Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen

Transkript

1 Landkreis Harburg Warum ein IT-Sicherheitsbeauftragter? Beweggründe Mike Wille Betriebsleiter IT

2 Landkreis Harburg Vertraulichkeit Verfügbarkeit Informationssicherheit Integrität

3 Landkreis Harburg die Admins der IT-Leiter die Behördenleitung

4 Landkreis Harburg Quelle: BSI Leitfaden Informationssicherheit

5 Landkreis Harburg Aufgaben eines kommunalen IT-Sicherheitsbeauftragten Landkreis Harburg

6 Marc Schörshusen, Dipl.-Ing. Elektrotechnik, CISSP Seit Juni 2010 IT-Sicherheitsbeauftragter beim Landkreis Harburg. Bis Juni 2010: Tätig bei einem internationalen IT-Konzern Ca. 10 Jahre Erfahrung in der IT-Sicherheit mit unterschiedlichen Aufgabenschwerpunkten - Erstellung von IT-Sicherheitskonzepten - Implementierung von IT-Sicherheitsstrukturen, -prozessen, -technik - IT-Sicherheitsbetrieb - Erfahrung mit IT-Sicherheitsaudits

7 Aufgaben eines IT-Sicherheitsbeauftragten Selten reagierten die Westdeutschen so hysterisch wie bei der Einführung der Gurtpflicht. Vor 35 Jahren verweigerten sich Millionen Menschen dem Lebensretter Sicherheitsgurt. Männer fürchteten um ihre Freiheit, Frauen um ihren Busen - am Ende spaltete der bizarre Glaubenskrieg die ganze Republik. Kai Posmik, SpiegelOnline

8 Aufgaben eines IT-Sicherheitsbeauftragten 90 Prozent hielten ihn "für ein notwendiges, da sinnvolles aktives Rückhaltesystem 1972 hatten 36% aller Autos Gurte installiert im Stadtverkehr nutzen ihn nur 5% der Autofahrer. Das Auto galt als Inbegriffe der Moderne, als Symbol von Freiheit und Lust. Ab 1974 hoffte man auf die Einsicht der Autofahrer und setzte auf eine massive Werbekampagne. -- Mit mäßigen Erfolg [Quelle: Einführung der Gurtpflicht. Anschnallen bitte! SpiegelOnline]

9 Aufgaben eines IT-Sicherheitsbeauftragten Strategie: Wo will ich hin? Was ist meine Vision, was sind meine IT-Sicherheitsziele? Struktur: Welche Prozesse, welche Strukturen benötige ich? Kultur: Welche Mitarbeiter brauche ich? Welche Unternehmenskultur benötige ich?

10 Einführung IT-Sicherheitsmanagement Initiierung Phase 1 Initiierung des Sicherheitsprozesses Konzepterstellung Phase 2 Phase 3 Phase 4 Phase 5 Strukturanalyse Erfassung aller IT-Systeme/Anwendungen Schutzbedarfsfeststellung Bewertung der Fachaufgaben/Daten/ IT-Systeme Modellierung nach IT-Grundschutz Basis-Sicherheitscheck Implementierung Betrieb Zertifizierung Phase 6 Phase 7 Phase 8 Realisierung von Sicherheitsmaßnahmen Betrieb Zertifizierung ISO27001 nach BSI-Grundschutz (optional)

11 Einführung IT-Sicherheitsmanagement Phase 1 vorläufig zurückgestellt. Um eine Leitlinie zu schreiben, Sicherheitsniveau der Fachaufgaben zu bestimmen etc. ist es notwendig, die Behörde etwas zu kennen. Phase Strukturanalyse und Schutzbedarfsfeststellung mit Interviews in den Abteilungen beginnen Phase 6 Realisierung von Sicherheitsmaßnahmen beginnen mit Standardmaßnahmen für den Schutzbedarf Normal.

12 Beispiel Interview Grundvoraussetzung für die Konzepterstellung Phase2/3 ist die Durchführung der Abteilungsinterviews Fachaufgaben aufnehmen (Strukturanalyse Anwendungen) Schutzbedarfsfeststellung der Informationen in den Abteilungen durchführen Anschließend Protokoll erstellt und an die Abteilung zur Korrektur/Akzeptanz versendet.

13 Beispiel Interview: Schutzbedarfsfeststellung Fachaufgabe Amtsärztlicher Dienst: Vertraulichkeit Hoch Es werden personenbezogene medizinische Informationen verarbeitet. Eine Veröffentlichung kann erhebliche negative Auswirkungen auf die betroffenen Personen haben. Verstöße gegen Gesetze mit erheblichen Konsequenzen. Fachaufgabe Wahldurchführung: Integrität Hoch Unregelmäßigkeiten werden bei der Nachkontrolle und der Feststellung des Endergebnisses erkannt. Falsche Darstellung am Wahlabend führt zu einer breiten Ansehens- oder Vertrauensbeeinträchtigung. Fachaufgabe Soziale Leistungen: Verfügbarkeit Sehr hoch Verzögerungen bei der Auszahlung kann zu existenziellen Konsequenzen für den Betroffenen führen. Die maximal tolerierbare Ausfallzeit liegt bei maximal 24 Stunden.

