BSI Forum. der Krankenhaus-IT. Risiken erkennen, Gefahren bannen. Inhalt. Impressum # Jahrgang

Transkript

1 2013 # Jahrgang BSI Forum offizielles Organ des BSI Krankenhaus-IT Risiken erkennen, Gefahren bannen Krankenhäuser zählen zur kritischen Infrastruktur unserer Gesellschaft und haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienste sicherzustellen. Die Risikoanalyse Krankenhaus-IT beschreibt eine Methode, mit der Krankenhäuser kritische IT-Abhängigkeiten und daraus erwachsende Risiken identifizieren und bewerten können. Von Dr. Frank Jestczemski, adesso AG, und Marc Müller, BSI Inhalt Krankenhaus-IT 43 Allianz für Cyber-Sicherheit 47 kurz notiert 50 Amtliche Mitteilungen 52 Impressum Redaktion: Matthias Gärtner (verantwortlich) matthias.gaertner@bsi.bund.de Die digitale Revolution hat in den vergangenen Jahren vor dem Gesundheitssektor nicht haltgemacht. Insbesondere Kliniken konnten durch den verstärkten Einsatz moderner IT-Systeme ihre Geschäftsprozesse hinsichtlich Wirtschaftlichkeit, Qualität und Usability deutlich optimieren. Moderne Krankenhausinformationssysteme vermeiden die aufwändige und mit vielen Problemen belastete Handhabung von papierbasierten Patientenakten. Medienbrüche können zum Beispiel durch die Kombination bildgebender Verfahren mit digitalen Informationssystemen auf ein Minimum reduziert werden. Diese und andere Faktoren haben zur Erfolgsgeschichte der Krankenhaus-IT beigetragen. Leider hat dieser Erfolg wie so oft Schattenseiten: Die Abhängigkeit von sensitiven IT-Komponenten in modernen Krankenhäusern ist anders als in den letzten Jahrzehnten deutlich gestiegen. Nicht selten hängt die einwandfreie und zügige Behandlung eines Patienten in nicht unerheblichem Maße von der Verfügbarkeit der betroffenen IT-Systeme ab. IT ist allerdings verwundbar nicht erst Vorfälle mit Schadprogrammen wie Stuxnet haben der Gesellschaft diesen Umstand schmerzhaft vor Augen geführt. So ist auch die IT in Krankenhäusern Risiken ausgesetzt, mit denen umgegangen werden muss. Genau hier setzt der seit dem Frühjahr 2013 verfügbare Leitfaden Risikoanalyse Krankenhaus-IT (RiKrIT) des BSI, des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und der Senatsverwaltung für Gesundheit und Soziales des Landes Berlin (SenGuv) an. Bereits seit einigen Jahren hat sich der Leitfaden Risikomanagement des BBK als Standard im Risiko- Nora Basting nora.basting@bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit und Presse Postfach Bonn Hausanschrift: Godesberger Allee Bonn Telefon: Telefax: Web: Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> Die Zeitschrift für Informations-Sicherheit 21. Jahrgang 2013 BSI Bonn <kes> 2013 # 6 43

2 Krankenhaus-IT management für Krankenhäuser in Deutschland etabliert, sparte jedoch das Thema Informationstechnik bisher weitgehend aus. Mit der nun geschaffenen Ergänzung kann die Basis für ein ganzheitliches Risikomanagement geschaffen werden. Der Leitfaden will dabei nicht notwendige und umfangreiche IT-Sicherheitskonzepte ersetzen, sondern er möchte dem Risikomanager ein Werkzeug sein, mit dem dieser wesentliche Risiken für IT-Systeme erkennen und gegebenenfalls durch Maßnahmen minimieren kann. Ebenso spart der Leitfaden explizit zugelassene Medizinprodukte aus, da diese besonderen rechtlichen Regularien unterliegen und zum Beispiel Veränderungen an derartigen Systemen nicht einfach möglich sind. Methodik Die grundlegende Methodik des Leitfadens gliedert sich in vier aufeinanderfolgende Schritte, die im Folgenden überblicksartig beschrieben werden. Vorbereitende Aktivitäten Die Durchführung eines Risikomanagements bezeichnet primär die Initialisierung eines Projektes, das heißt eines zeitlich begrenzten Vorhabens. Projekte erfordern die anfängliche Planung und Bereitstellung der personellen, finanziellen und sonstigen Ressourcen. Zudem ist Risikomanagement generell eine Managementverantwortung und muss somit auch vom Management initiiert werden. Von herausragender Bedeutung ist die anschließende Definition der so genannten Schutzziele: Hierunter versteht man die wesentlichen Güter und Aspekte, die mittels Risikomanagement vor den erhobenen Risiken adäquat geschützt werden sollen (etwa die Unversehrtheit von Personal und Patienten). Zur Vorbereitung gehört des Weiteren die Abgrenzung des zu untersuchenden Bereichs der Klinik. Beispielsweise kann sich eine konkrete Risikoanalyse auf bestimmte Bereiche oder Organisationseinheiten beschränken. Zuletzt müssen zur Vorbereitung auch die bestehenden Geschäftsprozesse in den betroffenen Organisationseinheiten erhoben werden (sollten diese nicht ohnehin bereits dokumentiert sein). Dazu eignen sich vor allem bestehende Notationssprachen wie ereignisgesteuerte Prozessketten (EPK) oder die Business Process Execution Language (BPEL). Kritikalität analysieren Im nächsten Schritt werden die Informationsflüsse und -systeme in den Prozessen ermittelt und dokumentiert. Gemeinsam mit der zuvor vorgenommenen Eingrenzung der Prozesse auf die zu unterscheidenden Bereiche kritischer Natur (deren Ausfall tatsächlich die eingangs erhobenen Schutzziele tangiert) lassen sich daraus die kritischen Informationsflüsse herleiten. Über dieses Verfahren lässt sich schließlich die Kritikalität der erfassten IT-Komponenten erheben, was das Ergebnis des zweiten Schritts darstellt. Risiken identifizieren und bewerten Anschließend definiert der Anwender des Leitfadens Risikoszenarien: Hierunter fallen zum Beispiel Stromausfälle oder eine Infektion mit Schadprogrammen. Diese Risikoszenarien werden bezüglich ihrer Eintrittswahrscheinlichkeit