Sicherheitskonzept. für den Betrieb eines Kommunalen Behördennetzes (KomBN) im Landkreis Weilheim - Schongau

Transkript

1 Sicherheitskonzept für den Betrieb eines Kommunalen Behördennetzes (KomBN) im Landkreis Weilheim - Schongau Gültig ab dem aktualisiert im Dezember 2007 aktualisiert im Juli 2009 aktualisiert im Februar 2014 Seite 1 von 12

2 Inhaltsverzeichnis Vorwort 3 I. Betreiber des Kommunalen Behördennetz Ansprechpartner 3 II. IT-Sicherheit im Kommunalen Behördennetz 4 1. Allgemeines 4 2. Aufgaben des Landkreises 4 3. IT-Sicherheitsbeauftragter 4 4. Aufgaben /Verpflichtungen der Kommunen/Verwaltungsgemeinschaften 4 5. Rechte des IT-Sicherheitsbeauftragten 5 III. Technische Anschlussmöglichkeiten 1. Allgemeines 2. Standleitungen 3. DSL-VPN- Verbindungen über das Internet IV. Kommunales Behördennetz im Landratsamt Infrastruktur und Dienste 1. Einwahlgeräte 2. Zugelassene Dienste 3. Web-Inhalte 4. -Nutzung 5. Firewall. Hinweise zur privaten Nutzung Internet und V. Kommunales Behördennetz in der Kommune 1. Unterbringung der Einwahlgeräte 2. Zugang zu Internetdiensten über das Kommunale Behördennetz VI. Neuanbindung von Kommunalen Einrichtungen 1. Allgemeines 2. Heimarbeitsplätze 3. Fernwartungszugänge VII. Anschluss an das Kommunale Behördennetz 1. Antragstellung 2. Verpflichtungserklärung VIII. Inkrafttreten 9 Anlage 1 Antrag auf 10 Neuanschluss an das Kommunale Behördennetz Änderungen Anlage 2 Verpflichtungserklärung zum Sicherheitskonzept und den Sicher- 12 heitsbestimmungen des BYBN Seite 2 von 12

3 Vorwort Der Landkreis Weilheim-Schongau betreibt gemeinsam mit den Kommunen im Landkreis ein Kommunales Behördennetz (KomBN), und zwar einen Zugang ins Internet und in das Bayerische Behördennetz (BYBN). Die Verantwortung für die Sicherheit im KomBN mit seinen Zugängen zum Internet und zum BYBN liegt beim Landkreis Weilheim-Schongau als Betreiber sowie bei den jeweils angeschlossenen Kommunen als Benutzer des KomBN. Die Erstellung dieses Sicherheitskonzeptes sowie der Aufbau einer eigenen Sicherheitsstruktur bzw. -organisation ist unumgänglich notwendig, um die Sicherheit des KomBN bzw. des BYBN im Interesse aller Beteiligter zu gewährleisten. Um dies zu erreichen, muss dieses Konzept von allen Nutzern des KomBN schriftlich anerkannt und umgesetzt werden. I. Betreiber Der Landkreis Weilheim-Schongau und die Kommunen im Landkreis haben zwecks Einrichtung und Betrieb eines Kommunalen Behördennetzes (KomBN) eine Zweckvereinbarung geschlossen. Der Landkreis hat sich dazu bereit erklärt, die zentralen Komponenten für das KomBN als gemeinsame, verwaltungsinterne Informations- und Arbeitsplattform im Landratsamt einzurichten und zu betreiben. Im Landratsamt ist eine Geschäftsstelle eingerichtet, deren Aufgabe die Einrichtung, die laufende Betriebsführung, der Unterhalt, die Aktualisierung sowie der Ausbau des KomBN ist. Verantwortliche Ansprechpartner für den Betrieb des KomBN sind: Stephan Grosser, SG 10 / IT - Geschäftsführung, Strategie Tel.: 0881/ Fax: 0881/ s.grosser@lra-wm.bayern.de Jürgen Marggraff, SG 10 / IT - Organisation, operatives Geschäft Tel.: 0881/ Fax: 0881/ j.marggraff@lra-wm.bayern.de Seite 3 von 12