14 Beispiel Interview: Herausforderungen und Aufwand Schutzbedarf Fachaufgabe Schutzbedarf Anwendung Fachaufgabe Soziale Leistungen: Verfügbarkeit ist Sehr hoch Verzögerungen bei der Auszahlung kann zu existenziellen Konsequenzen für den Betroffenen führen. Die maximal tolerierbare Ausfallzeit liegt bei maximal 24 Stunden. Information zusätzlich auf Papier vorhanden Die Verfügbarkeit der Anwendung nur noch Hoch. Die maximal tolerierbare Ausfallzeit liegt bei maximal 48 Stunden.

15 Beispiel Interview: Herausforderungen und Aufwand Aufwand 30 Abteilungs-Interviews ca. 85 Fachaufgaben über 100 Anwendungen Pro Interview: 2-4 Stunden + Vorbereitung/Protokollerstellung Herausforderungen Schleppende Antwort auf Terminwünsche Schleppende Antwort/Zustimmung zu den Reporten Aufgabe erfordert Geduld und Beharrlichkeit.

16 Vorläufiges Sicherheitsmanagement Im Landkreis Harburg wird überwiegend mit personenbezogenen- oder interne Betriebs- oder geschäftsbezogenen Informationen gearbeitet. - D.h. ich habe als Minimum einen normalen Schutzbedarf. - Einfach mit den Maßnahmen des BSI beginnen. - Es lassen sich Standard -Sicherheitsprozesse einführen. - Wird normalerweise erst in Realisierung von Sicherheitsmaßnahmen (nach BSI durchgeführt).

17 Vorläufiges Sicherheitsmanagement Mit der Einführung der Interims-Prozesse verfolge ich die Ziele - Kurzfristig Sicherheitslücken beheben und Sicherheitsniveau anheben - IT-Mitarbeiter schulen, mit dokumentierten Verfahrensabläufen zu arbeiten. (incl. Sicherungen, Tests, Dokumentation, Nachweisen, Kontrollen etc.) - IT-Sicherheitsprozess auf Betrieb abstimmen - Toolerfahrung sammeln

18 Vorläufiges Sicherheitsmanagement Verfahrensanweisung: Sicherheitspatch- und Update-Management Patchen gehört zu einem der wichtigsten Pflichtprogrammen relativ unabhängig von einem vorhandenen Sicherheitskonzept.

19 Vorläufiges Sicherheitsmanagement Die Verfahrensanweisung: Sicherheitspatch- und Update-Management beinhaltet: Eine allgemeine Beschreibung incl. welche BSI Maßnahmen abgedeckt werden und den Geltungsbereich. Rollen und Verantwortlichkeiten Vorläufige Klassifizierung der IT-Systeme und Zeitvorgaben (für Patch) Ablaufplan mit Benennung der Nachweise Grundsätzlich definiere ich WAS gemacht wird und nicht WIE.

20 Vorläufiges Sicherheitsmanagement Prozessinhalt: Rollen und Verantwortlichkeiten (Auszug) Der IT-Administrator stellt sicher, dass die notwendigen Schritte der Sicherheitspatche durchgeführt werden. die Sicherheitspatche im vorgegebenen Zeitrahmen implementiert werden. alle geforderten Nachweise vorhanden sind. Der IT-Koordinator stellt sicher, dass alle Anwender der jeweiligen Abteilung informiert sind. ist Ansprechpartner für Terminabsprachen

21 Vorläufiges Sicherheitsmanagement Prozessinhalt: Klassifizierung der IT Systeme und Zeitvorgaben (Auszug) Risikostufen Systemtyp Beschreibung Kritisch Notfall Hoch Mittel Niedrig Internet Server/ Netzwerkkomponenten Anwendungsserver Server/ Netzwerkkomponenten, mit direkter Verbindung zum Internet. Die verarbeiteten Daten stammen aus verlässlichen Quellen oder durch manuelle Eingabe. 3 Tage 7 Tage 10 Tage 31 Tage 7 Tage 20 Tage 62 Tage 93 Tage

22 Vorläufiges Sicherheitsmanagement Prozessinhalt: Ablaufplan mit Benennung der Nachweise (Auszug) 1. Bewertung des Sicherheitspatch (Relevanz feststellen, z.b. Dienst/Service installiert) 2. Prioritäten und Terminplanung durchführen 3. Test an Referenzsystem durchführen 4. Sicherheitskopie des aktuellen produktiven Systems erstellen. 5. Hotline Informieren, IT-Koordinator informieren 6. Sicherheitspatch durchführen 7. Funktionstest durchführen

23 Vorläufiges Sicherheitsmanagement Herausforderungen Wie klassifiziert man IT-Systeme? Anzahl der Systemtypen: Wie viele sind sinnvoll? Zeitvorgaben: Was kann die IT unter idealen Voraussetzungen erfüllen? Zeiträume für Absprachen, Einfluss des Tagesgeschäfts etc. Risikostufen: Was ist kritisch etc.? Jeder SW Hersteller nennt es anders. Wie viel Dokumentation ist notwendig?

