Einführungslehrgang für Landesbedienstete

Größe: px
Ab Seite anzeigen:

Download "Einführungslehrgang für Landesbedienstete"

Transkript

1 Einführungslehrgang für Landesbedienstete h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n e d v k u n d e n o r i e n t i e r t k o m p e t e n t i n n o v a t i v e f f i z i e n t AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 1

2 Inhalte Überblick über das IT-System des Landes Vorstellung des Systemumfanges IT-Organisation Wichtige Basissysteme (Fileserver, Mail, SAP, Personalwirtschaft, DOMEA ) Kennzahlen Vorstellung der wichtigsten IT-Prozesse Projektmanagement Berechtigungsvergabe Softwareprodukte Bestellwesen Support IT-Sicherheitsmanagement Überblick Komponenten der IT-Sicherheit Besondere Sicherheitsrisiken Umgang mit Social Media (Facebook und Co) Was kann und soll der Mitarbeiter zur IT-Sicherheit beitragen? AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 2

3 Überblick über das IT-System des Landes Kärnten Rechenzentren Hauptrechenzentrum in Klagenfurt Lampertzzelle Notstromgenerator Unterbrechungsfreie Stromversorgung Redundante Klimaanlagen 160 Server 170 TB Daten 1,4 PB Sicherungen Notfallrechenzentrum in Villach im Aufbau Arbeitsplatzstruktur 3000 PC-Arbeitsplätze 600 Drucker Mehr als 100 Standorte 3500 Useraccounts im Landesnetz 4500 Useraccounts im Kärntner Schulnetz AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 3

4 Aktuelles Organigramm (Stand 2013) EDV-Leitung DI Rudolf Köller Sekretariat Sabine Tschauko Organsationsunterstützung Gerald Klier Softwareentwicklung und Datenbankservices Thomas Steinwender Systemtechnik Maurizio Papini Interne Basissysteme Mag. Peter Marktl Rechenzentrum und Netzwerktechnik Harald Kiko Qualitätsmanagement IT-Berechtigungscenter Gerald Klier DI Thomas Puschl Ing. Helmut Mastnak Einkauf Dietmar Holzer IT-Kundencenter Eva Andritsch Sonja Hudelist Datenbankadministration, DWH Thomas Steinwender Ing. Roman Zöttl Josef Kofler Formularserver Elisabeth Pirker (0,75) Entwicklung Josef Kuneth Ing. Klaus Wolte Ing. Michael Russegger Heinrich Gatti DI Stefan Karnel DI (FH) Peter Rainer Server Maurizio Papini Josef Jaritsch Andreas Jobst Robert Fister Mag. Andrzej Laska Bundesapplikationen Marketing Ing. Dietmar Kraxner BH-Unterstützung Udo Tröbacher Gerald Valentin Dateneingabe Ingrid Oleschko (0,5) Helga Hornbogner (0,5) Projektmanagement Mag. Peter Marktl DI Walter Hetzendorf DI Robert Kawalar Mag. Primig Daniela (K) DI Peter Sterz (0,5) Host Entwicklung Alfred Kollinger Jobvorbereitung Host Alfred Zeginigg Domea Servies Josef Schurz Ing. Michael Strasser Valentin Hafner Gabriele Hartwig (L) SAP-CC Ing. Peter Wanschou n.n. SAP-Entwickler (0) Mag. Vera Koren (K) QISMS, Unix Harald Kiko Michael Goritschnig Netzwerkbetrieb Heinz Malle Rudolf Wandelnig 6 9, ,5 (davon 2 in Karenz (K)), +1 ausgeschrieben +1 ausgeliehen (L)) 4 LEGENDE für Funktion Unterstrichen: Leitung Normal: Gruppenmitglied Kursiv in (): extern oder nicht besetzt Gruppe Arbeitsfelder, grob abgegrenzt Organigramm Abteilung 1 (Kompetenzzentrum Landesamtsdirektion) Informationstechnologie Stand Gesamtanzahl MA 01/2000: 61 / aktuell: 43 Personen (davon 3x50% + 2 in Karenz) 40,25 PE Version 5.3 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 4

5 Datenvolumen des Landes (EVA 8000 High Quality Level, P2000) Status 2012: Ziele 2013: Halten des Standards. Steigerung der Performance. Aufbau eines Notfallrechenzentrums in der BH Villach. Erhöhung der Backupkapazität / Änderung des Backupkonzeptes. Erwarteter Bedarf von 155 TB Plattenspeicher Das Land hat ein High- End Festplattensystem (HP EVA6500) und mehrere kleinere Storage Systeme (HP P2000) Der Zuwachs an Speicherplatz entspricht dem weltweiten Trend Die Datenbestände werden täglich gesichert. Es gibt wöchentliche und monatliche Fullbackups. Entsprechend dieser Logik können jeden Datenstand der letzten sechs Monate wiederherstellen Ein Problem bereitet der Speicherzuwachs im Backupsystem. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 5

6 Entwicklung der Internetnutzung Ergebnisse 2012: Geringer Anstieg bei der Internetnutzung 2010: Ausstieg der Gmeinden 2011: Verschärfung des Contentfilters Anteil der Nutzung von.gv.at-seiten ist geringfügig gestiegen Ziele 2013: Sicherung des Zugangs zum Gesamtsystem: Rollout des Trusted Network Computing Intensivierung der Anwendungssicherung mit CITRIX NetScaler. Externer Security Check AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 6

7 Endgerätestrategie des Landes Homogenisierung der Hardware, wenige Produkttypen, industrialisierte Geschäftsprozesse Derzeit ist das 4. Hauptrollout im Laufen und nahezu abgeschlossen HW-unabhängiges Imaging Basis Image (für sämtliche Modelle gleich) Vergabe einer Modell-ID pro Gerätetype Zuordnung der HW-spezifischen Treiber in einer Datenbank Einsatz weniger Geräte-Typen Kategorisierung Office-PC und -Notebook Workstation und mobile Workstation ultramobiles Notebook Generelle Zielsetzung Kostenreduktion unter Berücksichtigung eines zweckorientierten Produktkataloges optimierte Ausnutzung der Hersteller Lifecycles Green IT (Energy Star, EPEAT Gold etc.) im Hinblick auf Produktion, Betrieb und Verwertung AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 7

8 Der Office-PC HP Compaq 8200 Elite USDT (UltraSlimDeskTop) Core i Prozessor (2 nd Gen. Core i) 4GB RAM 250GB HDD DVD-Brenner integriert optional erweiterbares Graphik-Subsystem AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 8

9 Die Workstation HP Z220 Workstation Core i Prozessor 4GB RAM 500GB HDD NVIDIA Quadro MB A-CAD zertifiziert AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 9

10 Das ultramobile Notebook HP EliteBook 2570p 4GB RAM 128GB SSD HDD Akkulaufzeit bis 8,5h 1,75kg Core i5-2510m (2 nd Gen.) 12,5 HD-Display, 1366x768dpi UMTS/3G Modem integriert DVD-Brenner integriert AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 10

11 Das Office Notebook HP ProBook 6470b Core i3-2310m (2 nd Gen.) 4GB RAM 250GB HDD 14 HD-Display, 1366x768dpi bis zu 7h Akkulaufzeit 2,3kg AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 11

12 Die mobile Workstation HP EliteBook 8570w Core i7-2620qm (QuadCore i 2 nd Gen.) 4GB RAM 500GB HDD 15,6 HD+ Display, 1600x900dpi NVIDIA Quadro 1000M A-CAD zertifiziert AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 12

13 Ihre Standardsoftware Windows 7 Professional Edition Virenschutz: Symantec Endpoint Protection Microsoft Office Professional Microsoft Exchange 2010 Server Outlook 2010 Client Mailarchiv: Symantec Enterprise Vault DOMEA Elektronischer Akt SAP Kernprozesse des betrieblichen Rechnungswesens Acrobat Reader Wir betreiben Metering: Softwarenutzungsgrad Netzwerktraffic Druckernutzung Verbrauchsmaterialmessungen Nutzung der Mobilen Endgeräte AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 13

14 Server: Microsoft Exchange 2007 Client: Microsoft Outlook 2010 Mailarchiv: Symantec Enterprise Vault Sicherheit: MXTreme Borderware Ihr Account: Archivierung: Datenvolumen: 200 MB Ab dem dritten Monat UserMailbox 3 Jahre PostMailbox 7 Jahre Das Mail System des Landes Die Filterung der empfangenen Mails beim Land Kärnten, ist ein wichtiges aber auch ein sehr komplexes Thema. Im Landesbereich wird derzeit die Serversoftware MXTREME Mail Firewall zur SPAM Filterung eingesetzt. Das Klassifizierungslimit für das SPAM Ranking ist zurzeit so eingestellt, dass keine korrekten Mails gefiltert werden. Daraus ergibt sich aber der Umstand, dass ein geringer Prozentsatz an SPAM Mails zum Anwender gelangt. Die Filterung im Landesbereich beschränkt sich im wesentlichen, auf SPAM (eindeutig identifiziert), auf REJECT (durch Blacklist und DNS Check als SPAM identifiziert) und VIRUS (virenverseuchte Mails die nicht gesäubert werden konnten). AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 14

15 DOMEA - ELAK Betrachtet werden sollen folgendevideokonferenzsituat ionen: Peer to Peer (möglichst ohne digitalen Konferenzraum) Kommunikation über einen Konferenzraum der Polycom- Infrastruktur AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 15

16 Personalwirtschaftssystem DPW DPW-Modul Status Zeitwirtschaft Betrieb seit 1995 Lohnverrechnung Vollbetrieb seit Abwesenheiten Vollbetrieb seit Stellenplan Vollbetrieb seit Mai 2007; mit 2009 wieder eingestellt DPW-AddOn AKL-Reisekosten Betrieb seit Bewerbermanagement Pilotbetrieb ab 12/2010 Reisekosten eingestellt Leistungszeiterfassung Volltrieb ESS Urlaubsantrag Teilbetrieb Budget zurückgestellt Personalinformation keine weitere Entwicklung; Stellenplan in Betrieb Dokumentengenerierung Analyse ASFINAG Schnittstelle Vollbetrieb Datenbank Umstellung V10 erfolgt 5/2010 Pensionsrechner Analyse abgeschlossen Vordienstzeitenberechnung Teilbetrieb SAP Schnittstellen Vollbetrieb seit 01/2010 Umstellung V8P Vollbetrieb seit 08/2010 Beförderungsmodul Vollbetrieb seit 10/2011 Führerschein-/Sachverst.gebühren Vollbetrieb seit 02/2011 Bundespensionskasse Vollbetrieb ab 01/2010 Dienstreisemanagementsystem Detailanalyse Vollbetrieb in Umsetzung Pilotbetrieb Teilbetrieb Ergebnisse 2012: Alle relevanten Bereiche sind seit Jahren im Echtbetrieb. Gesetzliche Anpassungen und Neuanforderungen werden per Auftrag umgesetzt. Im Jahr 2012 wurden wesentliche Analysen durchgeführt, die 2013 implementiert werden sollen. (Dienstreisemangement, Pensionsrechner) Der elektronische Urlaubsantrag wurde auf die Abteilung 1,2,3,5 und 8 ausgerollt. Ziele 2013: Umsetzung Dienstreisemanagement Umsetzung Pensionsrechner Nettozettel Neu Personalbudget Neu (inkl. Agenden von Hr. Linke aufgrund Pensionierung) Ablöse Personalauswertungen/Schnittstellen von Cognos Upfront in eine Portalanwendung Dokumentengenerierung: Bewerber + Vordienstzeitenanrechnung DPW Online Datenanlieferung über SOAP Webservice AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 16

17 Das SAP-System des Landes Kärnten Systemaufbau und Schnittstellen AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 17

18 Druckmanagement Ergebnisse 2012: Druckvolumen ist trotz Gegensteuerung um 0,3% gestiegen Duplexdruck wurde ausgeweitet Sensibilisieren Ziele 2013: Druckvolumen senken (Sollte durch Druckzentrum möglich werden) Follow me noch stärker ausrollen Rollout Universal Printer Driver Userakzeptanz steigern AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 18

19 E-Government: Anwendungen und Nutzung Nicht erreichte Ziele 2012: Der Produkt- und Leistungskatalog muss nach wie vor mit dem Themenzugang im Verwaltungsportal abgestimmt werden. Ziele für 2013: Verstärkte Sicherheitsüberprüfungen (PVP Audit; regelmäßiges Monitoring) Das PVP System soll im Rahmen des Patchlevelmanagements immer am neuesten Stand gehalten werden. Upgrade auf Windows 2008 Server Betriebssystem AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 19

20 Vorstellung der wichtigsten IT-Prozesse Lieferant KUNDE Anforderung Planung und Risikoanalyse TT Auftrag Audit Unterstützungsprozesse Prozesslandkarte der Ladion EDV Applikationen Client HW, Betriebssystem SW Datenbanken Plattform HW, SW Netz, SAN Betriebsführung Einkauf Entwicklung Projektmanagement Informationssicherheit Netz HW SW Unix, Host, Win Server Oracle, DBII, Data Warehouse, Notes DB PC, Drucker, Peripherie Diverse Anwendungen Managementbewertung TTA LS KVP Produkt / Dienstleistung KUNDE Betrieb Rollout Serverbetrieb Support Einkauf Bestellwesen Assetmanagement Entwicklung Neuentwicklung von SW Wartung und Adaptierung Datenbankdesign Projektmanagement Informationssicherheit Risikomanagement Berechtigungsverwaltung Securitychecks TT = Trouble Ticket TTA = TT Auflösung PA = Projektauftrag LS = Lieferschein KVP = Kontinuierlicher Verbesserungsprozess HW= Hardware SW= Software AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 20

21 Welche Begriffe müssen Sie im Zusammenhang mit dem IT-System kennen? Trouble Ticket, Nummer des IT-Servicecenters *2999 No Ticket No Trouble! Was ist Ihre Arbeitsplatznummer (Icon: IT_Hotline am Desktop) Wer ist Ihr SYSVA? Neuanforderungen: Projektauftrag (durch den SYSVA zu Stellen) Berechtigungen: Berechtigungsauftrag (ist durch den BSAG zu stellen (meist SYSVA)) Infos finden Sie im Intranet unter: Intranet.ktn.gv.at Abteilungen LADion IT Breaking News: Ankündigung von geplanten Abschaltungen oder bekannten Problemen Erlässe und Regelungen finden Sie in der Erlasssammlung der LADion: Intranet.ktn.gv.at Abteilungen Abt.1 LAndesamtsdirektion Erlässe Datenverarbeitung Sicherheitspolitik_mobile_Endgeräte Sicherheitspolitik_m IT-QM-8/1-2012, Leitfaden-Meldung-Datenanwendung-DVR Leitfaden-Meldung-Da... LAD-IT_QM-3/3-2011, Social Media Leitfaden_Öffentlichkeitsarbeit (final) Social Media Leitfad... LAD-IT_QM-3/2-2011, Social Media Leitfaden_Kommunikation (final) Social Media Leitfad... LAD-IT_QM-3/1-2011, Sicherheitspolitik für das IT-System des Landes Kärnten ("Generalpolicy") Sicherheitspolitik f... LAD-IT_QM-0/1-2011, Sicherheitspolitik für das IT-System des Landes Kärnten ("Generalpolicy") Erlass Sicherheitspolitik f... LAD-IT_QM-0/1-2011, AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 21

