Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen

Transkript

1 STADT AARAU Stadtrat Rathausgasse Aarau Tel Fax kanzlei@aarau.ch Aarau, 25. Mai 2009 GV /402 Bericht und Antrag an den Einwohnerrat Vorgehen Informations- und IT-Security, Umsetzung der Massnahmen Sehr geehrte Frau Präsidentin Sehr geehrte Damen und Herren Seit 1. Juli 2008 gelten eine neue Verfassungsbestimmung ( 72 Abs. 1+2 KV) und ein neues Gesetz. Mit der Verfassungsbestimmung erhält jede Person das Recht auf Zugang zu amtlichen Dokumenten. Das neue Gesetz (IDAG) und die neue Verordnung zum Gesetz (VIDAG) regeln die Information der Öffentlichkeit, den Datenschutz und das Archivwesen. Im Leitfaden zum Gesetz und der Verordnung wird das Vorgehen aufgezeigt: "Das öffentliche Organ hat vorerst eine sorgfältige Risikoanalyse durchzuführen und darauf aufbauend ein Sicherheitskonzept zu entwickeln (im Detail: 4 Abs. 2 Satz 1 VIDAG)". Der ILA (Informatik-Lenkungsausschuss) hat sich anfangs 2008 bei der Behandlung von IT- Sicherheitsfragen und mit Blick auf das IDAG entschieden, eine Risikoanalyse "Informationsund IT-Sicherheit" mit einer externen Begleitung durchzuführen. Das vorliegende Ergebnis wurde dann vom Stadtrat behandelt und zu Handen des Einwohnerrates verabschiedet. 1 Ausgangslage Dieser Bericht zeigt auf, wie der ILA im Jahr 2008 vorgegangen ist und welche Schritte er im Bereich der Informations- und IT-Security unternommen resp. in Auftrag gegeben hat. Mit seiner Risikoanalyse und den daraus abgeleiteten Massnahmen, die jetzt angegangen werden sollen, ist die erste Phase abgeschlossen worden. 1.1 IST-Zustand Security-Überprüfung (2004) Im Jahre 2004 wurde die Firma terreactive AG, Aarau, beauftragt, eine Sicherheitsüberprüfung durchzuführen. Anlass war die geplante Produktivschaltung eines webbasierten Dienstes zur Nutzung des internen Systems durch Mitarbeiter von Einstellungen\Temp\GWViewer\E09-402bereinigt.doc /V1.0

2 2 aussen (Webmail Lösung). Hierbei wird erstmalig durch die Sektion OI ein allgemein vom Internet her erreichbarer Dienst angeboten. Vorrangiges Ziel des Audits war somit, sicherzustellen, dass hierdurch keine Gefahren für die Vertraulichkeit und Integrität des internen Netzwerks verursacht werden. Untersuchungsgegenstand des Audits waren neben dieser konkreten Webmail Lösung auch die sonstigen, für Aussenstehende sichtbaren Schnittstellen der IT Infrastruktur der Stadtverwaltung. Die wichtigste Massnahme war die Implementierung einer neuen Firewall Security-Überprüfung durch Cassarius (2007) Im Jahre 2007 wurde die Firma Cassarius AG, Bern, beauftragt, die von der Firma terreactive AG betriebene Firewall zu überprüfen. Der Anlass dazu war der Anschluss ans Netz der Kapo Aargau. Dabei wurden nur die Firewall und deren Implementierung überprüft. Das Fazit aus dem Abschlussbericht lautet: Die Firewall "aarau-fw0" wurde von der Firma terreactive gut implementiert. Einige kleinere Massnahmen wurden im Laufe der Überprüfung umgesetzt Technische Massnahmen (IST) Firewall Die Firewall wird nach wie vor durch die in Aarau ansässige Firma terreactive AG kompetent betreut. Geplante Änderungen werden auf Antrag ausgewählter Mitarbeiter der Sektion OI verifiziert und erst dann umgesetzt USB-Stick (Regelung) Private USB-Sticks sind nicht erlaubt. Von der Sektion OI werden USB-Sticks mit einem Passwort-Schutz abgegeben Antivirus-Schutz Der Schutz vor Viren, Trojanern, etc. wird auf den verschiedenen Systemen durch verschiedene Produkte gewährleistet. Es sind die folgenden Produkte im Einsatz: Firewall: clamav Arbeitsstationen: Antivir von Avira Windows-Server: Norton von Symantec Novell-Server: McAfee / Kaspersky (Umstellung auf Kaspersky für alle Novell-Server geplant) Spam-Schutz Die Spam-Mails werden auf der Firewall nach verschiedenen Kriterien überprüft und bei Spam-Erkennung in einen Quarantänen-Ordner auf der Firewall zurückbehalten. Der EDV- User erhält keine Nachricht. Die Algorithmen werden laufend den neuesten Gegebenheiten angepasst. Bis Ende Januar 2009 wurde eine stark verbesserte Version implementiert.

