Bericht aus der AG Modernisierung

Größe: px

Ab Seite anzeigen:

Download "Bericht aus der AG Modernisierung"

Hennie Schreiber
vor 6 Jahren
Abrufe

2 Bericht aus der AG Modernisierung Kommunale Beteiligung an der Grundschutz-Modernisierung und Kommunales Lagebild 4. Kommunalen IT-Sicherheitskongress 08. und 09. Mai 2017

3 Arbeitsgruppe Modernisierung initiiert durch die kommunalen Spitzenverbände zur Einbeziehung der Kommunalverwaltungen in die Neugestaltung des BSI-Grundschutzes Profile Lagebilder AG im und aus dem IT-SiBe-Forum.de derzeit 25 Teilnehmer Start: bisher 4 Treffen, nächstes Treffen am 9. Mai SECURiON Rheinland-Pfalz GmbH 2

4 eine AG zwei Themen kommunale IT-Grundschutz Profile kommunales Lagebild Anforderungen Bedrohungen SECURiON Rheinland-Pfalz GmbH 3

5 unangemessen und unwirtschaftlich kommunale IT- Grundschutz Profile kommunales Lagebild Beispiel: Größte Gefahr für unsere Stromnetze? Eichhörnchen (714 dokumentierte Fälle) Hacker (1 Fall) SECURiON Rheinland-Pfalz GmbH 4

6 unzureichende Absicherung kommunale IT-Grundschutz Profile kommunales Lagebild SECURiON Rheinland-Pfalz GmbH 5

7 Kommunales Lagebild kommunale IT-Grundschutz Profile kommunales Lagebild? SECURiON Rheinland-Pfalz GmbH 6

8 kommunales Lagebild Der weiße Fleck auf dem Lagebild des BSI? SECURiON Rheinland-Pfalz GmbH 7

9 Bund - Länder Quelle: Heino Sauerbrey, Landkreistag SECURiON Rheinland-Pfalz GmbH 8

Meldeverfahren des VCV IT-Planungsrat 2017/04 Verbindliches Meldeverfahren zum Informationsaustausch über Cyberangriffe im VCV Arbeitsgruppe Informationssicherheit legt zur 24.

10 Meldeverfahren des VCV IT-Planungsrat 2017/04 Verbindliches Meldeverfahren zum Informationsaustausch über Cyberangriffe im VCV Arbeitsgruppe Informationssicherheit legt zur 24. Sitzung des IT-PLR Meldestandard zur Beschlussfassung vor. legt zur 23. Sitzung Sachstand vor zu bestehenden Systeme bei Bund und Ländern, mit Hilfe derer Erkenntnisse über die Sicherheitslage automatisiert gewonnen werden können. Details siehe: SECURiON Rheinland-Pfalz GmbH 9

11 Ansätze zur Einbeziehung der Kommunen Quelle: Heino Sauerbrey, Deutscher Landkreistag SECURiON Rheinland-Pfalz GmbH 10

12 kommunales Lagebild? Ziel: Möglichst enge Zusammenarbeit zwischen Land und Kommune Kommune meldet (direkt oder indirekt) an Landes-CERT Weiterleitung durch Landes-CERT an VCV / BSI Frühwarnungen von BSI über VCV an Landes-CERT Landes-CERT leitet Frühwarnungen (direkt oder indirekt) an Kommune weiter gemeinsame kommunal-staatliche Lagebilder werden auf Landes- und Bundesebene erstellt SECURiON Rheinland-Pfalz GmbH 11

13 Herausforderungen Unterschiedliche Ansätze zur Einbeziehung der Kommunen Unterschiedliche Reifegrade Wohin melden Kommunen, die nicht über einen Landes-CERT an den VCV angebunden sind? Interessenvertretung für kommunale CERTs? Meldefähigkeit der Kommunen (interne Prozesse) Meldebereitschaft (Vertrauen, Nutzen erkennen) Standardisierung (Nachrichten, Transport) -> Tools SECURiON Rheinland-Pfalz GmbH 12

14 angemessen und wirksam kommunale IT-Grundschutz Profile kommunales Lagebild Anforderung Bedrohung Anforderung Schwachstelle Anforderung Bedrohung SECURiON Rheinland-Pfalz GmbH 13

15 Modernisierung IT- Grundschutz Chance für Kommunen! SECURiON Rheinland-Pfalz GmbH 14

16 Wege zur Standardabsicherung Einstieg Grafik: BSI IT-Grundschutz im kommunalen Profil Personal- und Organisationsamt Jens Lange 18

17 Wege zur Standardabsicherung Einstieg IT-Grundschutz im kommunalen Profil Personal- und Organisationsamt Jens Lange 19

18 Wege zur Standardabsicherung Einstieg IT-Grundschutz im kommunalen Profil Personal- und Organisationsamt Jens Lange 20

19 Wege zur Standardabsicherung Einstieg IT-Grundschutz im kommunalen Profil Personal- und Organisationsamt Jens Lange 21

20 Wege zur Standardabsicherung Einstieg IT-Grundschutz im kommunalen Profil Personal- und Organisationsamt Jens Lange 22

IT-Grundschutzprofile Werkzeug für anwendungsspezifische Empfehlungen berücksichtigt Möglichkeiten und Risiken der Institution / Branche

21 IT-Grundschutzprofile Werkzeug für anwendungsspezifische Empfehlungen berücksichtigt Möglichkeiten und Risiken der Institution / Branche bezieht sich auf typische IT-Szenarien Profile werden durch Branchen (nicht durch BSI) erstellt SECURiON Rheinland-Pfalz GmbH 23

22 Profil Basisabsicherung Kommunalverwaltung Zielgruppe: Kommunalverwaltungen, die Einstieg in Informationssicherheit suchen Zielsetzung: Hilft die gröbsten Schwachstellen aufzudecken und schnell das Sicherheitsniveau in der Breite anheben, unterstützt bei Standortbestimmung. Vorstufe zur Standardabsicherung! SECURiON Rheinland-Pfalz GmbH 24

23 Profil Kernelemente Festlegung des Geltungsbereichs (Zielgruppe, Schutzbedarf) Referenzarchitektur Anforderungen Risikobehandlung (verbleibende Restrisiken) SECURiON Rheinland-Pfalz GmbH 26

24 Profil Referenzarchitektur Infrastruktur G01 Verwaltungsgebäude G02 Außenstellen (z. B. Bauhöfe, Kindergärten) R01 Büroraum R02 Bürgerbüro (Arbeitsplatz mit Publikumsverkehr) R03 Besprechungsraum R04 Häusliche Arbeitsplätze R05 Mobile Arbeitsplätze R06 Serverraum R07 Raum für technische Infrastruktur R08 Archivraum R09 Drucker- und Kopierraum (, IT-System, Netze, Anwendungen) SECURiON Rheinland-Pfalz GmbH 27

25 Profil Anforderungen (1) relevante Bausteine identifizieren Zielgruppengerechte Anpassung der Anforderungen alle Anforderungen nur bestimmte Anforderungen Anforderungen zu konkretisieren Anforderungen komplett zu streichen oder neue definieren SECURiON Rheinland-Pfalz GmbH 29

26 Profil Anforderungen (2) Relevanz der Maßnahmen definieren "auf geeignete Weise "Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ]" SECURiON Rheinland-Pfalz GmbH 30

27 kommunale IT-Grundschutz Profile kommunales Lagebild SECURiON Rheinland-Pfalz GmbH 31

28 kommunale IT-Grundschutz Profile kommunales Lagebild SECURiON Rheinland-Pfalz GmbH 33

29 kommunale IT-Grundschutz Profile kommunales Lagebild SECURiON Rheinland-Pfalz GmbH 34

30 kommunale IT-Grundschutz Profile kommunales Lagebild Anforderung Bedrohung Anforderung Schwachstelle Anforderung Bedrohung SECURiON Rheinland-Pfalz GmbH 35

31 Erfahrungen in der AG Diskussionsbedarf bzgl. der Relevanz von Anforderungen und Umsetzungsvorgabe Bewertungskriterien zur Abgrenzung von Basis- und Standard erforderlich Wie im echten Leben eines Informationssicherheitsbeauftragten! SECURiON Rheinland-Pfalz GmbH 36

32 Profil - Ausblick mittelfristig 5. Treffen am 9.5. Diskussion der Zwischenergebnisse mit Veröffentlichung weiterer Bausteine sukzessive weiterentwickeln Abstimmung kommunale Bewertungskriterien und working draft mit BSI Veröffentlichung mit oder unmittelbar nach Veröffentlichung des IT-Grundschutz-kompendiums (Grundwerk) zur it-sa 2017? SECURiON Rheinland-Pfalz GmbH 37

33 Profil - Ausblick langfristig Verfahrensprofile entwickeln Verfahren identifizieren Standards für Kommunalprofile? Verfahrensverantwortliche sensibilisieren frühzeitige Abstimmung bei Ebenen-übergreifenden Verfahren SECURiON Rheinland-Pfalz GmbH 38

34 Vielen Dank für Ihre Aufmerksamkeit! Margot Heimfarth SECURiON Rheinland-Pfalz GmbH Hindenburgplatz Mainz info@securion.de Tel:

Ähnliche Dokumente

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?! 1 Zielgruppe Cyber-Kriminelle IT-Sicherheitsbeauftragte IT-Verantwortliche 2 Modernisierung IT-Grundschutz 3 Motivation und Ziele des BSI Skalierbarkeit