Informationssicherheit Innenminister Uwe Schünemann über die zunehmende Notwendigkeit, digitale Informationen zu schützen.

Transkript

1 Das Magazin des Nr. 2 / Oktober 2011 Desktop-Management Die Ziele und Hintergründe der externen Vergabe 04 Kommunalwahl 2011 LSKN entwickelt ein neues Programm für die Wahlen in Niedersachsen 08 Informationssicherheit Innenminister Uwe Schünemann über die zunehmende Notwendigkeit, digitale Informationen zu schützen

2 <Titel> Nr. 2/ INHALT PARTNER & PROJEKTE Wir wollen eine technische Modernisierung und eine Verbesserung der Servicequalität erreichen network sprach mit Dr. Walter Swoboda aus der CIO-Geschäftsstelle im Innenministerium über die Ziele und Hintergründe der externen Vergabe des Desktop-Managements Innovative Portal-Lösung für online-bewerbung Das gesamte Einstellungsverfahren von Lehrern an berufsbildenden Schulen läuft über eine vom LSKN entwickelte Plattform vollständig elektronisch ab 04 Desktop-Management STATISTIK & GESELLSCHAFT Eine maßgeschneiderte Lösung LSKN entwickelt ein Programm für die Wahlen in Niedersachsen Hohe Methodenkompetenz zum Nutzen der Kunden Landesstatistiker erarbeiten Standardkosten-Modell und Mitarbeiterbefragung zum Migrationshintergrund TECHNIK & WISSEN 10 Cyber-Angriffe sind längst keine Science-Fiction mehr Der Schutz digitaler Informationen ist eine Aufgabe, die für den niedersächsischen Innenminister Uwe Schünemann zunehmend an Bedeutung gewinnt 20 Beobachten, einschätzen, handeln Die Rund-um-die-Uhr-Überwachung im LSKN-Leitstand 10 Informationssicherheit 19 TIPPS & TRICKS Schneller als die Maus erlaubt Arbeiten mit Tastenkombinationen Impressum Herausgeber: Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen (LSKN) Pressestelle Göttinger Chaussee 76, Hannover Tel , Fax: V.i.S.d.P.: Dr. Christoph Lahmann Redaktion: Heinke Liere (hl), Dr. Nancy Kratochwill-Gertich Mitarbeit: Heinz Eigendorf, Birgit Freudenthal, Ursula Kloyer-Heß Fotos: LSKN, fotolia Titelfoto: Nds. Ministerium für Inneres und Sport Gestaltung: Uwe Klimansky Druck: benatzkymünstermann Druck GmbH, Lohweg 1, Hannover 22 Portal-Lösung Alle in der network veröffentlichten Beiträge sind urheberrechtlich geschützt. Namentlich gekennzeichnete Beiträge müssen nicht mit der Meinung des Herausgebers oder der Redaktion übereinstimmen. Für den Inhalt der Kommentare sind die Autoren verantwortlich.

3 EDITORIAL 03 <Titel> Nr. 2/2011 Liebe Leserinnen und Leser, in der neuen network-ausgabe widmen wir aus gutem Grund einen Schwerpunkt der Informationssicherheit. Unter Federführung des CIO und nach intensiver Zusammenarbeit mit allen Ressorts wurde eine Leitlinie zur Gewährleistung der Informationssicherheit erarbeitet und vom Kabinett im Juli dieses Jahres beschlossen. Beschrieben wird darin vor allem der Aufbau und Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS). Diesen wichtigen Schritt zum Abschluss gebracht zu haben, freut mich persönlich außerordentlich. Denn damit erhalten wir in der niedersächsischen Landesverwaltung einheitliche Standards und Vorgehensweisen, um die vielfältigen sensiblen Informationen und kritischen Anwendungen auch in Zukunft vor Missbrauch und Manipulation zu schützen. Auch im Bund/Länder-Kontext hat das Thema in jüngster Zeit eine neue Gewichtung bekommen. Im Frühjahr nahm das Nationale Cyber-Abwehrzentrum seine Arbeit auf, und der Nationale IT-Planungsrat verabschiedet in Kürze eine Sicherheitsleitlinie für Infrastrukturen und Anwendungen, die von Bund und Ländern gemeinsam genutzt werden. Somit ist der Standard für Informationssicherheit verbindlich und übergreifend gewährleistet. Wie wichtig Vertrauen und Sicherheit im IT-Bereich sind, lässt sich nicht zuletzt daran ablesen, dass die CeBIT diesen Aspekt im kommenden Jahr in den Mittelpunkt stellt. Im network-interview erfahren Sie, wie wichtig der Schutz digitaler Informationen für den niedersächsischen Innenminister Uwe Schünemann ist. Dr. Christoph Lahmann Mit der Umsetzung der IT-Sicherheitsleitlinie sind sensible Informationen und kritische Anwendungen auch in Zukunft vor Missbrauch und Manipulation geschützt. Ein weiteres wichtiges Ereignis für das Land wie für den LSKN war die Kommunalwahl am 11. September Denn an diesem Tag sollte das neue Niedersächsische Wahlsystem (NiWaS) seine Feuertaufe bestehen. Eine Eigenentwicklung des LSKN, die im Gegensatz zu dem vorherigen System ganz auf die Anforderungen und Ansprüche des Niedersächsischen Landeswahlleiters zugeschnitten wurde. Aber auch die Wahlstatistiker des LSKN bereiten die Ergebnisse der Wahl mit NiWaS auf. Ein gelungenes Beispiel dafür, wie sehr sich die Bereiche IT und Statistik des LSKN sinnvoll ergänzen. Weiterhin unterstützt der LSKN die externe Vergabe des Desktop-Managements. Dadurch sollen nicht zuletzt eine technische Modernisierung und die Verbesserung der Servicequalität erreicht werden. Den aktuellen Sachstand dieses für den LSKN wie für die Ressorts bedeutenden Projektes erfahren Sie ebenfalls in dieser network. Auch die übrigen Themen zeigen, welch vielfältige und umfassende Services die Mitarbeiterinnen und Mitarbeiter des LSKN tagtäglich für die niedersächsische Landesverwaltung erbringen sei es durch Leistungen, die die Statistik auch über die gesetzlich festgelegten Erhebungen hinaus erfüllt, die Programmierung kundenspezifischer Plattformen oder die Arbeit des Leitstandes, die rund um die Uhr an sieben Tagen in der Woche die Funktionsfähigkeit der Verwaltung sicherstellt. Ein anregendes Lesevergnügen wünscht Ihr Dr. Christoph Lahmann Vorstandsvorsitzender des LSKN

4 <Titel> Nr. 0/2010 2/ TECHNIK PARTNER & WISSEN PROJEKTE Dr. Walter Swoboda aus der CIO-Geschäftsstelle im Innenministerium koordiniert die externe Vergabe der IT-Arbeitplatzbetreuung. Desktop-Management Wir wollen eine technische Modernisierung und eine Verbesserung der Servicequalität erreichen! Dr. Walter Swoboda aus der CIO-Geschäftsstelle im Innenministerium über die Hintergründe und Ziele der externen Vergabe des Desktop-Managements