3 3 Aktuell werden durch den Spam- und Viren-Schutz ca. 90 % aller eingehenden s in die Quarantänen-Ordner verschoben und die restlichen ca. 10 % werden an die EDV-User weitergeleitet Attachment-Blocking Alle Mail-Beilagen werden auf Viren geprüft und zudem werden gewisse Beilagen, wie z.b. ausführbare Programme (EXE-Dateien), abgefangen. In ausführbaren Programmen verstecken sich häufig Viren. Es werden über 30 verschiedene Datei-Typen abgefangen Datensicherung Seit je her werden bei der Stadtverwaltung die Daten über Nacht in ein anderes Gebäude "kopiert" und dort auf Bänder (Tapes) gesichert. Diese Datensicherung (Hard- und Software) genügte den Anforderungen nicht mehr und war fehleranfällig. Zudem waren die Raumverhältnisse zu klein geworden und die eingesetzte Backup-Software wurde auf der eingesetzten Plattform nicht mehr weiterentwickelt. Daher wurde im Oktober 2008 eine neue Datensicherung mit neuer Hard- und Software installiert. Heute werden die letzten 15 Tagessicherungen aufbewahrt. Schliesslich werden die Monatssicherungen für die nächsten Jahre aufbewahrt. Zudem werden täglich die Datenbankund Server-Sicherungen zusätzlich auf verschiedenen Harddiskspeicher-Medien gesichert. Alle diese Datensicherungen lagern in einem Gebäude der Stadtverwaltung Aarau ausserhalb des Rathauses. Die GIS-Daten werden beim externen Betreiber gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). Diese Daten stellen für die Stadtverwaltung Aarau einen sehr hohen Wert dar. Das gleiche Verfahren wird auch noch für die Daten, die auf der Website publiziert werden, angewendet. 1.2 Behandlungen im ILA (Informatik-Lenkungsausschuss) Der ILA hat im 2. Halbjahr 2008 in verschiedenen Sitzungen und einem Workshop das Thema unter der Federführung der Firma Swiss Infosec AG behandelt, eine Risikobeurteilung durchgeführt und Massnahmen ausgearbeitet. 1.3 IDAG Das IDAG, VIDAG und der Leitfaden wurden hinsichtlich möglicher Auswirkungen auf die Informatik analysiert und die Ergebnisse sind in den Massnahmenkatalog eingeflossen.

4 4 1.4 Beurteilung der Melde- und Analysestelle Informationssicherung MELANI Die Melde- und Analysestelle Informationssicherung MELANI wurde im Jahr 2004 durch das ISB (Informatikstrategieorgan Bund) im Auftrag des Bundesrates aufgebaut und wurde zu einer wichtigen Informationsquelle für Verwaltungen und Unternehmungen. (Quelle: Melde- und Analysestelle Informationssicherung MELANI Die Bedrohungslage hat sich stark verändert (Schwerpunkte Ausgabe 2008/I) Von der IT-Sicherheit zur Informationssicherung "Aktuelle gezielte IT-Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkehrungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich abwehren. Deshalb ist eine Neufokussierung nötig, welche den Schutz der Information ins Zentrum rückt und nicht nur den Schutz der Computer und Netzwerke berücksichtigt." Massenhacks legitimer Webseiten "Die Gefahr einer Infektion über Webseiten mittels Drive-By-Infektion wächst rasant. Seit Januar 2008 sind verschiedene Massenhacks von Webseiten beobachtet worden, welche beabsichtigt haben, deren Besucher zu infizieren. Darunter befinden sich auch Webseiten mit bestem Ruf und hohen Besucherzahlen." Politisch motiviertes Hacking "Cyber-Attacken können ein attraktives Mittel darstellen, um für ein politisches Anliegen Aufmerksamkeit zu erlangen. Im Bereich der Internet- Kriminalität rücken somit - nebst finanziellen Motiven - vermehrt politische Beweggründe in den Vordergrund. Jüngste Entwicklungen haben dazu beigetragen, dass politisch motiviertes Hacking, der so genannte «Hacktivismus», öffentlich diskutiert wird." Offene Funknetzwerke als Sicherheitsrisiko "Funknetzwerke (WLANs) sind heute auch privat weit verbreitet. Sind diese Netzwerke ungenügend geschützt, können Kriminelle einerseits auf interne Daten zugreifen und anderseits ermöglicht dies ihnen, bei einer IT-Straftat die wahre Urheberschaft zu verschleiern. Solche Missbräuche treten leider immer häufiger auf. Das Befolgen gewisser Grundregeln hilft, das eigene Netzwerk sauber zu halten." Der Einwohnerrat hat es im Herbst 2007 abgelehnt, ein flächendeckendes WLAN durch die Stadt aufzubauen Soziale Netzwerke und die Gefahr des Datenmissbrauchs "Soziale Netzwerke werden rege genutzt, denn sie bieten die Möglichkeit, sich mit relativ kleinem Aufwand auf dem Internet zu präsentieren. Die Veröffentlichung persönlicher Daten auf dem Internet birgt jedoch auch Gefahren: Sie hilft Cyber-Kriminellen, gezielte Angriffe zu lancieren."

