e-government und IT-Sicherheit

Größe: px

Ab Seite anzeigen:

Download "e-government und IT-Sicherheit"

Heike Kohler
vor 8 Jahren
Abrufe

1 e-government und IT-Sicherheit Dipl.-Inform. Frank Losemann Institut f. Telematik, Trier und Actisis GmbH 1

2 Vortragsüberblick Anforderungen an...it-sicherheit durch e-government...it-entwicklung und Betrieb durch IT-Sicherheit Herausforderung IT-Sicherheit IT-Sicherheit als Prozess IT-Sicherheit für und mit Menschen Bedienbarkeit, Beherrschbarkeit 2

3 Definition Electronic Government (e-government) bezeichnet die Nutzung des Internets und anderer elektronischer Medien zur Einbindung der Bürger und Unternehmen in das Verwaltungshandeln sowie zur Verwaltungsinternen Zusammenarbeit. Quelle: E-Government Handbuch des BSI. 3

Einbindung der Bürger und Unternehmen in das Verwaltungshandeln

4 Beispiele Umfassende Informationen zu Verwaltungsvorgängen Online-Formulare Elektronische Anträge Per zugestellte Bescheide Online-Bürgersprechstunden Diskussionsforen Quelle: E-Government Handbuch des BSI. 4

Anträge Per E-Mail zugestellte Bescheide

5 Sicherheitsbegriff in 3 Aspekten Sicherheit (engl. Security) Authentizität Integrität Vertraulichkeit Verbindlichkeit, Nichtabstreitbarkeit Sicherheit (engl. Reliability) Verfügbarkeit Sicherheit (engl. Safety) Betriebssicherheit 5

Verbindlichkeit, Nichtabstreitbarkeit Sicherheit (engl.

6 Sicherheitskonzepte Menschen, Prozesse, Technologie Schwachstellen, Bedrohungen, Angriffe Sicherheits- Strategie Management Bewusstsein 6

7 Vorgehensmodell 1. Analyse Status quo, Schutzbedarf 2. Formulierung Policy, Standards 3. Einbettung in Organisation 4. Einbettung in Technik 5. Überprüfung, Audits 6. Administration der IT-Sicherheit 7

8 Policies + Standards in der Praxis Beispiel: Rolle Netzwerkmanager Szenario: Grosses Unternehmen mit mehreren Standorten Zentrale kauft Sicherheitskonzept für alle Netzwerke und beschließt die Umsetzung 8

9 Policies + Standards in der Praxis Beispiel: Rolle Netzwerkmanager Ziel: Klare Zuständigkeiten, Ansprechpartner, Reaktionszeit Gegenstand: Durch Policy und Standards redefinierte Rolle mit neuen Rechten + Pflichten 9

Ansprechpartner, Reaktionszeit Gegenstand: Durch

10 Policies + Standards in der Praxis Beispiel: Rolle Netzwerkmanager Neue Definition: Auswahl der einen Person anhand der Fähig-, Tätigund Verantwortlichkeiten Einführung erfordert Reorganisation und Delegation von kritischen Aufgaben nach "unten" und Bündelung von Kompetenzen ggf. über Abteilungsgrenzen hinweg 10

Verantwortlichkeiten Einführung erfordert Reorganisation und Delegation von

11 Policies + Standards in der Praxis Beispiel: Rolle Netzwerkmanager Erfolgskontrolle: Um eine mögliche verschleppte, unvollständige Umsetzung von Sicherheitsstandards zu entdecken bzw. zu verhindern, ist häufig eine extern eingekaufte Prüfung sinnvoll. 11

verschleppte, unvollständige Umsetzung von Sicherheitsstandards

12 Organisierte Sicherheit Detaillierung der Standards in Sicherheits Richtlinien Rollen Prozesse Domänen Marketing 12

13 Sicherheitsmarketing Blickwinkel auf IT-Sicherheit Verhinderer Überwacher Kostentreiber "Business / egov Enabler" Angemessene Sicherheit stetige Überprüfung, Anpassung 13