5 PARTNER & PROJEKTE 05 <Titel> Nr. 2/2011 Anfang 2010 beauftragte das Land das Ministerium für Inneres und Sport zu prüfen, ob die bisher in der Verantwortung des LSKN liegende Betreuung von rund PC-Arbeitsplätzen extern vergeben werden könne. Nach Vorlage der Eckpunkte eines entsprechenden Leistungsverzeichnisses und einer Wirtschaftlichkeitsbetrachtung beschloss das Kabinett am 14. Dezember 2010, die externe Vergabe des Desktop- Managements einzuleiten. Im Juni dieses Jahres folgte die Ausschreibung der Vergabe. Über die Hintergründe und Ziele des Vorhabens sprach network-redakteurin Heinke Liere mit Dr. Walter Swoboda, in der CIO-Geschäftsstelle im Innenministerium für die zentrale IT-Steuerung verantwortlich. Herr Dr. Swoboda, wie ist der aktuelle Sachstand beim Projekt Externe Vergabe des Desktop- Managements? Dr. Walter Swoboda: Insgesamt ist das Projekt im Zeitplan. Im Juni wurde die Ausschreibung in Brüssel im Supplement des europäischen Amtsblatts veröffentlicht, denn aufgrund des Volumens musste die Vergabe europaweit ausgeschrieben werden. Der dem eigentlichen Vergabeverfahren vorgeschaltete Teilnahmewettbewerb ist inzwischen abgeschlossen. Die in Frage kommenden Bieter wurden aufgefordert, bis Ende Oktober ihre ersten Angebote abzugeben. Anschließend ist mindestens eine Verhandlungsrunde geplant. In dieser Phase werden technische, organisatorische und vertragliche Details mit den verbliebenen Bietern verhandelt. Nach den Verhandlungen müssen die Unternehmen ihr endgültiges Angebot abgeben, das sogenannte BaFO Best and Final Offer. Wann rechnen Sie mit der Zuschlagserteilung und der Übergabe der Aufgabe an den externen Dienstleister? Damit rechnen wir im Laufe des Sommers Ein genaues Datum lässt sich bei komplexen Vergabeverfahren nicht genau vorhersagen. Aber auch nach dem Zuschlag kann die Verantwortung nicht von heute auf morgen verlagert werden. Schließlich muss sich der Dienstleister erst einmal für die Aufgabe aufstellen und die erforderlichen technischen und personellen Rahmenbedingungen schaffen. Anschließend wird anhand eines Pilotkunden getestet, ob der Migrationsprozess wie vorgesehen funktioniert. Erst dann erfolgt die Umsetzung in der Fläche. Wir rechnen damit, dass die Migration bis Ende 2013 abgeschlossen ist. Bis dahin ist der LSKN für den Betrieb verantwortlich. Ursprünglich sollten bis Ende 2010, so war es im Migrationsmasterplan von 2007 vorgesehen, insgesamt IT-Arbeitsplätze zentral vom IT-Dienstleister des Landes (damals izn) betreut werden. Letzten Endes sind es geworden, deren Betreuung nun extern vergeben wird. Was ist schiefgelaufen? Zunächst möchte ich betonen, dass der LSKN seine Aufgaben trotz schwieriger Rahmenbedingungen mit hohem Engagement wahrgenommen hat. Dass das Tempo der Migration nicht den Erwartungen von 2007 entsprochen hat, hat verschiedene Ursachen. Es fehlten die notwendigen personellen Ressourcen, aber auch die Standardisierung der IT-Infrastruktur des Landes ist nicht konsequent durchgeführt worden. Zum Beispiel haben wir gut 150 verschiedene PC-Modellvarianten in der Landesverwaltung. Oder nehmen wir die Domänenstruktur als Beispiel. Unternehmen, die mit der Landesverwaltung vergleichbar sind, bilden ihre Organisation in vier bis fünf großen Domänen ab. In der Landesverwaltung existiert ein gewachsenes Konglomerat von über 25 solcher Domänen. Ohne Standardisierung ist eine zentralisierte, automatisierte und damit auch wirtschaftliche Betreuung jedoch nicht realisierbar. Aber die erforderlichen Rahmenbedingungen hätten doch durch technische und organisatorische Optimierungen geschaffen werden können. Zunächst möchte ich festhalten, dass aus den Erfahrungen die Lehren gezogen wurden. Die Landesregierung hat für die extern zu betreuenden Arbeitsplätze weitreichende Standardisierungen bezüglich Hard- und Software und eine damit einhergehende Mittelzentralisierung beschlossen. Damit wird der externe Dienstleister die notwendigen technischen und organisatorischen Rahmenbedingungen vorfinden, die er für eine leistungsfähige und wirtschaftliche Betreuung benötigt. Infolge der angespannten Haushaltslage hat die Landesregierung beschlossen, im Kontext der Verwaltungsmodernisierung die Konzentration auf die Kernaufgaben fortzuführen. Die IT-Arbeitsplatzbetreuung stellt keine Kernaufgabe der Landesverwaltung dar. Das Desktop-Management ist zwar eine komplexe, jedoch gut abgrenzbare Dienstleistung, die nicht notwendigerweise vom Landespersonal wahrgenommen werden muss und daher an private Dienstleister vergeben werden kann. So wie es Kommunen, aber auch Länder wie Baden-Württemberg und Bayern bereits getan haben. Kann denn ein externer Dienstleister überhaupt billiger sein? Er arbeitet schließlich gewinnorientiert. Angesichts der leeren öffentlichen Kassen muss es natürlich unser Bestreben sein, die Kosten zu senken. Gleichzeitig stehen wir vor erheblichen technischen Modernisierungen, die wir im Rahmen des zur Verfügung stehenden Budgets finanzieren müssen. Beispielsweise steht der Wechsel von Windows XP zu Windows 7 und von Office 2003 zu Office 2010 an. Sie sehen, dass wir die Vista-Generation übersprungen haben, um Kosten zu sparen. Aber leider lässt sich die IT nicht konservieren, sondern man muss von Zeit zu Zeit in Modernisie- Fortsetzung auf Seite 6