4 II. IT-Sicherheit im Kommunalen Behördennetz 1. Allgemeines Als Grundlage für alle sicherheitsrelevanten Entscheidungen im Bereich des KomBN dient dieses Sicherheitskonzept. 2. Aufgaben des Landkreises Der Landkreis Weilheim-Schongau gewährleistet im Rahmen des Betriebes des KomBN das Maß an Sicherheit, wie es nach dem jeweiligen Stand der Technik erforderlich ist. 3. IT-Sicherheitsbeauftragter Als IT-Sicherheitsbeauftragter und damit verantwortlich für die Erstellung, Fortschreibung, Umsetzung und Einhaltung dieses Sicherheitskonzeptes ist bestellt: Stephan Grosser, IT-Leiter, SG 10 / IT Tel / Fax: 0881/ s.grosser@lra-wm.bayern.de Der IT-Sicherheitsbeauftragte ist Ansprechpartner für alle sicherheitsrelevanten Fragen im Bereich des KomBN für das Landratsamt und die angeschlossenen Kommunen. Er wirkt maßgeblich bei der Erstellung des Sicherheitskonzeptes mit. Er ist zuständig für den Aufbau einer geeigneten Sicherheitsorganisation. Er trifft die zur Umsetzung der IT- Sicherheit erforderlichen Maßnahmen. 4. Aufgaben bzw. Verpflichtungen der Kommunen / Verwaltungsgemeinschaften Die Kommunen/ Verwaltungsgemeinschaften verpflichten sich schriftlich zur Einhaltung dieses Sicherheitskonzeptes (Anlage 3). Sie bestellen jeweils eine/n für Sicherheitsfragen im Netzwerk zuständige/n Mitarbeiter/in und eine/n Stellvertreter/in für ihre Kommune/Verwaltungsgemeinschaft. Diese erhalten dieses Sicherheitskonzept zur Kenntnis, zur Beachtung und zur Einhaltung. Die/der zuständige Mitarbeiter/in arbeitet mit den zuständigen Ansprechpartnern im Landratsamt zusammen. Insbesondere Auffälligkeiten, die auf Sicherheitsprobleme hinweisen, sind dem IT-Sicherheitsbeauftragten unverzüglich zu melden. Seite 4 von 12

5 Die Mitarbeiter der Kommune / Verwaltungsgemeinschaften sind verpflichtet, den IT-Sicherheitsbeauftragten bzw. beauftragte Mitarbeiter bei der Lösung von Problemen aktiv zu unterstützen. Sie sind bei der Umsetzung dieses Sicherheitskonzeptes an die Weisungen des IT-Sicherheitsbeauftragten bzw. der beauftragten Mitarbeiter gebunden. 5. Rechte des IT-Sicherheitsbeauftragten Die Einhaltung der Sicherheitsbestimmungen kann durch den IT- Sicherheitsbeauftragten oder von ihm bestellte Mitarbeiter des Landratsamtes jederzeit vor Ort überprüft werden. Bei Verstößen gegen dieses Sicherheitskonzept hat der IT- Sicherheitsbeauftragte bzw. der von ihm beauftragte Mitarbeiter die im Einzelfall erforderlichen und geeigneten Maßnahmen zu veranlassen. Dies kann im Einzelfall zum Schutz aller am KomBN angeschlossenen Nutzer auch die Sperrung des Zuganges zur Folge haben. Die Geltendmachung von etwaigen Schadenersatzansprüchen bleibt vorbehalten. III. Technische Anschlussmöglichkeiten 1. Allgemeines Der Zugang zum KomBN erfolgt derzeit über DSL-VPN Verbindungen über das Internet sowie über Direktanschluss per Standleitung. Der Einsatz alternativer Anbindungstechniken sowie die Verwendung neuer Technologien werden vom Betreiber geprüft und nach Abstimmung mit den Anforderungen an die Technik und Sicherheit zugelassen. 2. Standleitungen: Sicherheitsmaßnahmen bzgl. Errichtung, Betrieb und Unterhalt der Standleitungen orientieren sich am jeweilig aktuellen Stand der Technik. 3. DSL-VPN- Verbindung über das Internet DSL-VPN-Verbindungen über das Internet sind nur über ein geschütztes Verfahren möglich. Die dadurch entstehenden Sicherheitsrisiken sind durch nachfolgende Maßnahmen auszugleichen: Es sind ausschließlich Site to Site VPN`s mit integrierter Firewall zulässig. Seite 5 von 12

