten gespeichert wurden, ist ein Datenträger zumindest sicher zu löschen. Sicher löschen heißt, dass der Datenträger mehrfach überschrieben wird. Bei defekten Festplatten, CDs und DVDs ist dies häufig nicht mehr möglich. Dann ist eine physikalische Zerstörung notwendig. Dasselbe gilt für Datenträger, auf denen Verschlusssachen gespeichert waren. Dazu gibt es dezidierte Vorgaben des BSI. Das ITDZ Berlin hat hierfür einen Dienstleister verpflichtet, der Datenträger sowohl schreddert, als auch thermisch behandelt. Eine Wiederherstellung der Daten ist anschließend nicht mehr möglich, dem Datenschutz wird somit auch am Ende des Lebenszyklus der IT-Komponente entsprochen. Verantwortung für die Datensätze Berlins Mit den vielfachen Schutzmechanismen übernimmt das ITDZ Berlin die Verantwortung für den Datenverkehr in der Berliner Verwaltung. Ohne das verantwortliche Handeln des Anwenders in den Behörden und dem sorgsamen Umgang beispielsweise mit Passwörtern und USB-Sticks werden aber auch diese Mechanismen immer angreifbar sein. Fortsetzung von Seite 2 >>> Welche Rolle spielt das ITDZ Berlin bei der Aufgabenerfüllung der Senatsverwaltung? Das ITDZ Berlin hat als Betreiber der zentralen IT-Infrastruktur eine Dienstleistungsverantwortung. Die schließt auch die IT-Sicherheit ein. Wir erstellen dazu Rahmenbedingungen und Vorgaben. Darauf basierend entwickelt das ITDZ Berlin Sicherheitskonzepte, beispielsweise für das Berliner Landesnetz. Wofür genau sind alle Behörden selbst verantwortlich? Aus der für die Berliner Verwaltung geltenden Ausrichtung am IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik ergeben sich vielfältige IT-Sicherheitsmaßnahmen und Empfehlungen. Für die Umsetzung ist jede Behörde selbst zuständig. Für den jährlichen Bericht zur Informationssicherheit fragen wir den aktuellen Stand bei den Behörden ab und ob weitergehender Regelungsbedarf besteht. Die Umsetzung vor Ort prüfen können wir nicht. Das ist dem Datenschutzbeauftragten und dem Rechnungshof vorbehalten. Gibt es etwas, dass Sie in Bezug auf das Thema IT-Sicherheit den Behörden Berlins schon immer sagen wollten? Der Schutz der in der eigenen Behörde verarbeiteten Daten sollte im ureigensten Interesse der Behördenleitung geschehen. Sie werden in allen diesbezüglichen Regelungen als Verantwortliche benannt. Wir können nur Handlungsempfehlungen geben. Dies sollte allen bewusst sein. Für die Umsetzung der IT- Sicherheitsmaßnahmen gibt es im Land Berlin häufig Best-Practice-Beispiele, denen man folgen kann. Schwierig wird es dann, wenn die Maßnahmen zur IT-Sicherheit das Arbeiten unkomfortabler machen - beispielsweise die Verwendung des Internet Explorers untersagt wird oder USB-Sticks nur an gesicherten Zugängen verwendet werden dürfen. Hier muss deutlich werden, dass die Maßnahmen dem Schutz der Bürgerdaten dienen. Dass sie nicht gängeln sollen, sondern die Informationen, die verarbeitet werden schützen. Dabei gilt es Anwender mitzunehmen. Keiner will sich vorstellen, was passiert, wenn sich jemand einen USB-Stick mit Sozialhilfedaten einsteckt und diese dann an eine Zeitung weitergibt. 3