22 Troubleticketauswertung Hardware 6% default: the10 most commonly used Netzwerk 3% Betriebssystem 2% Auskunft 0% Security 0% AKL Systeme 33% Aufträge 7% Drucken 8% Benutzer und Daten 9% Situation: Gesamttickets: 2009: : :6500 gesunken 2012: 8187 gestiegen Anwendungen 32% Ursachen: Dokugen/UDCS (AKL-Systeme) Drucker Hardware Ziele: Optimierung des Servicedeskprozesses mit AddIT Stabilisieren UDCS AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 22

23 Kundencenter, TT und Projektaufträge Die Anzahl der PA ist 2012 auf 660 gestiegen Das Ausscheiden des Praktikanten wurde durch Fr. Hornbogner aufgefangen Arbeit im Kundencenter und in den Besprechungsbereichen durch Kaffeezone gestört Ziele 2013: Qualität KC halten Nutzenbewertung bei PAs Digitalisierung von analogen Aufzeichnungen Den erwarteten Kundennutzen und das Ergebnis aufzeichnen AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 23

24 Kennzahlen des Berechtigungscenters Ziele 2012: TOP-Qualität halten Übernahme SAP-Berechtigungsvergabe Übernahme DOMEA-Benutzerverwaltung Sensibilisierung der BAdmin, BSAG und FSB (Rechte und Pflichten incl. Verantwortung bzw. Bedeutung) Einbindung der Zentralen Benutzer Verwaltung in ein SSO System bzw. ILCM (FIM). AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 24

25 Verfügbarkeit der IT-Systeme des Landes Kärnten (Stand ) Erreichte Ziele 2012: Steigerung der Verfügbarkeit: Redundanz der Internetleitungen wurde hergestellt 2 * 60 MB (Klagenfurt und Villach). Ersatz der Laserstrecken durch Funk Vorbereitung Notfallrechenzentrum Villach Steigerung der Sicherheit: Trennung Drucker und PC Zone. Einsatz der Anwendungskontrolle am Proxy Server im Gastnetz. Aktivierung der Anwendungskontrolle des CITRIX NetScaler. Sensibilisierung der Systemverantwortlichen. Ziele 2012: Rollout Trusted Network Computing Ausbau Notfallrechenzentrum Villach Dataguard für Mobile Endgeräte AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 25

26 Leitprojekte 2013 (1) Bereich Projekt Anmerkung PL Plan Priorität Entwicklung Lohnzettel neu MUSS: ab 02/2014 SEPA-Beleg neu JKU (Vollbetrieb) 1,00 Entwicklung Dienstreise Neu LAD-Leitprojekt JKU Ende ,00 Entwicklung WBF Kleinbau Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung WBF Großbau Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung WBF Ersterwerb Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung WBF Eigenmittelersatzdarlehen Hostablöse (Einsparung BK ) TST, RKA Ende ,00 Entwicklung DWH-Filemanager JKU Ende ,00 Entwicklung DWH KGF JKU Ende ,00 Entwicklung DPW-Personal PDOC JKU Ende ,00 Entwicklung Personalberichtswesen JKU Ende ,00 Entwicklung DPW-Pensionsrechner JKU Ende ,00 Entwicklung ZBV-Neu mit AD-Integration TST ,00 Entwicklung Anbinden Bilddatenbank an Fachapplikationen TST Ende ,00 Entwicklung Evaluierung Oracle-Betriebsinfrastruktur neu TST April ,00 Entwicklung Lehrerevidenz JKU Ende ,00 Entwicklung Jagd- und Fischereikarten TST Ende ,00 IBS SAP-Strategieprozeß weitertreiben RKÖ laufend 1,00 IBS Motorbootabgabe Hostablöse (Einsparung BK ) PWA Ende ,00 IBS Naturschutzabgabe Hostablöse (Einsparung BK ) PWA Ende ,00 IBS Nächtigungstaxe Hostablöse (Einsparung BK ) PWA Ende ,00 IBS Tourismusabgabe Hostablöse (Einsparung BK ) PWA April ,00 IBS Finanzberichte abhängig von neuem SAP-Entwickler PWA Plan ,00 IBS Sondertransportschnittstelle abhängig von neuem SAP-Entwickler PWA Plan ,00 IBS Produktkatalog und Formularwesen RKA Plan ,00 IBS/Domea Outputmanagement (prioritär) dzt. nur in Strafen, TAbg. und WBH WHE Ende ,00 IBS/Domea Skartierung Betriebsprojekt PST Mai ,00 IBS/Domea Stammdaten Analyse MST Ende ,00 IBS/Domea Posteingang WHE Ende ,00 IBS/Domea Scanstelle WHE Ende ,00 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 26

27 Leitprojekte 2013 (2) Bereich Projekt Anmerkung PL Plan Priorität Systemtechnik Bitlocker Verschlüsselung bei Notebooks MPA Juni ,00 Systemtechnik Domänenmigration (KSN, AKL) Intergration KSN-Domain in AKL JJA Juni ,00 Systemtechnik Videokonferenzsystem Pilotbetrieb für SBA und Abt. 3 RKÖ Mai ,00 Systemtechnik Mobile Device Management Steigernung der Sicherheit MPA Ende ,00 Netzwerk Notfallrechenzentrum: Bauliche Maßnahmen Fertigstellen des RZ in Villach HKI April ,00 Netzwerk Notfallrechenzentrum: Trennung von vorhandenen Systemen Steigerung Ausfallssicherheit HKI laufend bis Ende ,00 Netzwerk Notfallrechenzentrum: Siedelung alte EVA Steigerung Ausfallssicherheit HKI Ende Juli ,00 Netzwerk Integration der Landwirtschaftlichen Fachschulen Netzwerkerweiterung HKI ,00 Netzwerk Rollout TNC (abteilungweise) IT-Sicherheit HKI laufend bis Ende ,00 Netzwerk IP-Adressanpassung an CC-Struktur Adaptierung HKI ,00 Netzwerk Crisam (Risikoreduktion) IT-Sicherheit Alle laufend bis Ende ,00 Netzwerk Backupkonzept überarbeiten IT-Sicherheit HKI ,00 Unterstützungsprozesse DPW-Batch Neu für alle Firmen Betriebsübenahme GKL ,00 Unterstützungsprozesse Urlaubsschein Rollout Berechtigungsvergabe GKL laufend bis Ende ,00 Unterstützungsprozesse SAP-Berechtigungsübernahme Neuübernahme GKL ,00 Unterstützungsprozesse QM-Punkte erledigen QM GKL Ende ,00 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 27

28 AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 28

29 IT-Sicherheitsmanagement Allgemeines Komponenten der IT-Sicherheit Sicherheitssensibilisierung, besondere Sicherheitsrisiken Umgang mit Social Media (Facebook und Co) Was kann und soll der Mitarbeiter zur IT-Sicherheit beitragen? AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 29

30 Begriffsbestimmungen Cybercrime: Internetbetrug Ausspähen von Daten Verbreitungsverbot Jugendmedienschutz Identitätsdiebstahl Urheberrechtsverletzung Cyber-Mobbing Volksverhetzung Kinderpornographie Cyberterrorismus Cyberwar Thesen: Datensicherheitsprobleme sind nicht neu (Karteikasten!) Der Mensch ist die Schwachstelle Sicherheit heißt: Schwachstellen erkennen und beseitigen Internet ist ein rechtsfreier Raum Die Bösen sind immer eine Nasenlänge voraus Cybercrime Studie von Symantec (2011) (http://de.norton.com/cybercrimereport) Durch Internet-Kriminalität entstand Symantecs aktuellem Cybercrime Report 2011 zufolge in den vergangenen zwölf Monaten in Deutschland ein direkter finanzieller Schaden in Höhe von insgesamt 16,4 Milliarden Euro. Weltweit belief sich der Schaden auf 114 Milliarden Dollar beziehungsweise 388 Milliarden Dollar inklusive des eingerechneten Zeitverlustes. Zusammengenommen entspreche der Schaden dem Wert des weltweiten Drogenhandels, so Symantec in seiner Studie. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 30

31 Geräteverlust ist ein hohes Sicherheitsrisiko! Verlorene Geräte in Taxis: Studie von Pointsec in Chicago und London Anzahl verlorener Geräte allein in Taxis nach 6 Monaten Handys PDAs/Pocket PCs Laptops! Verlorene Geräte auf Flughäfen: Studie für Dell von Ponemon Institut durchgeführt Untersuchung an 8 der größten EU FlughäfenShiphol, Charles de Gaulle Laptops/Woche gestohlen oder vergessen 3.300/Woche = 471,5/Tag = 19,6/Stunde Das entspricht alle 3 Minuten ein Gerät! AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 31

32 Cyberkriminalität ist ein Geschäft In den guten alten Zeiten ging es um die Ehre! Malware schreiben wurde sportlich gesehen Wettkampf: Wer entwickelt coolere Viren Heute gilt Make Money egal wie Gezahlt wird für jede Art von Daten Erpressung -> Denial of Service, Online Banking Trojaner, Phishing, SPAM Kreditkartennummern, Botnets, Onlinebanking-Zugängen, Logins für Online- Shopping (ebay, Amazon), virtuelles Geld wie Paypal, persönliche Daten, etc Facebook! AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 32

33 Sicherheitssensibilisierung (1) Neuen Mitarbeiterinnen / Mitarbeitern müssen interne Regelungen, Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden. Vorstellungen aller Ansprechpartner/innen, insbesondere zu IT Sicherheitsfragen. Erläuterung der hausinternen Regelungen und Vorschriften zur IT Sicherheit und der organisationsweiten Sicherheitspolitik. Durch unsachgemäßen Umgang mit IT Anwendungen hervorgerufene Schäden können vermieden werden, wenn die Benutzer/innen eingehend in die IT Anwendungen eingewiesen werden. Umfassende IT Sicherheit kann nur dann gewährleistet werden, wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über IT Sicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihren eigenen Arbeitsgebiet haben AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 33

34 Sicherheitssensibilisierung (2) Die überwiegende Zahl von Schäden im IT Bereich entsteht durch Nachlässigkeit. Das richtige Verhalten bei Auftreten eines Virus auf einem PC. Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien. Die Bedeutung von Datensicherung und deren Durchführung. Der geregelte Ablauf eines Datenträgeraustausches. Der Umgang mit personenbezogenen Daten. Die Einweisung in Notfallmaßnahmen. Richtiges Verhalten bei Auftreten von Sicherheitsproblemen. Vorbeugung gegen Social Engineering. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 34

35 IT-Sicherheit Überblick Elemente des IT-Sicherheitsmanagements [1] Sicherheitspolitik [2] Sicherheitsorganisation [3] Klassifizierung von Vermögenswerten [4] Personalsicherheit [5] Physische Sicherheit [6] Sicherheit von Kommunikation und Betrieb [7] Zugriffskontrolle [8] Sicherheit bei Systementwicklung und Wartung [9] Aufrechterhaltung der Betriebsbereitschaft [10] Einhaltung von Sicherheitsvorschriften AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 35

36 QISMS Pyramide Plan Act ISO 9001 Qualitätsmanagement Organisation General Ebene Leitbild Generalpolicy Strategie Meta Ebene ÖN Informationssicherheitsmanagement Risikoanalyse SLA s Prozesse Policies Detail Ebene Detail SLA s Detail Prozesse Detail Policies Do Check AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 36

37 Generalpolicy des Landes Kärnten Allgemein Diese Generalpolicy dient der Festlegung allgemein gültiger Grundsätze, Ziele und Verfahren des Informationssicherheitsmanagements für das IT-System des Landes Kärnten. Sie wurde im Rahmen der Einführung eines integrierten Informationssicherheits- und Qualitätsmanagementsystems erstellt und wird im Rahmen dieser Normen gewartet. Quellenhinweis Die ÖNORM A 7799 / ISO Informationssicherheitsmanagementsysteme und ISO 9000:2000 Qualitätsmanagementsysteme bilden die Basis dieser Generalpolicy. Durch dieses Dokument soll auch den Anforderungen des geltenden Datenschutzgesetzes 0 (DSG 2000), insbesondere im Hinblick auf die zu setzenden Datensicherheitsmaßnahmen, Rechnung getragen werden. Zu finden im RIS Adressaten Im Wege eines Erlasses für das Amt der Kärntner Landesregierung (AKL) und die Bezirkshauptmannschaften (BH). Weiters müssen sich auch andere Nutzer des IT-Systems des Landes Kärnten wie die Agrarbezirksbehörde (ABB) Klagenfurt und ABB Villach, oder sonstige Nutzer des IT-Systems des Landes Kärnten wie ausgegliederte Rechtsträger oder Vereine zur Einhaltung dieser Grundsätze, wie etwa durch Vereinbarungen mit der Ladion EDV, verpflichten. AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 37

38 Räumliche Zutrittsregelung Sicherheitszone A Rechnerraum, zentrale Netzwerkteile Sicherheitszone B PC-Standorte Sicherheitszone C Heimarbeitsplätze und mobile Arbeitsplätze Schutz gegen Diebstahl PCs- / Notebooks / Drucker sind nicht versichert Festlegung von Sicherheitsklassen und Stufen Klassifizierung von personenbezogenen Daten: indirekt personenbezogenen Daten direkt personenbezogene Daten Sensible Daten Betriebsverfügbarkeit Redundanter Standort Keine Vorsorge (Unkritisch) Offline Sicherung - Notfallordner Redundante Infrastruktur Generalpolicy (Regelungen 1) AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 38