und ihrer potenziellen Auswirkungen gewichtet der damit erzeugte Risikowert wird dann abschließend noch durch gegebenenfalls bereits vorhandene Maßnahmen modifiziert. Die Bestimmung der Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen bereitet in der Praxis häufig Schwierigkeiten, insbesondere den weniger erfahrenen Anwendern einer Risikoanalyse, da Erfahrungswerte für eine sinnvolle Abschätzung der Eintrittswahrscheinlichkeit fehlen. Hier war die Konzeption eines neuen und einfachen Ansatzes notwendig, um den Anwender zu unterstützen. Die im Projekt entwickelte und adaptierbare Vorgehensweise wird in Kapitel 5 des Leitfadens näher beschrieben. Risiken behandeln Abschließend entscheidet der Anwender, wie mit den identifizierten Risiken umzugehen ist. So können zum Beispiel Maßnahmen zur Risikominimierung getroffen oder auch alternative Verfahren geplant werden. Wahrscheinlichkeiten und Auswirkungen Im Hinblick auf die Abschätzung der Eintrittswahrscheinlichkeiten und Auswirkungen war das Ziel des Projekts, dem Anwender eine leicht zu verstehende und auch anpassbare Methodik an die Hand zu geben. In der Praxis greift man für die Abschätzung der Eintrittswahrscheinlichkeit gerne auf ähnliche Ereignisse aus der Vergangenheit zurück, leitet hieraus Eintrittshäufigkeiten ab und extrapoliert diese in die Zukunft für eine Prognose über zukünftige Ereignisse. Im Bereich der Informationssicherheit fehlen in der Regel vergleichbare Statistiken, auf die man hierfür zurückgreifen könnte. So hergeleitete Prognosen blieben in der Informationssicherheit daher mit einem hohen Grad an Unsicherheit verbunden. Um Entscheidungen über Eintrittswahrscheinlichkeiten in gewissem Maße nun aber doch zu rationalisieren, 44 BSI Bonn <kes> 2013 # 6

3 werden im Rahmen der RiKrIT-Methodik Faktoren betrachtet, die das Eintreten eines Ereignisses begünstigen (bzw. erschweren) können. So ist beispielsweise davon auszugehen, dass öffentlich zugängliche IT-Systeme (etwa ein Webserver im Internet) eher angegriffen werden als IT-Systeme, auf die nur ein kleiner Personenkreis lokal begrenzt zugreifen kann, und erfolgreiche Angriffe umso weniger wahrscheinlich werden, je mehr Spezialkenntnisse für ihre Durchführung erforderlich sind. Die RiKrIT-Faktoren unterscheiden sich für unterschiedliche Bedrohungskategorien: Kategorie vorsätzliche Angriffe : Der Erfolg eines Angreifers steigt mit seinen intellektuellen Fähigkeiten, insbesondere mit dessen Wissen über Technik sowie die Entdeckung und Ausnutzung von Schwachstellen. Kategorie menschliche Fehlhandlungen : Eingabefehler oder andere Unzulänglichkeiten im Umgang mit Informationstechnik durch Anwender können immer wieder zu einem Schadensereignis führen. Letzten Endes entscheiden die Fehlertoleranz eines Systems und auch das Ausmaß, in dem Fehler zur Quelle von Schadensereignissen werden können (mit zunehmendem Ausmaß wächst hier die Wahrscheinlichkeit eines Schadens). Die beiden Faktoren haben einen gegenläufigen Effekt auf die Eintrittswahrscheinlichkeit. Kategorie technisches Versagen : Der Zustand der beteiligten Hardware und Software bestimmt die Eintrittswahrscheinlichkeit und wird bestimmt durch das Ausmaß (Anzahl möglicher Störungsquellen, Schweregrad potenzieller Störungen) sowie die Fehlertoleranz. Während die Wahrscheinlichkeit mit dem Störungsausmaß steigt, wird sie auch hier durch die Fehlertoleranz gemindert. Kategorie natürliche Ereignisse : Die Wahrscheinlichkeit, dass Großschadensereignisse und Naturereignisse zu kritischen Ausfällen führen, hängt zum einen von Standortfaktoren (Exposition) ab, zum anderen von den möglichen Ersatzsystemen bei Ausfällen (Redundanz). Kategorie organisatorische Mängel : Hier wird die Wahrscheinlichkeit durch die internen und externen Abhängigkeiten (Ersatzpersonal, externe Dienste) und die Planungssicherheit (systematische Ressourcenplanung) bestimmt. Der Leitfaden in der Langfassung enthält Tabellen, welche die vorstehend erwähnten Faktoren genauer spezifizieren und Kriterien definieren, anhand derer mithilfe einer dreistufigen Skala die Relevanz eines Faktors bewertet werden kann. Als Beispiel vermittelt Tabelle 1 für die Bedrohungskategorie vorsätzliche Handlungen einen Eindruck. In der Spalte Wert wird die Eintrittswahrscheinlichkeit auf eine Größenklasse wie folgt abgebildet: 1 bedeutet eine geringe Eintrittswahrscheinlichkeit, 2 steht für eine mittlere Eintrittswahrscheinlichkeit, Faktor Schwachstellenentdeckung: Wie leicht ist die Schwachstelle zu erraten? Fähigkeit: Welche technischen Fähigkeiten setzt ein erfolgreicher Angriff voraus? Angriffsentdeckung: Wie schnell kann ein Angriff entdeckt werden? 3 beschreibt eine hohe oder sehr hohe Eintrittswahrscheinlichkeit und nicht relevant kennzeichnet nicht bedeutsame Faktoren für die zugehörige Bedrohungskategorie in dem konkreten Anwendungsfall. Die Gesamtwahrscheinlichkeit für das Risikoszenario ergibt sich als Mittelwert der Einzelbewertungen. Welchen Vorteil hat diese Vorgehensweise gegenüber der Bestimmung von Eintrittswahrscheinlichkeiten mittels direkter Faktoren? Die Faktoren sind ein Hilfsmittel, um das komplexe und schwer greifbare Risikoszenario zu konkretisieren und zu reduzieren auf Einflussfaktoren, die man sich besser vorstellen und verstehen kann. Die im Leitfaden genannten Faktoren sind auf Störungen und Ausfälle von IT-Objekten, also von Hardware, Software, Anwendungen oder Daten, hin ausgerichtet. Bei ihnen handelt es sich um Vorschläge. Die Methode ist offen für Ergänzungen: Anwender können weitere Faktoren hinzufügen oder vorhandene anpassen. Dabei sollte allerdings beachtet werden, dass die Faktoren unabhängig voneinander gewählt werden die Näherung der Eintrittswahrscheinlichkeit wird umso besser, je mehr unterschied- Bewertung Wert Nur mit Insider-Wissen 1 Mit veröffentlichtem Basiswissen 2 Mithilfe verfügbarer Werkzeuge 3 Nicht relevant Tiefgehende Kenntnisse (Netzwerk, Programmierung, Sicherheitsmechanismen) 1 Erfahrene Anwenderkenntnisse 2 Wenige technische Kenntnisse 3 Nicht relevant Kurzfristig (durch Echtzeitsysteme, regelmäßige Prüfung von Logdateien) 1 Mittelfristig (Logging ohne regelmäßige Prüfung der Logdateien) 2 Langfristig (kein Logging; Abweichungen vom normalen Systembetrieb) 3 Nicht relevant Tabelle 1: Faktoren der Wahrscheinlichkeit bei vorsätzlichen Handlungen BSI Bonn <kes> 2013 # 6 45