5 5 Der AR (Abteilungsvorsteherrapport) hat sich im November 2008 für die Sperrung gewisser URL's (Internetadressen) ausgesprochen und hat angeregt, dass die Mitarbeiterinnen und Mitarbeiter über die Gefahren mit solchen Netzwerken informiert resp. instruiert werden Von der IT-Security (Informatik-Sicherheit) zur Informations- Sicherheit (Quelle: melani.admin.ch) "Vor rund 4 Jahren hat die Melde- und Analysestelle zur Informationssicherung Schweiz (MELANI) ihre Arbeit aufgenommen. Wie die meisten (Experten und Info-Stellen) propagierte MELANI von Beginn weg die klassischen technischen Schutzmassnahmen, wie Antivirensoftware, regelmässige Updates von Programmen und Betriebssystemen, den Einsatz von Firewalls und die Notwendigkeit von Backups. Dieses ABC der wichtigsten Schutzmassnahmen für Computer, sei es in einem privaten Haushalt oder in einem geschäftlichen Umfeld, sind noch immer gültig und unter allen Umständen weiterhin einzuhalten. Allerdings genügen sie heutzutage nicht mehr. Beim Auto gelten Sitzgurte, eine angepasste Geschwindigkeit und das Befolgen von Verkehrsregeln als Voraussetzungen für ein sicheres Fahren und dennoch können diese Sicherheitsvorkehrungen einen Unfall nicht immer verhindern. Genauso verhält es sich in der heutigen Welt der Bits und Bytes. Zwar liessen sich noch immer die überwiegende Mehrheit der Angriffe auf Computer und Netzwerke mit technischen Sicherheitsvorkehrungen und etwas gesundem Menschenverstand verhindern, doch wie im Verkehr, muss auch in der Welt der Informations- und Kommunikationstechnologien endgültig vom «absoluten Sicherheits- Gedanken» Abschied genommen werden. Bei den letzten, äusserst breit gestreuten - Wellen (siehe Kapitel 4.2) sind zwischen Versand und dem Zeitpunkt als die ersten Viren- Scanner die Malware erkannt haben, zwischen sechs und zwölf Stunden vergangen. Genügend Zeit also, um praktisch alle möglichen Opfer zu infizieren. Bei gezielten Angriffen über E- Mail, bei denen mehrere Hundert Empfänger angeschrieben werden, ist ohne Emergency-Patch seitens des Antivirenherstellers nicht mit einer Erkennung innerhalb von Stunden zu rechnen - sofern der Angriff überhaupt erkannt wird. Moderne Malware ist so konzipiert, dass sie möglichst lange nicht von Antivirensoftware erkannt wird. Zusätzlich zu den Limiten technischer Sicherheitsmassnahmen gesellen sich der teilweise unsorgsame und schon fast naive Umgang mit Informationen und Daten innerhalb des IT- Sicherheitsperimeters. Jede Firewall ist nutzlos, wenn Daten innerhalb eines Unternehmens offen herumliegen oder einfach aufgefunden werden können. Noch viel weniger können technische Schutzmassnahmen etwas dagegen ausrichten, wenn in der internen Post CD- ROMs mit ein paar Millionen Bankkontendaten, Steuerrechnungen und dergleichen einfach verloren gehen. Auch gegen eine unbedachte Platzierung persönlicher Informationen auf dem Internet, unter anderem auf sozialen Netzwerken (siehe Kapitel 3.2), sind technische Schutzmassnahmen machtlos. In diesem Sinne ist in naher Zukunft ein weiteres Zusammenspiel verschiedener Faktoren zu beobachten: Zum einen wird die Tatsache, dass die klassischen IT-Sicherheitsmassnahmen nur noch bedingten Schutz ermöglichen, ein Umdenken im übergeordneten Bereich der Informationssicherung auslösen müssen. Zum anderen wird der teils sorglose Umgang mit persönlichen, vertraulichen oder betrieblichen Informationen weiterhin ein Risiko bei Angriffen darstellen: Sei es zur Vorbereitung von Angriffen oder aber, weil nach einem