39 Generalpolicy (Regelungen 2) Grundsätzliches zu Hard- und Software Netzwerksicherheit und Datenkommunikation CNC + VPN, CNC Gemeinden, KSN Zulässige Hard- und Software Software darf nicht dupliziert werden Nicht Standardsoftware Gerätewechsel oder Arbeitsplatzwechsel Firewall, Virenchecker, Proxy Server, Mail Server Hardware wird über den Outsourcingpartner zur Verfügung gestellt Dienstliche Daten bleiben stets im Eigentum des Landes Die Endgeräte (PC, Notebook, etc.) werden vom AKL den Dienstnehmern zur Ausübung der dienstlichen Tätigkeiten überlassen. Die Geräte und Dateninhalte bleiben Eigentum des AKL. Es ist autorisierten Personen (Mitarbeiter der Ladion EDV, des Outsourcingpartner oder der Amtsinspektion) in Absprache mit dem Dienstnehmer jederzeit zu ermöglichen, die Endgeräte auszutauschen, Daten zu löschen und erforderlichenfalls in die Dateninhalte des Rechners Einsicht zu nehmen. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 39

40 Generalpolicy (Regelungen 3) Das Berechtigungssystem Authentisierung (Bin ich der, der ich vorgebe zu sein?) Ausloggen / Bildschirmschoner Generelle Regelungen zu Passwörtern» Keine Trivialpasswörter (12345, ABC, Geburtsdatum, KFZ KZ)» Klein- / Großbuchstaben + 1 Sonderzeichen» Keine Einsicht bei Passworteingabe» Keine Programmierung auf Funktionstasten Stellvertreterregelung Autorisierung (Rechteverwaltung) (Darf ich das, was ich tue; bin ich autorisiert?) Abwicklung durch das IT_Berechtigungscenter Rechte für Anwendungen ZBV / Portal Rechte für Datenspeicherung, Fileserver / Domainkonzept AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 40

41 Generalpolicy (Regelungen 4) Datensicherung - Personalcomputer (Sicherheitszonen B und C) Sonstiges Bei vernetzten PC sind dienstliche Daten am Server abzuspeichern und daher am PC nicht gesondert zu sichern In allen anderen Fällen (auch Individual-Programme) sind die Fachabteilungen für das Sicherungskonzept verantwortlich. (z. B. Daten auf USB Stick). Siehe auch Organisatorische Maßnahmen, EndgerätewechselDomänenkonzept Eigene Dateien Protokollierung Das Datenschutzgesetz führt als Datensicherheitsmaßnahme auch die Protokollierung von Datenverwendungsvorgängen insbesondere bei Änderungen, Abfragen und Übermittlungen an. Jede Datenanwendung, mit welcher personenbezogene Daten verarbeitet werden (sollen), ist unter Bedachtnahme auf 14 Abs. 2 DSG 2000 (Abwägung der technischen Möglichkeiten, der Wirtschaftlichkeit und des damit verbundenen Schutzzweckes) auf Protokollierungserfordernisse hin zu prüfen. Internetzugriffskontrolle Sicherungsmaßnahmen beim Ausscheiden von Datenträgern Beim Ausscheiden von Datenträgern sind Vorkehrungen gegen eine missbräuchliche Datenverwendung zu treffen. Sicherheitsvorfälle Maßnahmen für den Notfall AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 41

42 Vorstellung der Handysignatur Was ist die Handysignatur? Die Handysignatur ist ein elektronischer Ausweis (Identität) Die Handysignatur ist eine qualifizierte elektronische Signatur, die mittels Mobiltelefon auf ein.pdf-dokument aufgebracht werden kann Die Handysignatur ist bei vielen Banken eine komfortable Möglichkeit um ohne TAN-Zettel sicheres Telebanking zu betreiben Es fallen für die Aktivierung und die Nutzung der Handy-Signatur keine Kosten an. Einsatzbereiche der Handysignatur: Telebanking Signieren von Online-Anträgen Signieren von.pdf-dokumenten Zugriff auf Versicherungsdaten Zugriff auf Bürgerkartenanwendungen (ZMR-Abfrage ) Zugang zu Finanz-Online Zugang zum Bezugsnachweis (und in der Folge auch zu anderen Mitarbeiterinformationen z.b. Nebengebührenwerten) AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 42

43 Wie kommt man zur Handysignatur? 4. Kaum verbreitet, unpraktisch 3. Besuch in der Registrierungsstelle nötig 1. Die einfachste und komfortabelste Form 2. Voraussetzung: Bestimmte Geldinstitute AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 43

44 Handysignatur Linksammlung und Demo https://www.handy-signatur.at (beste Info zu Anmeldemöglichkeiten Anmelden) https://finanzonline.bmf.gv.at (einfachste Aktivierung) https://portal.ktn.gv.at (Landesportal) Einfachste Aktivierung AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 44

45 Leitfaden für verantwortungsvolle Kommunikation im WEB 2.0 und in sozialen Medien AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 45

46 Was sind Social Media? Soziale Netzwerke und Gemeinschaften (Communities) im WEB Persönliche Informationen, Daten, Meinungen, Eindrücke und Erfahrungen werden ausgetauscht Jeder kann aktiv mit anderen in Beziehung treten Inhalte werden gemeinsam erstellt, bearbeitet, kommentiert und weitergeleitet AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 46

47 Nutzungsformen von Social Media (das Dienstrecht ist die Basis für den Umgang mit WEB 2.0!) Art der Nutzung Private Nutzung Dienstlicher Wissenserwerb, Fachdiskussion Rolle Privatperson Fachreferentin bzw. Fachreferent Zu beachtende Gesetze Öffentlichkeitsarbei t Offizielle Auskunftsperson des Landes Kärnten in sozialen Medien Sozialen Medien Dienstordnung, Amtsverschwiegenheit, Datenschutz, Copyright Zweck/Funktion Private Kommunikation Dienstlicher Wissenserwerb, fachlicher Austausch Beauftragung/Erlaubnis Keine Ob eine Meldung oder Beauftragung durch die Dienststellenleitung notwendig ist, hängt von der Dienststelle ab Dienstlich, Öffentlichkeitsarbeit für das Land Kärnten Beauftragung durch die Dienststellenleitung Nutzungszeit Außerhalb der Dienstzeit (Freizeit) In der Dienstzeit In der Dienstzeit AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 47

48 Art der Nutzung Private Nutzung Dienstlicher Wissenserwerb, Fachdiskussion Öffentlichkeitsarbeit Technische Ausstattung Private Geräte Dienstliche Geräte Dienstliche Geräte Hinweis auf den Dienstgeber Kein Hinweis auf Dienstgeber im Profil Hinweis auf Dienstgeber im Profil Hinweis auf Dienstgeber im Profil Signatur Keine dienstliche Dienstliche Signatur Dienstliche Signatur Dienstliche Signatur Name Anonym, Nickname, eigener Name oder Mischform aus beiden Angabe des eigenen Namens Angabe des eigenen Namens und/oder der Behörde -Adresse Private -Adresse Dienstliche -Adresse Dienstliche -Adresse Gestaltung des Profils Privat (unter Beachtung des Dienstrechtes) Keine privaten Informationen Keine privaten Informationen Umgangston Netikette beachten, respektvoller, nicht diskriminierender, höflicher Umgangston Gepostete Inhalte Private Meinung Persönliche Meinung zurück stellen, fachlicher Austausch steht im Vordergrund Persönliche Meinung zurück stellen, Redaktionsplan steht im Vordergrund Für die kommunizierten Inhalte (Texte, Fotos, Videos, Musik) gilt: Bedienstete haben im Dienst und außer Dienst alles zu vermeiden, was die Achtung und das Vertrauen, die ihrer Stellung entgegengebracht werden, untergraben könnte (Dienstrecht) Copyright und Urheberrechte gelten selbstverständlich auch für gepostete Inhalte AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 48

49 Allgemeine Grundregeln Das Netz vergisst nie und nichts Schützen Sie Ihre Privatshäre Kommunizieren Sie verantwortungsvoll Beachten Sie das Copyright Wahren Sie unbedingt das Amtsgeheimnis und den Datenschutz Respektieren Sie die Marke Land Kärnten Geplante Veröffentlichung: Leitfaden für die verantwortungsvolle Kommunikation im WEB 2.0 und in Sozialen Medien (Für alle Mitarbeiter) Leitfaden für die Öffentlichkeitsarbeit von Dienststellen im Web 2.0 und in Sozialen Medien AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 49

50 Herzlichen Dank für Ihre Aufmerksamkeit! AUTOR: DI RUDOLF KÖLLER erstellt am: Folie: 50

51 Abteilung 1 (Kom petenzzentrum Landesam tsdirektion) Betreff: Datum: Zahl: LAD-IT_QM-0/ (Bei Eingaben bitte Geschäftszahl anführen!) Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Auskünfte: DI. Rudolf Köller, Harald Kiko Telefon: Fax: Sicherheitspolitik für das IT- System des Landes Kärnten ( Generalpolicy ) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 1 von 18

52 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Inhalt 1 Allgemeines Einleitung Quellenhinweise Adressaten Ziele und Grundsätze Allgemeine Beschreibung Regelungen Räumliche Zutrittsregelungen Sicherheitszone A Rechnerraum, zentrale Netzwerkteile Sicherheitszone B PC-Standorte Sicherheitszone C Heimarbeitsplätze und mobile Arbeitsplätze Schutz gegen Diebstahl Festlegung von Sicherheitsklassen und Stufen Betriebsverfügbarkeit Grundsätzliches zu Hard- und Software Netzwerksicherheit und Datenkommunikation Zulässige Hard- und Software Registrierung beim Datenverarbeitungsregister (DVR) Organisatorische Maßnahmen Qualitäts- und Informationssicherheitsmanagementsystem der LADion IT Organisatorische Maßnahmen in den Organisationseinheiten Gerätewechsel oder Arbeitsplatzwechsel Berechtigungssystem Autorisierung (Rechteverwaltung) Authentisierung Allgemeine Regelung für Konten und Passwörter Datensicherung Sicherungskonzept und Archivierungskonzept Sicherung von Personalcomputern (Sicherheitszonen B und C) Sonstiges Protokollierung Sicherungsmaßnahmen beim Ausscheiden von Datenträgern Ergebniskontrolle Sicherheitsvorfälle Maßnahmen für den Notfall ISMS, QM, Audit, KVP, Managementbewertung Sanktionen Verweise Verweis auf Dokumente Verweis auf Detailpolicies Verweis auf Prozesse Verweis auf Notfallpläne, Notfallanweisungen Begriffsbestimmungen / Abkürzungen Änderungsprotokoll K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 2 von 18

53 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 1 Allgemeines 1.1 Einleitung Diese Generalpolicy dient der Festlegung allgemein gültiger Grundsätze, Ziele und Verfahren des Informationssicherheitsmanagements für das IT-System des Landes Kärnten. Sie wurde im Rahmen der Einführung eines integrierten Informationssicherheits- und Qualitätsmanagementsystems erstellt und wird im Rahmen dieser Normen gewartet. Begriffsbestimmungen sind den gesetzlichen Grundlagen zu entnehmen bzw. werden am Ende dieses Dokumentes definiert. 1.2 Quellenhinweise Die ISO 27001:2005 Informationssicherheitsmanagementsysteme und ISO 9001:2008 Qualitätsmanagementsysteme bilden die Basis dieser Generalpolicy. Durch dieses Dokument soll auch den Anforderungen des geltenden Datenschutzgesetzes (DSG 2000), insbesondere im Hinblick auf die zu setzenden Datensicherheitsmaßnahmen, Rechnung getragen werden. Zu finden im RIS 1.3 Adressaten Die Erstellung und Wartung dieses Dokumentes erfolgt durch die Abteilung 1 (Kompetenzzentrum Landesamtsdirektion) - Informationstechnologie im Amt der Kärntner Landesregierung, in weiterer Folge kurz als LADion IT bezeichnet. Dieses Dokument ist für folgende Landesorganisationen gültig: 1. Im Wege eines Erlasses für die Dienststellen der Kärntner Landesverwaltung. 2. Weiters müssen sich auch andere Nutzer des IT-Systems des Landes Kärnten wie ausgegliederte Rechtsträger oder Vereine zur Einhaltung dieser Grundsätze, wie etwa durch Vereinbarungen mit der LADion IT, verpflichten. 1.4 Ziele und Grundsätze Erhöhung der Sensibilität und des Sicherheitsbewusstseins beim Umgang mit dienstlichen Informationen. Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS) integriert in das Qualitätsmanagementsystem (QMS) in der LADion IT. Festlegung von Aufgaben, Befugnissen und Verantwortlichkeiten und ständige Weiterentwicklung des Systems. Entsprechend den Leitgedanken der LADion IT wird eine zeitgemäße, funktionierende und geschützte IT-Infrastruktur bereitgestellt. Außerdem werden die EDV-Daten entsprechend verfügbar gehalten, geschützt, gesichert und archiviert. Die Risiken werden systematisch bewertet und den zuständigen Stellen (Referenten der Landesregierung) zur Entscheidung über entsprechende Gegenmaßnahmen vorgelegt. Vorrangig sollen diejenigen Maßnahmen umgesetzt werden, die dabei die höchste Effektivität und Effizienz erwarten lassen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 3 von 18

54 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 1.5 Allgemeine Beschreibung Das IT-System wird durch die LADion IT und die IT Infrastruktur mit Hard und Software gebildet Die IT-Infrastruktur des Landes Kärnten wird aus dem gesamten Verbund aus Servern, Personal-Computern, Notebooks, Druckern, Scannern, etc., und Netzwerkkomponenten der Landesorganisationen gebildet. Ausgenommen davon sind das Schul- und Gemeindenetz. Die IT-Infrastruktur verbindet dabei einerseits die Standorte von Landesbehörden (z.b. AKL, BH) sowie anderen landesnahen Nutzern miteinander und unterhält andererseits vielfältige Verbindungen zur Außenwelt etwa zu anderen Behörden, dem Schul- und Gemeindenetz oder auch dem Internet. Dadurch erhöht sich zum einen die Komplexität der Strukturen innerhalb der IT-Infrastruktur, zum anderen aber wird es zunehmend notwendig, von außerhalb der IT-Infrastruktur auf Informationen zuzugreifen, die von Landesorganisationen angeboten werden, sei es von anderen Behörden oder auch von Firmen oder Bürgern (siehe auch E-Government - Initiative). Um den daraus resultierenden höchst unterschiedlichen Anforderungen unter Wahrung der Datensicherheit und des Datenschutzes gerecht zu werden, sind einander ergänzende Maßnahmen auf verschiedenen Ebenen zu treffen. Viele dieser Sicherheitsmaßnahmen lassen sich allerdings nicht alleine auf technischer Ebene verwirklichen, sondern müssen von geeigneten organisatorischen Maßnahmen begleitet werden. Darüber hinaus ist es auch notwendig, eine einheitliche Abwicklung verschiedener datenschutztechnischer Abläufe sicherzustellen. In den folgenden Kapiteln wird auf die einzelnen Datensicherheitsmaßnahmen näher eingegangen, wobei zu beachten ist, dass diese nie isoliert, sondern immer in Kombination angewandt werden ein erhöhtes Risiko auf der einen Seite muss durch erhöhte Sicherheitsmaßnahmen auf der anderen Seite wettgemacht werden. Befinden sich die Endpunkte von landeseigenen Datenleitungen etwa in ausschließlich dem Dienstbetrieb gewidmeten Räumen, so werden im Bereich der Authentisierung neben dem Einsatz von Benutzername/Kennwort (gegenwärtig) keine weiteren Maßnahmen erforderlich sein, weil man auf Grund der sonstigen Sicherheitsmaßnahmen z.b. räumliche Sicherheit, Passwortschutz mit hoher Wahrscheinlichkeit davon ausgehen kann, dass es sich tatsächlich um einen berechtigten Benutzer handelt. Wird ein Zugang andererseits von einem mobilen Gerät aus über öffentliche Netze hergestellt, so müssen weit strengere Maßnahmen zur Sicherstellung der Authentizität, aber etwa auch der Vertraulichkeit, getroffen werden. Dies erfolgt durch den Einsatz von geeigneten Verfahren. Unter Berücksichtigung aller relevanten Faktoren ist für jede Anwendung oder Kommunikationsform zu entscheiden, welche Maßnahmen zu treffen sind. Da insbesondere der Bereich der elektronischen Kommunikation sehr schnelllebig und ständigen Änderungen unterworfen ist, werden hier laufend Anpassungen notwendig sein. Zu diesem Zweck ist beabsichtigt, entsprechende Rahmenbedingungen (Detailpolicies) gesondert zu erstellen und zu veröffentlichen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 4 von 18