4 SONDERTHEMA INTERVIEW Dr. Alexander Dix Berliner Beauftragter für Datenschutz und Informationsfreiheit Wo genau ist die Trennlinie zwischen der Informations- und IT-Sicherheit und dem Datenschutz? Die Informations- und IT-Sicherheit ist technisch organisierter Datenschutz. Notwendige Voraussetzungen, die jede Behörde schaffen muss. Der Datenschutz legt fest, welche Daten verarbeitet werden dürfen und kontrolliert, ob diese rechtmäßig erhoben und rechtssicher verarbeitet werden. Jede Behörde darf Daten erst dann verarbeiten, wenn sie ein entsprechendes Datenschutz- und IT-Sicherheitskonzept vorweisen kann. Schließlich darf man nicht aufs Geratewohl Daten sammeln. Meine Erfahrung zeigt jedoch, dass viele Behörden Datenverarbeitungsverfahren starten und sich zeitgleich erst um entsprechende Sicherheitskonzepte kümmern. Die notwendigen Änderungen sind dann häufig mit hohem Aufwand verbunden. Wie schätzen Sie das Schutzniveau der Daten im Land Berlin ein? In der Hauptverwaltung haben wir ein gutes Niveau. Die Polizei ist sehr gut aufgestellt. Und die Private Cloud des ITDZ Berlin ist diesbezüglich ein echter Standortvorteil. Bei einigen der nachgeordneten Behörden und Bezirke sieht es weniger gut aus. Hier spielt auch die finanzielle Situation eine Rolle. Bei großer finanzieller Not wird schon mal an der falschen Stelle gespart. Nach meinem Dafürhalten ist hier der Haushaltsgesetzgeber dringend gefordert, die erforderlichen Mittel bereitzustellen! Insgesamt hat sich im Land Berlin in den letzten Jahren diesbezüglich viel verbessert. Ich denke, dass hierbei auch die öffentliche Diskussion um das Thema eine Rolle spielt. Spätestens Snowden war ein Weckruf für alle, die in Deutschland mit personenbezogenen Daten umgehen. Und es macht auch keinen Sinn, resigniert die Hände in den Schoß zu legen, da man annimmt, dass ohnehin alles mitgelesen werden kann. Gute Verschlüsselungen erschweren das Abhören. Was wäre Ihrer Ansicht nach die Folge davon, wenn etwa Daten zu Sozialleistungen oder Gesundheitsdaten öffentlich werden? Meiner Ansicht nach würde das bestehende System an seine Grenzen kommen, wenn nicht gar zusammenbrechen. Bürger müssen viel von sich preisgeben, wenn sie staatliche Leistungen in Anspruch nehmen möchten. Bereits heute gibt es diesbezüglich eine hohe Schamgrenze. Wenn das Vertrauen darin schwindet, dass der Staat mit diesen Daten sorgsam umgeht, werden es sich viele zweimal überlegen, ob sie ihm diese anvertrauen. Damit verstärkt sich die soziale Not. Datenschutz ist informationeller Umweltschutz Was halten Sie von neuen Schutzmechanismen wie Fingerabdruckscanner am Mobiltelefon? Geräte, die biometrische Formen wie den Fingerabdruck als Ersatz für Passworte einsetzen, würde ich mir persönlich nicht kaufen. Schließlich weiß man nicht, was mit den Informationen geschieht. Verlassen sie das Endgerät wirklich nicht? Kann ich dem Hersteller wirklich vertrauen? Solange ich das nicht sicher weiß, würde ich es nicht nutzen. Schließlich kann ich meinen Fingerabdruck nicht ändern, wenn ich Opfer eines Identitätsdiebstahls wurde. Meiner Ansicht nach ein zu hohes Risiko. Sie sind seit vielen Jahren der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Was treibt Sie bei Ihrem Job an? Ich bin der festen Überzeugung, dass der Mensch ein Grundbedürfnis nach Privatheit hat. Er hat ein Grundrecht darauf zu entscheiden, was er von sich preisgibt oder nicht. Die Autonomie des einzelnen Menschen darf im digitalen Zeitalter nicht verloren gehen. Das wird immer schwieriger zu realisieren und setzt voraus, dass die Menschen verstehen, um was es geht. Auch junge Menschen müssen in Ruhe gelassen werden können und ungestört kommunizieren. Datenschutz ist die Freiheit des Einzelnen in der Informationsgesellschaft und hat auf das persönliche Wohlbefinden mindestens einen so großen Einfluss wie der Umweltschutz. Die grundsätzlich freie Selbstbestimmung - das möchte ich für mich und für alle Anderen. Ohne Vertrauen ist kein Staat zu machen! 4