6 Es ist die Verschlüsselung mit IPSEC und mit mindestens 3DES erforderlich. Das eingesetzte VPN-Gateway mit Firewall muss nach BSI, ITSEC oder CC zertifiziert sein. VPN-Gateways mit ICSA-Zertifizierung werden nur nach eingehender Prüfung durch das Landratsamt zugelassen. IV. KomBN im Landratsamt Infrastruktur und Dienste 1. Einwahlgeräte Der Landkreis Weilheim Schongau betreibt für den Zugang zum Internet und zum BYBN eine Application-Level-Firewall und eine entsprechende Virenschutzsoftware an den Übergängen. Für die Anbindung der Kommunen per DSL-VPN Verbindungen ist ein VPN-Gateway eingerichtet. 2. Zugelassene Dienste Notwendige Dienste zum Internet, zum BYBN und innerhalb des KomBN werden nach dem Minimalprinzip frei geschaltet. Auf die Sicherheitsrichtlinie des BYBN wird verwiesen. Weitere benötigte Dienste werden nach Prüfung frei geschaltet. 3. Web-Inhalte Web-Inhalte der KomBN-Mitglieder werden grundsätzlich nur beim jeweiligen Provider der Kommune bzw. im BYBN gehostet Nutzung Eingehende s für die Kommunen werden im Landratsamt gehostet bzw. über ein Mail-Relay im Landratsamt den Kommunen zugeleitet. Die s werden nach Abruf bzw. erfolgreichem Versand gelöscht. 5. Firewall Auf der Firewall im Landratsamt wird der eingehende und der ausgehende Internetverkehr protokolliert (Landratsamt und Kommunen). Die Protokolldateien werden aus Sicherheitsgründen stichprobenartig ausgewertet. Die Durchführung eines Penetrationstests bleibt vorbehalten.. Hinweise zur Privaten Nutzung Internet und Im Landratsamt Weilheim-Schongau ist die private Nutzung von Internet - und -Diensten per Dienstanweisung untersagt. Seite von 12

7 Wir empfehlen auch den Kommunen eine private Nutzung sämtlicher Internet und -Dienste in ihrem Rathaus explizit zu untersagen. Wird die private Nutzung nicht untersagt, so müssen hinsichtlich der Protokollierung in der Kommune die Vorschriften des Teledienstedatenschutzgesetzes (TDDSG) bezüglich der Verarbeitung personenbezogener Daten und das Fernmeldegeheimnis nach 85 Telekommunikationsgesetz (TKG) beachtet werden. Das Landratsamt ist nicht in der Lage bei der Auswertung der Protokolldateien auf der Firewall eine solche Unterscheidung (dienstlich oder privat) zu treffen. Auf die Musterdienstanweisung des Bayerischen Städtetages wird verwiesen ( Auf folgenden Sachverhalt weist der Landesbeauftragte für den Datenschutz besonders hin: Soweit eine Gemeinde die private Nutzung der Internet-Dienste einschließlich des -Verkehrs duldet, bietet sie Telekommunikationsdienste im Sinne des 3 TKG an. In diesem Fall erbringt die Gemeinde ein "auf Dauer angelegtes Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte", nämlich ihren Bediensteten. Damit gelten aber für die Arbeitnehmer die gleichen Regeln hinsichtlich des Datenschutzes wie für jeden Kunden eines Internetproviders. Insbesondere gilt der Schutz des 85 TKG für sämtliche Nutzerdaten, da - ohne eine zweite Benutzerkennung für die private Nutzung - zwischen einer privaten und dienstlichen Nutzung kaum unterschieden werden kann. Daraus folgt, dass der Dienstherr grundsätzlich überhaupt keine lesen und Verbindungsdaten speichern darf. Anderseits ist eine Protokollierung zumindest bestimmter Nutzerdaten zur Überprüfung der Gewährleistung des Datenschutzes und der Datensicherheit erforderlich. Zur Lösung dieses Problems muss sich - neben der Regelung in einer Dienstvereinbarung mit dem Personalrat - jeder betroffene Beschäftige schriftlich damit einverstanden erklären, dass auch seine private Internetnutzung der Protokollierung unterliegt. Verweigert ein Bediensteter seine Zustimmung, so muss ihm die private Nutzung verboten werden. Seite 7 von 12

8 V. Kommunales Behördennetz in der Kommune 1. Unterbringung der Einwahlgeräte Generell sind sämtliche Einwahlgeräte (Router, Gateway) in einem zugangssicheren, nur dem IT-Bedienungspersonal zugänglichen Raum unterzubringen. Das unbefugte Entfernen eines Gerätes ist umgehend dem Landratsamt Weilheim-Schongau zu melden. 2. Zugang zu Internetdiensten über das KomBN Kommunen können unter Einhaltung der o. g. Sicherheitsanforderungen Verbindungen zu Internetdiensten über ein VPN-Gateway oder über eine Standleitung herstellen. Folgende Hinweise und Vorgaben sind dabei von der Kommune zu beachten: Ein umfassender Virenschutz mit regelmäßiger Aktualisierung ist durch die Kommune auf ihren Servern und PC-Arbeitsplätzen einzurichten. Das Sperren von einzelnen Web-Seiten muss durch die Kommune selbst organisiert bzw. beauftragt werden. Neben dem VPN-Gateway ist keine eigene Firewall erforderlich. VI. Neuanbindung von Kommunalen Einrichtungen 1. Allgemeines Jede Kommune und jede Verwaltungsgemeinschaft kann grundsätzlich ihre Einrichtungen bzw. Mitgliedsgemeinden selbständig anbinden. Es sind dabei folgende Hinweise und Vorgaben zu beachten: Jede Anbindung ist dem Landratsamt vorab zur Prüfung vorzulegen und kann nur nach Genehmigung erfolgen (Anlage 1). Angeschlossene Einrichtungen bzw. Mitgliedsgemeinden dürfen außer dem Zugang zur Kommune / Verwaltungsgemeinschaft keine weiteren Zugänge nach außen haben, auch keine ungenehmigten Fernwartungszugänge. 2. Heimarbeitsplätze Die Anbindung von Heimarbeitsplätzen wird nach Antragstellung durch das Landratsamt genehmigt (Anlage 1). Seite 8 von 12

9 3. Fernwartungszugänge Bisherige Fernwartungszugänge, die in den Kommunen bei Bedarf (ondemand) aktiviert werden, sind nach wie vor zulässig. Sie sind dem Landratsamt schriftlich anzuzeigen. Neue Fernwartungszugänge sind mit einem Formblatt (Anlage 1) zu beantragen. VII: Anschluss an das KomBN (Verfahrensbestimmungen) 1. Antragstellung Der Zugang zum KomBN ist bei der Geschäftsstelle im Landratsamt Weilheim Schongau schriftlich zu beantragen. Der Antrag muss enthalten: das ausgefüllte und unterzeichnete Antragsformular (Anlage 1) einen aktuellen Netzplan, der den Bestand der Infrastruktur vor Ort dokumentiert. Ggf. wird vor Anschluss an das KomBN vor Ort eine Bestandsaufnahme der IT-Infrastruktur, insbesondere der Netzanschlüsse, durchgeführt. 2. Verpflichtungserklärung Bei Erfüllung aller Anforderungen, insbesondere der sicherheitsrelevanten Bedingungen, wird zwischen der Kommune und dem Landkreis Weilheim Schongau eine schriftliche Vereinbarung getroffen, die ausdrücklich auch die Anerkennung dieses Sicherheitskonzeptes beinhaltet. Der Arbeitskreis wird entsprechend in Kenntnis gesetzt. VIII: Inkrafttreten Dieses Sicherheitskonzept tritt zum in Kraft. Weilheim, den Landrat Seite 9 von 12

10 Anlage 1 Antrag auf Neuanschluss an das KomBN Antrag auf Änderung An das Landratsamt Weilheim Schongau Geschäftsstelle KomBN Pütrichstr Weilheim i. OB Antragsteller: Name der Kommune PLZ, Ort, Straße Tel./ FAX Bürgermeister: Name, Vorname Tel./ FAX zuständiger Mitarbeiter: Name, Vorname Tel. / FAX Seite 10 von 12

11 Beantragte Anschlussart: DSL-VPN Standleitung Geschwindigkeit: geplante Änderung: Ort, Datum Unterschrift Bürgermeister Seite 11 von 12

12 Anlage 2 Verpflichtungserklärung zur Einhaltung des Sicherheitskonzeptes für den Betrieb des KomBN im Landkreis Weilheim - Schongau An das Landratsamt Weilheim Schongau Geschäftsstelle KomBN Pütrichstr Weilheim i. OB Die Stadt / Markt / Gemeinde verpflichtet sich das Sicherheitskonzept für den Betrieb des KomBN im Landkreis Weilheim Schongau ( Stand 2009) einzuhalten Name der Kommune: Unterschrift 1. Bürgermeister/in: Ort / Datum: Zuständig für Sicherheitsfragen im Netzwerkbereich für die Gemeinde ist: Name: Tel.: Fax: .: Seite 12 von 12