55 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2 Regelungen 2.1 Räumliche Zutrittsregelungen Je nach Art und Umfang der vorhandenen Daten sind unterschiedliche Vorkehrungen und Maßnahmen zur Absicherung zu treffen. Es handelt sich primär um organisatorische und bauliche Maßnahmen, die zusammen mit den anderen Bestimmungen eine wirkungsvolle Abschirmung schutzwürdiger Daten gewährleisten. Die erforderlichen Vorkehrungen und Maßnahmen für Räume mit IT-Infrastruktur werden in so genannte Sicherheitszonen zusammengefasst Sicherheitszone A Rechnerraum, zentrale Netzwerkteile Räume, die zur Sicherheitszone A gehören, sind grundsätzlich mit einem Zutrittssystem zu sichern. Eine Aufstellung von Rechnern oder zentralen Netzwerkteilen in einem Raum, der auch anderen Zwecken dient, ist nur dann zulässig, wenn spezielle örtliche Gegebenheiten eine andere Aufstellung nicht zulassen oder wenn eine andere Aufstellung nur unter unverhältnismäßig hohem wirtschaftlichen Aufwand möglich wäre. In diesem Fall ist zumindest ein sperrbarer Netzwerkschrank vorzusehen. Besonders ist darauf Bedacht zu nehmen, keine Räumlichkeiten mit Parteienverkehr zu wählen. In jedem Fall ist in besonderem Maße dafür Sorge zu tragen, dass ein unberechtigter Zugriff verhindert wird, etwa dadurch, dass sämtliche in dem betreffenden Raum aufgestellten Konsolen - insbesondere zu Abteilungsservern - ausnahmslos in ausgeloggtem Zustand hinterlassen werden. Ohne Begleitung zu diesen Räumen sind zutrittsberechtigt: die von der in Betracht kommenden Landesorganisation ermächtigten Personen (SysVA); die zu den zentralen Rechenanlagen ohne Begleitung zutrittsberechtigten Personen (Netzwerktechnik); Sonstige Personen (Mitarbeiter von Wartungsfirmen, Handwerker usw.) haben nur in Begleitung einer berechtigten Person Zutritt und Aufenthalt. Sollte eine Anlage mehreren Organisationen zur Verfügung stehen, so haben alle diese Organisationen ein Verzeichnis der Zutrittsberechtigten zu führen. Die Namen der Zutrittsberechtigten sind jener Organisation, in der sich die Anlage befindet, mitzuteilen. Diese Organisation hat ein Verzeichnis aller Personen, die ohne Begleitung zutrittsberechtigt sind, zu führen. Ziel ist es, dezentrale Rechenanlagen (Server) aufzulassen Sicherheitszone B PC-Standorte Die Räumlichkeiten der Sicherheitszone B (PC Standorte) sind durchwegs dem Dienstbetrieb gewidmet; sie sind durch jeweils geeignete Maßnahmen vor dem Zutritt unbefugter Personen zu schützen. Die Aufstellung von EDV-Geräten, insbesondere Bildschirmen, bzw. deren Betrieb hat unter Bedachtnahme darauf zu erfolgen, dass außenstehende Personen, wie Parteien, Zeugen, Angehörige, Wartungstechniker und sonstige Unbefugte, deren Eintritt in K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 5 von 18

56 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) die betreffenden Räumlichkeiten durch den Dienstbetrieb notwendig wird, nicht Einblick in schützenswerte Datenbestände erhalten (etwa durch entsprechende Aufstellung der Geräte und Vorkehrungen bei der Möblierung). Datenträger (USB-Sticks, CDs, DVDs, EDV-Listen und dgl.) sind gegen unbefugte Einsichtnahme und Benützung sowie gegen Diebstahl zu sichern. Es ist darauf zu achten, dass der PC im ausgeloggten Zustand beim Verlassen des Arbeitsplatzes hinterlassen wird. Zu beachten ist auch, dass EDV-Ausdrucke mit schützenswerten Daten ebenfalls unter diese Vorschrift fallen Sicherheitszone C Heimarbeitsplätze und mobile Arbeitsplätze Sowohl für stationäre Heimarbeitsplätze als auch für mobile Geräte (Notebooks etc.) gelten die Bestimmungen der Sicherheitszone B sinngemäß. Da hier nicht davon ausgegangen werden kann, dass sich in den fraglichen Räumlichkeiten nur berechtigte Personen aufhalten bzw. darauf kein Einfluss genommen werden kann, ist in besonderem Maße darauf zu achten, dass Unbefugte keinerlei Zugriff auf schützenswerte Daten (am Bildschirm, auf der Festplatte oder sonstigen Datenträgern ) haben Schutz gegen Diebstahl Grundsätzlich ist bei allen Geräten (insbesondere bei mobilen Geräten) für einen ausreichenden Schutz gegen Diebstahl zu sorgen. Es wird in diesem Zusammenhang darauf hingewiesen, dass Geräte des Outsourcing nur gegen Einbruch, nicht jedoch gegen Diebstahl versichert sind! Festlegung von Sicherheitsklassen und Stufen Klassifizierung von personenbezogenen Daten Werden personenbezogene Daten verarbeitet, so sind die Daten auch dahingehend zu klassifizieren. Die nachfolgende Klassifizierung erfolgt in Anlehnung an das Datenschutzgesetz (DSG 2000), BGBl. I Nr. 165/1999 idgf. INDIREKT PERSONENBEZOGENE DATEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden. (geringere Schutzwürdigkeit gegeben; z.b. bei ausschließlicher Verwendung der Personalzahl). DIREKT PERSONENBEZOGENE DATEN: Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist (größere Schutzwürdigkeit bei Verwendung des Namens). Anmerkung: Betroffener ist jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden. SENSIBLE DATEN: Daten natürlicher Personen über deren rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 6 von 18

57 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Es bleibt festzuhalten, dass lediglich die oben aufgelisteten Informationen als sensible Daten im Sinne des DSG 2000 anzusehen sind (besondere Schutzwürdigkeit, höchster Sicherheitsanspruch!). Für die Klassifizierung von Daten ist die jeweilige Fachabteilung verantwortlich. In Zweifelsfällen ist mit dem Datenschutzbeauftragten der Abteilung 1 Amtsinspektion Innenrevision Rücksprache zu halten. Zur Meldepflicht von Datenanwendungen an das DVR: Siehe Registrierung beim Datenverarbeitungsregister (siehe Kapitel 2.2.3). Verfügbarkeitsklassifizierung von IT-Anwendungen und Systemen (lt. SHB Teil2) Ziel ist es, die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes"). Zukünftig wird nachfolgende Betriebsverfügbarkeitskategorisierung vorgenommen. Betriebsverfügbarkeitskategorie 1 Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. Es ist ein Datenverlust bzw. Ausfall der IT-Anwendung unbestimmter Dauer denkbar. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. Datenverlust nicht. Betriebsverfügbarkeitskategorie 2 Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen, ein Datenverlust ist auszuschließen. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. Die Sicherung wird an einen externen Ort ausgelagert. Betriebsverfügbarkeitskategorie 3 Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt, dass bei Ausfall einer ITKomponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann. Betriebsverfügbarkeitskategorie 4 Redundanter Standort: Das IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt, so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann. Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität K-Fall Sicher definiert, welche auch die Anforderungen im Katastrophenfällen berücksichtigt: K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert, dass zumindest ein Notbetrieb in einer Zero-Risk- Umgebung möglich ist. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet, dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist. Eine Einbindung der Zero-Risk-Umgebung in den Normalbetrieb ist je nach Sensibilität vorgesehen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 7 von 18

58 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4. Die Zusatzoption K-Fall sicher in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll. Für die Klassifizierung von IT-Anwendungen und Systemen ist die LADion IT verantwortlich Betriebsverfügbarkeit Zur Aufrechterhaltung der Betriebsverfügbarkeit werden die entsprechenden Maßnahmen im Rahmen des ISMS umgesetzt. Es werden dazu die notwendigen Bewertungen durchgeführt. Daraus resultierende Erfordernisse werden entsprechend den Dringlichkeiten und finanziellen Ressourcen umgesetzt 2.2 Grundsätzliches zu Hard- und Software Netzwerksicherheit und Datenkommunikation Das Landesnetz wird durch die zentralen Server und Netzwerkverbindungen, die durch die LADion IT betreut werden, gebildet. Der Kern des Landesnetzes besteht aus dem zentralen Backbone in Klagenfurt und den Standleitungen zu den Bezirksverwaltungsbehörden bzw. diverse Außenstellen, die über zentrale Einheiten der A1 und der Stadtwerke Klagenfurt, die unter Hoheit der LADion IT- Netzwerktechnik stehen, angeschlossen sind. Die Verbindungen innerhalb dieses Bereiches (Corporate Network Carinthia CNC) sind mittels eigener Leitungswege realisiert. Verbindungen über öffentliche Netze (Internet, Wählleitungen) sind nur in Ausnahmefällen und mit geeigneten Mitteln erlaubt (VPN Tunnel mit Verschlüsselung). Das so genannte Schulnetz (KSN) und das so genannte Gemeindenetz (CNC- Gemeinden) sind nicht Teil dieses Landesnetzes. Der unberechtigte Zugriff von außen und nach außen wird durch verschiedene technische Maßnahmen (Firewall, Proxyserver, Virenchecker, Mailserver, etc.) verhindert. Daneben sind aber auch innerhalb der IT-Infrastruktur Vorkehrungen (etwa Subnetzbildung) zu treffen, die nach dem aktuellen Stand der Technik geeignet sind, das mit elektronischer Kommunikation verbundene Risiko zu minimieren. Ergänzt werden diese technischen Vorkehrungen durch parallele Maßnahmen im organisatorischen Bereich: Bei allen Verbindungen zum Landesnetz, die irgendwelcher zusätzlicher Sicherheitsvorkehrungen bedürfen, sind die Kommunikationspartner entweder durch Weisung (AKL oder BH) oder Verträge (andere Nutzer wie z.b. Vereine) bzw. durch entsprechende schriftliche Erklärungen zur Einhaltung aller notwendigen Sicherheitsbestimmungen zu verpflichten (siehe Vertragsmuster) Alle Verbindungen - sowohl zwischen Landesorganisationen als auch externen Kommunikationspartnern die sich des Landesnetzes bedienen, sind ausschließlich durch die LADion IT bzw. in Abstimmung mit dieser herzustellen. Die im Einzelfall geltenden besonderen Sicherheitsvorkehrungen, sind den Betroffenen zur Kenntnis zu bringen und in geeigneter Form zu publizieren. Externe Geräte (Geräte die nicht über die LADion IT beschafft werden) dürfen nur nach Rücksprache mit der LADion IT an das Landesnetz angeschlossen werden. (Siehe auch Zulässige Hard- und Software 2.2.2) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 8 von 18

59 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Zulässige Hard- und Software Grundsätzlich darf nur jene Hard- und Software verwendet werden, die von der LADion IT (bzw. im Wege eines Outsourcingpartners) bereitgestellt wird. Insbesondere dürfen an Personalcomputern technische Veränderungen nur mit Zustimmung der LADion IT vorgenommen werden. Die bereitgestellte Software darf ohne Freigabe der LADion IT (im Wege eines Projektauftrages) - ausgenommen zur Datensicherung nicht dupliziert oder weitergegeben werden. Die Beschaffung von EDV-Hardware sowie die Entwicklung von Software, die nicht auf Landesstandard-Produkten basiert (sei es durch Landesorganisationen selbst oder durch Bedienstete in Eigeninitiative) sowie insbesondere deren dienstliche Verwendung sind an folgende Voraussetzungen gebunden: Die beabsichtigte Beschaffung oder Entwicklung ist der LADion IT zu melden. Vor Aufnahme des Vollbetriebes einer neuen Anwendung sind zudem auch die Vorgaben zur Meldung beim Datenverarbeitungsregister (DVR) zu beachten. Siehe Kapitel Dem Amt der Landesregierung muss die unbefristete Nutzung einer so beschafften oder entwickelten Software unentgeltlich für Amtszwecke überlassen werden. Jedenfalls stehen dienstliche Daten stets im Eigentum des Landes. Details über die Anschaffung und Verwendung von Hard- und Software sind in den in der Betriebsführung im Qualitätsmanagementsystem der LADion IT geregelt. Insbesondere sind die Policies für nicht durch die LADion IT beschaffte Hard- und Software zu beachten (inklusive privater Hard- und Software, welche Dienste des AKL nutzen) Registrierung beim Datenverarbeitungsregister (DVR) Der beabsichtigte Einsatz neuer Software (inklusive Eigenentwicklungen) wird von der LADion IT dem Datenschutzbeauftragten der Abteilung 1 Amtsinspektion - Innenrevision zur Kenntnis gebracht. Die Meldung einer Datenanwendung (Applikation) beim DVR hat durch die jeweilige Fachabteilung bzw. Bezirkshauptmannschaft zu erfolgen. Anschrift des DVR: 1010 Wien, Hohenstaufengasse 3; Telefon: Fax: Nicht meldepflichtige Standardanwendungen sowie so genannte Musteranwendungen, bei welchen eine vereinfachte Meldung vorgesehen ist, sind unter der Adresse aufgelistet und eingehend beschrieben. Das Herunterladen von Meldeformularen sowie die Meldung einer Anwendung über das Internet (Online) ist ebenfalls unter der genannten Web Page möglich K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 9 von 18