5 KUNDENINFORMATION AUSGABE 4/4 Dezember 2013 INTERVIEW Bernd Palenda Leiter des Berliner Verfassungsschutzes heit und Wirtschaftsspionage zu steigern. Schließlich weiß man auch in der Wirtschaft nie, ob eine Privatperson oder ein Staat Informationen abgreifen möchte. Die Unternehmen bekommen von uns jedoch lediglich Empfehlungen und keine konkreten Maßnahmenpakete. Wir bieten eher Hilfe zur Selbsthilfe. Bieten andere Bundesländer ihren Unternehmen diesen Service auch an? Inwieweit berührt die Tätigkeit des Berliner Verfassungsschutzes das Thema Informations- und IT-Sicherheit? Zunächst ganz klassisch, wenn es um den Umgang mit besonders schutzbedürftigen Daten geht. Hier stehen wir in Kontakt mit den Geheimschutzbeauftragten der Behörden Berlins und beraten sie gegebenenfalls auch zu Fragen der Datensicherheit oder der Bearbeitung von Verschlusssachen. Darüber hinaus werden geheimschutzbetreute Unternehmen, die einen VS-Auftrag in Berlin ausführen, regelmäßig durch den Berliner Verfassungsschutz aufgesucht. Die Unternehmen werden in Gesprächen angehalten, Sicherheitsvorfälle zu melden. Alle Bundesländer bieten vergleichbare Services an. Mit dieser Sensibilisierung sollen Unternehmer dazu gebracht werden, einen Blick auch auf das Thema Sicherheit zu lenken. Weiterhin kann der Verfassungsschutz durch den Besuch der Unternehmen sein Lagebild zum Thema Sicherheit verbessern. Wie ist es denn um die Sicherheit in den kleinen Berliner Unternehmen bestellt? Ein Durchschnitt ist immer ungerecht. Es gibt top gesicherte kleine Unternehmen. Bei anderen wiederum fehlt das Problembewusstsein. Das Kerngeschäft der Unternehmen ist ja in der Regel das Herstellen und Verkaufen eines Produktes und nicht jeder hat hierfür große finanzielle oder personelle Ressourcen. Das Wissen um den Herstellungsprozess eines Produktes oder einen Teil der Herstellungskette kann aber sehr wertvoll sein. Da reicht es meist nicht, so ein Kronjuwel nur mit einem handelsüblichen Virenscanner zu schützen. Hier wollen wir auf Risikofaktoren aufmerksam machen und den Blick der Unternehmen auf ihr gesamtes Sicherheitsgefüge lenken. Wir geben aber keine Maßnahmen vor, empfehlen auch keine Sicherheitsprodukte und sind nicht verdeckt tätig. Welche Gefährdungen werden am häufigsten unterschätzt? (Foto: Fotolia/momius) Ein relativ neues Betätigungsfeld ist unser Angebot an kleine und mittelständische Unternehmen, die sich nicht in der Geheimschutzbetreuung befinden. Zielgruppe sind insbesondere Unternehmen, deren Knowhow aufgrund von Entwicklungsvorsprüngen und Neuentwicklungen Zielobjekt ausländischer, nachrichtendienstlich gesteuerter Informationssammler sein könnten. Solche Unternehmen sind beispielsweise in Berlin Adlershof zu finden. Wir arbeiten im Sinne der vorbeugenden Spionageabwehr daran, ihre Sensibilität gegenüber Themen wie IT-Sicher- Nicht selten fehlt es an Sensibilität gegenüber mobilen Datenträgern und es wurde kein IT-Rechte-Management eingeführt. Somit kann jeder auf alle Daten zugreifen und diese auf einem mobilen Datenträger speichern. Wenn dies der Praktikant macht, den man vorher keiner besonderen Prüfung unterzogen hat, kann das ärgerlich werden. Andere lagern ihre Daten in eine Cloud aus und haben sich keine Gedanken über die Sicherheitsmechanismen wie Verschlüsselung oder Backup-Regelungen bei dieser Form der Datenspeicherung gemacht. Auch die Beschränkung von USB-Schnittstellen, die fehlende physikalische Trennung des Produktivnetzes vom Internet oder Regelungen zum Umgang mit sozialen Netzwerken sind immer wieder Themen unseres Wirtschaftsschutzes. Gelegentlich treffen wir auch auf schlecht ausgebildete IT-Fachkräfte, die manchmal nur alle zwei Wochen beim Unternehmen nach dem Rechten sehen. Auch über die Entsorgung des Papiers oder alter Datenträger, auf denen sich sensible Informationen befinden können, macht sich manch Unternehmer keine Gedanken. Sind Behörden und Unternehmen beim Thema IT-Sicherheit vergleichbar? Wie schätzen Sie das Sicherheitsniveau in den Behörden ein? Die IT-Sicherheit in den einzelnen Behörden kann ich nicht beurteilen, da die Überprüfung nicht zu unseren Aufgaben zählt. 5

6 SONDERTHEMA DAS COMPUTER EMERGENCY RESPONSE TEAM (CERT) FÜR DAS LAND BERLIN Die ENISA European Network Security and Information Agency ist zuständig für die Netzsicherheit Europas. vorfalls reduziert und zukünftige Ereignisse verhindert werden. Das Ziel des Berlin-CERT ist es, den betroffenen Behörden bei Sicherheitsereignissen und -vorfällen zu helfen, deren Auswirkungen zu reduzieren und zukünftige Ereignisse zu verhindern. Präventive Tätigkeiten: Die regelmäßige Verteilung sicherheitsrelevanter Empfehlungen Die Analyse und Überprüfung von Kundensystemen auf Verwundbarkeiten (Security Audit) bzw. deren Umgebung Die frühzeitige Erkennung von Angriffen oder Missbrauch (Intrusion Detection). Damit die europäischen Nationen bei Bedrohungen aus dem Cyberraum enger kooperieren, empfahl sie die Gründung nationaler CERTs, die auf nationaler Ebene für IT-Netzsicherheit zuständig sind. Für die Bundesrepublik Deutschland nimmt diese Aufgabe das CERT-Bund war, das beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt ist. Um die IT-Sicherheit der kritischen IT-Infrastrukturen der Landesverwaltungen zu sichern, beschloss der IT-Planungsrat, der in Deutschland landesübergreifende IT-Fragen regelt, ergänzend in jedem Bundesland ein CERT einzurichten. Denn die Angriffe aus dem Internet auf Institutionen in Deutschland nehmen zu. Im Land Berlin beauftragte der Innensenator die IT-Gremien des Landes Berlin, die Vorgaben des IT-Planungsrates für die Einrichtung eines Berlin-CERT umzusetzen. (Foto: Fotolia / Snr) Das Berlin-CERT ist eine klassische IT-Dienstleistung für das Land Berlin und fällt in das Kerngeschäft des IT-Dienstleistungszentrum Berlin. In anderen Bundesländern nehmen diese Aufgabe ebenfalls die jeweiligen IT-Dienstleister wahr. Das ITDZ Berlin verfügt über die erforderlichen Kenntnisse der komplexen IT-Landschaft des Landes Berlin. Ferner ist es erforderlich, bei einem IT-Sicherheitsvorfall in einer Behörde, diese, wie es die Richtlinie zu behördenübergreifenden IT-Sicherheitsvorfällen vorsieht, wegen der Gefährdung des Übergriffs auf andere Behörden vom Berliner Landesnetz zu trennen. Das ist der klassische Einsatzfall für das Berlin-CERT und es gilt, möglichst vor Ort und in kurzer Zeit die Handlungsfähigkeit der Behörde wiederherzustellen. Darüber hinaus sollen die Auswirkungen des Sicherheits- Reaktive Tätigkeiten: Die technische Analyse und Ursache des IT- Sicherheitsvorfalls Unterstützung bei der Reaktion (Response) auf Vorfälle, Schwachstellen oder Angriffswerkzeuge Bearbeitung von Anfragen zu Sicherheitsvorfällen Die Zusammenarbeit und Kooperation mit dem IT-Lagezentrum, dem CERT-Bund und Landes-CERTs. Das ITDZ Berlin nutzt für diese Aufgabe die Erfahrungen der Mitarbeitenden in den Bereichen der IT-Sicherheit des Berliner Landesnetzes und der Windows-/Unix-/Linuxbetriebssysteme in Verbindung mit Berliner Behörden. Noch in diesem Jahr erfolgt die Aus- und Fortbildung der Mitarbeitenden hinsichtlich der IT-Sicherheit im Zusammenhang mit den Aufgaben eines Berlin-CERT etwa in den Bereichen Vulnerability, Penetration Tests oder IT-Forensik. Danach erfolgt die Prüfung und der strukturierte, organisierte Aufbau von IT-Sicherheitsdienstleistungen eines CERT für Berlin, damit das Berlin-CERT Anfang 2014 aktionsfähig ist. 6