6 <Titel> Nr. 2/ PARTNER & PROJEKTE DESKTOP-MANAGEMENT Fortsetzung von Seite 5 rungen investieren, da man irgendwann schlichtweg keine Hardware mehr bekommt, auf der die alten Systeme laufen. Bei der externen Vergabe wollen wir also nicht nur eine Senkung der Kosten erreichen, sondern auch eine technische Modernisierung und eine Verbesserung der Servicequalität. Ob dies gelingt, wird das Vergabeverfahren zeigen. Wir haben nur dann eine Chance zur Zielerreichung, wenn die vom Kabinett beschlossene Standardisierung von Hard- und Software konsequent umgesetzt wird. Nur so lässt sich eine kostensparende Automatisierung der PC-Betreuung erreichen. Von den rund PC-Arbeitsplätzen, die der LSKN derzeit betreut, stehen beinahe 60 Prozent in der Region Hannover, die übrigen sind über das ganze Land verteilt. Und ob sich an einem Standort nur zwei PC-Arbeitsplätze befinden oder mehrere Hundert die Anforderungen an IT-Sicherheit, Interoperabilität und Leistungsfähigkeit werden immer höher. Wie stellt das Land eine Vergabe zu bestmöglichen wirtschaftlichen Bedingungen sicher? Vor der Zuschlagserteilung werden wir die Wirtschaftlichkeitsbetrachtung mit den Zahlen aus dem Vergabeverfahren aktualisieren. Das Haushaltsrecht gibt vor, dass der Zuschlag nur erteilt werden darf, wenn die Wirtschaftlichkeit sichergestellt ist. Sollte sich ergeben, dass der Eigenbetrieb wirtschaftlicher ist, kann das Vergabeverfahren aufgehoben werden. Dies sieht das Vergaberecht explizit vor. Von zentraler Bedeutung für den Erfolg des Vorhabens ist die Qualität des Leistungsverzeichnisses, das das Innenministerium in Zusammenarbeit mit dem LSKN, den betroffenen Ressorts, dem Landesrechnungshof und dem Landesbeauftragten für den Datenschutz erarbeitet hat und das die Basis für die Ausschreibung bildete. Denn je detaillierter die Leistungen beschrieben sind, desto präziser müssen die Angebote der Bewerber sein. Nur dann kann das Land die Kosten konkret einschätzen. Der LSKN hat uns hier ausgezeichnet unterstützt. Was umfasst das Leistungsverzeichnis? Das Leistungsverzeichnis bietet einen Überblick über den Ist-Zustand, etwa zum aktuellen Hardware-Standard in der Landesverwaltung, zu den Fachanwendungen oder zur Zahl und Lage der Dienststellen als Leistungsempfänger. Vor allem aber beschreibt es den Zielzustand: Welche Leistungen und Standards bei Hard- und Software muss der Basis-Client erfüllen, damit die fachlichen Anforderungen der Anwender angemessen unterstützt werden? Welche standardisierten Zusatzleistungen, die von den Dienststellen zu einem festgelegten Preis hinzugekauft werden können, werden benötigt? Und was darüber hinaus muss individuell beschafft werden? Ebenso beschrieben wurden Aspekte des Lizenzmanagements, die Einhaltung der IT-Sicherheit, Fragen zum Betrieb der File- und Printserver, Kommunikationsstrukturen und Rollenverteilungen sowie die Service- Level beim Support. Auch der Verlauf der Migration wurde im Leistungsverzeichnis skizziert. Welche Rolle spielt der CIO im Innenministerium künftig beim Desktop-Management? Als verantwortliche Stelle für die strategische IT-Ausrichtung übernimmt der CIO künftig das notwendige Provider-Management, also die zentrale Steuerung des externen Dienstleisters. Ebenfalls zentral im Innenministerium angesiedelt werden die Mittel für die Grundausstattung eines Arbeitsplatzes mit Hard- und Software. Welche Aufgaben verbleiben beim LSKN? Abgesehen von den umfangreichen statistischen Aufgaben unter ande- Dr. Walter Swoboda Es gibt etliche Schnittstellen zwischen LSKN und externem Dienstleister. Daher müssen sie Hand in Hand arbeiten. rem die Betreuung von Postfächern der allgemeinen Verwaltung an allen Behördenstandorten Niedersachsens, Netzwerk- und Telefonie-Dienste, die Verwaltung des Active Directory, der Service Desk und die Hochleistungsrechenzentren, die der LSKN für die zahlreichen Fachanwendungen und egovernment- Anwendungen oder zur Speicherung hochsensibler Daten benötigt. Es gibt etliche Schnittstellen zwischen LSKN und externem Dienstleister. Daher müssen sie Hand in Hand arbeiten. Mit dem Beschluss zur Vergabe wurde der Migrationsmasterplan ausgesetzt und die Zentralisierung weiterer Arbeitsplätze gestoppt. Wird sie irgendwann vom externen Dienstleister wieder aufgenommen? Nun müssen erst einmal die Voraussetzungen für die Migration der IT-Arbeitsplätze geschaffen werden. Sollte sich aber in einigen Jahren zeigen, dass die externe Betreuung gut funktioniert und sich wirtschaftlich für die Ressorts rechnet, ist eine Ausweitung optional bereits angedacht.

7 PARTNER & PROJEKTE 07 <Titel> Nr. 2/2011 Umfassende Unterstützungsleistungen durch den LSKN in den verschiedenen Modernisierungsschritten Die externe Vergabe des Desktop-Managements ist komplex, weil die Leistungen möglichst genau abgegrenzt werden müssen, die technischen Schnittstellen zu anderen Anwendungen zu definieren sind, aber auch weil der Betrieb bis zur abgeschlossenen Vergabe bestmöglich weitergeführt werden muss. Daher unterstützen mehrere Fachbereiche des LSKN die externe Vergabe. Dezentrale IT-Betreuung Verantwortung für den laufenden Betrieb Bis die Verantwortung für die IT-Arbeitsplatzbetreuung an den externen Dienstleister übergeht, ist der LSKN dafür zuständig. Da die Übergabe jedoch ohne Personalübergang stattfindet, wurde bereits im Frühjahr damit begonnen, für gut 100 Mitarbeiterinnen und Mitarbeiter der Geschäftsstellen neue Aufgaben zu finden. In der Regel soll für die Beschäftigten innerhalb des LSKN ein neuer Arbeitsplatz gefunden werden. Da dies jedoch nicht für alle gelingen kann, werden einige in andere Bereiche der Landesverwaltung vermittelt. Da ein Arbeitsplatzwechsel aber durchaus auch ganz neue berufliche Perspektiven eröffnen kann, wurde im Rahmen eines Gesundheitsmanagement- Projektes damit begonnen, speziell für die Beschäftigten der Geschäftsstellen nach Potentialen und Fortbildungsbedarf zu schauen, erläutert Astrid Kriegeskorte, im LSKN für das Gesundheitsmanagement verantwortlich. Unterstützt wird das Projekt vom Institut für interdisziplinäre Arbeitswissenschaft an der Leibniz Universität Hannover. Wer etwas Neues findet, wechselt natürlich schon auf einen anderen Arbeitsplatz. Diese frei werdenden Stellen werden mit befristeten Arbeitskräften aufgefüllt, bis die Übergabe an den externen Dienstleister beendet ist. Nur so gelingt der Spagat zwischen der Verantwortung unseren Mitarbeiterinnen und Mitarbeitern gegenüber und der Verpflichtung, bis zur vollständigen Übergabe der Verantwortung den Betrieb ordnungsgemäß aufrechtzuerhalten, betont der Leiter der dezentralen IT-Betreuung Wilfried Willeke. Wir versprechen unseren Kunden aber, weiterhin jeden Tag aufs Neue daran zu arbeiten, unsere Dienstleistung zu optimieren und einen guten Service zu bieten. Service Desk ist und bleibt erster Ansprechpartner Auch künftig werden im Service Desk des LSKN die Störungen aufgenommen und ggf. an den verantwortlichen Dienstleister weitergegeben. Die Servicequalität soll jedoch durch technische und organisatorische Optimierungen sukzessive weiter verbessert werden, so zum Beispiel durch verstärkte Qualifikation der Mitarbeiterinnen und Mitarbeiter, durch eine kontinuierliche Verbesserung der Prozesse und Abläufe, durch das bessere Ausnutzen der technischen Möglichkeiten der Telefonanlage sowie durch die Einführung eines Intranetformulars zum Abgeben von Störungen. Supportzeiten, Reaktionszeiten und Erstlösungsraten sind in entsprechenden Service-Leveln festgelegt. Denn auch wenn künftig verschiedene Dienstleister für das Funktionieren eines Arbeitsplatzes zuständig sind, wird das nicht zulasten der Kunden gehen!, verspricht Fachbereichsleiter Wilfried Willeke. IT-Lösungen Startklar für Windows 7 und Office 2010 Mit der Vergabe des Desktop-Managements wird das Betriebssystem von Windows XP auf Windows 7 umgestellt und die Bürokommunikationssoftware von Office 2003 auf Office Den Kunden bringt das in der Regel mehr Leistung und neue Features, doch kann es bei einigen Fach- Applikationen zu Kompatibilitätsproblemen kommen. Das gilt vor allem für die vielen kleinen, eigens geschriebenen Access-Anwendungen oder Office-Makros, aber auch bei einigen Fachverfahren könnte es Konflikte geben. Grundsätzlich sind die Ressorts dafür verantwortlich, dass die Anwendungen zum Zeitpunkt des Betriebsübergangs kompatibel sind. Aber natürlich steht der LSKN im Vorfeld beratend zur Seite und zeigt auf, an welchen Stellen es hapern könnte. Der Fachbereich IT-Lösungen des LSKN hat ein Testprogramm zur Kompatibilitätsanalyse entwickelt, bei dem die Anwendungen auf ihre Windows 7/Office 2010-Readiness geprüft werden und worauf aufbauend dann entsprechende Anpassungsmaßnahmen empfohlen werden können. Das Testprogramm wurde bereits im LSKN eingesetzt. Ohne Einschränkungen für die Anwenderinnen und Anwender wurde die vorhandene Software auf ca PCs im Hintergrund gescannt und analysiert. Bis Ende des Jahres werden wir allen unseren Kunden im Desktopumfeld eine Kompatibilitätsanalyse und Bewertung ihrer Anwendungen vorlegen, sagt Fachbereichsleiter Rolf Hoppe. Gesteuert wird die Erfassung vom Niedersächsischen Ministerium für Inneres und Sport. Ein weiterer Vorteil dieses Vorprojektes: Ergänzend zur Kompatibilitätsprüfung wird als Basis für ein zentrales Lizenzmanagement gleichzeitig die Software der betroffenen Arbeitsplätze automatisiert inventarisiert. Stellt sich bei der Prüfung heraus, dass zur Herstellung der Kompatibilität Anpassungsmaßnahmen erforderlich sind, kann diese Leistung ebenfalls beim LSKN eingekauft werden. Typische Problembereiche ergeben sich unter anderem bei der Lauffähigkeit mit normalen Benutzerrechten. Dies gilt für Installation und Anwendung der Programme, insbesondere wenn hierdurch Systembefehle des Betriebssystems aufgerufen werden. Ebenso sind Verzeichnisstrukturen und -berechtigungen bei Windows 7 anders, als es manche Programme bisher gewohnt waren. Falls Anwendungen die Betriebssystemversion auf Windows XP abfragen, wird dies ebenso zu Fehlfunktionen führen wie die Nutzung von einigen Programmierschnittstellen, die in Windows 7 nicht mehr vorhanden bzw. durch neue ersetzt sind. (hl)

8 <Titel> Nr. 2/ STATISTIK & GESELLSCHAFT INFO LSKN betreut alle Wahlen in Niedersachsen Als IT-Dienstleister des Landes ist der LSKN auch für die technische Betreuung aller Wahlen in Niedersachsen verantwortlich. Bei der jetzigen Kommunalwahl z. B. sorgte er dafür, dass das Landesdatennetz verfügbar war, der Landeswahlleiter eine Sonderrufnummer erhielt, um für die Kreiswahlleiter erreichbar zu sein, dass die einzelnen Ergebnisse elektronisch von den Kreisen an den Landeswahlleiter weitergegeben werden konnten und dass diese anschließend aufbereitet und im Internet veröffentlicht wurden. Im Niedersächsischen Ministerium für Inneres und Sport wurde für die Wahlnacht ein Lagezentrum eingerichtet. Von 17:00 bis 6:00 Uhr waren Fernsprechtechniker und Anwendungsbetreuer vor Ort. Darüber hinaus gab es für die Bereiche Netze/Übergänge, Firewall, und IP-Dienste Rufbereitschaften.

9 STATISTIK & GESELLSCHAFT 09 <Titel> Nr. 2/2011 NiWaS Eine maßgeschneiderte Lösung LSKN entwickelt ein Programm für die Wahlen in Niedersachsen Von Heinke Liere Das in der Vergangenheit eingesetzte Wahlinformationssystem (WIS) bedeutete für die Mitarbeiter des Bereichs IT für Statistik im LSKN vor allem eins: viel Arbeit. Denn vor jeder Wahl mussten Programme für die Ergebnisdarstellung im Internet sowie Notfallprogramme gepflegt und angepasst werden. Zur Kommunalwahl am 11. September 2011 hat der LSKN nun erstmals das neue, selbst entwickelte Niedersächsische Wahlsystem (NiWaS) eingesetzt mit Erfolg. Die Feuertaufe haben wir bestanden, sagt Thomas Bessey, Leiter des Bereichs IT für Statistik, sichtlich gelöst nach all der Anspannung der vergangenen Wochen. Denn trotz aller vorheriger Testläufe, Ausfallübungen und mehrfacher Absicherungen in der Wahlnacht sollte sich zeigen, ob er und sein Team alles richtig gemacht hatten. Sie hatten: Bis 4:30 Uhr waren alle Ergebnisse über NiWaS an den Landeswahlleiter übermittelt, alle Berichte, Grafiken und Balkendiagramme wurden aus dem System heraus erstellt, und der vollständige Wahlbericht konnte pünktlich um 6 Uhr in die Druckerei gegeben werden. Das zuvor in Niedersachsen eingesetzte Wahlinformationssystem war extern eingekauft worden, sodass bestimmte Prozesse nicht optimal abgebildet waren und immer wieder Anpassungsarbeiten erforderlich machten, berichtet Bessey. Um den Pflegeaufwand, aber auch die Störanfälligkeit und Fehlerquote dauerhaft zu verringern, entstand in Gesprächen zwischen LSKN und dem Niedersächsischen Landeswahlleiter die Idee, ein eigenes Programm zu entwickeln. Gemeinsam thematisierten sie die Schwachstellen des alten WIS, und die Landeswahlleitung formulierte ihre Wünsche und Anforderungen an ein neues Programm. Als Thomas Bessey und sein Entwicklungsteam bestätigten, die Eigenentwicklung sei technisch und fachlich umsetzbar, erhielten sie Ende 2009 den Auftrag, ein solches neues Wahlsystem zu entwickeln und zur Kommunalwahl 2011 bereitzustellen. Gleich im Januar 2010 begann die Arbeit an NiWaS, im April 2011 konnte der Auftraggeber das fertige Produkt entgegennehmen. Dazwischen wurde in enger Abstimmung immer wieder an dem Programm gefeilt. Meist zeigt sich erst in der praktischen Anwendung, dass noch Ergänzungen in den Berichten oder andere Darstellungsformen notwendig sind. Doch hat der LSKN all unsere Änderungswünsche umgehend umgesetzt. Wir wurden wirklich gut betreut, sagt Benjamin Goltsche, stellvertretender Landeswahlleiter. Am Wahltag selbst war dann alles so weit ausgetestet, dass es problemlos lief. Für Benjamin Goltsche liegt der größte Vorteil des Systems darin, dass es deutlich benutzerfreundlicher ist. Dem Entwicklungsteam war zudem wichtig, programmiertechnisch möglichst einfache Lösungen zu finden, da sich so spätere Anpassungsarbeiten leichter umsetzen lassen. Aber auch die Technik sollte möglichst standardisiert und damit günstig sein. Die für NiWaS benötigten Datenbanken und hochverfügbaren und redundant ausgelegten Server sind Standardprodukte des LSKN und wurden von uns einfach aus dem normalen Produktkatalog ausgewählt, berichtet Thomas Bessey. Für den Fall der Fälle waren neben den gespiegelten Servern im LSKN zusätzlich zwei vollwertige NiWaS-Server auf portablen Rechnern installiert. Selbst ein Stromausfall wie kürzlich in Hannover hätte unsere Arbeit nicht behindern können, so Bessey. In der Wahlnacht haben die Kreiswahlleiter die Ergebnisse in entsprechende Masken eingetippt und an den Landeswahlleiter im Innenministerium am 11. September war das Benjamin Goltsche gesendet. Meldete auch die formelle Fehlerprüfung keine Auffälligkeiten, erfolgte die amtliche Freigabe der Ergebnisse. Automatisch wurden die Daten dann aus NiWaS herausgezogen und in aufbereiteter Form, etwa als interaktive Landkarte, ins Internet gestellt. Doch ist der Funktionsumfang des Programms damit noch nicht ausgeschöpft. Denn es sollte nicht nur die Wahl selbst unterstützen, sondern genauso die anschließende Aufbereitung durch die Wahlstatistiker des LSKN. Auch sie hatten bestimmte Bedürfnisse an das neue Programm, die in die Entwicklung mit einflossen. Die Kolleginnen und Kollegen arbeiten nun direkt in NiWaS mit den Daten weiter, sodass Wahlen jetzt vollständig in einem System bearbeitet werden, sagt Thomas Bessey. Da die Kommunalwahl fachlich die größte Komplexität aufweist, ist er zuversichtlich, dass mit NiWaS auch die in den kommenden Jahren anstehenden Wahlen reibungslos über die Bühne gehen werden. Eine maßgeschneiderte Lösung für Niedersachsen, die sich aber dennoch gut verkaufen ließe, da NiWaS mit nur wenigen Änderungen an andere Bedürfnisse angepasst werden kann. Die interaktiven Landkarten im Netz:

10 <Titel> Nr. 1/ TECHNIK & WISSEN

11 TECHNIK & WISSEN 11 <Titel> Nr. 2/2011 Informationssicherheit Cyber-Angriffe sind längst keine Science-Fiction mehr Der Schutz digitaler Informationen ist eine Aufgabe, die für Niedersachsens Innenminister Uwe Schünemann zunehmend an Bedeutung gewinnt Foto: Nds. Ministerium für Inneres und Sport Der Hacker von gestern war Technikenthusiast und gehörte einer Subkultur an. Ein Computerfreak, dessen intellektuelle Herausforderung in erster Linie darin bestand, Sicherheitslücken eines Computersystems zu finden. Doch seitdem immer mehr finanzielle Transaktionen über das Internet abgewickelt werden, hochsensible Daten auf den Servern staatlicher Einrichtungen lagern oder Unternehmen die persönlichen Informationen von Millionen Kunden gespeichert haben, interessiert sich eine ganz andere Klientel dafür: Nachrichtendienste, Cyberaktivisten und die Organisierte Kriminalität. Die niedersächsische Landesverwaltung verfügt über eine Vielzahl sensibler Informationen und kritischer Anwendungen, die vor Missbrauch und Manipulation geschützt werden müssen. Im Juli dieses Jahres wurde von der Landesregierung eine Leitlinie zur Gewährleistung der Informationssicherheit beschlossen, die den Aufbau und Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS) beschreibt. Über die Bedeutung von Informationssicherheit sprach network-redakteurin Heinke Liere mit Innenminister Uwe Schünemann. Herr Minister Schünemann, welche Rolle spielt IT-Sicherheit? Innenminister Uwe Schünemann: Zunächst verwende ich lieber den Begriff Informationssicherheit. Die Sicherheit digitaler Informationen ist für die Funktionsfähigkeit von Wirtschaft und Staat heute von elementarer Bedeutung. Und das umfasst nicht allein technische, sondern ebenso organisatorische und personelle Maßnahmen. Die Sicherheit von Informationen kann schließlich auch gefährdet werden, wenn ein USB-Stick mit sensiblen Daten im Zug liegen bleibt, das Notebook gestohlen wird oder der Zettel mit dem Passwort am PC klebt. Letztlich müssen die Integrität, also die Unversehrtheit, die langfristige Verfügbarkeit und die Vertraulichkeit von Informationen sichergestellt werden. Stellen Sie sich vor, in Niedersachsen würden Steuerdaten publik, polizeiliche Ermittlungsdaten gingen verloren, EU-Gelder flössen in falsche Kanäle oder Kriminelle manipulierten kritische infrastrukturelle Steuerungssysteme wie die Strom- oder Wasserversorgung. Der Schaden wäre immens. Vielerorts ist heute von Cybercrime und Cyberwar die Rede. Das klingt dramatisch. Die Gefahren sind durchaus ernst zu nehmen. Es hat sich eine eigene Kriminalitätsform entwickelt, welche die IT gezielt als Tatwerkzeug einsetzt. Über die Ausnutzung von Sicherheitslücken in Computerprogrammen verschaffen sich die Täter Zugriff auf Computersysteme. Beispiele dafür gibt es genug. Etwa das Virus Stuxnet, ein Schadprogramm, das speziell für ein Überwachungs- und Steuerungssystem der Firma Siemens entwickelt wurde, vermutlich um die Zentrifugen in einer iranischen Anlage zur Atomanreicherung zu zerstören. Auch der jüngst publik gewordene Hacker- Angriff auf das Pentagon, bei dem Dokumente mit teils sensiblen Daten entwendet wurden, soll auf einen fremden Geheimdienst zurückgehen. Wenn wie in diesem Fall Daten über ein geplantes Waffensystem in fremde Hände fallen, ist das schon ein ernst zu nehmender Sicherheitsvorfall. Nach Angaben des Bundesamtes für Verfassungsschutz haben sich die Angriffe auf Rechner von Bundesbehörden von Januar bis September 2010 im Vergleich zum Vorjahr auf 1600 Vorfälle verdoppelt. Privatwirtschaftliche Unternehmen sind ebenfalls immer öfter Zielscheibe von kriminellen Cyber-Aktivisten. Bei Sony wurden Anfang des Jahres persönliche Informationen von angeblich über 100 Millionen Kunden gestohlen; PayPal, Visa und Master- Card wurden attackiert usw. usf. Cyber-Angriffe sind also längst keine Science-Fiction mehr. Fortsetzung auf Seite 12

12 <Titel> Nr. 2/ TECHNIK & WISSEN INFORMATIONSSICHERHEIT Fortsetzung von Seite 11 Sie beschreiben nachrichtendienstliche Spionage und Sabotage bzw. Aktivitäten von Internetaktivisten wie von der Gruppe Anonymous, die Regierungen und Konzerne schädigen wollen. Aber für Milliarden Menschen ist das Internet schlicht ein nicht mehr wegzudenkendes Informations- und Kommunikationsmedium. Auch die Verwaltung nutzt ja das Internet für Prozessoptimierungen und bietet bspw. unter dem Stichwort egovernment zahlreiche Services an. Aber mit der Nutzung ist eben auch der Missbrauch angestiegen. Es gibt heute kaum noch Deliktbereiche, in denen Straftäter die neuen Technologien nicht für sich nutzen. Das reicht vom einfachen ebay-betrug über das Ausspähen von Kontodaten bis zum Tausch menschenverachtenden Materials durch Pädophile. War das Internet 2006 noch in etwa Fällen Tatmittel, waren es 2010 bereits fast Fälle. Hinzu kommt, dass das World Wide Web inzwischen auch nicht mehr nur eine Plattform ist, die durch PCs und Smartphones genutzt wird, sondern es hält in ganz neue Bereiche Einzug. Auch Pay-TV- Boxen, Spielkonsolen oder medizinische Geräte werden inzwischen von Chips und Software gesteuert und sind mit dem Internet verbunden. So können immer mehr Gegenstände manipuliert werden, die früher gar nichts mit Informationstechnik zu tun hatten. Wie reagieren Bund und Länder auf diese Szenarien? Im Juni hat die Bundesregierung das Cyberabwehrzentrum in Bonn in Betrieb genommen, in dem Vertreter der Geheimdienste, der Polizei und der Zivilschutzbehörden die Abwehr möglicher IT-Angriffe koordinieren sollen. Bereits 2009 war im LKA Niedersachsen die polizeiliche Zentralstelle Internetkriminalität eingerichtet worden; im Juni 2011 wurde entschieden, zur Bekämpfung der Innenminister Uwe Schünemann Der Schutz von Verwaltungsinformationen macht ein Sicherheitsmanagementsystem notwendig. organisierten/bandenmäßigen IuK- Kriminalität sämtliche Zentralen Kriminalinspektionen sowie die Zentralstelle Internetkriminalität nochmals um jeweils sechs Mitarbeiter zu verstärken. Darüber hinaus werden in Niedersachsen jetzt eigens Schwerpunktstaatsanwaltschaften gegen Computerkriminalität eingerichtet. Und natürlich steht das Land in der Verantwortung, die ihm anvertrauten Informationen auch weiterhin bestmöglich zu schützen. Im Juli hat die Landesregierung daher eine ressortübergreifende Leitlinie zur Gewährleistung der Informationssicherheit verabschiedet. Was beschreibt diese Leitlinie? Der Schutz von Verwaltungsinformationen macht die Etablierung eines ressortübergreifenden Informationssicherheitsmanagementsystems, kurz ISMS, notwendig, das den Rahmen für den Umgang mit Informationen und Sicherheitsvorfällen vorgibt. Genau dies beschreibt die Leitlinie zur Gewährleistung der Informationssicherheit, die sich an den vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, entwickelten IT-Grundschutz-Standards orientiert. Wie wird die Umsetzung in den Ministerien und Landesbehörden sichergestellt? In den jeweiligen Sicherheitsdomänen sind Informationssicherheitsbeauftragte mit der Aufgabe betraut. Zudem wurde im Innenministerium die Stelle eines Informationssicherheitsbeauftragten der Landesverwaltung, des sog. CISOs (Chief Information Security Officers) geschaffen. Er koordiniert die ressortübergreifende Foto: Nds. Ministerium für Inneres und Sport Fortsetzung auf Seite 14

13 TECHNIK & WISSEN 13 <Titel> Nr. 2/2011 Wie ist die IT-Sicherheit in Deutschland organisiert? Nationales Cyber-Abwehrzentrum Im Juni dieses Jahres wurde das Nationale Cyber-Abwehrzentrum offiziell eröffnet. Das Zentrum, das in den Räumen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn untergebracht ist, arbeitet bereits seit April und untersucht jeden Tag drei bis fünf Sicherheitsvorfälle. Als Kooperationseinrichtung deutscher Sicherheitsstellen auf Bundesebene versteht es sich in erster Linie als Informationsdrehscheibe und Kommunikationsplattform. Elektronische Angriffe auf IT- Infrastrukturen in Deutschland sollen dort erkannt und entsprechende Handlungsempfehlungen herausgegeben werden. Vertreten sind dort acht Einrichtungen: das federführende Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Verfassungsschutz (BfV), das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK), das Bundeskriminalamt (BKA), das Zollkriminalamt (ZKA), der Bundesnachrichtendienst (BND), die Bundespolizei und die Bundeswehr. > Nationaler Cyber-Sicherheitsrat Neben dem Cyber-Abwehrzentrum wurde im Februar dieses Jahres von der Bundesregierung zudem der Cyber-Sicherheitsrat gegründet. Dieser soll die Zusammenarbeit innerhalb der Bundesregierung sowie zwischen Staat und Wirtschaft in Fragen der IT-Sicherheit verbessern, darüber hinaus aber auch die Arbeit der IT-Steuerung Bund und des Nationalen IT-Planungsrats auf politisch-strategischer Ebene miteinander verzahnen und ergänzen. Dementsprechend ist der Cyber-Rat aus Vertretern von Bund, Ländern und Wirtschaft zusammengesetzt. Die Leitung hat die derzeitige Beauftragte der Bundesregierung für Informationstechnik und Staatssekretärin im Bundesministerium des Innern, Cornelia Rogall-Grothe. Nationaler IT-Planungsrat Aufgabe des im Frühjahr 2010 gegründeten IT-Planungsrates ist unter anderem, die bundesweite Zusammenarbeit in Fragen der Informationstechnik zu koordinieren, er ist für Planung, Errichtung, Betrieb und Weiterentwicklung des Behördennetzes DOI zuständig und kann mit entsprechender Mehrheitsentscheidung IT-Standards und IT- Sicherheitsanforderungen festlegen. So steht eine vom IT-Planungsrat erarbeitete und für von Bund und Ländern gemeinsam genutzte Infrastrukturen und Anwendungen verbindliche Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung kurz vor dem Beschluss. Ebenfalls geplant ist der Aufbau eines föderalen, verwaltungsinternen Warn- und Informationsdienstes, des sog. CERT-Verbundes (Computer Emergency Response Team). Foto: BMI/Schaaf Dem IT-Planungsrat gehören als Mitglieder an die IT-Beauftragte der Bundesregierung sowie jeweils ein für Informationstechnik zuständiger Vertreter jedes Landes so auch der niedersächsische CIO Dr. Christoph Lahmann. Darüber hinaus nehmen an den Sitzungen drei Vertreter der Gemeinden und Gemeindeverbände, die von den kommunalen Spitzenverbänden auf Bundesebene entsandt werden, und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beratend teil. Der Errichtung des IT-Planungsrates vorausgegangen war die Erweiterung des Grundgesetzes um den Artikel 91c (Informationstechnische Systeme) durch Bundestag und Bundesrat im Frühsommer > Niedersächsischer IT-Planungsrat Mit dem Nationalen wurde seinerzeit der Niedersächsische IT-Planungsrat gegründet. Dieser hat unter anderem zum Ziel, Beschlüsse des Nationalen IT-Planungsrates zur IT-Sicherheit in Niedersachsen zur Umsetzung zu bringen. Auch landesintern und bei der Kooperation mit den Kommunen führt der Niedersächsische IT-Planungsrat zu einer neuen Qualität in der Zusammenarbeit, etwa bei der Schaffung gemeinsamer Standards für die egovernment-projekte des Landes. Darüber hinaus wird auf diese Weise sichergestellt, dass die Belange der Kommunen beim Votum Niedersachsens im Nationalen IT-Planungsrat berücksichtigt werden. Vertreten sind im Niedersächsischen IT-Planungsrat neben den Ressorts der Niedersächsische Datenschutzbeauftragte, der IT-Vorstand des LSKN sowie die kommunalen Spitzenverbände; den Vorsitz führt der IT-Bevollmächtigte der Landesregierung, Dr. Christoph Lahmann. (hl)

14 <Titel> Nr. 2/ TECHNIK & WISSEN STICHWORT INFORMATIONSSICHERHEIT Fortsetzung von Seite 12 Umsetzung des ISMS und kommuniziert die neuesten Erkenntnisse über Gefährdungen und Gegenmaßnahmen. Das Land war doch immer schon für die Sicherheit seiner Informationen verantwortlich. Reichten die bisherigen Aktivitäten nicht aus? Natürlich wurde bislang schon sehr gute Arbeit geleistet, das sehen Sie ja daran, dass wir bislang keine gravierenden Datenpannen oder erfolgreiche Angriffe auf das Landesnetz hatten, die die Leistungsfähigkeit des Landes eingeschränkt hätten. Selbst der totale Stromausfall im Juli in Hannover hat die Arbeit der Landesverwaltung nicht beeinträchtigt, da Beinahe täglich steht es in den Zeitungen: Hacker stehlen höchstsensible Informationen, Kriminelle versuchen durch sog. Phishing Daten eines Internet- Benutzers zu erspähen, um etwa an Kontodaten zu gelangen und das Konto dann zu plündern, und schon das einfache Surfen auf infizierten Webseiten kann dazu führen, dass der Rechner mit Schadsoftware infiziert wird. Denn grundsätzlich sind alle Geräte mit Verbindung zum Internet auch angreifbar ob Computer, Smartphone oder ein moderner intelligenter Stromzähler. Das klingt dramatisch, und sicherlich ist eine Organisation wie die Landesverwaltung gut darin beraten, sich mit Firewalls und den aktuellsten Virenschutzprogrammen vor fremden Zugriffen und Schadsoftware zu schützen. Doch gibt es neben diesem digitalen Datenklau noch eine andere, häufig vergessene, aber nicht minder folgenlose Gefahr für Daten und Anwendungen: der physische Verlust. Denn wie schnell ist es passiert, dass ein USB-Stick aus der Tasche alle Sicherungs- und Notfallmaßnahmen sofort gegriffen haben. Der schnelle technologische Wandel bewirkt aber eine ebenso schnelle Veränderung bei den Gefährdungslagen. Denken Sie an Cloud Computing. Derzeit wird überall diskutiert, wie die öffentliche Verwaltung die Cloud etwa als Informationsplattform oder zur Bürgerbeteiligung nutzen kann. Doch wie sieht es dabei mit Sicherheit und Datenschutz aus? Vorhandene Sicherheitskonzepte, organisatorische Regelungen und technische Maßnahmen müssen daher regelmäßig auf ihre Wirksamkeit überprüft und ggf. an die veränderte Lage angepasst werden. Sicherheitsexperten verzeichnen immer professionellere Hackerangriffe auf die Daten von Firmen und Behörden. Der Schutz von Informationen beginnt am Arbeitsplatz fällt oder ein Laptop in der Bahn liegen gelassen wird? Innerhalb der niedersächsischen Landesverwaltung sorgen daher abgestimmte Sicherheitskonzepte dafür, dass durch eine Vielzahl technischer, organisatorischer und personeller Maßnahmen die Integrität (Informationen werden vollständig und unverändert an einen Empfänger übertragen), die Verfügbarkeit (autorisierte Nutzer erhalten jederzeit und auch langfristig Zugang zu benötigten Informationen) sowie die Vertraulichkeit (nur autorisierte Personen oder Prozesse erhalten Zugang zu bestimmten Informationen) sichergestellt werden. Das bedeutet auch, Regeln für Verschlüsselungen, Benutzerrechte, Zugangsberechtigungen oder Datensicherung zu erstellen. Informationssicherheit ist aber immer auch eine Abwägungsfrage: Zu viele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zu wenig Maßnahmen bleiben lohnende Sicherheitslücken offen. Sicherheitslücken werden heute blitzschnell erkannt und von Angreifern ausgenutzt. Darauf muss man vorbereitet sein. Wird denn das Sicherheitsniveau in den Ressorts in irgendeiner Form geprüft, etwa indem Hacker-Angriffe simuliert werden? Die Gewährleistung von Informationssicherheit ist ein fortwährender Prozess und damit eine Daueraufgabe. Mindestens einmal jährlich wird die Wirksamkeit des Informationssicherheitsmanagements daher innerhalb der Sicherheitsdomänen überprüft. Niedersachsen beteiligt sich aber auch als sog. Kernübungsland an LÜKEX, der Länderübergreifenden Krisenmanagement Übung /Exercise. Aufgrund der Terroranschläge des und des Elbehochwassers im Sommer 2002 hat man erkannt, dass die Krisenanfälligkeit und Verwundbarkeit moderner Gesellschaften ressort- und länderübergreifende Übungen im Krisenmanagement erfordern. Seitdem fanden vier LÜKEX statt, die u.a. den Ausbruch einer Pandemie und die Detonation einer Schmutzigen Bombe, einer Bombe also, der radioaktive Stoffe beigefügt sind, simulierten. Die nächste LÜKEX Ende November wird sich mit IT- Sicherheit auseinandersetzen. Welche Rolle spielt der LSKN beim Schutz der Informationssicherheit im Land? Als zentraler IT-Dienstleister des Landes ist der LSKN zugleich auch IT-Sicherheitsdienstleister der Verwaltung. Er betreibt die zentrale Firewall, Spam- und Virenfilter, das Hochsicherheitsrechenzentrum und eine Vielzahl von Anwendungen, für die je nach Anforderung an die Ausfallsicherheit, Performanz und Verfügbarkeit individuelle IT-Sicherheitskonzepte erstellt werden auch die sichere Anbindung mobiler Geräte an das Landesnetz wird vom LSKN geleistet. Ohne zentralen IT-Dienstleister müssten diese Standards von

15 TECHNIK & WISSEN 15 <Titel> Nr. 2/2011 jedem Ressort einzeln erbracht werden. Das wäre sowohl fachlich als auch finanziell auf dem Niveau nicht zu meistern. Der LSKN hat bereits vor fünf Jahren eine interne IT-Sicherheitsleitlinie erstellt und verfügt über ein eigenes Fachgebiet IT-Sicherheit, das in engem Kontakt zum IT-Sicherheitsbeauftragten des Landes im Innenministerium steht. Aufbauend auf dieser Kompetenz soll im LSKN auch die Kopfstelle des CERT, des Computer Emergency Response Teams, eingerichtet werden, das unter anderem bei Lösungen von konkreten IT-Sicherheitsvorfällen in der Landesverwaltung koordinierend mitwirkt. Erste Strukturen werden bereits im Rahmen der LÜKEX erprobt. Absolute Sicherheit kann es aber doch auch in der virtuellen Welt nicht geben. Nein, denn dann müssten die Netze so weit abgeschottet werden, dass eine Kommunikation bzw. die Weitergabe von Informationen kaum noch möglich wäre, und außerdem wäre sie wohl unbezahlbar. Sicherheit ist immer auch eine Abwägungssache. Sie schließen vermutlich die Haustür ab, wenn Sie weggehen, aber vergittern nicht alle Fenster. Und so muss auch die Landesverwaltung die ihr anvertrauten Informationen gegen Angriffe schützen, aber dennoch offen sein für die Informationsbedürfnisse der Bürgerinnen und Bürger und ihnen vielfältige Online-Services anbieten. Grundsätzlich sollen Leitlinie und ISMS sicherstellen, dass dem jeweiligen Schutzzweck angemessene und dem Stand der Technik entsprechende Maßnahmen ergriffen werden. Und angemessen bedeutet auch, dass der finanzielle und organisatorische Aufwand von Sicherheitsmaßnahmen in einem angemessenen Verhältnis zum verfolgten Ziel steht. Tipp: Das BSI stellt über die Website wichtige Informationen zum Thema IT-Sicherheit zur Verfügung und warnt vor aktuellen Gefährdungen. Informationssicherheit im LSKN ein integraler Bestandteil aller Geschäftsprozesse Als zentraler IT-Dienstleister des Landes hat der LSKN vor der jetzt vom Kabinett verabschiedeten ressortübergreifenden Sicherheitsleitlinie bereits im Jahr 2008 eine eigene Leitlinie zur IT-Sicherheit eingeführt, um das erforderliche Sicherheitsniveau für alle seine IT-gestützten Geschäftsprozesse und deren Funktionen und Informationen durch angemessene, zielführende, technische und organisatorische Maßnahmen sicherzustellen. Dabei werden folgende Prinzipien verfolgt: Prävention: Risiken sind durch vorbeugende organisatorische und technische Maßnahmen auf ein akzeptables Minimum zu reduzieren. Reaktion: Beim Eintritt einer Gefährdung wird angemessen und geplant reagiert, um den Schaden möglichst klein zu halten. Nachhaltigkeit: Angemessene Maßnahmen gewährleisten, dass das geforderte Schutzniveau über den gesamten Lebenszyklus eines Prozesses aufrechterhalten bleibt und kontinuierlich verbessert wird. Der Erfolg wird regelmäßig überprüft. Es wurde ein Informationssicherheitsmanagement (ISMS) etabliert, das in alle Fachbereiche des LSKN wirkt. Der IT-Sicherheitsbeauftragte ist direkt vom Vorstand mit allen Fragen zur IT-Sicherheit betraut. Er verantwortet Aufbau, Funktionsfähigkeit und Weiterentwicklung des ISMS und ist Eigner des Informationssicherheitsmanagement- Prozesses. Er überwacht die Umsetzung der Informationssicherheitsrichtlinien und der IT-Sicherheitskonzepte sowie der IT-Notfallplanung. Zur Bewertung und Zertifizierung der Informationssicherheit existieren verschiedene Normen. In Deutschland erfolgt dies in der Regel durch das Bundesamt für Sicherheit in der Informationstechnologie, das die Umsetzung des vom BSI erarbeiteten IT-Grundschutz-Katalogs prüft. Darüber hinaus gibt es die ISO 27001, eine Normenreihe für ISMS. Der LSKN hat bewusst entschieden, beim Aufbau des ISMS die Vorgaben aus dem BSI IT-Grundschutz, der Norm ISO und den Best Practices aus der IT Infrastructure Libary (ITIL) zu berücksichtigen. Das spiegelt sich im Aufbau des Informationssicherheitsmanagement-Prozesses, dem IT-Notfallvorsorge-Prozess und der dazugehörigen Dokumentation wider. Die Vorgaben aus der ISO-Norm werden für den Aufbau, Betrieb und Weiterentwicklung des ISMS angewendet. Die Empfehlungen aus dem BSI IT-Grundschutz finden ihre Anwendungen im IT-Bereich in Verbindung mit den Best Practices aus ITIL. Die Beschreibung der Prozesse, Organisation und Dokumentation des ISMS ist derzeit noch in drei entsprechenden Richtlinien aufgeteilt, wird aber zukünftig in einem Servicemanagementhandbuch übergehen, wie es im LSKN Standard für alle ITILbasierenden Prozesse der Fall ist. Damit wird gewährleistet, dass die Informationssicherheit integraler Bestandteil aller Geschäftsprozesse, Produkte und Services des LSKN ist und somit Kernaufgabe eines jeden Beschäftigten. Michael Schätzke, IT-Sicherheitsbeauftragter des LSKN und derzeit auch der niedersächsischen Landesverwaltung

16 <Titel> Nr. 2/ TECHNIK & WISSEN LSKN bietet Ausbildungsplatz für Anwendungsentwickler Das Landesnetz ein komplexes System mit komplexen Sicherheitsregeln Mit den Netzen ist das so eine Sache: Einerseits müssen kritische Fachverfahren im Netz der Landesverwaltung unbedingt vor fremden Zugriffen geschützt werden, andererseits müssen sich tagtäglich zig Tausende Landesbeschäftigte im ungeschützten Internet bewegen um s zu versenden oder Informationen abzurufen. Über bestimmte Schnittstellen ist alles miteinander verbunden. Ein komplexes System mit komplexen Sicherheitsregeln. Immerhin hat Niedersachsen den großen Vorteil, dass es nur ein einziges umfassendes Landesnetz hat. Jede Dienststelle des Landes hat ein eigenes lokales Netz, das LAN (Local Area Network). Diese LANs sind wiederum an das WAN (Wide Area Network) angeschlossen: das Landesnetz, erläutert Michael Schätzke, IT-Sicherheitsbeauftragter der Landesverwaltung. Sensible Sonderbereiche wie Polizei, OFD oder Justiz verfügen über separate Netze innerhalb dieses Landesnetzes, für die zusätzliche Sicherheitsanforderungen gelten. Aber auch die niedersächsischen Kommunen sind über eine genau definierte Schnittmenge in das Landesnetz eingebunden, damit sie dort auf bestimmte Services zugreifen können. Zudem ist das Mehrere Firewalls schützen das Landesnetz. Landesnetz über das DOI.Netz (DOI Deutschland Online Infrastruktur) mit allen Landes- und Bundesverwaltungen verbunden. Abgrenzungen und Verbindungen der Netze werden in dem Gesamtkomplex Landesnetz über spezielle Zugriffs- bzw. Kommunikationsregelungen möglich. Das entsprechende Sicherheitskonzept hat der LSKN mitentwickelt, wobei der Aufbau und der Betrieb mindestens den Anforderungen des BSI-IT-Grundschutzes entsprechen, sagt Schätzke. Die Netzübergänge sind mehrstufig abgesichert. Der Netzübergang zum Internet erfolgt über zwei Provider und ist durch eine mehrstufige Sicherheitsinfrastruktur aus Application Security Gateways (ASG) und Firewalls abgesichert. Wobei ASGs vor Angriffen auf der Ebene der Anwendungen schützen und Firewalls den Datenverkehr überwachen und anhand festgelegter Regeln entscheiden, ob Datenpakete durchgelassen werden. Mobile Lösungen Doch mit den technologischen Möglichkeiten verändern sich auch die Risiken. Mobiles Arbeiten zum Beispiel ist sehr praktisch und bietet Arbeitgebern wie Arbeitnehmern etliche Vorteile. Bereits seit über zehn Jahren bietet der LSKN Ausbildungsplätze für den Beruf des Fachinformatikers in der Fachrichtung Systemintegration an. Im Mittelpunkt dieses Berufes steht das Realisieren kundenspezifischer Informationsund Kommunikationslösungen. Die Fachinformatiker des LSKN vernetzen Hard- und Softwarekomponenten zu komplexen Systemen und dies für die sehr differenzierte Kundschaft der Landesverwaltung. Über Ausbildungsplätze in der Fachrichtung Systemintegration hinaus wird im LSKN zum 1. August 2012 nun erstmalig ein Ausbildungsplatz zur Fachinformatikerin bzw. zum Fachinformatiker in der Fachrichtung Anwendungsentwicklung besetzt. Vorausgesetzt wird mindestens ein guter Realschulabschluss. Die schriftliche Bewerbung sollte bis spätestens 30. November 2011 beim Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen, FG 413 Personal, Göttinger Chaussee 259, Hannover, eingegangen sein. Weitere Informationen über den LSKN finden Sie im Internet unter Doch einfach von einem beliebigen Ort aus mit WLAN, also per Funk, über das Internet auf die Rechner der Landesverwaltung zuzugreifen, wäre viel zu unsicher, die Gefahr vor fremdem Zugriff viel zu groß. Daher erlaubt der LSKN mobiles Arbeiten nur über VPN-Zugang, also über das Virtuelle Private Netz. Das Internet wird damit zu einer Art abgesichertem Verlängerungskabel, und der VPN-Partner greift direkt auf das Landesnetz zu, als wäre er direkt daran angeschlossen. Mobile Geräte wie iphone, ipad oder Blackberry sind daher zurzeit nur an das Landesnetz angebunden, sodass s abgerufen werden können, ein Zugang ins Landesnetz aus Sicherheitsgründen jedoch nicht möglich ist. Unter bestimmten Voraussetzungen ist künftig der Zugang ins Landesnetz auch über ein vom LSKN installiertes, sicheres WLAN erlaubt, wie zum Beispiel in Besprechungsräumen einer Dienststelle. (hl)