60 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2.3 Organisatorische Maßnahmen Qualitäts- und Informationssicherheitsmanagementsystem der LA- Dion IT Die allgemeinen organisatorischen Maßnahmen der LADion IT werden in der QM- Systemdokumentation festgelegt (beispielsweise Regelungen zur Dokumentenverwaltung). Regelungen zur physikalischen Sicherheit oder Schlüsselverwaltung und operatives Sicherheitsmanagement werden in der ISMS-Systemdokumentation festgehalten Organisatorische Maßnahmen in den Organisationseinheiten Die Landesorganisationen als Nutzer des IT-Systems des Landes Kärnten (wie unter 1.3 festgelegt) haben durch entsprechende organisatorische Maßnahmen für eine ausreichende Datensicherheit zu sorgen (beispielsweise Aufgabenverteilung, Rechte und Pflichten, sowie Kompetenzen im Bereich der Datensicherheit und des Datenschutzes). Nachfolgende Fragen sollten sich dabei die Organisationseinheiten stellen: Wer darf welche Geräte benutzen? Wer ist für die Datensicherung und die Kontrolle der ordnungsgemäßen Durchführung zuständig? Wer hat Zugang zu den Datenträgern, die Sicherungskopien enthalten? Wer hat Zugang zu ausgelagerten Datenträgern (z.b. Bankschließfach)? Wer hat für die gegen unbefugte Einsichtnahme gesicherte Lagerung, Archivierung und allenfalls Vernichtung von Datenträgern zu sorgen? Wer ist in Bezug auf welche Daten zur Ermittlung, Verarbeitung, Benützung, Überlassung und Übermittlung (einschließlich der allenfalls erforderlichen Protokollierung der Übermittlung) ermächtigt? Wer ist für die Erteilung von Verarbeitungsaufträgen und die Überlassung von Daten zuständig? (Siehe auch EDV-Vorlage: Verpflichtungserklärung für Dienstleister) Wer ist für die fachliche Kontrolle der Verarbeitungsergebnisse zuständig? Wer außer dem Organisationsleiter ist ermächtigt, die vorstehenden Berechtigungen zu vergeben und zu verändern? (Siehe auch EDV-Prozess: Berechtigungsverwaltung und Autorisierung) Welche Maßnahmen sind zu treffen, wenn ein Mitarbeiter aus einem Projekt oder auf Dauer aus der Organisation ausscheiden (Berechtigungen, Daten)? Entsprechende Vertretungsregelungen für den Verhinderungsfall von Bediensteten sind vorzusehen. Bei schützenswerten Informationen ist jedenfalls zu beachten, dass einer Person der Zugang zu Daten und die Verwendung von Daten nur insoweit gestattet wird, als dies zur Wahrnehmung jener Funktionen erforderlich ist, die ihr durch die in Betracht kommenden Vorschriften (Verwaltungsvorschriften; Geschäftseinteilung des Amtes der Landesregierung und sonstige innerorganisatorische Vorgaben) zugewiesen sind. Insbesondere bei sensiblen Daten sind die Einsichts- und Verfügungsrechte in sachdienlicher Weise zu regeln. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über dienstliche Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 10 von 18

61 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Gerätewechsel oder Arbeitsplatzwechsel Die Endgeräte (PC, Notebook, etc.) werden vom AKL den Dienstnehmern zur Ausübung der dienstlichen Tätigkeiten überlassen. Die Geräte und Dateninhalte bleiben Eigentum des AKL. Nicht über die LADion IT beschaffte Geräte dürfen nur nach Rücksprache mit der LADion IT an das Netz angeschlossen werden (Siehe auch Zulässige Hard- und Software 2.2.2). Zur privaten Nutzung siehe Detailpolicies Gerätewechsel und Wartung Es ist autorisierten Personen (Mitarbeiter der LADion IT, des Outsourcingpartner oder der Amtsinspektion) in Absprache mit dem Dienstnehmer jederzeit zu ermöglichen, die Endgeräte auszutauschen, Daten zu löschen und erforderlichenfalls in die Dateninhalte des Rechners Einsicht zu nehmen. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten Arbeitsplatzwechsel Um abgespeicherte, dienstlich relevante Informationen im Falle eines Arbeitsplatzwechsels (beispielsweise Organisationswechsel, Suspendierung oder Ausscheiden von Mitarbeitern) sicherzustellen, wird im Interesse der Aufrechterhaltung eines geordneten Dienstbetriebes folgende Vorgangsweise festgelegt: Personelle Veränderungen sind in geeigneter Weise umgehend von der Organisationsleitung direkt der LADion IT und Ladion /Betriebswirtschaft Organisation mitzuteilen. Private Daten sind bei einem Arbeitsplatzwechsel durch den Mitarbeiter zu entfernen. Der Organisationsleitung wird zur Wahrung der dienstlichen Interessen ab dem Datum des Arbeitsplatzwechsels eines Mitarbeiters das Einsichts- bzw. Leserecht auf verbliebene Daten des Betreffenden eingeräumt. Folgende Grundsätze sind dabei zu beachten: Grundsatz der größtmöglichen Beschränkung bei der Einsicht oder Verfügung über Daten Dateneinsicht oder -verfügung ausschließlich zur Wahrung dienstlicher Interessen Beachtung der Vorgaben des Datenschutzes bei der Verwendung personenbezogener Daten Spezielle Vereinbarungen über sonstige Veränderungen am PC werden nur nach Rücksprache der Organisationsleitung mit der LADion IT getroffen. Die Mitnahme dienstlicher Hard- und Softwarekomponenten im Fall eines Arbeitsplatzwechsels ist im Einzelfall mit der LADion IT zu verhandeln. Jedenfalls sind vor einem Organisationswechsel dienstlich relevante Daten am Server abzulegen. Auch sind allenfalls mitzunehmende PC/Notebooks bei jedem Organisationswechsel (trotz bleibender Benutzeridentität) grundsätzlich neu mit einem Low Level Format zu formatieren, um die Löschung lokal abgelegter Daten sicherzustellen. Bei (Neu-)Zugang eines Mitarbeiters in einer Landesorganisation werden von der LADion IT im Regelfall neue Benutzernamen und Berechtigungen eingerichtet K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 11 von 18

62 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2.4 Berechtigungssystem Zur Einführung eines zentralen Berechtigungssystems (Autorisierungssystem, Berechtigungsverwaltung, Benutzerverwaltung, Authentisierung) wird eine gesonderte Dokumentation der Vorgangsweise und den notwendigen Maßnahmen erstellt. Diese ist unter Berechtigungssystem im Informationssicherheitsmanagementsystem (ISMS) ersichtlich Autorisierung (Rechteverwaltung) Um zu verhindern, dass Daten bzw. Datenanwendungen für Unbefugte zugänglich sind, ist es erforderlich, alle Benutzer mit den ihren Aufgaben entsprechenden Berechtigungen zu versehen. Dieser Vorgang der Erteilung von Berechtigungen wird auch als Autorisierung bezeichnet. Abhängig von den jeweils eingesetzten Systemen gibt es unterschiedliche Werkzeuge und Regelungen, wie diese Vergabe und Verwaltung von Rechten im Detail zu erfolgen hat. Sofern es die eingesetzten Systeme erlauben, sollte die Verwaltung von Zugriffsrechten Rollen-basiert (bzw. Gruppen-basiert) erfolgen. D.h., in Abhängigkeit von den mit Hilfe der EDV- Anwendung zu erledigenden unterschiedlichen Aufgaben werden die erforderlichen Rechte in einem ersten Schritt zu Gruppen oder Rollen zusammengefasst und den in Frage kommenden Benutzern in einem zweiten Schritt zugeordnet. Diese Vorgangsweise erleichtert sowohl die Wartung ( - Änderungen bei den erforderlichen Rechten müssen nur an einer Stelle durchgeführt werden - ) als auch die Dokumentation und Kontrolle der vergebenen Rechte. Die Benutzerverwaltung erfolgt in einem eigenen System. Die Berechtigungsverwaltung erfolgt in den Nutzsystemen. Die Vorgangsweise ist dem Prozess Berechtigungsvergabe zu entnehmen Anwendungen Mit Hilfe des Berechtigungssystems sind den berechtigten Benutzern von der Organisationsleitung die notwendigen Rechte für die entsprechenden Programme und Dateien freizugeben und zu dokumentieren Datenspeicherung, Fileserver Auf Fileservern sind anhand der Zugriffsrechte Anwendungsgruppen zu bilden und die Zugriffsberechtigungen zu dokumentieren. Für jede Anwendung bzw. jedes Projekt ist ein Verzeichnis für die entstehenden Daten (auch Office-Dateien!) einzurichten und von den berechtigten Benutzern für die Speicherung zu verwenden. Darüber hinaus ist jedem Benutzer auf seinem Abteilungsserver ein nur für ihn zugängliches Verzeichnis mit entsprechendem Zugriffsschutz durch die LADion IT einzurichten. Dieses Verzeichnis ist vom jeweiligen Benutzer zu verwenden, um dienstliche Daten zu speichern. Der Benutzer ist nicht berechtigt anderen Benutzern Zugriffsrechte auf dieses Verzeichnis zu vergeben. Zur privaten Nutzung siehe Detailpolicies K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 12 von 18

63 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Authentisierung Der für den Zugriff auf bestimmte Daten autorisierte Benutzer muss sich vor dem tatsächlichen Zugriff als Berechtigter ausweisen. Dieser Vorgang der Authentisierung (also der Nachweis des rechtmäßigen Zugriffs) gegenüber einem System (Server, PC, Notebook, Anwendung, etc.) erfolgt mit unterschiedlichen Methoden, abhängig davon, welches sicherheitstechnische Risiko mit einer Anwendung bzw. mit einem Datenzugriff verbunden ist (und welche Möglichkeiten die eingesetzten Systeme bieten). In der einfachsten Form (Minimal-Variante) erfolgt die Anmeldung an das System über die Eingabe eines Passwortes (Kennwortes) in Verbindung mit einem Benutzernamen. Diese Minimal-Variante ist nur unter folgenden Voraussetzungen zulässig: Kommunikation läuft nicht über öffentliche Netze (d.h. nur über eigene Leitungswege) UND Leitungsendpunkt befindet sich in Sicherheitszone A und Sicherheitszone B (2.1.1und 2.1.2). Es ist darauf zu achten, dass der PC in ausgeloggtem Zustand beim Verlassen des Arbeitsplatzes hinterlassen wird (also nur durch die Eingabe eines Passwortes wieder aktiviert werden kann - Bildschirmschoner). Unter allen anderen Voraussetzungen sind dem Einzelfall entsprechende zusätzliche Sicherheitsvorkehrungen zu treffen Allgemeine Regelung für Konten und Passwörter Die Anlage von Konten (sowohl Benutzer- als auch Gruppenkonten) auf den einzelnen Systemen erfolgt durch den jeweils verantwortlichen Berechtigungsadministrator im Auftrag der Organisation. Beim Einrichten der Konten wird ein Passwort vergeben, welches beim ersten Anmeldevorgang vom berechtigten Benutzer zu verändern ist Generelle Regelungen zu Passwörtern Die Verwendung von Trivial-Passwörtern ist unbedingt zu vermeiden. Trivial-Passwörter sind Passwörter mit spezieller Bedeutung, welche leicht auch von Außenstehenden erraten oder bestimmt werden können. Also z.b. Namen (eigene, aus der Familie, von Prominenten), Geburtsdaten, Firmen- und Abteilungsbezeichnungen, KFZ-Kennzeichen, usw. Ebenfalls in diese Gruppe fallen Standardausdrücke wie etwa, Blank, Benutzername, TEST, SYSTEM, Tastatur- und Zeichenmuster, wie ABCDEF, QWERTZ, ,... Innerhalb eines Passwortes muss mindestens ein Zeichen verwendet werden, das kein Buchstabe ist (Zahl oder Sonderzeichen). Ganz allgemein ist darauf zu achten, dass die Eingabe des Passwortes unbeobachtet erfolgt. Sollte der Verdacht bestehen, dass das Passwort auch Personen außerhalb des berechtigten Personenkreises bekannt ist, so ist das Passwort auch vor Ablauf der Fristen laut Account Policy sofort zu ändern K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 13 von 18

64 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. Soweit es das jeweilige Betriebssystem zulässt, ist die Einhaltung dieser Richtlinien durch entsprechende Einstellungen im Betriebssystem sicherzustellen. Voreingestellte Passwörter (etwa vom Hersteller des Systems) müssen umgehend (beim ersten Login) durch individuelle Passwörter ersetzt werden Zur Verwendung des Bildschirmschoners siehe auch Sicherheitszonen (2.1) und Authentisierung (2.4.2). Die Umsetzung der Passwortregelungen erfolgt entsprechend den strategischen Vorgaben des ISMS und den entsprechenden Detailpolicies Spezielle Regelungen zu Passwörtern Benutzernamen und Passwörter sind vom jeweiligen Berechtigungsverwaltungssystem abhängig und werden in der Systemverwaltung dokumentiert Passwortregelung für Benutzerkonten Benutzerkonten sind personenbezogen, daher darf nur der Inhaber das jeweilige Konto benutzen. Die Benutzer dürfen das Passwort unter keinen Umständen anderen Personen bekannt geben. In der Sicherheitszone A (2.1.1) ist eine schriftliche Fixierung bei versiegelter Aufbewahrung in einem Schließfach erforderlich, wobei die Eröffnung des Siegels zu dokumentieren ist. Eine schriftliche Fixierung in den Sicherheitszonen B (2.1.2) und C (2.1.3) ist nur zulässig wenn sie entsprechend der Sicherheitszone A (2.1.1) erfolgt (Schließfach, Siegel, Dokumentation). In der Sicherheitszone A (2.1.1), B (2.1.2) und C (2.1.3) haben die Benutzer das Passwort periodisch zu ändern. Besteht der Verdacht, dass ein Passwort nicht mehr geheim ist, ist es sofort zu ändern (Ausnahme Gruppenkonten siehe ). Für Administratoren sind keine Gruppenkonten zulässig und in Verwendung. Daher ist die Eröffnung von schriftlich hinterlegten Passworten nur in Ausnahmefällen notwendig. Stellvertreterregelung: Wenn mehrere Benutzer an einem System arbeiten, ist jedem Benutzer ein eigenes Benutzerkonto einzurichten. Hat ein Benutzer die Aufgaben eines anderen Benutzers zu übernehmen (Bsp. Urlaub), sind diesem Stellvertreter die Rechte zu übertragen (Auf keinen Fall darf der Benutzername und das Passwort weitergegeben werden). Das für den externen Zugang zur IT-Infrastruktur über Wählleitung vergebene Passwort ist auf gleiche Weise zu schützen. Es darf insbesondere kein Gebrauch von der allenfalls vorhandenen Möglichkeit gemacht werden, das Passwort bei der Verbindung abzuspeichern Passwortregelung für Gruppenkonten Bestehenden Gruppenkonten sind bestimmten Funktionen zugeordnet und dürfen nur zur Erledigung dieser Aufgaben verwendet werden. Eine Weitergabe von Passwörtern ist nur im unbedingt notwendigen Ausmaß zulässig. In der Sicherheitszone A ist eine schriftliche Fixierung bei versiegelter Aufbewahrung in einem Schließfach erforderlich, wobei die Eröffnung des Siegels zu dokumentieren ist. Eine schriftliche Fixierung in den Sicherheitszonen B und C ist nur zulässig, wenn sie entsprechend der Sicherheitszone A erfolgt. Bei Ausscheiden eines Mitgliedes einer Gruppe ist das Passwort zu ändern. Grundsätzlich ist danach zu streben, Gruppenkonten aufzulösen (siehe Stellvertreterregelung in ( ) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 14 von 18

65 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 2.5 Datensicherung Sicherungskonzept und Archivierungskonzept Es ist ein Sicherungs- und Archivierungskonzept durch die LADion IT in Zusammenarbeit mit den Fachabteilungen zu entwickeln, welches systemabhängige Regelungen vorgibt (z.b. ELAK) Sicherung von Personalcomputern (Sicherheitszonen B und C) Für die Sicherung von Personalcomputern gelten folgende Anforderungen: Bei vernetzten PC sind dienstliche Daten am Server abzuspeichern und daher am PC nicht gesondert zu sichern ( ), da die Sicherung der Server durch die LADion IT sichergestellt wird. In allen anderen Fällen (auch Individual-Programme) sind die Fachabteilungen für das Sicherungskonzept verantwortlich. Siehe auch Organisatorische Maßnahmen, Endgerätewechsel (2.3) 2.6 Sonstiges Protokollierung Das Datenschutzgesetz führt als Datensicherheitsmaßnahme auch die Protokollierung von Datenverwendungsvorgängen insbesondere bei Änderungen, Abfragen und Übermittlungen an. Jede Datenanwendung, mit welcher personenbezogene Daten verarbeitet werden (sollen), ist unter Bedachtnahme auf 14 Abs. 2 DSG 2000 (Abwägung der technischen Möglichkeiten, der Wirtschaftlichkeit und des damit verbundenen Schutzzweckes) auf Prot o- kollierungserfordernisse hin zu prüfen. Dabei ist hinsichtlich der eingesetzten Protokollierungstools eine Abwägung zwischen dem Stand der Technik, den erwarteten Kosten und den zu schützenden Daten vorzunehmen (Risikoanalyse). Insbesondere vor dem Einsatz von Standardsoftware sollte eine entsprechende Risikoanalyse durchgeführt werden. Grundsätzlich ist davon auszugehen, dass bei der Verarbeitung von sensiblen Daten (siehe Punkt 0) ein höheres Schutzniveau zu gewährleisten ist und daher auch höhere Anforderungen an die Protokollierung gestellt werden müssen. Die Protokollierung wird auch von der Anzahl der zugriffsberechtigten Personen abhängig sein. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes und die Sicherstellung des ordnungsgemäßen Betriebes unvereinbar sind Sicherungsmaßnahmen beim Ausscheiden von Datenträgern Beim Ausscheiden von Datenträgern sind Vorkehrungen gegen eine missbräuchliche Datenverwendung zu treffen. Datenträger, die aus der automationsunterstützten Datenverarbeitung stammen (Bänder, Disketten usw.) sind einer geordneten Entsorgung zuzuführen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 15 von 18

66 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) Gegebenenfalls mit der Entsorgung beauftragte externe Dienstleister sind zu verpflichten durch entsprechende Sicherheitsmaßnahmen eine missbräuchliche Verwendung dieser Daten zu verhindern. Pei einem PC-Tausch oder dem Austausch einer Festplatte, ist die Festplatte durch die zuständige Person (der LADion IT oder des Outsourcingpartners) mittels Low Level Format unleserlich zu machen. Sonstige Datenträger insbesondere Papier sind ebenfalls einer geordneten Entsorgung zuzuführen. Befinden sich auf dem Datenträger schutzwürdige personenbezogene Daten, sind diese zuvor unleserlich zu machen. Gegebenenfalls mit der Entsorgung beauftragte externe Dienstleister sind zu verpflichten eine missbräuchliche Verwendung dieser Datenträger zu verhindern Ergebniskontrolle In jeder Landesorganisation sind die beim Einsatz der automationsunterstützten Datenverarbeitung erzielten Ergebnisse auf ihre Richtigkeit zu überprüfen. Dies auch dann, wenn die Datenverarbeitung durch einen Dienstleister erfolgt ist. Art und Umfang der Prüfung sind, nach Maßgabe der Möglichkeiten unter Berücksichtigung wirtschaftlicher Gesichtspunkte und des Dateninhaltes vom Organisationsleiter, zu bestimmen Sicherheitsvorfälle Die Definition und der Umgang mit Sicherheitsvorfällen wird im Rahmen des ISMS Prozesses festgelegt. Das Management dieser Sicherheitsvorfälle erfolgt entsprechend den Vorgaben der Betriebsführung, des KVP und der Managementbewertung Maßnahmen für den Notfall Bei Eintreten eines Notfalles sind zuallererst die einschlägigen Bestimmungen zu befolgen. Tritt ein Notfall ein, sind zunächst die nach Lage des Falles gebotenen unaufschiebbaren Maßnahmen (z.b. im Brandfall Maßnahmen der Brandbekämpfung und der Hilfeleistung) zu ergreifen- Erst in zweiter Linie ist darüber hinaus unter Abwägung des jeweiligen Risikos für die Bergung der Inhalte der Safes, der Aktenordner und der technischen Einrichtungen (etwa Abteilungsserver, Netzwerkkomponenten, PCs) zu sorgen. Für gefährdete Bereiche sind Notfallpläne entsprechend den Risikoanalysen zu erstellen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 16 von 18

67 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 3 ISMS, QM, Audit, KVP, Managementbewertung Zur Aufrechterhaltung dieser Generalpolicy und der Informationssicherheit sind Prozesse des Informationssicherheitsmanagementsystem (ISMS) eingerichtet. In diesen Prozessen sind die erforderlichen Aktivitäten dokumentiert. Das Audit ist dabei eine periodische, interne oder externe, Überprüfung des Systems. Durch den Kontinuierlichen Verbesserungsprozess (KVP) werden auftretende Fehler gemanagt bzw. Vorbeugungs- und Verbesserungsmaßnahmen gesetzt. Die Leitung verpflichtet sich das System regelmäßig zu hinterfragen und die Wirksamkeit des ISMS zu bewerten (Managementbewertung). Diese Werkzeuge des Managements sind, da sie den Anforderungen des der ISO 9001:2008 entsprechen, im Qualitätsmanagement dokumentiert. Siehe auch Verweise. 4 Sanktionen Es wird darauf hingewiesen, dass die rechtswidrige Verwendung von dienstlichen Informationen und personenbezogenen Daten zu disziplinären, zivilrechtlichen, verwaltungsstrafbehördlichen oder sogar strafgerichtlichen Konsequenzen führen kann. So ist die Verpflichtung zur Amtsverschwiegenheit sowohl verfassungsrechtlich, als auch dienstrechtlich klar festgeschrieben. Eine allfällige zivilrechtliche Haftung (Schadenersatzpflicht) kann bei Vorliegen bestimmter Voraussetzungen aus den einschlägigen Bestimmungen des Amtshaftungsgesetzes, des Organhaftpflichtgesetzes bzw. des Dienstnehmerhaftplichtgesetzes abgeleitet werden. Strafgerichtliche Sanktionen bei vorsätzlicher Verletzung des Amtsgeheimnisses oder Datenbeschädigung sind wiederum im geltenden Strafgesetzbuch geregelt. Im Falle des leichtfertigen oder missbräuchlichen Umganges mit personenbezogenen Daten sieht zudem auch das Datenschutzgesetz 2000 entsprechende verwaltungsbehördliche und gerichtliche Strafen ( 51, 52 DSG 2000) vor. 5 Verweise 5.1 Verweis auf Dokumente QM + ISMS - Dokumentation der LADion IT Verpflichtungserklärung für Mitarbeiter und Administratoren der LADion IT Verpflichtungserklärung für die Ladion IT als Dienstleister (gegenüber externen Kunden) Verpflichtungserklärung für externe Dienstleister (die von der Ladion IT beauftragt werden) Verpflichtungserklärung für Endanwender (insbesondere verpflichtend für die Anwendungen des österreichischen Portalverbundes) Verpflichtungserklärung für Endanwender mit Unterweisung (insbesondere verpflichtend für Anwender externer Kunden oder Dienstleister) Die aktuell gültigen Versionen der Verpflichtungserklärungen sind auf der Homepage der Ladion IT zum Download bereitgestellt. 5.2 Verweis auf Detailpolicies Zu den einzelnen Systemen werden eigene Policies erarbeitet und veröffentlicht (Homepage der LADion IT) K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 17 von 18

68 Sicherheitspolitik für das IT-System des Landes Kärnten ( Generalpolicy ) 5.3 Verweis auf Prozesse QM KVP und Audit Operative Prozesse laut Prozesslandkarte Berechtigungsverwaltung ISMS-Prozess Siehe auch Homepage der LADion IT. 5.4 Verweis auf Notfallpläne, Notfallanweisungen Siehe ISMS-Prozessdokumentation auf der Homepage der LADion IT. 6 Begriffsbestimmungen / Abkürzungen SLA Service Level Agreement (Dienstleistungsvereinbarung) SHB IT Sicherheitshandbuch des Bundeskanzleramtes QM Qualitätsmanagement QMS Qualitätsmanagementsystem ISMS Informations- und Sicherheitsmanagement KVP Kontinuierlicher Verbesserungsprozess 7 Änderungsprotokoll Datum Wer Änderung Hetzendorf Erste Seite eingefügt Änderungsprotokoll eingefügt Normenänderung von A7799, BS 7799, ISO auf ISO als zertifizierter Standard (Wird nach Freigabe durchgeführt /eingefügt whe) Klier Einbau der neuen, freigegebenen Fußzeile Kiko Neues Design, Normenänderung, Neue Verweise Kiko LADion EDV -> LADion IT, Verweis auf Dokumente Autoren:Köller Rudolf, Hetzendorf Walter, Kiko Harald, Klier Gerald Unterzeichner Land Kärnten Datum/Zeit-UTC T16:00:55Z Dieses Dokument wurde amtssigniert. Informationen zur Prüfung der elektronischen Signatur finden Sie unter: https://www.ktn.gv.at/amtssignatur Der Ausdruck dieses Dokuments kann durch schriftliche, persönliche oder telefonische Rückfrage bei der erledigenden Stelle auf seine Echtheit geprüft werden. Die erledigende Stelle ist während der Amtsstunden unter ihrer Adresse bzw. Telefonnummer erreichbar K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i n t r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Harald Kiko, Rudolf Köller, Walter Hetzendorf erstellt am: :11:00 DOKUMENT: e6.doc Seite: 18 von 18

69 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Betreff: Datum: Zahl: LAD-IT-QM-8/ (Bei Eingaben bitte Geschäftszahl anführen!) Sicherheitspolitik für mobile Endgeräte Auskünfte: Maurizio Papini Telefon: Fax: Inhaltsverzeichnis 1 Allgemeines Einleitung Gültigkeitsbereich Ziele Allgemeine Richtlinien für mobile Endgeräte, die vom Dienstgeber bereitgestellt werden Grundsätze des Umgangs mit mobilen Endgeräten Lebenszyklus Transport und Aufbewahrung Verlust Handhabung Privater Gebrauch Spezielle Regelungen für Notebooks Private Mailaccounts Synchronisierung mit Netzlaufwerken Aktualisierung der Anti-Viren-Software Einsatz einer Personal Firewall Spezielle Regelungen für SmartPhones und Tablets Sichere Grundkonfiguration Starke Authentifizierung Synchronisation Spezielle Regelungen für Wechseldatenträger Verschlüsselung von Wechseldatenträgern Speicherung sensibler Daten Allgemeine Richtlinien für mobile private Endgeräte, die für den Dienstbetrieb eingesetzt werden8 4 Verweise auf andere Dokumente Begriffsbestimmungen / Abkürzungen Änderungsprotokoll Dokumentenänderungsvermerk K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 1 von 9

70 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Allgemeines 1.1 Einleitung Beim Amt der Kärntner Landesregierung ist eine Vielzahl von mobilen Endgeräten in Verwendung. Auf Grund ihrer Größe und mobilen Verwendung sind diese und somit auch die auf ihnen gespeicherten Informationen besonderen Bedrohungen ausgesetzt. Im Rahmen dieser Policy werden daher Richtlinien und Vorgaben für den sicheren Umgang mit mobilen Endgeräten definiert. Diese Richtlinien basieren auf Empfehlungen und Best Practices einschlägiger Sicherheitsstandards, wie etwa dem Österreichischen Sicherheitshandbuch, dem Deutschen Grundschutzhandbuch und entsprechenden Studien. 1.2 Gültigkeitsbereich Diese Policy gilt für sämtliche Landesdienststellen und auch alle anderen Nutzer des IT-Systems des Landes Kärnten, die mobile Endgeräte im Rahmen ihrer Dienstausführung zur Verfügung gestellt bekommen. Im Sinne dieser Sicherheitspolitik umfasst der Begriff mobile Endgeräte folgende Geräte: Notebooks Tablets SmartPhones Wechseldatenträger Darüber hinaus wird in dieser Policy auch der Einsatz privater Endgeräte geregelt, die für den Dienstbetrieb eingesetzt werden. 1.3 Ziele Schutz mobiler Endgeräte und der darauf gespeicherten Informationen sowie des amtlichen Datenbestandes Erhöhung der Sensibilität und des Sicherheitsbewusstseins beim Umgang mit mobilen Endgeräten Weiterentwicklung des Informationssicherheits-Management-Systems des Landes K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 2 von 9

71 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Allgemeine Richtlinien für mobile Endgeräte, die vom Dienstgeber bereitgestellt werden 2.1 Grundsätze des Umgangs mit mobilen Endgeräten 1. Mobile Endgeräte sind so zu verwenden und zu verwahren, dass sie vor Zerstörung, vor Beschädigung, vor Verlust sowie vor dem Zugriff Unbefugter geschützt sind. 2. Personenbezogene Daten sowie Daten, die dem Amtsgeheimnis unterliegen, dürfen nur im dienstlich unbedingt erforderlichen Ausmaß und nur für rechtmäßige Zwecke auf mobilen Endgeräten gespeichert und genutzt werden. Eine (weitere) Übertragung solcher Daten auf private Speichermedien (z.b. Festplatte eines privaten PC) ist ausschließlich nach vorheriger Zustimmung des Dienststellenleiters zulässig. 3. Auf mobilen Endgeräten ist die Speicherung sensibler Daten gemäß 4 Z 2 DSG 2000 (Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben) weitest möglich zu vermeiden. Hierfür ist die vorherige (generelle oder konkrete) Zustimmung des Dienststellenleiters einzuholen. 4. Für die Verwendung sensibler Daten auf mobilen Endgeräten sind zusätzliche Maßnahmen zur Erhöhung der Datensicherheit zu ergreifen: a. Beim Rollout bei allen Notebooks, welche mit dem Microsoft Betriebssystem Windows 7 Enterprise versehen sind, wird eine Verschlüsselung der Festplatte mit dem Microsoft Bitlocker aktiviert. Bereits ausgegebene Notebooks werden nachträglich mit dem Microsoft Bitlocker ausgestattet. Der Rollout des Bitlocker erfolgt ab Q1/2013. b. Auf allen anderen mobilen Endgeräten sind sensible Daten ebenso mit geeigneten Methoden zu verschlüsseln. Die Verantwortung dafür liegt beim Anwender. 2.2 Lebenszyklus Für Endgeräte gilt der in Abbildung 1 dargestellte Lebenszyklus. Bei jeder Änderung eines Zustands sind diverse Maßnahmen zu setzen, um die Integrität des Systems beziehungsweise die Vertraulichkeit der darauf befindlichen Informationen zu gewährleisten. Beschaffung Betrieb Ausscheidung Benutzer- Wechsel Abbildung 1: Lebenszyklus von Endgeräten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 3 von 9

72 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Beschaffung: Die Verantwortlichkeit für die Beschaffung von Endgeräten (mit Ausnahme von Smartphones) liegt bei der LADion IT. Die Beschaffung von Smartphones erfolgt durch die Abteilung 1 - BGM. Für die Auswahl der Smartphones hat die Abteilung 1 - BGM das Einvernehmen mit der LADion IT herzustellen. Registrierung der Endgeräte: Im Zuge der Beschaffung von Endgeräten sind diese vor Indienst- Stellung mit einer eindeutigen Kennzeichnung (ID) zu versehen. Des Weiteren werden alle Notebooks vor Auslieferung an den jeweiligen Empfänger durch den Outsourcingpartner von Grund auf neu installiert. Betrieb: Während der laufenden Verwendung von Endgeräten sind Maßnahmen zu setzen, die Vertraulichkeit, Verfügbarkeit und Integrität der darauf gespeicherten Informationen sicherstellen. Geeignete Maßnahmen werden im Rahmen dieser Policy definiert. Die Verantwortlichkeit für den Betrieb liegt hinsichtlich der laufenden Verwendung beim Benutzer und hinsichtlich der Bereitstellung der Infrastruktur bei der LADion IT. Benutzer-Wechsel: Bei einem Wechsel des Benutzers eines Endgerätes muss sichergestellt werden, dass keine Daten des Vorbesitzers rekonstruiert werden können. Zudem werden Notebooks von Grund auf neu installiert. Die Verantwortlichkeit hierfür liegt bei der LADion IT bzw. bei ihren Dienstleistern. Die Verantwortung des Anwenders ist es, das Gerät zur Vorbereitung für den Benutzerwechsel an die LADion IT zur Integritätsprüfung und Datenlöschung durch den Outsourcingpartner, zu übergeben. Ausscheidung: Bei Außerdienststellung eines Endgerätes ist für eine sichere Vernichtung der auf den Endgeräten befindlichen Daten zu sorgen. Die Verantwortlichkeit für die Vernichtung der Daten liegt bei der LADion IT oder beim Outsourcingpartner. 2.3 Transport und Aufbewahrung Da Geräte im mobilen Einsatz besonderen Gefahren ausgesetzt sind, gelten für diese außerhalb einer sicheren Umgebung spezielle Sicherheitsanforderungen. 1. Bei Verwendung mobiler Endgeräte außerhalb einer sicheren Umgebung (z.b. in fremden Büros) dürfen diese nicht unbeaufsichtigt gelassen werden. Bei Bedarf sind geeignete Schutzmaßnahmen zu treffen (z.b. Versperren in einem Schrank, Abschließen des Raums, etc.). 2. Ein Zurücklassen von mobilen Endgeräten in einem KFZ soll nur dann erfolgen, wenn eine Mitnahme unzumutbar erscheint. Müssen die Endgeräte im Fahrzeug verbleiben, dann sind diese nicht sichtbar zu hinterlassen, sondern vor Blicken geschützt (z.b. im Kofferraum des Fahrzeugs) zu platzieren. 3. Beim Betrieb eines mobilen Endgerätes ist stets darauf zu achten, dass nicht-berechtigte Personen keine Einsicht in die auf dem Gerät befindlichen Informationen haben. Zudem ist bei Verlassen des Arbeitsplatzes das Gerät auf geeignete Weise zu sperren. Je nach Möglichkeit hat eine automatisierte Sperrung nach längerer Inaktivität aktiviert werden (z.b. passwortgeschützter Bildschirmschoner beim Notebook, automatische Tastensperre mit Pinverriegelung beim Smartphone oder Tablet PC). 4. Mobile Endgeräte sind stets in ausreichendem Maße geschützt vor Umwelteinflüssen (z.b. Hitze, Kälte, Nässe, etc.) zu transportieren. Dies kann durch geeignete Transport-Taschen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 4 von 9

73 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie gewährleistet werden. Auch beim Betrieb dieser Endgeräte ist auf die vom Hersteller spezifizierten Betriebsbedingungen zu achten. Bei Flugreisen sind mobile Endgeräte stets als Handgepäck zu transportieren. 2.4 Verlust Bei Verlust eines Endgerätes ist dies umgehend dem IT-Kundencenter zu melden. Sollte das Gerät gestohlen worden sein, ist zudem Anzeige bei der Sicherheitsbehörde zu erstatten. Bei Bedarf sind in weiterer Folge geeignete Maßnahmen seitens der IT-Abteilung zu setzen. Diese beinhalten: Sperren der MAC-Adresse des Gerätes, um den Zugang zum internen Netz zu verhindern Sperren des VPN-Zugangs-Kontos (falls vorhanden) Sperren der MAIL-Synchronisation Sperren der SIM-Card Anstoßen des Incident Management Prozesses Wird ein verloren gemeldetes Endgerät wieder aufgefunden, ist dieses unmittelbar an das IT_kundencenter weiterzugeben. Dort sind geeignete Maßnahmen zu setzen, um die Integrität des Systems zu prüfen bzw. im Bedarfsfall wiederherzustellen. 2.5 Handhabung Mit mobilen Endgeräten ist stets sorgsam umzugehen. Hierfür sind auch die Betriebsbedingungen und Wartungshinweise des jeweiligen Herstellers zu beachten. Von den Benutzern dürfen keine Veränderungen an den Systemeinstellungen (z.b. Ändern der Netzwerkeinstellungen) vorgenommen werden. Eine Datenspeicherung darf nur unter Beachtung der Grundsätze gemäß Pkt. 2.1 erfolgen. Auf diese Weise kann der Schaden bei allfälligem Verlust oder Beschädigung des Geräts gering gehalten werden. 2.6 Privater Gebrauch Die Nutzung mobiler Endgeräte in der Dienstzeit hat der raschen und ordnungsgemäßen Erfüllung der dienstlichen Aufgaben zu dienen. Die Nutzung mobiler Endgeräte für private Zwecke ist verboten, sofern die verwendeten Daten einen gesetzwidrigen oder einen solchen Inhalt haben, der geeignet ist, das Ansehen der Landesverwaltung gegenüber Dritten oder sonstige dienstliche Interessen zu beeinträchtigen. Der Dienstnehmer haftet für die durch eine allfällige private Nutzung auftretenden Schäden an den mobilen Endgeräten. Die Benützer dürfen eigenständig keine Software auf den Geräten installieren, auch wenn dies auf Grund der vergebenen Rechte möglich wäre. Eine Installation von Software ist stets von der IT-Abteilung, einem bemächtigten Vertreter oder dem zuständigen Outsourcing-Partner durchzuführen K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 5 von 9

74 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Spezielle Regelungen für Notebooks Private Mailaccounts Das Hinzufügen eines privaten Mailaccounts ist beim -Client (Microsoft Outlook) nicht gestattet Synchronisierung mit Netzlaufwerken Es wird empfohlen, auf den Notebooks gespeicherte Daten regelmäßig mit Netzlaufwerken zu synchronisieren. Idealerweise sollte eine Synchronisierung immer vor Trennung vom Netz und nach Wiedereinbindung ins Netz erfolgen. Nur auf diese Weise kann gewährleistet werden, dass der Datenstand auf den Servern möglichst aktuell gehalten wird. Eine etwaige Versions-Kontrolle ist von den einzelnen Abteilungen selbst zu regeln Aktualisierung der Anti-Viren-Software Alle Notebooks sind mit einer geeigneten Anti-Viren-Software ausgestattet, welche in regelmäßigen Abständen aktualisiert werden muss. Im Regelfall sollte die verwendete Viren-Definition nie älter als drei Tage sein. Es wird empfohlen, regelmäßige Scans auf Viren durchzuführen. Quick-Scans sollten in relativ kurzen Intervallen durchgeführt werden (z.b. einmal pro Tag). Vollständige Scans sollten bei Bedarf oder mindestens einmal pro Monat durchgeführt werden. Damit alle Updates und Virenschutzpattern, sowie alle Domain Policy Einstellungen aktuell sind, muss jedes Notebook in regelmäßigen Intervallen mit dem Landesnetz verbunden werden. Erfolgt dies eher selten, ist mit längeren Wartezeiten zu rechnen, bis der Rechner aktualisiert ist. Erst dann wird er in das Landesnetz verbunden. Dieses System heißt Trusted Network Computing (TNC) und wird beginnend mit der LADion IT ab Q1/2013 im gesamten Landesnetz ausgerollt Einsatz einer Personal Firewall Alle Notebooks sind mit einer Personal Firewall ausgestattet, die sehr restriktiv konfiguriert ist. Wenn das Notebook mit dem Landesnetz verbunden ist, können die Logfiles der Firewall zentral ausgewertet werden. Ein Deaktivieren der Personal Firewall ist, auch wenn im Ausnahmefall (z.b. temporärer lokaler Admin) dafür die erforderlichen Rechte vorhanden wären, verboten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 6 von 9

75 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Spezielle Regelungen für SmartPhones und Tablets Sichere Grundkonfiguration Für eine geeignete sichere Grundkonfiguration aller verwendeten Smart Phones und Tablets ist zu sorgen. Da dies stark modell- und herstellerabhängig ist, ist dies in Zusammenarbeit mit der LADion IT zu realisieren Starke Authentifizierung Je nach technischer Möglichkeit sind möglichst starke Authentifizierungsmethoden einzusetzen. Ist nur eine Authentifizierung über eine PIN möglich, so ist eine Mindestlänge von 4 Zeichen erforderlich, wobei eine Sperre des Geräts nach mehrmaliger Fehleingabe Standard sein muss Synchronisation Die Synchronisation von dienstlichen Smartphones mit der IT-Infrastruktur des Landes Kärnten ist grundsätzlich erlaubt bzw. erwünscht. Die Synchronisierung eines dienstlichen SmartPhones mit privaten IT-Systemen ist gestattet, wird jedoch nicht unterstützt. 2.9 Spezielle Regelungen für Wechseldatenträger Verschlüsselung von Wechseldatenträgern Eine generelle Verschlüsselung von Wechseldatenträgern ist innerhalb der IT-Infrastruktur des Landes Kärnten derzeit nicht vorgesehen Speicherung sensibler Daten Die Speicherung sensibler Daten auf Wechseldatenträgern ist ohne Verschlüsselung nicht zulässig K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 7 von 9

76 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Allgemeine Richtlinien für mobile private Endgeräte, die für den Dienstbetrieb eingesetzt werden Grundsätzlich ist der Einsatz von Privatgeräten im IT-System des Landes nicht vorgesehen. Private Endgeräte werden daher nicht in das Landesnetz integriert. Allerdings kann auf Anforderung (Projektauftrag) ein Abgleich von , Kalender und Kontaktdaten, die im Microsoft Exchange-System des Landes abgelegt sind, mit privaten Endgeräten eingerichtet werden. Die dabei eingesetzte Technologie (Active Sync) überträgt die Daten zwischen dem Landessystem und dem privaten mobilen Endgerät in verschlüsselter Form. Die Verantwortung für die Datensicherheit am privaten mobilen Endgerät trägt in diesem Fall der Benutzer. Für die Verwendung des Datenabgleichs mit Active Sync hat der Anwender die Anerkennung grundsätzlicher Sicherheitsvorgaben für sein privates Endgerät dem Land schriftlich zu bestätigen. Die Regeln sind folgende: Soll ein privates mobiles Endgerät mit Active Sync an das Exchange System des Landes angebunden werden, so darf das Betriebssystem dieses Gerätes nicht modifiziert sein (z.b. durch Aufbringen eines Jailbreaks, Rootkits oder eines nicht vom Hersteller stammenden Erweiterungstool manipuliert sein). Eine Anbindung des Gerätes an einen Clouddienst mit Überleitung der Maildaten an mehrere andere private Endgeräte des Anwenders ist nicht gestattet (z.b. Einbinden eines IPhones in icloud) Der Anwender darf ein mobiles Endgerät, mit dem dienstliche Daten synchronisiert werden, nicht an Dritte weitergeben. Der Anwender verpflichtet sich, das Endgerät mit einer automatisierten Sperre (z.b. Tastensperre bei Smartphones, Locking bei Tablets mit PIN-Eingabe oder ähnlichen Mechanismen abzusichern) Der Anwender verpflichtet sich, den Diebstahl oder Verlust des Gerätes unverzüglich der LADion IT zu melden, damit die Mailsynchronisation gesperrt werden kann. Der Anwender trägt die Verantwortung, dass er die geeigneten Maßnahmen trifft, dass die Privacy Einstellungen seines mobilen Endgerätes so eingestellt sind, dass keine dienstlichen Maildaten an Dritte übermittelt werden. Außerdem hat der Anwender dafür Sorge zu tragen, dass er keine Software auf seinem Gerät installiert, die seine Accountinformationen ausspioniert. Ein allgemeiner Support für private Smartphones und Tablets wird seitens der LADion IT nicht geleistet. Der Anwender erhält von der LADion IT die Zugangsdaten für das Synchronisationstool (Active Sync) und muss sein Endgerät selbst konfigurieren, warten und updaten K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 8 von 9