14 Sicherheits-Tests Funktionale Fehler fallen auf, was ist mit Sicherheitslücken? Sicherheitsprobleme können in organisatorischen und technischen Verfahren liegen Seiteneffekte von Upgrades und Konfigurationsänderungen Interne + externe Kompetenz stetig zur Überprüfung nutzen 14

Sicherheitsprobleme können in organisatorischen und technischen

15 S.-Technologien SSL CRL RSA IDS WSDL TLS OCSP DH DRM SOAP IPsec DES ECC OTP XMLEnc VPN 3DES MD5 ACL XMLSig S/MIME AES SHA1 CHAP XKMS PKI IDEA SHA256 EAP XrML X.509 RC2 SET PAM SAML PKCS RC5 EFS SSO XACML 15

16 S.-Technologien SSL CRL RSA TLS OCSP DH IPsec DES ECC VPN 3DES MD5 S/MIME AES SHA1 PKI IDEA SHA256 X.509 RC2 SET PKCS RC5 EFS Fokus: Integrität IDS DRM OTP ACL CHAP EAP PAM SSO WSDL SOAP XMLEnc XMLSig XKMS XrML SAML XACML 16

509 RC2 SET PKCS RC5 EFS Fokus: Integrität IDS DRM OTP

17 S.-Technologien SSL CRL RSA TLS OCSP DH IPsec DES ECC VPN 3DES MD5 S/MIME AES SHA1 PKI IDEA SHA256 X.509 RC2 SET PKCS RC5 EFS Fokus: Authentizität IDS DRM OTP ACL CHAP EAP PAM SSO WSDL SOAP XMLEnc XMLSig XKMS XrML SAML XACML 17

509 RC2 SET PKCS RC5 EFS Fokus: Authentizität IDS DRM

18 S.-Technologien SSL CRL RSA TLS OCSP DH IPsec DES ECC VPN 3DES MD5 S/MIME AES SHA1 PKI IDEA SHA256 X.509 RC2 SET PKCS RC5 EFS Fokus: Vertraulichkeit IDS DRM OTP ACL CHAP EAP PAM SSO WSDL SOAP XMLEnc XMLSig XKMS XrML SAML XACML 18

509 RC2 SET PKCS RC5 EFS Fokus: Vertraulichkeit IDS DRM

19 S.-Architektur Web-Portal Quelle: Entrust Website 19

20 Informationstechnik im egovernment Client-Server-Architekturen Workflow-Systeme Internet-Technologien bestehende behördeninterne IT-Landschaft verfügbare E-Government- Lösungen (auch anderer Behörden) 20

21 IT-Sicherheit und Datenschutz Schwerpunkte im e-government: Sicherheitsmanagement Verschlüsselung und Signaturen Authentisierungsmechanismen IT-Grundschutz Firewall-Technologie 21

22 Kryptografie Kerckhoffs Prinzip Symmetrische Kryptografie geheime Schlüssel Asymmetrische Kryptografie private und öff. Schlüssel Zertifikate - erleichtern das Schlüsselverteilungsproblem Public-Key-Infrastruktur Vertrauens-Management, PK-Bereitstellung, ID-Management 22

23 Anwendungsbeispiel SSL-Verbindung IS Zufall Authentisierung durch Nutzung des Private Keys zum Zertifikat! 23

24 Verschlüsselung und Signaturen Authentisierung Kosten Nutzen KN-Verh. niedrig hoch sehr gut Digitale Signatur (formfreier Bereich) mittel hoch gut Sichere hoch mittel weniger gut Digitale Signatur (formgebundener Bereich) sehr hoch sehr niedrig Quelle: vgl. KES 2003#1 Prof. Reimer eher schlecht Kryptographie auf dem Weg in nützliche Anwendungen 24