4 Krankenhaus-IT Tabelle 2: Kriterien zur Bewertung der Auswirkungen eines Schadensereignisses liche Faktoren man identifiziert und bewertet. Bei der Bewertung der Auswirkungen eines Risikoszenarios kann in ähnlicher Weise verfahren werden, wie Tabelle 2 zeigt. Dabei sind dessen Folgen für die kritischen Prozesse unter dem Blickwinkel der Schutzziele der Einrichtung zu betrachten. Beispielsweise ist daher bei entsprechend gewähltem Schutzziel auf die möglichen Beeinträchtigungen für die Behandlung und Pflege der Patienten und zusätzliche Risiken für deren Gesundheit ein besonderes Augenmerk zu richten. Als Maßstab zur Bestimmung der Auswirkungen kann der Grad dienen, in dem beim Eintreten eines Risikoszenarios die Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität verletzt werden. Zur Kennzeichnung dieses Grads sieht diese Tabelle folgende dreistufige Bewertungsskala vor: Faktoren Verfügbarkeit: Wie stark wird die Verfügbarkeit reduziert? 1 = geringe Auswirkungen, 2 = mittlere Auswirkungen, 3 = starke Auswirkungen. Wie bei den Faktoren der Eintrittswahrscheinlichkeit sind auch die Kriterien zur Bewertung der Auswirkungen ein Vorschlag, der gegebenenfalls an die spezifischen Gegebenheiten des Untersuchungsbereichs angepasst werden sollte. Beispielsweise könnte man bei dem Faktor Verfügbarkeit auch die Anzahl der nicht verfügbaren IT- Anwendungen als Kriterium verwenden. Bei der Definition der Kriterien ist darauf zu achten, dass diese mit den formulierten IT-Schutzzielen harmonieren. Sicherheit ist ein Prozess Bewertung Wert Die betroffenen IT-Anwendungen sind im Funktionsumfang eingeschränkt, die wesentlichen Bestandteile sind weiterhin nutzbar. 1 Die betroffenen IT-Anwendungen sind erheblich beeinträchtigt, aber noch eingeschränkt nutzbar. 2 Die betroffenen IT-Anwendungen sind vollständig ausgefallen. 3 Das Schutzziel Verfügbarkeit ist nicht relevant. Sicherheit ist ein Prozess und kein Produkt lautet eine bekannte Aussage sie trifft auch für Risikoanalysen nach dem RiKrIT- Leitfaden zu. Moderne Krankenhäuser sind einem ständigen technologischen, medizinischen, organisatorischen und personellen Wandel unterworfen; diese Veränderungen bringen auch neue Risiken mit sich. Deshalb muss die einmal erstellte Risikoanalyse regelmäßig an neue Bedürfnisse angepasst werden. Nur auf diese Weise kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten werden. Mit dem Projekt wurde eine neue Grundlage für das IT-Risikomanagement in Krankenhäusern geschaffen. Alle Projektbeteiligten freuen sich über Anwenderrückmeldungen, um dieses Feedback in zukünftige Entwicklungen einfließen zu lassen (Kontakt: kritische. infrastrukturen@bsi.bund.de). Die Langfassung der Risikoanalyse Krankenhaus-IT steht über kritis.bund.de/subsites/kritis/de/ Publikationen/Risikoanalyse%20 Krankenhaus-IT%20(Langfassung). html zum kostenlosen Download bereit. Integrität: Bis zu welchem Grad könnten Daten kompromittiert und/oder verloren sein? Vertraulichkeit: Welcher Art sind die von einem Verlust der Vertraulichkeit betroffenen Daten? Nicht behandlungsnotwendige Daten sind kompromittiert oder verloren. 1 Für die Behandlung notwendige Daten sind kompromittiert oder verloren. 2 Lebensnotwendige Daten sind kompromittiert oder verloren. 3 Das Schutzziel Integrität ist nicht relevant. Daten, deren unbefugte Einsichtnahme keine Auswirkungen auf die Verfügbarkeit und Integrität anderer IT-Anwendungen, IT-Systeme oder Behandlungsprozesse hat. 1 Daten, deren unbefugte Einsichtnahme die Behandlungsprozesse stören kann, allerdings ohne lebensbedrohliche Folgen oder bleibende schwere Schäden bei Betroffenen. 2 Daten, deren unbefugte Einsichtnahme die Behandlungsprozesse derart stören kann, dass lebensbedrohlichen Folgen oder bleibende schwere Schäden bei Betroffenen drohen. 3 Das Schutzziel Vertraulichkeit ist nicht relevant. 46 BSI Bonn <kes> 2013 # 6

5 Allianz für Cyber-Sicherheit BSI Forum Allianz für Cyber-Sicherheit Ein Jahr Allianz für Cyber-Sicherheit Im Oktober 2012 nahm die Allianz für Cyber-Sicherheit eine Initiative des BSI in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) ihre Arbeit auf. Bereits im ersten Jahr konnte sie sich als eine der führenden Plattformen für den Informations- und Erfahrungsaustausch zur Cybersicherheit etablieren. Von Isabel Münch und Marc Schober, BSI Datenabfluss von mindestens mit Malware infizierten IT-Systemen allein im ersten Halbjahr 2013 eine unvermindert hohe Zahl an Schwachstellen in Standardsoftware begleitet von jährlich millionenfach neuen Malware- Varianten hunderttausendfacher Missbrauch von IT-Systemen durch Botnetze, neuartige und intensivere DDoS-Angriffe, Hacktivismus und Wirtschaftsspionage. Diesen und noch vielen weiteren Herausforderungen der Cybersicherheit stehen über potenziell Betroffene aus kleinen und großen Unternehmen und zahlreichen anderen Institutionen auf privater und staatlicher Seite in Deutschland gegenüber. Zwar gilt nach wie vor der Grundsatz, dass der Schutz der eigenen IT-Systeme allein in der Verantwortung des jeweiligen Betreibers liegt. Das bedeutet aber nicht, dass das dafür notwendige Know-how und die erforderliche Leistung alleine durch den einzelnen Betreiber aufzubauen beziehungsweise zu erbringen wären. So sind in den letzten beiden Jahrzehnten nicht nur vielfältige Angebote zur Unterstützung durch externe Dienstleister entstanden und das Sicherheitsbewusstsein der Hersteller von IT-Komponenten stetig gewachsen. Auch im IT-Betrieb der Institutionen selbst wurde entsprechend der individuellen Möglichkeiten teilweise massiv Sicherheitswissen aufgebaut und weiterentwickelt. Kooperation Dieses Wissen um Maßnahmen, Methoden und Produkte zum Schutz der IT-Systeme, aber auch um die Lage der Cybersicherheit in Deutschland zu konsolidieren, aufzubereiten, zu veröffentlichen oder im Gespräch zu kommunizieren, ist das Ziel des Informations- und Erfahrungsaustauschs in der Allianz für Cyber-Sicherheit. Als Kooperationsplattform zwischen Anwendern aus Wirtschaft und Verwaltung, Herstellern und der Wissenschaft ermöglicht sie allen interessierten deutschen Institutionen den Bezug von aktuellen Informationen und unterstützt den aktiven Austausch von Erfahrungswerten aus der Cybersicherheit. Mithilfe der zahlreichen beteiligten Partner und Multiplikatoren kann dieser Austausch überregional und branchenübergreifend einer großen Anzahl von Adressaten angeboten werden. Etwas mehr als ein Jahr nach ihrem Start auf der IT-Sicherheitsfachmesse it-sa im Oktober 2012 beteiligen sich bereits über 400 Teilnehmer, 82 Partner und 26 Multiplikatoren an der Allianz für Cyber- Sicherheit. Der Teilnehmerkreis spiegelt dabei die freie Zugänglichkeit der Initiative für alle deutschen Institutionen wider. So finden sich hier Unternehmen aller Branchen und Größen genauso wie Verbände, Hochschulen, Forschungseinrichtungen sowie zahlreiche Kommu- nen, kommunale Einrichtungen und andere Behörden. Über Downloads der vielen öffentlich zugänglichen Dokumente dokumentieren darüber hinaus das große Interesse an den bereitgestellten Informationen auch außerhalb des Kreises der registrierten Teilnehmer. Ziele Mit den eingangs beschriebenen Mitteln des Informations- und Erfahrungsaustauschs verfolgt die Allianz für Cyber-Sicherheit das Ziel, die Cybersicherheit in Deutschland zu stärken. Dafür wendet sie sich insbesondere an die Sicherheitsbeauftragten und IT-Verantwortlichen deutscher Unternehmen aller Branchen und Größen, um diese mit Informationen und Dienstleistungen rund um Cybersicherheit zu unterstützen. Als Maßnahme hierzu baut die Allianz für Cyber-Sicherheit einerseits einen umfangreichen Informationspool auf, andererseits organisiert sie verschiedene Veranstaltungsformate für den Erfahrungsaustausch vor Ort. Beirat Der im Mai 2013 gegründete Beirat besteht aus dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM), dem Bundesverband der Deutschen Industrie (BDI), dem BSI Bonn <kes> 2013 # 6 47

6 Allianz für Cyber-Sicherheit Nutzer und Mitwirkende der Allianz für Cyber- Sicherheit Zentralverband Elektrotechnik- und Elektronikindustrie e. V. (ZVEI), dem Verband der IT-Anwender e. V. (VOICE) und dem Bundesministerium des Innern (BMI). Er unterstützt die Allianz für Cyber-Sicherheit bei der Erreichung ihrer Ziele und berät das BSI bei strategischen Entscheidungen und Fragen der Ausrichtung der Allianz. Die Verbände im Beirat informieren nicht nur ihre Mitglieder über laufende und geplante Aktivitäten, sondern nutzen ihre Kanäle auch, um Feedback zur Arbeit der Allianz zu sammeln. Teilnehmer Die Teilnahme an der Allianz für Cyber-Sicherheit steht grundsätzlich allen deutschen Institutionen offen. Um Teilnehmer zu werden, müssen interessierte Institutionen eine Interessenbekundung ausfüllen (erhältlich auf der Website der Allianz) und einen Ansprechpartner im Unternehmen benennen: Dies kann ein IT-Sicherheitsbeauftragter, CIO oder ein anderer IT-Sicherheitsverantwortlicher sein. Viele Unternehmen sind international aufgestellt, selbstverständlich können also auch Mitarbeiter von Standorten außerhalb Deutschlands auf die Angebote der Allianz zugreifen. Diese sind allerdings weitgehend in deutscher Sprache gehalten, da ja das originäre Ziel der Schutz der deutschen Wirtschaft vor Cyberangriffen ist. Gemeinsam mit den geheimschutzbetreuten Unternehmen und Behörden gehören auch zahlreiche Betreiber kritischer Infrastrukturen zur Teilnehmergruppe der Institutionen im besonderen staatlichen Interesse, die von einem nochmals erweiterten Informationsangebot profitieren. Dabei ergänzt die Allianz für Cyber-Sicherheit mit ihren Angeboten effektiv die bereits 2007 gestartete Kooperation des BSI mit den Betreibern kritischer Infrastrukturen im UP KRITIS und die Zusammenarbeit des BSI mit den IT- Sicherheitsbeauftragten der Bundesund Landesbehörden. Partner & Multiplikatoren Die Zahl der Teilnehmer steigt ständig, und viele Teilnehmer wollen sich auch aktiv in die Allianz für Cyber-Sicherheit einbringen, indem sie ihr Wissen um Cyberrisiken und Lösungsmöglichkeiten an andere Teilnehmer weitergeben. Jeder Teilnehmer, der solche Beiträge kostenfrei für andere Teilnehmer zur Verfügung stellt, kann Partner werden und darauf dann auch mit einem entsprechenden Logo hinweisen. Zu den über 80 Partnern der Allianz zählen derzeit überwiegend, aber nicht ausschließlich, Hersteller, Provider und Beratungsunternehmen aus der IKT-Branche. Dabei sind es bei Weitem nicht nur die bekannten großen Unternehmen, die ihr Know-how zur Verfügung stellen. So profitieren die Teilnehmer auch von dem profunden Wissensschatz zahlreicher kleinerer und mittelständischer Partner aus meist hoch spezialisierten Branchenzweigen. Als weitere Akteure in der Allianz für Cyber-Sicherheit gibt es auch Multiplikatoren: Das sind Institutionen, die große Außenaktivitäten und Medienpräsenz haben, also beispielsweise Sprachrohr einer ganzen Branche sind, und Informationen der Allianz verbreiten und damit die Reichweite erhöhen. Zu den knapp 30 Multiplikatoren zählen derzeit überwiegend Branchenverbände und andere Sicherheitsinitiativen, aber auch Beratungs- und Medienunternehmen. Informationspool Neben einem umfangreichen öffentlichen, frei zugänglichen Informationsangebot bietet die Allianz für Cyber-Sicherheit vielfältige Angebote exklusiv für ihre Teilnehmer. Zu diesen zählen nicht nur ein erweiterter Informationspool, sondern auch zahlreiche Angebote zu Schulungen, Veranstaltungen, Produkten und Dienstleistungen unserer Partner. Der ständig wachsende Informationspool der Allianz für Cyber-Sicherheit mit derzeit insgesamt über 200 angebotenen Dokumenten und Kurzmeldungen besteht unter anderem aus mehr als 90 Empfehlungen und Analysen zur Cybersicherheit. Diese decken bereits heute die wichtigsten Themenfelder der Cybersicherheit ab, von Empfehlungen zur sicheren Konfiguration verschiedener Betriebssysteme über Themen wie Netzwerk- und Anlagensicherheit im industriellen Um- 48 BSI Bonn <kes> 2013 # 6

7 feld bis hin zu Empfehlungen zum reaktiven Umgang mit Sicherheitsvorfällen, und werden ständig um aktuelle Themen erweitert. Daneben finden sich unter den angebotenen Dokumenten auch die Lageberichte, Warnmeldungen und andere Informationen des BSI zur aktuellen Cybersicherheitslage. Weitere Angebote im Informationspool reichen von Angeboten zu kostenlosen Schulungen und Seminarplätzen über Materialen zur Sensibilisierung von Management und Mitarbeitern bis zu bisher unveröffentlichten Studien der Partner aus Wirtschaft und Wissenschaft. Dabei ist es mithilfe der Partner gelungen, eine ausgewogene Mischung aus techniklastigen wie auch anwender- und managementorientierten Dokumenten zusammenzustellen. Es ist nicht immer einfach, für jeden Suchenden einen optimalen Zugang zur ständig größer werdenden Informationssammlung zu bieten, daher ist das Team der Allianz in ständigem Kontakt mit den Anwendern und hat auf Basis dieser Anregungen im September die Website umgestaltet. Sie bietet jetzt unter anderem mehr aktuelle Meldungen und Termine direkt auf der Einstiegsseite und auch einen RSS-Feed. Die vorhandenen Dokumente werden außerdem regelmäßig auf Aktualität gesichtet und überarbeitet, so ist von der Cyber-Empfehlung Sichere Nutzung von PCs unter Microsoft Windows 7 für kleine Unternehmen und Selbstständige vor Kurzem Version 1.4 erschienen. Cyber-Sicherheit etabliert. Diese werden flankiert durch den ebenfalls neu gegründeten Expertenkreis der Allianz für Cyber-Sicherheit und andere branchen- oder themenspezifische Arbeitsgruppen und verschiedene regionale wie auch überregionale Foren. In dieser kurzen Zeit konnten sich über diese, stets gut besuchten, Veranstaltungen und Kreise bereits mehrere hundert Experten, Anwender und anderweitig Interessierte zu wichtigen Fragestellungen der Cybersicherheit austauschen und gemeinsam Lösungsansätze entwickeln. Erfahrungskreise Eine besondere Rolle im Netzwerk der Allianz für Cyber-Sicherheit kommt den regionalen oder themenspezifischen Erfahrungskreisen zu, die anders als Expertenkreise oder Arbeitsgruppen prinzipiell allen Teilnehmern und Interessierten offenstehen. Derzeit ist die Allianz dabei, zwei weitere Erfahrungsaustausch-Kreise zu den Themen sichere Software-Entwicklung und Awareness / Sicherheitskultur zu gründen. Außerdem wirkt die Allianz auch an der Neugründung und Durchführung anderer Gruppen und Zirkeln mit Bezug zur Cybersicherheit mit. Wenn Sie selbst in einem Kreis mitwirken wollen oder Unterstützung der Allianz bei eigenen Aktivitäten suchen, wenden Sie sich bitte an info@cyber-allianz.de. Cyber-Basis-Check In Kooperation mit dem deutschen Berufsverband der IT-Revisoren, IT-Sicherheitsmanager und IT-Governance Beauftragten, ISACA Germany Chapter e. V., entwickelt die Allianz für Cyber-Sicherheit derzeit einen praxisnahen Handlungsleitfaden zur Beurteilung der Cybersicherheit in Unternehmen und Behörden, dem Cyber-Basis-Check. Der Leitfaden richtet sich an alle Verantwortlichen, die einen Cyber-Basis-Check veranlassen oder durchführen möchten. Dies können zum Beispiel externe Auditoren, die interne Revision, die Leitung einer Institution, IT-Sicherheitsbeauftragte oder sonstige Verantwortliche für die Informationssicherheit sein. Diesen gibt der Leitfaden konkrete Vorgaben für die Durchführung eines Cyber-Basis-Checks an die Hand. IT-Sicherheitsbeauftragte und sonstige Verantwortliche für die Informationssicherheit soll der Leitfaden insbesondere dabei unterstützen, sich einen Überblick über Informationsund Erfahrungsaustausch zur Cyber-Sicherheit Erfahrungsaustausch Der zweite Schwerpunkt der Allianz für Cyber-Sicherheit ist der direkte Erfahrungsaustausch zwischen den Teilnehmern: Neben einer Fachkonferenz zur Cybersicherheit wurden dazu bereits sechs Cybersicherheits- und Partnertage durchgeführt und als regelmäßige Leitveranstaltungen der Allianz für BSI Bonn <kes> 2013 # 6 49

8 Allianz für Cyber-Sicherheit das Thema Cyber-Basis-Check zu verschaffen, die zu beurteilenden Themenfelder zu betrachten und sich mit dem Ablauf eines Cyber-Basis- Checks vertraut zu machen. Wichtige Grundlagen für die Entwicklung des Leitfadens sind die beiden BSI- Empfehlungen zur Cybersicherheit Cybersicherheits-Exposition (BSI- CS 013) und Basismaßnahmen der Cybersicherheit (BSI-CS 006). Bei einem Cyber-Basis- Check werden verschiedene Beurteilungsthemen in einer Institution, das heißt für die Begutachtung relevante Aspekte und Fragestellungen der Cybersicherheit, gesichtet und bewertet; hierzu gehören Themen des Sicherheitsmanagements genauso wie technische Aspekte. Im Leitfaden werden diese Begutachtungsthemen verbindlich festgelegt, um eine gleichbleibend hohe Qualität der Cyber-Basis-Checks ebenso wie eine Vergleichbarkeit der Tätigkeit unterschiedlicher Beurteiler gewährleisten zu können. Die Auswahl dieser Themen basiert auf einer Gegenüberstellung der Prüffelder, die sich aus den bekannten Standards ISO 27001, PCI-DSS (Payment Card Industry Data Security Standard), COBIT (Control Objectives for Information and Related Technology) und IT-Grundschutz ergeben. Damit wird insbesondere international agierenden Institutionen ein besonders interessanter Mehrwert geboten. Ebenfalls in Kooperation mit dem ISACA Germany Chapter e. V. wird das BSI beginnend im ersten Quartal 2014 eine eintägige, kostenpflichtige Fortbildungsveranstaltung zur Vermittlung der Inhalte des Leitfadens anbieten. Natürlich wird es dafür CPE-Punkte (Continuing Professional Education) geben, die zum Erhalt der ISACA-Zertifizierungen notwendig sind. Optional besteht am Ende dieser Veranstaltung für interessierte Teilnehmer die Möglichkeit, durch erfolgreiches Ablegen einer schriftlichen Prüfung ein Zertifikat zu erwerben und somit auch entsprechende Kenntnisse auf dem Gebiet der Cybersicherheit nach außen zu dokumentieren. Weitere Aktivitäten Zukünftig wird es quartalsweise Teilnehmertage geben, die zu verschiedenen Schwerpunkten ausgerichtet werden. Der nächste Teilnehmer-Tag wird am 19. Februar 2014 in Augsburg zur Sicherheit industrieller Steuerungssysteme stattfinden. Mit den aktuell in Gründung befindlichen Erfahrungskreisen und anderen Veranstaltungen wird die Allianz somit auch 2014 auf mehr als 20 Veranstaltungen den Erfahrungsaustausch weiter vorantreiben. Großen Anklang haben auch die Workshops und Seminare gefunden, bei denen Partner Teilnehmern die Möglichkeit geben, sich kostenfrei über verschiedene Gebiete der Cybersicherheit weiterzubilden. Das Spektrum der Angebote reicht hier von einstündigen Webkursen über halbtägige Präsenzveranstaltungen bis hin zu fünftägigen Intensivseminaren und wird derzeit stetig weiter ausgebaut. Auch andere Elemente des Informationspools werden ständig weiterentwickelt und ausgebaut. Das Hauptaugenmerk liegt hierbei aktuell auf der Entwicklung eines stark erweiterten, dynamischen Lagebilds zur Cybersicherheit, welches 2014 das Informationsangebot ergänzen und damit im zweiten Jahr ihres Bestehens ein weiterer Grundpfeiler der Allianz werden soll. Weitere Informationen zu allen genannten Punkten finden sich unter Neuer BSI-Mindeststandard Das BSI hat einen Mindeststandard für den Einsatz einer Transportverschlüsselung mittels des TLS- Protokolls veröffentlicht. Dadurch wird in der Bundesverwaltung das Protokoll TLS 1.2 in Kombination mit Perfect Forward Secrecy (PFS) als Mindeststandard auf beiden Seiten der Kommunikationsbeziehung vorgegeben diese Maßnahme solle jedoch noch um eine dem Schutzbedarf entsprechende Konfiguration ergänzt werden. Das BSI betont, dass der Mindeststandard neben Einrichtungen der Bundesverwaltung auch Unternehmen, Webseitenbetreiber und andere Institutionen dabei unterstützen kann, das eigene IT- Sicherheitsniveau sowie das von Kunden und Partnern zu erhöhen. Generell sei der Standard zunächst als unverbindliche Handlungsempfehlung zu verstehen erst nach der Zustimmung des IT-Rats kann das Bundesministerium des Innern die dort formulierten Anforderungen ganz oder teilweise als allgemeine Verwaltungsvorschrift erlassen und dadurch als für die Bundesverwaltung verbindlich erklären. Das BSI empfiehlt Anwendern jedoch aufgrund der dynamischen IT-Bedrohungslage einen raschen kurz notiert und möglichst flächendeckenden Umstieg auf TLS 1.2 (s. a. S. 8). Da eine entsprechende Migration in der Regel kosten- und zeitintensiv sein dürfte, rät das Amt, bis zur Umstellung zusätzliche Schutzmaßnahmen umzusetzen so könne etwa TLS 1.0 in bestehenden Anwendungen übergangsweise weiter eingesetzt werden, sofern man geeignete Schutzmaßnahmen gegen bereits bekannte Angriffe gegen das SSL/TLS-Protokoll ergreife. 50 BSI Bonn <kes> 2013 # 6

9 Amtliche Mitteilungen BSI Forum kurz notiert BSI-Studie: Notfallmanagement mit der Cloud für KMU Zum Thema Notfallmanagement mit der Cloud für KMU hat das BSI eine Studie veröffentlicht. Diese beleuchtet das Potenzial von Cloudverfahren für die Absicherung eines Ausfalls IT-gestützter Geschaftsprozesse in kleinen und mittleren Unternehmen (KMU). Ziel der Studie ist es, praxisnahe Methoden zur Notfallprävention und -reaktion aufzuzeigen, die mithilfe moderner Virtualisierungs- und Cloud-Technologie umgesetzt werden können. Im Fokus steht dabei eine Betrachtung der auf dem Markt verfügbaren Cloud-Angebote für das Notfallmanagement von KMU sowie deren Einsatz in drei typischen Szenarien. Die Studie zeigt, dass der Einsatz von Cloud-Techniken das Notfallmanagement sowie verschiedene Kontinuitätsstrategien von Unternehmen verbessern können. Kleine und mittlere Unternehmen stehen in der Regel unter hohem Kostendruck und haben daher selten Ressourcen für ein umfassendes Notfallmanagement aus dem gleichen Grund setzen viele KMU bereits Virtualisierungstechniken ein. Die Studie verdeutlicht, dass die Unternehmen durch den Einsatz von Virtualisierungstechniken und Cloud-Diensten fast automatisch eine höhere Verfügbarkeit und Ausfallsicherheit der IT-gestützten Geschäftsprozesse erreichen. Bisherige Ansätze zur Absicherung eines Ausfalls der Geschäftsprozesse bedeuten zumeist, die entsprechende Hardware doppelt vorzuhalten oder nach einem Notfall gegebenenfalls neu zu beschaffen. Beides ist in der Regel mit nennenswerten finanziellem und zeitlichem Aufwand verbunden. Mit der Nutzung von Virtualisierungs- und Cloud-Verfahren lässt sich dieser Aufwand deutlich reduzieren. Die Studie zeigt, dass Cloud- Technologie gerade für KMU konkrete Anwendungsszenarien bietet, mit denen die Unternehmen ein Stück mehr Informationssicherheit schaffen können. Vertrauen in die Sicherheit der Cloud ist dabei eine wichtige Voraussetzung. Dieses Vertrauen zu schaffen, ist eine zentrale Aufgabe der Cloud-Dienstleister, wenn sie eine dauerhafte Akzeptanz von Cloud-Diensten erreichen wollen. Auch das BSI als nationale ITund Cyber-Sicherheitsbehörde trägt hier seinen Teil bei, indem wir uns bereits seit einigen Jahren intensiv der Frage nach der Sicherheit von Cloud-Angeboten und der Schaffung von entsprechenden Standards widmen, erklärt Michael Hange, Präsident des BSI. Mit der Durchführung der Studie hatte das BSI die HiSolutions AG beauftragt; die Ergebnisse sind auf der Webseite des BSI über CloudComputing/Studien/Studien_ node.html kostenlos zum Download verfügbar. BSI stellt Entwicklung des GSTOOL 5.0 ein Das BSI hat die weitere Entwicklung des GSTOOL in der Version 5.0 eingestellt. Mit dem Tool stellt das BSI seit 1998 eine Software bereit, die Anwender des IT-Grundschutzes bei Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten entsprechend der IT-Grundschutz-Methodik unterstützt. Die Software ist derzeit in der Version 4.8 verfügbar. Schon 2009 hatte das BSI eine Neuentwicklung der Software in der Version 5.0 angestrebt und beauftragt die entwickelte Software erfüllte jedoch nicht die Erwartungen des BSI. Nach intensiver Prüfung der Möglichkeiten zur Fertigstellung beziehungsweise Neubeauftragung des GSTOOL 5.0 hat das BSI nun entschieden, das Projekt aus Gründen mangelnder Wirtschaftlichkeit zu beenden und die weitere Entwicklung des GSTOOL 5.0 endgültig einzustellen. Diese Entscheidung wurde insbesondere vor dem Hintergrund getroffen, dass Produkte am Markt vorhanden sind, die bereits eine Vielzahl der Anforderungen des BSI an ein IT-Grundschutz-Tool erfüllen. Daher wird das BSI nun die am Markt verfügbaren Tools mit explizitem Bezug zur IT-Grundschutz-Methodik auf ihre funktionale Eignung prüfen und Aussagen zur Verwendbarkeit der einzelnen Lösungen treffen. Das GSTOOL in seiner aktuellen Version 4.8 wird von zahlreichen Nutzern in der Bundesverwaltung und darüber hinaus eingesetzt. Die Version 4.8 kann bis auf Weiteres auch weiterhin eingesetzt werden, um Sicherheitskonzepte entsprechend des IT-Grundschutzes zu erstellen. Support für dieses Tool wird weiterhin bereitgestellt, neue Funktionen werden jedoch nicht mehr integriert. BSI Bonn <kes> 2013 # 6 51

10 Amtliche Mitteilungen Amtliche Mitteilungen 1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden: Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum MaskTech MTCOS Pro 2.2 EAC with Smartcard mit EAL 4+ International GmbH PACE /(SLE78CLX) M7820 (BAC) Passanwendung (BAC) BSI-DSZ-CC MaskTech MTCOS Pro 2.2 EAC with Smartcard mit EAL 4+ International GmbH PACE / (SLE78CLX) M7820 Passanwendung (EAC) BSI-DSZ-CC intellic GmbH Digital Tachograph EFAS-4.2 Fahrtenschreiber BSI-DSZ-CC Version MA intellic GmbH Digital Tachograph EFAS-4.1 Fahrtenschreiber BSI-DSZ-CC Version MA intellic GmbH Digital Tachograph EFAS-4.0 Fahrtenschreiber BSI-DSZ-CC Version MA Infineon Infineon smartcard IC Smartcard Controller EAL 5+ Technologies AG (Security Controller) M7794 A12 BSI-DSZ-CC and G12 with optional RSA2048/ v EC v and Toolbox v Samsung Electronics Samsung S3CT9KA / S3CT9K7 / Smartcard Controller BSI-DSZ-CC S3CT9K3 16-bit RISC Microcontroller MA-01 for Smart Card, Revision 1 with optional Secure RSA/ECC Library Version 1.0 including specific IC Dedicated Software Infineon Infineon Security Controller M7892 B11 Smartcard Controller BSI-DSZ-CC Technologies AG with optional RSA2048/4096 v , MA-01 EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software (firmware) T-Systems TCOS Passport Version 2.1 Smartcard mit EAL 4+ International GmbH Release 1-BAC/ P60D144/FSV02 Passanwendung BSI-DSZ-CC BSI Bonn <kes> 2013 # 6

11 Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum T-Systems TCOS Passport Version 2.1 Smartcard mit EAL 4+ International GmbH Release 1/ P60D144/FSV02 Passanwendung BSI-DSZ-CC Infineon Infineon smartcard IC Smartcard Controller EAL 5+ Technologies AG (Security Controller) M7791 B12 with BSI-DSZ-CC optional SCL library version and with specific IC-dedicated firmware NXP Semiconductors NXP J3D081_M59_DF and Smartcard Controller EAL 5+ Germany GmbH J3D081_M61_DF Secure Smart Card BSI-DSZ-CC Controller Revision 2 of JCOP V2.4.2 R NXP Semiconductors NXP J3D081_M59, J2D081_M59, Smartcard Controller EAL 5+ Germany GmbH J3D081_M61, J2D081_M61 Secure BSI-DSZ-CC Smart Card Controller of JCOP V2.4.2 R2 NXP Semiconductors NXP J3D145_M59, J2D145_M59, Smartcard Controller EAL 5+ Germany GmbH J3D120_M60, J3D082_M60, BSI-DSZ-CC J2D120_M60, J2D082_M Secure Smart Card Controller of JCOP V2.4.2 R2 Anmerkung: Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite einzusehen. 2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden: Antragsteller Produktname Produkttyp Zertifizierungs-ID EMH metering Communication Access Security Smart Meter Gateway BSI-DSZ-CC-0919 GmbH & Co.KG Administrator CASA Theben AG Smart Meter Gateway, CONEXA 3.0 Smart Meter Gateway BSI-DSZ-CC-0918 Anmerkungen: Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen. Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produktes wegen Änderungen am Produkt oder Wechsel der Prüfkriterien. BSI Bonn <kes> 2013 # 6 53

12 Amtliche Mitteilungen 3. Vom BSI zertifizierte und registrierte Schutzprofile Entwickler Profilbezeichnung ID Zertifizierungsdatum Bundesamt für Card Operating System Generation 2 (PP COS G2), BSI-CC-PP Sicherheit in der Version Informationstechnik 4. Vom BSI erteilte ISO Zertifikate auf der Basis von IT-Grundschutz Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ CASHPOINT Der Untersuchungsgegenstand ist der Informationsverbund (Malta) Ltd. der Cashpoint (Malta) Ltd. mit dem Rechenzentrum DE1 in Frankfurt am Main sowie einem Standort in Wien für die Administration des Frankfurter Standorts. Der IT-Verbund umfasst den Betrieb der Serversysteme und Netzwerkkomponenten des kompletten Rechenzentrums sowie deren verbundenen Prozesse. Die dort vorhandene Serverumgebung stellt alle notwendigen Backend-Anwendungen, sowie die für Kunden zur Verfügung gestellten Services zum Betrieb von Sportwetten bereit. Diese webbasierten Dienste, dienen zur Anzeige und Abgabe von Sportwetten. Im Backend kommen selbstentwickelte Anwendungen für die Administration der Sportwetten zum Einsatz. BSI-IGZ NÜRNBERGER Der Untersuchungsgegenstand umfasst den Betrieb der IT mit Lebensver- den dazu benötigten zentralen Infrastrukturen und IT-Systemen sicherung AG der NÜRNBERGER Lebensversicherung AG am Standort Nürnberg. Dazu zählen auch die zentralen IT-Dienstleistungen durch den Bereich Informatik-Betrieb mit cirka 100 Mitarbeitern für die etwa Benutzer aus den verschiedenen Konzerngesellschaften der NÜRNBERGER Versicherungsgruppe. Aus Netzwerksicht umfasst dies das System-Management und -Monitoring von eigenen Backbones, Router- und Firewallstrukturen bis hin zum Application Hosting auf ca. 600 Servern in zwei hochverfügbaren Rechenzentren am Standort Nürnberg mittels eines administrativen Netzwerkes und der TK-Anlage. BSI-IGZ Bayerisches Die elektronische Steuererklärung ELSTER ist ein Projekt der Landesamt deutschen Steuerverwaltungen aller Länder und des Bundes für Steuern zur Abwicklung der Steuererklärungen und Steueranmeldungen über das Internet. Der Untersuchungsgegenstand umfasst die ELSTER IT-Infrastruktur der Clearingstelle München beim Bayerischen Landesamt für Steuern mit ihren Rechenzentrumssystemen und Netzzugängen sowie den darauf betriebenen ELSTER Basisdiensten und Anwendungen. 54 BSI Bonn <kes> 2013 # 6

13 Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ IBYKUS AG für Der Informationsverbund umfasst das IBYKUS Rechenzentrum Informations- am Standort Leipzig und das Support-Zentrum in Chemnitz. technologie Die IBYKUS AG erbringt an diesen Standorten für klein- und mittelständische Kunden das Hosting einzelner Teile der IT, bis hin zur Übernahme der gesamten IT-Infrastruktur einschließlich der erforderlichen Anwendungen. Der Untersuchungsgegenstand umfasst die hierzu erforderlichen Applikationen, die IT-Plattformen und deren Betrieb, die interne Netzwerkinfrastruktur bestehend aus aktiven Netzwerkkomponenten und Firewalls so wie der zum Betrieb erforderlichen Management-, Monitoring- und Ticketsysteme. BSI-IGZ Informations- Der Untersuchungsgegenstand umfasst den Betrieb des Berliner Verarbeitungs- Rechenzentrums vom lvz, einer Gemeinschaftseinrichtung Zentrum (IVZ) von DW, Deutschland Radio, MDR, NDR, RB, rbb, SR und WDR. Dieser Informationsverbund befindet sich ausschließlich am Standort Berlin und ist auf zwei Gebäude verteilt. Nicht im betrachteten IT-Verbund enthalten, und damit von der etrachtung ausgeklammert, sind die Anwendungen, die auf den durch das IVZ gehosteten Servern durch die Kunden betrieben werden, soweit diese nicht durch das IVZ administriert werden. Ebenfalls nicht Bestandteil des IT-Verbundes sind die durch das IVZ administrierten SAP-Clients am Standort Berlin sowie der Mainframe. BSI-IGZ ]init[ AG Die ]init[ AG positioniert sich als Application Service und für digitale Hosting-Provider für Bundesbehörden sowie regional und Kommunikation international agierende Kunden im Bereich egovernment. Der Untersuchungsgegenstand der ]init[ AG am Standort Berlin umfasst den Betrieb aller für eine Internet-Basis-Plattform erforderlichen operativen Komponenten der Netzwerkplattform sowie der Netzwerkdienste für den sicheren Betrieb von Kundenservern im Berliner Rechenzentrum der ]init[ AG. 5. Vom BSI anerkannte oder zertifizierte Stellen Firma Anerkennungs-/Zertifizierungsbereich Datum/Laufzeit datenschutz cert GmbH IT-Sicherheitsdienstleister IS-Revision und IS-Beratung bis IABG Industrieanlagen- BSI-TR (TR-SatDSiG) Conformity assessment bis Betriebsgesellschaft mbh according to the satellite data security act TÜV Informationstechnik IT-Sicherheitsdienstleister IS-Revision und IS-Beratung bis GmbH, Member of TÜV NORD GROUP T-Systems International IT-Sicherheitsdienstleister IS-Revision und IS-Beratung bis GmbH secuvera GmbH (vormals: IT-Sicherheitsdienstleister, Penetrationstests bis Tele-Consulting) TÜV Informationstechnik IT-Sicherheitsdienstleister, Penetrationstests bis GmbH, Member of TÜV NORD GROUP BSI Bonn <kes> 2013 # 6 55