6 6 erfolgreichen Durchdringen der technischen Schutzwälle die Suche und der Zugriff nach Daten dem Angreifer leicht gemacht werden. Diese Entwicklung erfordert ein Umdenken: Neu muss der Fokus auf den Schutz der Information gelegt und vom ausschliesslichen Schutz der Computer und Netzwerke, auf denen die Informationen lagern, abgesehen werden. Dies wird ein verstärktes Informationsund Datenmanagement, Informationsklassifizierung und dergleichen nach sich ziehen. Zudem wird eine klare Risikoabwägung vorausgesetzt, die dazu führen muss, dass die Sicherheit von Verteilkanälen, Zugriffsrechten und Speicherorten dem tatsächlichen Wert einer Information angepasst werden. Nicht jeder Kanal oder Speicherort ist gleich sicher und nicht alle Dokumente sind in einem Betrieb gleich sensibel. Damit wird die Informationssicherung in den geschäftlichen und strategischen Risikomanagement-Prozess eingebunden. Ein solcher Ansatz kann allerdings nur dann Erfolg versprechend sein, wenn die Informationssicherung auch wirklich zu einem integralen Bestandteil des Sicherheitskonzeptes und somit auf der gleichen Stufe angesiedelt wird, wie beispielsweise Gebäude- und Personenschutz, Finanzcontrolling und andere." Der obige Bericht der MELANI zeigt auf, dass die Informationssicherung nicht nur Aufgabe der technischen IT-Security sein darf, sondern es sind zusätzliche Massnahmen notwendig und die Informations- und IT-Security ist als Chefsache wahrzunehmen. 1.5 Begriffe Begriff Abk. Beschreibung Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. IT-Security Teilmenge der Informationssicherheit, die sich in erster Linie mit reinen IT-Belangen und deren Sicherheit auseinandersetzt. IDAG IDAG Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) vom 24. Oktober 2006 (SAR ) VIDAG VIDAG Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26. September 2007 (SAR ) Melde- und Analysestelle MELANI Informationssicherung Soziale Netzwerke z.b. facebook myspace XING»Soziale Netzwerke Plattformen«sind internetbasierte Anwendungen, in die Nutzer ihre Beziehungen zu anderen Personen abbilden, um diese Daten für wesentliche Dienstfunktionen weiterzuverwenden.

7 7 Begriff Abk. Beschreibung Die verarbeiteten Daten sind fast ausschließlich personenbezogener Natur. Entsprechend hoch ist das Gefährdungspotential für die Nutzer, wenn Sicherheitsschwachstellen existieren und Schutzmechanismen fehlen. Swiss Infosec AG Awareness Business Continuity Planning Business Continuity Management BCP BCM Dies sind Plattformen wie myspace, facebook, studivz, werkenntwen, lokalisten, XING und LinkedIn Unabhängige Beratungsfirma in den Bereichen ITund Informationssicherheit Deutsch: "Sensibilisierung"; Aktivitäten zur Bewusstseinsbildung (in diesem Sinne gegenüber Gefahren und Verhalten bezgl. Informations- und IT-Sicherheit) Planungsgrundlagen für BCM, s. unten Betriebliches Kontinuitätsmanagement bezeichnet in der Betriebswirtschaftslehre Konzepte, Planungen und Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität Disaster Recovery Planung DRP Der Begriff Disaster Recovery (englisch für Notfallwiederherstellung) bezeichnet Maßnahmen, die nach einem Unglücksfall in der Informationstechnik eingeleitet werden Recovery Point Objective RPO Bei der Recovery Point Objective handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Recovery Time Objective RTO Bei der Recovery Time Objective handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur - Daten - Nacharbeitung von Daten - Wiederaufnahme der Aktivitäten) vergehen darf. Sicherheitsbeauftragter SiBe Sicherheitsbeauftragter ist der Personalleiter und für den Bereich Informatik der Leiter der Sektion OI zuständig. Uniform Resource Locator URL URLs identifizieren und lokalisieren eine Ressource über das verwendete Netzwerkprotokoll (z.b. http oder ftp) und den Ort der Ressource in Computernetzwerken. In der Umgangssprache wird URL häufig als Synonym für Internetadresse verwendet. ist eine URL

8 8 2 Ziel des Antrags Es ist das Ziel, den Einwohnerrat über die vorgenommen Arbeiten im ILA und Entscheide im Stadtrat zu informieren und den Auftrag für das Umsetzen der vorgeschlagenen Massnahmen abzuholen. Mit den vorgeschlagenen Massnahmen sollen eine angemessene Sicherheit garantiert und die Finanzierung sichergestellt werden. 3 Abschlussbericht Risikoanalyse der Swiss Infosec AG 3.1 Ausgangslage Anfangs Juni 2008 beauftragte der ILA die Swiss Infosec AG mit einer Unterstützung im Bereich der Informationssicherheit. Ziel dieser Unterstützung war und ist es, die Sicherheit der bei der Stadt Aarau bearbeiteten und gespeicherten Informationen, die im Einsatz stehenden Geräten und angestellten Mitarbeiterinnen und Mitarbeiter zu erhöhen und geeignete Massnahmen zu erarbeiten um dies zu gewährleisten. Die Swiss Infosec AG schlug im Rahmen dieses Auftrages vor, als erstes konkretes Vorgehen zusammen mit dem Informatik-Lenkungsausschuss (ILA) eine Risikoanalyse durchzuführen, um zuerst die primär betroffenen Bereiche / Objekte festzustellen und in der Folge angemessene Massnahmen zur Erhöhung / Garantierung der Sicherheit dieser Bereiche festzulegen. Das Vorgehen der Risikoanalyse, die identifizierten Risiken und die gemeinsam erarbeiteten Massnahmen werden in diesem Bericht aufgezeigt. 3.2 Risikoanalyse Wie bei jeder Risikoabwägung im täglichen Leben wird bei der Analyse vermuteter oder konkret vorhandener Risiken eine Abschätzung der Eintretenswahrscheinlichkeit und des möglichen Schadensausmasses vorgenommen. Ein Risiko definiert sich in diesem Zusammenhang wie folgt: "Unter dem Begriff der operationellen Risiken versteht man die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten können." Nach einem standardisierten Vorgehen werden mögliche "Angriffspunkte" in Form konkreter und vorgängig identifizierter Objekte (IT, Infrastruktur, Mitarbeiter/-innen, etc.) definiert und anhand einer Matrix dargestellt. Aus dieser Auswertung sind in der Folge all jene potentiellen Risiken zu identifizieren, deren Kombination von Eintretenswahrscheinlichkeit und Schadensausmass als inakzeptabel beschlossen (s. unten im roten Bereich) oder aber durch bereits getroffene Massnahmen als angemessen entschärft bzw. in Kauf genommen werden. Folgende Objekte wurden vorgängig in Zusammenarbeit zwischen der Stadtverwaltung Aarau, Sektion Organisation und Informatik, und der Swiss Infosec AG identifiziert:

9 9 Objekte / Objektarten Active-Directory Applikation Lobos Applikation VSoft Datenschutzrelevante Daten (extern, Einwohner, usw.) File-Server Adam Groupwise Internet-Anbindung IT-Mitarbeitende Lichtwellenleiter Anbindungen Personal-Informationen (Mitarbeiter/-innen) Rechenzentrum Redundante Rechenzentren Stockwerkverteiler (Netzwerk) Switches (Aussenstellen) Telefonie Übrige Verwaltungssysteme Vertrauliche Daten 3.3 Workshop Risikoanalyse Aus dem am 10. September 2008 mit dem ILA der Stadtverwaltung Aarau durchgeführten Workshop resultierten die in den folgenden Darstellungen zu behandelnden bzw. akzeptierten Risiken: Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Rote", bzw. zu behandelnde Risiken Zum Schutz vertraulicher Informationen wurde diese Grafik entfernt. Grafik: "Grüne", bzw. akzeptierte Risiken Die beiden obigen Matrix-Darstellungen zeigen die Einschätzung des ILA bezüglich der auf die Objekte einwirkenden Risiken anhand der Eintretenswahrscheinlichkeit (Skala "1" bis "4") und des zu erwartenden Schadensausmasses (Skala "A" bis "D"). Diese Skalen wurden wie folgt definiert: Wahrscheinlichkeit: 4 = sehr hoch (sehr wahrscheinlich, häufig); mehr als einmal im Monat 3 = hoch (eher wahrscheinlich, gelegentlich); weniger als einmal pro Monat 2 = mittel (eher unwahrscheinlich, selten); weniger als einmal in einem Jahr 1 = tief (unwahrscheinlich, äusserst selten); weniger als einmal in zehn Jahren

10 10 Schadensausmass materiell/immateriell in EBIT über 3 Jahre: D = sehr hoch, sehr grosser Schaden über Fr. 1'000'000.- C = hoch, grosser Schaden Fr. 250'000.- bis Fr. 1'000'000.- B = mittel, bedeutender Schaden Fr. 20'000.- bis Fr. 250'000.- A = tief, geringer Schaden bis Fr. 20' Schlussfolgerung / Fazit Wie bereits ausgeführt liegt das Ziel der Risikoanalyse nicht in der völligen Ausräumung jeglicher Risiken, sondern vielmehr in der wirtschaftlich und aufwandsmässig angemessenen Reduktion der Ursachen und/oder der zu erwartenden Schäden. Beispielsweise kann durch die Ergreifung der Massnahme "Awareness/Ausbildung" das Risiko "Datendiebstahl/Datenmissbrauch" vom Quadranten B3, der bei der Risiko-Analyse mit einer hohen Eintretenswahrscheinlichkeit und einem mittleren, aber bedeutenden Schaden eingeschätzt wurde, in den "grünen Bereich" gebracht werden und somit auch das Risiko auf ein akzeptables Mass reduziert werden. Entsprechend reduzieren die vorgeschlagenen Massnahmen die dargestellten, nicht akzeptablen roten Risiken und erhöhen die Gesamtsicherheit der Informationen und IT- Infrastruktur. Der ILA empfiehlt, die identifizierten Risiken mit den nachfolgend aufgeführten Massnahmen zu reduzieren. 4 Massnahmendefinition & -behandlung Der nächste Schritt nach der Identifizierung der betroffenen Objekte bestand darin, geeignete und angemessene Massnahmen zu definieren, die im Rahmen der Zielvorgabe einzusetzen wären. Diese wurden wiederum im Zusammenspiel mit der Stadtverwaltung Aarau und der Swiss Infosec AG erarbeitet und am 22. Oktober 2008 von der Sektion OI dem ILA vorgelegt. Nebst den bereits in die Wege geleiteten Massnahmen wurden die Folgenden mit "Priorität A" erarbeitet: Nr. Beschreibung 1 Awareness; Ausbildung 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen 4 Benutzer-Richtlinien; Administrations-Richtlinien 5 Brandschutz prüfen, ggf. anpassen 8 Monatliche Auslagerung der GIS Daten 13 Zugriffsmechanismen überprüfen, ggf. anpassen

11 11 Die nachfolgende Tabelle zeigt alle Massnahmen auf, die von der Firma Swiss Infosec AG auf Grund der Risikoanalyse des ILA's vorgeschlagen wurden. Diese sind im ILA behandelt und als notwendig erachtet worden. Auf der Liste in der Aktenbeilage ist ersichtlich, welche Risiken durch diese Massnahmen reduziert werden sollen. Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 1 Awareness; Ausbildung 2 Backup-Mechanismen prüfen; ggf. anpassen 3 Business Continuity Planning (BCP) / Disaster Recover Planning (DRP) anpassen Mit stufengerechten Awareness- Kampagnen kann auf die Risiken und Verhaltenweisen aufmerksam gemacht werden. Applikations-spezifische Ausbildung, vor allem bei Veränderungen im Systemumfeld ist wichtig um neue Komponenten und deren Umgang zu schulen. Konkrete Massnahmen: Edutainments Merkblätter E-Learning Intranet-Publikationen Backup-Mechanismen können, ohne regelmässige Kontrollen und Tests unbemerkt fehlschlagen. Um dies zu vermeiden sind eine Abstimmung mit dem BCM- Framework, sowie Tests der Abläufe, der Hardware und der Backup-Medien unverzichtbar. Erarbeitung eines Business Continuity Management- Frameworks (inkl. Evakuationen/Alarmierung). Der Disaster Recovery Plan sollte überprüft und ggf. angepasst werden. Zudem sollte mittels periodischer Prüfung auf die Tauglichkeit dieser Pläne getestet werden. Konkrete Massnahmen (abgestimmt auf StaOs): Alarmsystem(e) überprüfen DRP für Applikationen & StaOs erarbeiten. Anbindung Aussenstationen ("Vermaschung"), Redundante Systeme Project "Roboter"; Massnahme kann als abgeschlossen erachtet werden. Thema Evakuation ist bei SiBe (PW) in Bearbeitung. Massnahme muss auf Standorte abgestimmt werden. Ausbau ESX-Server (Virtueller Server) für 2009 geplant. Anforderungen noch mit Fachabteilungen zu koordinieren. A Z 5 0 A 30 10

12 12 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 4 Benutzer-Richtlinien; Administrations- Richtlinien 5 Brandschutz prüfen, ggf. anpassen Recovery Point Objective (RPO) & Recovery Time Objective (RTO) und gesetzliche/betriebliche Anforderungen Datensicherung/Datenarchivi erung mit Fachabteilungen aufnehmen und umsetzen Die Benutzer der Systeme und Applikationen sollten mittels entsprechender Richtlinien auf die geltenden Regeln aufmerksam gemacht werden. Die Einhaltung dieser Richtlinien wird in entsprechenden Einverständniserklärungen festgehalten. Brandschutzinstallationen sollten periodisch geprüft und werden. Produkteunabhängige Unterstützung kann ggf. helfen Schwachstellen aufzuzeigen und diese zu beseitigen. ca. 300 Mitarbeitende/Benutz er A 2 10 A 5 2 Konkrete Massnahmen: Temperaturfühler anbringen Begehung/Audit durchführen 6 Change Management Integritäts-Probleme, vor allem bei Interfaces, Konsequente Change-Management Prozesse und Kontrollen helfen dabei, Integritäts-Probleme bei Interfaces o.ä. zu beseitigen bevor sie in der Produktion auftreten. B Dokumentation beschaffen; zentral & sicher aufbewahren 8 Monatliche Auslagerung der GIS Konkrete Massnahmen: Administrationsrichtlinien überarbeiten (s. auch Massnahme Nr. 4) Nicht auffindbare und/oder veraltete Dokumentation sollte beim Hersteller bestellt und zentral verwaltet werden. Ein aktives Bearbeiten einer solchen Bibliothek hilft Mehrfach- Ablagen zu vermeiden. Die GIS Daten sollten monatlich an einen Ort ausgelagert ggf. als PDF speichern und sicher aufbewahren Die GIS-Daten werden beim externen Betreiber C 10 2 A 1 0

13 13 Massnahmen Beschreibung Bemerkungen Nummer Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) Daten 10 Redundante Internet- Anbindung 11 Verträge prüfen; ggf. andere Lieferanten als Backup prüfen 12 Vertragliche Regelungen mit (externem) Datenhalter 13 Zugriffsmechanismen überprüfen, ggf. anpassen werden, der geografisch und risikomässig unabhängig ist. Ausfallsichere Mechanismen, bzw. Anbindungen ans Internet sollten geprüft und wo nötig sichergestellt werden. Periodische Kontrollen der Support-Verträge sind notwendig um nicht von einem "End-of-Life" Problem betroffen zu werden. Gegebenenfalls sind andere Lieferanten zu prüfen, die den optimal(er)en Service erbringen können. Die Sicherheit der Daten sollte vertraglich so geregelt werden, dass der Datenhalter dazu verpflichtet wird deren Sicherheit zu gewährleisten. Überdies sollten periodische (ggf. externe) Audits zur Verifizierung dieser Sicherheit eingesetzt werden. Übergreifendes Rollen- und Berechtigungskonzept: die Mechanismen zur Erteilung, Veränderung und Löschung von Zugriffsrechten sollten periodisch überprüft und, wo nötig, angepasst werden. HR- Daten sind dabei zu berücksichtigen. Speziell sind hier privilegierte Accounts (Administratoren) zu berücksichtigen. gelagert und bewirtschaftet. Er erstellt täglich eine Datensicherung und hinterlegt diese einmal monatlich in einem Bank-Safe. Neu werden diese Daten quartalsweise auf einem USB-Stick der Stadtverwaltung geliefert und bei der Sektion OI gelagert (ab Ende 2008). C 4 4 C 5 0 C 2 2 A 20 5 Konkrete Massnahmen: Regeln/Abläufe optimieren Daten-Eigner definieren & ausbilden

14 14 Nummer Massnahmen Beschreibung Bemerkungen Priorität Aufwand PT Int. (grob geschätzt) Aufwand PT Ext. (grob geschätzt) 14 Zutrittsschutz überprüfen, ggf. anpassen Der Zutritt zu IT-Räumen soll, ggf. mit entsprechenden Umbaumassnahmen, den Schutz der Mitarbeiterinnen / Mitarbeiter und deren Informationswerten unterstützen. C 2 2 Konkrete Massnahmen: Zutrittsschutz-Konzept für alle Rechner-Räume & Standorte Total Personentage (PTs): Beurteilung des ILA s Bei der Behandlung dieser Massnahmen im ILA wurden unter anderem die nachfolgend aufgeführten Punkte festgehalten: Das IDAG und VIDAG geben Vorgaben, die zu erfüllen sind. Der Ausbildungsaufwand für die Mitarbeiterinnen und Mitarbeiter steigt, und es ist notwendig, dies immer wieder in regelmässigen Abständen (jährlich) zu tun. Bis jetzt wurden die EDV-User im Bereich der IT-Security und Informationssicherheit nicht ausgebildet. Das Bewusstsein muss gefördert werden. In der Sektion OI wurde bis jetzt schon viel für die IT-Security gemacht. Der ILA und der Stadtrat haben die Verantwortung wahrzunehmen und in diesem Bereich einen Schritt zu machen. Die Arbeiten für die IT-Security verursachen einen laufenden Aufwand in der Informatik, der noch zu ermitteln ist. Es sind auch die notwendigen Regelungen auszuarbeiten. 4.2 Kostenschätzung Aus Sicht der Firma Swiss Infosec AG und dem ILA fallen die aufgeführten Massnahmen im Jahr 2009 / 2010 an und die finanziellen Mittel sind bereitzustellen Interner Aufwand Der interne geschätzte Aufwand von 96 Personentagen ergibt bei 220 Arbeitstagen im ganzen Jahr eine Belastung der Sektion OI mit ca. 45 Stellenprozenten. Die Arbeiten verteilen sich auf verschiedene Wissensträger in der Sektion OI. Die höchste Belastung wird voraussichtlich beim Leiter der Sektion OI anfallen. Da viele Aufgaben von bestehenden Mitarbeiterinnen und Mitarbeitern (Wissensträger) der Sektion OI wahrgenommen werden, müssen einfachere Arbeiten an temporäre Mitarbeiter/-innen ausgelagert werden.