24 Projekt: Nutzung von Mobilen Datenträgern Ausgangslage Beispiel: USB-Speichermedien, CD/DVD Alte Lösung: Grundsätzlich nicht erlaubt Auf Antrag wurden Ausnahmen erlaubt. Nicht immer vom Vorgesetzten genehmigt. Kein Schutz vor Schadcode Nur die Nutzung freigegebener USB-Sticks möglich. Umgehung der Sicherheit durch Drittrechner möglich. CD/DVD Nutzung nicht möglich. Freigaben sind PC-gebunden. Fremdnutzung möglich. Dokumentation der Freigaben nicht nachvollziehbar. Betrieblich sehr umständlich und trotzdem nicht sicher.

25 Projekt: Nutzung von Mobilen Datenträgern Erstellen eines IT-Sicherheitskonzept für Mobile Datenträger Listet die BSI-Maßnahmen auf Erklärt den Begriff Mobile Datenträger Beschreibt die Gefahren durch Mobile Datenträger Das Einschleppen von Schadsoftware Verbreiten von Schadsoftware Das Entwenden von Daten Verlust eines mobilen Datenträgers mit sensiblen Informationen Sicherheitsanforderungen für die Nutzung von mobilen Datenträgern Wird später in das IT-Sicherheitskonzept integriert.

26 Projekt: Nutzung von Mobilen Datenträgern IT-Sicherheitskonzept: Sicherheitsanforderungen (Auszug) Beschreibung Informationen mit dem Schutzbedarf hoch für die Vertraulichkeit auf einen mobilen Datenträger zu kopieren ist VERBOTEN. Es darf die Nutzung von mobilen Datenträgern sowie internen und externen optischen Laufwerken (z.b. CD/DVD-Laufwerken/Brenner) nur mit bestätigter fachlicher Notwendigkeit erlaubt werden. Bei fachlicher Notwendigkeit für die Nutzung von mobilen Datenträgern ist der Mitarbeiter über die Gefahren und den Umgang zu sensibilisieren. Es dürfen nur vorher genehmigte fachlich notwendige Datenformate auf/von mobilen Datenträgern bewegt werden. (Whitelist: z.b. nur für Office, PDF, JPG) Der Datenaustausch vom/zum mobilen Datenträger muss vom Schadcode- Schutzprogramm überwacht werden. Quelle Ergänzend M 4.4 M 4.4 M 3.5 Ergänzend M 4.3

27 Projekt: Nutzung von Mobilen Datenträgern Erstellen einer IT-SICHERHEITSRICHTLINIE für MOBILE DATENTRÄGER soll dem Anwender den sicheren Gebrauch eines mobilen Datenträgers ermöglichen und ein Risiko für den ordentlichen IT-Betrieb des Landkreis Harburg minimieren. Beschreibt: Die Gefahren bei der Nutzung von mobilen Datenträgern Verantwortung des Informationseigentümers und des Nutzers von mobilen Datenträgern Verhaltensregeln zur Risikominimierung, incl. Meldepflicht bei Verlust sensibler Daten.

28 Projekt: Nutzung von Mobilen Datenträgern Antragsverfahren über Intranet gesteuert

29 Projekt: Nutzung von Mobilen Datenträgern Vorteile der neuen Lösung Bei fachlicher Notwendigkeit erlaubt mit klarer Genehmigungsstruktur. Keine Notwendigkeit mehr, die Sicherheit zu umgehen. Schutz vor Schadcode CD/DVD möglich. Nutzer ersparen sich den Weg zur IT-Abteilung und IT-Abteilung erspart sich Arbeit. Freigaben sind Personengebunden Dokumentation der Freigaben keine Behinderung der betrieblichen Abläufe und höhere Sicherheit

30 Zusammenfassung Aufgaben eines IT-Sicherheitsbeauftragten Interviewerdurchführung: Strukturanalyse und Schutzbedarfsfeststellung, Sensibilisierung Konzept, Aufbau, Betrieb und Kontrolle bei Sicherheitspatchund Update-Management Projektunterstützung/-beratung: Nutzung von Mobilen Datenträgern Größte Herausforderungen Eine Menge Geduld notwendig. Kulturwechsel auf allen Ebenen. Viel Überzeugungsarbeit

31 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Marc Schörshusen Landkreis Harburg IT-Sicherheitsbeauftragter Tel.: 04171/ Mike Wille Landkreis Harburg Leiter Betrieb Informationsverarbeitung Tel.: 04171/