25 Anwendungen von Zertifikaten Authentizität von Daten (SSL / TLS) Signieren und Verschlüsseln von s Signieren von mobilem Code Authentikation von Benutzern Secure-SSO Elektronische Signatur 25

26 IT-Sicherheit und Datenschutz Schwerpunkte im e-government: Sicherheitsmanagement Verschlüsselung und Signaturen Authentisierungsmechanismen IT-Grundschutz Firewall-Technologie 26

27 Authentisierungs- Mechanismen Einteilung Authentisierung durch Wissen Authentisierung durch Besitz Authentisierung durch Eigenschaften (Biometrie) Kombinationen sind möglich Bsp: Smartcard + PIN (Besitz) (Wissen) 27

28 IT-Sicherheit und Datenschutz Schwerpunkte im e-government: Sicherheitsmanagement Verschlüsselung und Signaturen Authentisierungsmechanismen IT-Grundschutz Firewall-Technologie 28

29 IT-Grundschutz Loseblattsammlung/Cd-Rom des BSI Konkrete Vorlage zum Umsetzen einer Sicherheitsstrategie Einteilung in Bausteine für Einzelplatz, Netzwerkrechner, Firewalls, Verkabelung... Beschreibung typischer Bedrohungen und Einschätzungen 29

30 IT-Grundschutz (2) Für alle Module systematische Behandlung der Schichten 1. übergeordnete Aspekte 2. Infrastruktur 3. Komponenten 4. Netze 5. Anwendungen 30

31 IT-Grundschutz (3) Empfehlung unterschiedlich aufwendiger "Standard" Sicherheits-Maßnahmen für eine Anforderung. 31

32 IT-Grundschutz (4) Zertifizierbarkeit Nachweis, dass Sicherheitsmaßnahmen nach IT-Grundschutzhandbuch realisiert sind: Fremdbestätigt durch zugelassene Stellen 2 Vorstufen durch Selbsterklärung: IT-Grundschutz Einstiegsstufe IT-Grundschutz Aufbaustufe 32

33 IT-Sicherheit und Datenschutz Schwerpunkte im e-government: Sicherheitsmanagement Verschlüsselung und Signaturen Authentisierungsmechanismen IT-Grundschutz Firewall-Technologie 33

34 Firewall-Technologie Definition Ziele Kombination aus Hard- und Software-Komponenten Ziele: Schutz des Intranets vor unerwünschten Zugriffen Kontrollierter und eingeschränkter Zugang Sicherer Zugang zu externen Ressourcen 34

35 Firewall-Technologie Charakteristika Sämtlicher Datenverkehr zwischen Intranet und Internet erfolgt ausschließlich über die Firewall Nur autorisierter Datenverkehr darf die Firewall passieren Die Firewall ist selbst unangreifbar (besonders sicher) 35

36 Sicherheitsleitlinien für Firewalls Der Betrieb einer Firewall ist ohne IT-Sicherheitsleitlinie sinnlos! Klärung der Sicherheitsziele und Verantwortlichkeiten Identifizierung der schützenswerten Systeme und deren Anforderungen Definition von Notfallprozeduren 36

37 Klassifikation von Firewalls Paketfilter Application-Gateways Personal Firewalls 37

38 Paketfilter Filterung von Datenpaketen auf Netzwerk- und Transport-Schicht Intranet 38

39 Application Gateways Inhaltsfilterung auf der Applikationsebene Intranet 39

40 Rückblick Schwerpunkte IT-Sicherheit im e-government: Sicherheitsmanagement Strategien, Standards, Richtlinien, Audits Verschlüsselung und Signaturen Authentisierungsmechanismen IT-Grundschutz Firewall-Technologie 40

41 Fazit Die öffentliche Verwaltung ist als Herrin der e-government- Verfahren selbst in der Pflicht, IT-Sicherheit zu gewährleisten und auch zu überprüfen. 41

42 Hinweis Die Folien zum Vortrag werden nach der Veranstaltung unter online verfügbar gemacht. 42

Ähnliche Dokumente

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate