Cloud für Verwaltung - Vertrauen braucht Sicherheit

Transkript

1 Cloud für Verwaltung - Vertrauen braucht Sicherheit Wege und Erfahrungen des krz Wolfgang Scherer Stellv. Geschäftsführer Effizienter Staat Berlin, 05. Mai 2015 Wir integrieren Innovationen

2 Agenda krz - Der kommunale Service-Provider in OWL Cloud-Angebote Vertrauensräume sicher gestalten Fazit 2

3 Wer wir sind ein kommunaler Service-Provider 44 Jahre jung und vollständig im kommunalen Besitz! Bewährte Rechtsform für die interkommunale Zusammenarbeit 3

4 Wer wir sind ein kommunaler Service-Provider 34 Mio. Umsatz in weitere Services werden von den Trägern zunehmend abgefragt 4

5 Wer wir sind ein kommunaler Service-Provider 230 engagierte und hochqualifizierte Mitarbeiter 04/15 5

6 Wer wir sind ein kommunaler Service-Provider 11 Mio. Einwohner in NRW werden direkt oder indirekt mit Services aus Lemgo betreut - Träger des krz sind 37 Kommunen 6

7 Wer wir sind ein kommunaler Service-Provider Kommunale Serviceprovider sind wichtiger Bestandteil der Öffentlichen Sicherheit krz: 2 Mio. EWO-Daten aktuell Regionale Katasterdaten Infrastruktur u.a. für Leitstellen Ausfallsichere redundante Verwaltungsnetze für Träger Anschluss an DOI für Mitglieder Druckt und versendet OWI-Bescheide u.a. für K, LEV, BI und Kreise in OWL 7

8 Der Rahmen öffentlicher IT Unsere kommunalen Kernkompetenzen Sicherheitsrelevanz Verwaltungswissen dedizierte Fachverfahren Ämter- und bereichsübergreifende Integration Interkommunale Kooperation Vertikale und horizontale Vernetzung Diskussionskultur mit den Eigentümern 8

9 Agenda krz - Der kommunale Service-Provider in OWL Cloud-Angebote Vertrauensräume sicher gestalten Fazit krz Minden-Ravensberg/Lippe 9

10 Cloud: Ja und ganz sicher! Private Cloud-Betrieb seit über 40 Jahren Mehr als User Mobile Devices eingebunden MDM zentral WLAN für Verwaltungen Integratives Gesamtangebot 10

11 Heutige Cloud-Lösungen SchülerOnline Übergangsmanagement 11

12 Heutige Cloud-Lösungen Meldeportale in NRW Meldeportal für Behörden (MpB) und Meldeportal für Private (MpP) Wirkbetrieb seit dem % der Kommunen in NRW ans Portal angeschlossen Zentrale Rolle der kommunalen IT-Dienstleister 12

13 Heutige Cloud-Lösungen Digitales Archiv NRW 13

14 Heutige Cloud-Lösungen krz-databox 14

15 Heutige Cloud-Lösungen Bürgerserviceportal Digital von A bis Z 15

16 Heutige Cloud-Lösungen ProVitako GovCloud Bietet heute bereits ein großes Spektrum von Cloud-Diensten an wie beispielsweise: - Allgemeine Verwaltung - Bauverwaltung - Finanzverwaltung - Infrastructure as a Service - Rechts-, Sicherheits- und Ordnungsverwaltung - Schul- und Kulturverwaltung - Sozial-, Jugend- und Gesundheitsverwaltung - Verwaltung für Wirtschaft und Verkehr 16

17 Agenda krz - Der kommunale Service-Provider in OWL Cloud-Angebote Vertrauensräume sicher gestalten Fazit 17

18 Allgemeine Ausgangslage Wachsende Abhängigkeit der öffentlichen Verwaltung durch Einwandfreies Funktionieren und uneingeschränkte Verfügbarkeit informationstechnischer Systeme Grundwerte: Vertraulichkeit, Verfügbarkeit und Integrität der Daten Sicheren und datenschutzgerechten Umgang mit den Daten 18

19 Allgemeine Ausgangslage Folge: Entsprechende (anerkannte) Sicherheitsmechanismen etablieren ISMS Quelle: Vortrag Frau Münch (BSI), IT-Grundschutz-Tag am

20 Der Weg zum Zertifikat Der gesteuerte Sicherheitsprozess nach IT-Grundschutz BSI- Standards und IT-Grundschutz-Kataloge als Basis des ISMS Dokument Bezeichnung Erläuterung BSI Standard BSI Standard BSI Standard BSI Standard ISMS: Managementsysteme für Informationssicherheit IT-Grundschutz- Vorgehensweise Risikoanalyse auf der Basis von IT- Grundschutz Notfallmanagement Dieser Standard enthält die Anforderungen Beschreibt die Vorgehensweise Vereinfachtes Verfahren zur Risikoanalyse Systematischer Weg zum Aufbau eines Notfallmanagements 20

21 Der Weg zum Zertifikat Festlegen des (IT-) Informations-Verbundes = der Geltungsbereich für die Erstellung der Sicherheitskonzeption Das BSI definiert unter einem IT-Verbund die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. 21

22 Der Weg des krz zum Zertifikat Im krz begann der Umsetzungsprozess in 2005 (u. a. durch Aufstellung eines Realisierungsplans; konkrete Sicherheitsmaßnahmen, neue Technikkonzepte) Überarbeitung des Sicherheitskonzepts durch den DSB des krz ( ) Bewertung der IT-Sicherheit durch TüViT ( ) Sicherheitskonzept RZ-Erweiterungen ( ) Auditreport ( ) Erst-Zertifizierung in 2007 nach ISO auf Basis von IT-Grundschutz und damit erstes kommunales Service-Rechenzentrum in Deutschland 22

23 Agenda krz - Der kommunale Service-Provider in OWL Cloud-Angebote Vertrauensräume sicher gestalten Fazit 23

24 Die gute Idee Die Zukunft gehört der Cloud trotz Sicherheitsbedenken (Technology Conference 2014) Cloud Computing gehört die Zukunft (PWC 2014) Die Zukunft heißt "Cloud (ARD 2015) Copyright: Fraunhofer 24

25 Schlagzeilen krz Minden-Ravensberg/Lippe 25

26 krz: Sicher? Ganz sicher! BSI-Zertifizierung 2007 nach ISO auf Basis von IT-Grundschutz Erstes kommunales Service-Rechenzentrum in Deutschland BSI-Re-Zertifizierung 2009 (gültig bis ) Weiterhin erstes kommunales Service-Rechenzentrum BSI-Re-Zertifizierung 2011 (gültig bis ) Zum dritten Mal in Folge: Erstes kommunales Service-Rechenzentrum BSI-Re-Zertifizierung 2015 (gültig bis ) Seit mehr als 10 Jahren zertifiziert! Überprüfung der Geschäftsprozesse/Qualitätsmanagement Ohne Datensicherheit kein Datenschutz Aufgabenwahrnehmung als behördliche Datenschutzbeauftragte für Kunden Wichtigste Sicherungsmaßnahme: Gut ausgebildete und motivierte Mitarbeiter in Sicherheitsfragen 26

27 Fazit Die ISO Zertifizierung auf Basis von IT-Grundschutz ist unabhängig von der Größe der Behörde/Verwaltung möglich Für die Umsetzung von IT-Grundschutz werden bis zur Zertifizierung 12 bis 36 Monate angenommen Der Aufwand des Auditors (lt. BSI) beträgt zwischen 15 und 35 Tagen, je nach Größe und Komplexität des Untersuchungsgegenstandes (IT-Verbund) Cloud Angebote analog zertifizieren 27

28 Fazit Konsolidierungsinstrument Cloud Chancen nutzen im Bereich flexibler Auslastungen Grundlage interkommunaler und ebenen-übergreifender Zusammenarbeit Hoheitliche Aufgaben (u.a. alle gleich behandeln ) genau definieren Höchstverfügbarkeit sicherstellen BSI-Standards, IT-Sicherheitsgesetz, KRITIS-Anforderungen beachten 28

29 Kunden Rundum Zufrieden 29

30 Vielen Dank für Ihre Aufmerksamkeit Wolfgang Scherer stellv. Geschäftsführer Kommunales Rechenzentrum Minden-Ravensberg/Lippe Am Lindenhaus Lemgo Tel: 05261/ Besuchen Sie das krz auch auf und Wir integrieren Innovationen