7 KUNDENINFORMATION AUSGABE 4/4 Dezember 2013 SECURITY AWARENESS IT- und Informationssicherheit wird häufig ausschließlich als technische Herausforderung gesehen. (Foto: Fotolia/aetb) Ebenso wichtig sind aber die konsequente Umsetzung von Sicherheitsrichtlinien und das Bewusstsein aller Beteiligten bezüglich der Gefahren, die von Unwissenheit oder Achtlosigkeit im Umgang mit Systemen und Daten herrühren können. Unter Security Awareness versteht man die Sensibilisierung der Mitarbeitenden bezüglich dieser Risiken. Der eigene Geburtstag ist kein ausreichend sicheres Passwort Eine beliebte Methode an vertrauliche Daten zu kommen ist das sogenannte Social Engineering. Damit versucht der Angreifer die nötigen Daten für den Zugriff auf geschützte Systeme direkt über den Mitarbeitenden zu bekommen. Im ersten Schritt werden hierfür alle verfügbaren persönlichen oder vertraulichen Informationen der Opfer ausgespäht. Teil dieses Systems ist das Phishing, bei dem mit fingierten s oder Anrufen Zugangsdaten ermittelt werden. Dabei wird häufig an die Bereitschaft der Mitarbeitenden zu helfen appelliert. So etwa, wenn angebliche Administratoren per Telefon nach Passwörtern fragen. Hier sind klare Vorgaben zum Umgang mit Passwörtern und gesundes Misstrauen gefragt. Häufig müssen die Passwörter aber gar nicht preisgegeben werden. Oft reichen schon wenige Informationen aus dem Umfeld, um Passwörter erraten zu können. Insbesondere, wenn die Namen naher Angehöriger als Passwort oder Geburtstage als PIN verwendet werden. Manchmal braucht es noch weniger. Die am häufigsten benutzten Passwörter sind immer noch und password und gewähren keinen ausreichenden Zugriffsschutz. USB-Sticks sind ein Risiko für die Datensicherheit Ein anderer Weg, unbefugt an Daten zu gelangen, sind absichtlich verlorene mobile Datenträger wie USB-Sticks. Dabei wird gehofft, dass der Finder aus Neugier, oder um den Besitzer zu ermitteln, den Datenträger an seinen PC anschließt. Auf diesem Weg wird unbemerkt Schadsoftware installiert, die Passwörter werden ausgespäht oder direkt Daten abgegriffen und dem Angreifer zugesendet. Insgesamt ist die Benutzung von mobilen Datenträgern mit besonderen Risiken für die Datensicherheit verbunden. So gehen kleine Geräte wie USB-Sticks leicht verloren. Unverschlüsselte Daten können damit schnell in unbefugte Hände geraten. Auch können Datenträger bereits durch die Nutzung an anderen Systemen mit Schadsoftware verseucht sein und stellen dann eine Gefahr für den Arbeitsplatz-PC dar. Private Festplatten, USB-Sticks und CDs sind an dienstlichen Computern deswegen nicht zu verwenden. Die Mittel zur sicheren Nutzung der Technik sind häufig sehr einfach. Dazu gehören ein bedachter Umgang und Schutz von Zugangsdaten, eine strikte Trennung von dienstlichen und privaten Daten sowie eine allgemeine Vorsicht mit Anfragen zu sicherheitsrelevanten Daten. Das ITDZ Berlin führt dazu für seine Mitarbeitenden regelmäßig Schulungen durch. Auch für Beschäftigte der Berliner Verwaltung werden Veranstaltungen angeboten, die sich mit dem Thema IT-Sicherheit befassen, unter anderem in Zusammenarbeit mit der Verwaltungsakademie. 7

8 PRAXISTIPP VERANSTALTUNGEN Mit der AppBox im Berliner Landesnetz Die neue AppBox des ITDZ Berlin bietet den Nutzern des Mobilen Netzzugangs (MNZ) einen gesicherten Zugriff auf neue, webbasierte Angebote. So ermöglicht sie den Zugriff via Smartphone auf das interne Telefonverzeichnis (ITVB) und somit den schnellen Zugriff auf die Kontaktdaten der Kolleginnen und Kollegen im Land Berlin. Ergänzend können Nutzer der AppBox das Intranetangebot des Landes Berlin oder ihren Persönlichen Informationsassistenten PIA nutzen. Die Anbindung von Sharepoint ermöglicht den Nutzern des mobilen Zugangs zudem im hauseigenen Netz hinterlegte Daten abzurufen. Mit der AppBox können die User via Smartphone oder Tablet auch auf webbasierte Fachverfahren zugreifen. Das bedeutet für Mitarbeitende der Berliner Verwaltung, die viel von unterwegs arbeiten, dass sie im Rahmen des Fachverfahrens anfallende Aufgaben mobil direkt weiterbearbeiten können, ohne sie später in der Dienststelle in das lokale System übertragen zu müssen. Den Sicherheitsanforderungen für mobile Endgeräte entspricht die AppBox im gleichen Maße wie alle weiteren mobil zu nutzenden Angebote des ITDZ Berlin. Die Daten verlassen bei der AppBox zu keiner Zeit die Applikation des mobilen Netzzugangs und es werden keine Daten auf dem Endgerät gespeichert Dezember 2013 Moderner Staat Estrel Convention Center Berlin, Sonnenallee 225, Berlin Februar 2014 INFORA Anwenderforum E-Government Bundespresseamt Berlin, Reichstagufer 14, Berlin März 2014 CeBIT Halle 7, Messegelände Deutsche Messe AG, Hannover AKTUELLES 1. McAfee-Sammellizenz noch bis Ende des Jahres Einrichtungen des Landes Berlin können Sicherheitsprodukte der Firma McAfee über einen Sammellizenzvertrag beziehen. Die aktuell sehr attraktiven Preise stehen noch mindestens bis Jahresende über den IT-Shop zur Verfügung. Der Vertrag enthält die im Land Berlin am häufigsten verwendeten McAfee-Produkte aus folgenden Suiten und Einzelprodukten: McAfee Suiten: Active VirusScan (SAV) Total Protection for Endpoint (TEN) Endpoint Protection Suite (EPS) Endpoint Protection Advanced (EPA) McAfee Einzelprodukte: Endpoint Encryption for PC (DED) Endpoint Encryption for Files and Folders (DFF) Total Protection for Data (TDA) MOVE for virtual Desktops (MOVE-D) MOVE for virtual Server (MOVE-S) 2. Notfallmanagement Sowohl die tägliche Arbeit der Verwaltung als auch die Bürgerservices der Behörden basieren vielfach auf zentral vom ITDZ Berlin bereitgestellte IT-Services. Die Verfügbarkeit der Angebote hat für das ITDZ Berlin höchste Priorität und wird über definierte Prozesse und Service Level sichergestellt. Fallen Services aus, wird von Auftraggebern, Mitbewerbern und Nutzern die Wirtschaftlichkeit, Leistungsfähigkeit und Nachhaltigkeit des Angebotes in Frage gestellt - ein Schaden von hohem Ausmaß, der ein Notfallmanagement erfordert. Maßnahmen daraus sollen entsprechend dem Standard des Bundesamts für Sicherheit in der Informationstechnik dafür sorgen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden. Wichtiger Teil des Notfallmanagements ist die Information und Kommunikation mit unseren Kunden. Zu dessen Sicherstellung ist das ITDZ Berlin auf Ihre Mitwirkung angewiesen. Informieren Sie uns über Änderungen und benennen Sie uns immer die aktuell Verantwortlichen, die unabhängig von der eigenen IT-Infrastruktur erreichbar sind. Das Sortiment steht Ihnen im IT-Shop unter zur Verfügung. Einrichtungen, die keinen Zugang zum IT-Shop besitzen, können über Abrufscheine bestellen, die sie vom IT-Selling-Team erhalten ( eselling@itdz-berlin.de, Hotline-Telefonnummer ). IMPRESSUM Herausgeber: IT-Dienstleistungszentrum Berlin, Berliner Straße , Berlin, V. i. S. d. P. Konrad Kandziora Redaktion: Anna-Maria Krebs (Vertriebsleiterin), Tel , info@itdz-berlin.de Gestaltung, Satz: Weinert & Partner, publicgarden (Foto: Fotolia/hansgeel) 8