77 Abteilung 1 (Kompetenzzentrum Landesam tsdirektion) Inform ationstechnologie Verweise auf andere Dokumente Generalpolicy 5 Begriffsbestimmungen / Abkürzungen MAC Media Access Control SmartPhone Kombination aus Mobiltelefon und PDA VPN Virtual Private Network 6 Änderungsprotokoll Version Datum Status/Änderung Autor Verantwortlich Initial-Version Dominik Stöttner Dominik Stöttner Internes Review Dominik Stöttner Daniel Fabian Final Draft Internes Review Maurizio Papini Rudolf Köller Freigabe Dominik Stöttner Rudolf Köller AKL-internes Review Maurizio Papini Rudolf Köller AKL-internes Review Maurizio Papini Rudolf Köller AKL-internes Review, Erweiterung auf private Endgeräte Maurizio Papini Rudolf Köller 7 Dokumentenänderungsvermerk Datum Bearbeiter Grund Papini Änderung im Bereich der Verschlüsselung von Notebooks, allg. Dokumenten- Update hinsichtlich geänderte Handhabung und Begriffsdefinitionen Köller Update und Erweiterung für private Endgeräte K l a g e n f u r t a m W ö r t h e r s e e, M i e ß t a l e r S t r a ß e 1 D V R I n T R A n e t : h t t p : / / i nt r a n e t. k t n. g v. a t / l a d i o n - e d v AUTOR: Maurizio Papini erstellt am: :32:09 Gespeichert am: :32 gedruckt am: :32:00 DOKUMENT: , rkö_sicherheitspolitik_mobile_endgeräte_v.3.0 (Erlassversion).doc Seitte: 9 von 9

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Quellschüttungsmessung und Eigendokumentation Nutzung des kommunalen Rechenzentrums

Quellschüttungsmessung und Eigendokumentation Nutzung des kommunalen Rechenzentrums Quellschüttungsmessung und Eigendokumentation Nutzung des kommunalen Rechenzentrums Gemeindeinformatikzentrum Kärnten, GIZ-K GmbH DI (FH) Sarnitz Gerd Paternion, 28. Apr 2015 GIZ-K GmbH Mit zielgerichtetem

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Social Media in der Hamburgischen Verwaltung Tipps für den Umgang mit Social Media

Social Media in der Hamburgischen Verwaltung Tipps für den Umgang mit Social Media THE CONVERSATION PRISM Brought to you by Brian Solis & JESS3 http://creativecommons.org/licenses/by-nc/3.0/ Social Media in der Hamburgischen Verwaltung Herausgeber Freie und Hansestadt Hamburg Finanzbehörde

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datensicherheit im Unternehmen Feinwerkmechanik-Kongress 2014 Nürnberg 7. und 8. November Heiko Behrendt ISO

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Mag. Andreas Krisch akrisch@mksult.at. Datenschutz: Schülerdaten, Videoüberwachung

Mag. Andreas Krisch akrisch@mksult.at. Datenschutz: Schülerdaten, Videoüberwachung Mag. Andreas Krisch akrisch@mksult.at Datenschutz: Schülerdaten, Videoüberwachung 40. Sitzung des Fachausschusses für Schulverwaltung des Österreichischen Städtebundes, Klagenfurt, 07.10.2009 mksult GmbH

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1

Netz16 GmbH Managed Service / Cloud Solutions. www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Netz16 GmbH Managed Service / Cloud Solutions www.netz16.de Netz16 GmbH Firmenpräsentation / Stand 2014 S. 1 Vorstellung Netz16 Eckdaten unseres Unternehmens Personal 80 60 40 20 0 2010 2011 2012 2013

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Elektronischer Rechtsverkehr Einfache und sichere Kommunikation mit Österreichs Gerichten und Behörden

Elektronischer Rechtsverkehr Einfache und sichere Kommunikation mit Österreichs Gerichten und Behörden Elektronischer Rechtsverkehr Einfache und sichere Kommunikation mit Österreichs Gerichten und Behörden AMT DER KÄRNTNER LANDESREGIERUNG Abteilung 1 (Kompetenzzentrum Landesamtsdirektion) Informationstechnologie

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

sba Impact 2012 Meldepflicht nach dem Datenschutzgesetz Wen juckt's?

sba Impact 2012 Meldepflicht nach dem Datenschutzgesetz Wen juckt's? Meldepflicht nach dem Datenschutzgesetz Wen juckt's? 1 Agenda Meldungen an das Datenverarbeitungsregister Pflichten Ausnahmen Strafbestimmungen DVR-Online Die EU-Datenschutzverordnung (Entwurf) 2 Siegfried

Mehr

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen

Mehr

IT-Nutzung an der Privaten Pädagogischen Hochschule der Diözese Linz

IT-Nutzung an der Privaten Pädagogischen Hochschule der Diözese Linz IT-Nutzung an der Privaten Pädagogischen Hochschule der Diözese Linz BENUTZERRICHTLINIEN: Diese Nutzungsrichtlinie wird durch das Rektorat der Privaten Pädagogischen Hochschule der Diözese Linz definiert

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer. Dipl.-Ing. Dariush Ansari Network Box Deutschland GmbH

Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer. Dipl.-Ing. Dariush Ansari Network Box Deutschland GmbH Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer Dipl.-Ing. Dariush Ansari Vertriebsleiter Network Box Deutschland GmbH INHALT 1. Was haben der Kauf von IT Infrastruktur und der Kauf

Mehr

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Checkliste I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Seite 02 1 Betriebskonzept 0. Allgemeines Der Gliederungspunkt «0 Allgemeines» soll nicht als Kapitel gestaltet

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

Disaster Recovery Planung bei der NÖ Landesverwaltung

Disaster Recovery Planung bei der NÖ Landesverwaltung Disaster Recovery Planung bei der NÖ Landesverwaltung Alexander Miserka Abt. Landesamtsdirektion/Informationstechnologie Planung und Integration alexander.miserka@noel.gv.at 02742/9005/14781 Folie 1 ,

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Der Stadtrat erlässt gestützt auf Art. 6 des Personalreglements vom 21. Februar 2012 2 : I. Allgemeine Bestimmungen

Mehr

Einflussfaktoren bei der Gestaltung eines IT-Arbeitsplatzes

Einflussfaktoren bei der Gestaltung eines IT-Arbeitsplatzes Einflussfaktoren bei der Gestaltung eines IT-Arbeitsplatzes Version: V 1.0 Datum: 21.11.2008 Freigabe: 21.11.2008 Autor: Ernst Kammermann-Gerber, SBB AG Agenda Einleitung Sicht Benutzer Sicht Technik Lösungsansätze

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit 311.4 EVANGELISCH-REFORMIERTE GESAMTKIRCHGEMEINDE BERN Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit vom 20. September 2006 311.4 Weisungen Datenschutz/Datensicherheit Inhaltsverzeichnis

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management Schutz sensibler Personendaten im e-government-umfeld Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management OeSD im Überblick Gründung: 1804 Mitarbeiter: 180 Produktion:

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Einheitliche Dokumentation der Klientinnen und Klienten der Drogeneinrichtungen (DOKLI)

Einheitliche Dokumentation der Klientinnen und Klienten der Drogeneinrichtungen (DOKLI) Einheitliche Dokumentation der Klientinnen und Klienten der Drogeneinrichtungen (DOKLI) Standards hinsichtlich Datenschutz und Datensicherung 1. Datenschutzerfordernisse Da bei der Umsetzung des Projekts

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Einführung und Umsetzung eines IT-Sicherheitsmanagements

Einführung und Umsetzung eines IT-Sicherheitsmanagements Einführung und Umsetzung eines IT-Sicherheitsmanagements Datum: 22.09.15 Autor: Olaf Korbanek IT Leiter KTR Kupplungstechnik GmbH AGENDA Vorstellung KTR Kupplungstechnik IT-Sicherheit ein weites Feld IT-Sicherheit

Mehr

Die IT Verfahrensdatenbank der Freien Universität Berlin

Die IT Verfahrensdatenbank der Freien Universität Berlin elektronische Administration und Services Die IT Verfahrensdatenbank der Freien Universität Berlin Dr. Christoph Wall, Leitung eas Dietmar Dräger, IT-Sicherheit Folie 1 von 26 Freie Universität Berlin

Mehr

NEUARBEITEN Der moderne Arbeitsplatz der Zukunft Neuarbeiten schafft auf Basis von Office 365 einen sofort nutzbaren, modernen IT-Arbeitsplatz

NEUARBEITEN Der moderne Arbeitsplatz der Zukunft Neuarbeiten schafft auf Basis von Office 365 einen sofort nutzbaren, modernen IT-Arbeitsplatz NEUARBEITEN Der moderne Arbeitsplatz der Zukunft Neuarbeiten schafft auf Basis von Office 365 einen sofort nutzbaren, modernen IT-Arbeitsplatz Mit NEUARBEITEN gestalten wir Ihnen eine innovative Arbeitsplattform

Mehr

Verfahrensverzeichnis nach 6 HDSG

Verfahrensverzeichnis nach 6 HDSG Verfahrensverzeichnis nach 6 HDSG 1 neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 6 Abs. 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt Ausgenommen sind

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Eins-A Systemhaus GmbH Sicherheit Beratung Kompetenz. Ing. Walter Espejo

Eins-A Systemhaus GmbH Sicherheit Beratung Kompetenz. Ing. Walter Espejo Eins-A Systemhaus GmbH Sicherheit Beratung Kompetenz Ing. Walter Espejo +43 (676) 662 2150 Der Eins-A Mehrwert Wir geben unseren Kunden einen Mehrwert in der Beratung der Dienstleistung und im IT Support

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Nutzungsbestimmungen. Online Exportgarantien

Nutzungsbestimmungen. Online Exportgarantien Nutzungsbestimmungen Online Exportgarantien November 2013 1 Allgemeines Zwischen der Oesterreichischen Kontrollbank Aktiengesellschaft (nachfolgend "OeKB") und dem Vertragspartner gelten die Allgemeinen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Version Bearbeitung Ersteller Datum. 1.0 Neues Dokument kr 02.02.2015

Version Bearbeitung Ersteller Datum. 1.0 Neues Dokument kr 02.02.2015 Verwaltungsdirektion Abteilung Informatikdienste Version Bearbeitung Ersteller Datum 1.0 Neues Dokument kr 02.02.2015 Verteiler Klassifikation Dokumentenstatus Verwaltungsdirektion, IT-Verantwortliche,

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Hardware- und Software-Anforderungen IBeeS.ERP

Hardware- und Software-Anforderungen IBeeS.ERP Hardware- und Software-Anforderungen IBeeS.ERP IBeeS GmbH Stand 08.2015 www.ibees.de Seite 1 von 8 Inhalt 1 Hardware-Anforderungen für eine IBeeS.ERP - Applikation... 3 1.1 Server... 3 1.1.1 Allgemeines

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Dienstanweisung über Einsatz und Verwendung von Informatikmitteln

Dienstanweisung über Einsatz und Verwendung von Informatikmitteln Dienstanweisung über Einsatz und Verwendung von Informatikmitteln vom 25. August 2009 1 Die Regierung des Kantons St.Gallen erlässt als Dienstanweisung: I. Allgemeine Bestimmungen Zweck Art. 1. Diese Dienstanweisung

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION.

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. RECHENZENTREN EASY COLOCATE OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. Eine optimale IT-Infrastruktur ist heute ein zentraler Faktor für den Erfolg eines Unternehmens. Wenn

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Statistik Austria. Entstand am 1.1.2000 durch Ausgliederung des Österreichischen Statistischen Zentralamts

Statistik Austria. Entstand am 1.1.2000 durch Ausgliederung des Österreichischen Statistischen Zentralamts TSM bei Statistik Austria Ing. Wilhelm Hillinger EDV Abteilung Dezentrale Systeme und EDV-Sonderprojekte Statistik Austria Entstand am 1.1.2000 durch Ausgliederung des Österreichischen Statistischen Zentralamts

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731 Datenschutz 1 Die Hintergründe des BDSG 2 Ziel des Datenschutzes: Die Vermeidung von erfahrungsfreiem Wissen (Informationelle Selbstbestimmung) Jeder Mensch sollte wissen, wer was mit seinen Daten macht

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT Storage Cluster Lösung

IT Storage Cluster Lösung @ EDV - Solution IT Storage Cluster Lösung Leistbar, Hochverfügbar, erprobtes System, Hersteller unabhängig @ EDV - Solution Kontakt Tel.: +43 (0)7612 / 62208-0 Fax: +43 (0)7612 / 62208-15 4810 Gmunden

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

dvv.virtuelle Poststelle

dvv.virtuelle Poststelle Allgemeine Information zu unseren Angeboten über die dvv.virtuelle Poststelle 1 Ausgangssituation Der Einsatz von E-Mail als Kommunikations-Medium ist in der öffentlichen Verwaltung längst selbstverständliche

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Tobias Rademann, M.A.

Tobias Rademann, M.A. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs" EDV im Mittelstand: praxisnahe Strategien für effektive it-sicherheit Tobias Rademann, M.A. Roadshow: "Cybercrime" 2015 Transport Layer Security Hacker

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Die Bewerberin/der Bewerber kann Änderungen im Karriereprofil mittels der bereitgestellten Anwendung vornehmen.

Die Bewerberin/der Bewerber kann Änderungen im Karriereprofil mittels der bereitgestellten Anwendung vornehmen. Datenschutzerklärung Die vorliegende Datenschutzerklärung umfasst drei getrennte Datenanwendungen, die im Wege der Jobbörse der Republik Österreich verfügbar gemacht werden: Die erste Datenanwendung umfasst

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Optimale IT-Umgebung mit der Agenda- Software

Optimale IT-Umgebung mit der Agenda- Software Optimale IT-Umgebung mit der Agenda- Software Inhaltsverzeichnis Ziel...0 2 Empfohlene Installationsarten....0 2. Einzelplatzsystem...0 2.2 Mehrplatzsystem bis 5 Arbeitsplatzrechner....06 2. Mehrplatzsystem

Mehr

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften)

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Uwe Jürgens 09.11.2004 c/o Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - 2-1.

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Was sieht das Gesetz vor?

Was sieht das Gesetz vor? Die Bundesregierung plant ein IT Sicherheitsgesetz. Dieses liegt aktuell als Referenten- entwurf des Innenministeriums vor und wird zwischen den einzelnen Ministerien abgestimmt. Im Internet wird viel

Mehr