15 15 Dies verursacht Kosten in der Höhe von Fr. 60'000.- für die Umsetzung der Massnahmen. Für die zusätzlichen laufenden Aufgaben (regelmässige Kontrolle der Zugriffsberechtigungen in den verschiedensten Applikationen, Dokumentation aller Änderungen der Zugriffsberechtigungen, Durchsetzen der Massnahmen, vermehrte Instruktionen der EDV- User, automatische Aufzeichnungen analysieren, ) in der Sektion OI ist mit einem Aufwand in der Höhe von ca. 20 Stellenprozenten zu rechnen (ab 2010). Der effektive Aufwand ist heute noch schwierig abzuschätzen. Es ist mit wiederkehrenden Kosten in der Höhe von ca. 25' Franken zu rechnen. Die zusätzlichen Aufgaben erfordern ein fundiertes EDV- Wissen der Applikationen und der Berechtigungssteuerungen. Die 20 Stellenprozente sind im gleichen Gehaltsband 7, wie die anderen EDV-Mitarbeiterin und Mitarbeiter der Sektion OI einzureihen Externer Aufwand Der externe Aufwand liegt bei 59 Personentagen. Der grössere Anteil wird bei der Firma Swiss Infosec AG liegen, die ein profundes Wissen in diesem Bereich hat. Der kleinere Anteil wird von den bestehenden Software-Lieferanten, wie z.b. VEMAG AG, combyte AG und weiteren, erbracht werden müssen. Dies verursacht Kosten in der Höhe von Fr. 118'000.- (59 x 8 Stunden x Fr ). Als Basis wurde der Stundenansatz der Swiss Infosec AG verwendet Bauliche Anpassungen Bei der Begehung und beim Audit der EDV-Räume (Rechenzentrum, Netzwerkverteiler, Räume mit LWL-Leitern) werden die notwendigen Massnahmen ermittelt und damit die Kosten für die Umsetzung. Konkret geht es um die nachfolgenden Räume: Rechenzentrum Rathaus Einführung der LWL-Verbindungen (Lichtwellenleiter) von / zu den Aussenstationen ins Rathaus Backup-Raum (Datensicherung) im KuK Server-Raum (2. Rechenzentrum) in der Hauptpost Netzwerkraum Hauptpost 4 Netzwerkräume im Rathaus 6 Netzwerkräume in den Schulhäusern (Bezirkschulhaus, Aareschulhaus, Oberstufenschulhaus, Heilpädagogische Schule, Tellischulhaus, Gönhardschulhaus) Netzwerkräume in den Aussenstandorten: Gemeindehaus Rohr, Friedhof, Zollhaus, Reg. Zivilstandsamt, Golatti / Halde 64, Bibliothek, Schlössli, KuK, Jugendhaus, Forstwerkhof, Herosé, Feuerwehr, Werkhof, Schulsekretariat Als mögliche Massnahmen sind denkbar: Verbesserung des Schliess-Systems, automatische Feuerlöschung, feuersichere Abschottungen, Überwachungen (Temperatur, Wasser, Video, ). In einer ersten Annäherung wird von Fr. 50'000.- ausgegangen.

16 Hard- / Software-Beschaffungen Vorerst wird davon ausgegangen, dass keine oder nur kleinere Beschaffungen notwendig sind, die mit dem Globalbudget abgedeckt werden können. 4.3 Finanzierung Die Zusatzkosten in der Höhe von ca. 230'000 Franken können von der Sektion OI resp. der Sektion Liegenschaften (bauliche Massnahmen) nicht mit dem Globalbudget abgedeckt werden. Es ist zu beachten, dass mit diesen Massnahmen noch nicht alle Vorgaben aus dem IDAG abgedeckt sind. Die anderen haben eine längere Übergangsregelung. Der Stadtrat stellt dem Einwohnerrat wie folgt Antrag: Der Einwohnerrat möge einen Verpflichtungskredit von 230'000 Franken für die Umsetzung von Massnahmen im Bereich der Informations- und IT-Security und für die zusätzlichen EDV-Aufgaben 20 Stellenprozente bei der Sektion OI, PG 04, bewilligen. Mit freundlichen Grüssen IM NAMEN DES STADTRATES Der Stadtammann Dr. Marcel Guignard Der Vize-Stadtschreiber Stefan Berner Verzeichnis der aufliegenden Akten: PA Nr. 226 vom IDAG vom VIDAG vom Leitfaden IDAG / VIDAG Übersicht über die Aufgaben der Gemeinden gemäss Gesetz IDAG vom Diverse Projektunterlagen