Die Mitwirkung der kommunalen Ebene bei der Modernisierung des IT-Grundschutzes

Transkript

1 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Deutscher Landkreistag UlrichvonHassellHaus Lennéstraße Berlin Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

2 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes 1. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kommunen 2. Die Leitlinie des ITPlanungsrates für Informationssicherheit in der öffentlichen Verwaltung 3. Organisationshoheit der Kommunen / Kommunale Selbstverwaltung a) Aufgaben und Funktion der kommunalen Spitzenverbände b) Kommunale Besonderheiten 4. Mitwirkung der Kommunen bei der Modernisierung des ITGrundschutzes a) Kommunale AG Modernisierung des ITGrundschutzes b) LänderCERT und VerwaltungsCERTVerbund (VCV) c) Kommunen und LandesCERT d) Lösungsansatz für aktuelle Lagebilderfassung Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA) Softwaretool ISiMap mit wesentlichen Nebenwirkungen 5. Wie geht s weiter? Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

3 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

4 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

5 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes 1. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kommunen 2. Die Leitlinie des ITPlanungsrates für Informationssicherheit in der öffentlichen Verwaltung 3. Organisationshoheit der Kommunen / Kommunale Selbstverwaltung a) Aufgaben und Funktion der kommunalen Spitzenverbände b) Kommunale Besonderheiten 4. Mitwirkung der Kommunen bei der Modernisierung des ITGrundschutzes a) Kommunale AG Modernisierung des ITGrundschutzes b) LänderCERT und VerwaltungsCERTVerbund (VCV) c) Kommunen und LandesCERT d) Lösungsansatz für aktuelle Lagebilderfassung Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA) Softwaretools ISIMap mit wesentlichen Nebenwirkungen 5. Wie geht s weiter? Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

6 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

7 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

8 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

9 Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

10 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung

11 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung

12 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes 1. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kommunen 2. Die Leitlinie des ITPlanungsrates für Informationssicherheit in der öffentlichen Verwaltung 3. Organisationshoheit der Kommunen / Kommunale Selbstverwaltung a) Aufgaben und Funktion der kommunalen Spitzenverbände b) Kommunale Besonderheiten 4. Mitwirkung der Kommunen bei der Modernisierung des ITGrundschutzes a) Kommunale AG Modernisierung des ITGrundschutzes b) LänderCERT und VerwaltungsCERTVerbund (VCV) c) Kommunen und LandesCERT d) Lösungsansatz für aktuelle Lagebilderfassung Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA) Softwaretool ISiMap mit wesentlichen Nebenwirkungen 5. Wie geht s weiter?

13 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Organisationshoheit der Kommunen / Kommunale Selbstverwaltung Grundgesetz für die Bundesrepublik Deutschland Art 28 (1) Die verfassungsmäßige Ordnung in den Ländern muß den Grundsätzen des republikanischen, demokratischen und sozialen Rechtsstaates im Sinne dieses Grundgesetzes entsprechen. In den Ländern, Kreisen und Gemeinden muß das Volk eine Vertretung haben, die aus allgemeinen, unmittelbaren, freien, gleichen und geheimen Wahlen hervorgegangen ist. [ ] (2) Den Gemeinden muß das Recht gewährleistet sein, alle Angelegenheiten der örtlichen Gemeinschaft im Rahmen der Gesetze in eigener Verantwortung zu regeln. Auch die Gemeindeverbände haben im Rahmen ihres gesetzlichen Aufgabenbereiches nach Maßgabe der Gesetze das Recht der Selbstverwaltung. [ ]

14 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Kommunale Spitzenverbände Die kommunalen Spitzenverbände vertreten die Interessen der Landkreise, Städte und Gemeinden gegenüber anderen politischen Akteuren und üben auf Landesregierungen und Bundesregierung einen maßgeblichen Einfluss aus. Die Verbände auf Bundesebene sind der Deutsche Städtetag (DST), der mehr als Kommunen vertritt, der Deutsche Städte und Gemeindebund (DStGB), durch den mit 16 Landesverbänden ca kleine und mittlere Kommunen vertreten werden, und der Deutsche Landkreistag (DLT), der mit 295 Landkreisen in 13 Landesverbänden rund 74 % der Aufgabenträger sowie ca. 68 % der Bevölkerung und 96 % der Fläche der Bundesrepublik Deutschland repräsentiert. Quelle: Wikipedia (

15 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Kommunale Spitzenverbände Die meisten Gesetze des Bundes werden durch die Kommunalverwaltungen vollzogen. Die Kommunalen Spitzenverbände werden daher an Gesetzesvorhaben, die kommunale Anliegen berühren, vom Deutschen Bundestag und von den Bundesministerien beteiligt. Zudem wirken sie in einer Vielzahl von Gremien und Einrichtungen des Bundes und der Länder beschließend oder beratend mit (z. B. ITPlanungsrat). Die gemeinsame Interessenvertretung erfolgt über die Bundesvereinigung der kommunalen Spitzenverbände (BV).

16 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Kommunale Spitzenverbände Quelle (Basis): Wikipedia

17 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Kommunale Spitzenverbände Quelle (Basis): Wikipedia

18 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Kommunale Besonderheiten: heterogene Strukturen und unterschiedliche Rahmenbedingungen Verteilung in der Fläche (verstärkte Auswirkungen des demografischen Wandels) direkte Bürgerkontakte große Aufgabenvielfalt hohe Fallzahlen Insbesondere in kleineren Verwaltungen fehlen die (finanziellen und personellen) Ressourcen für eine systematische Entwicklung der IT Sicherheit Mangel an Unterstützung, Information und Erfahrungsaustausch Unzureichendes Gefahrenbewusstsein auf allen Ebenen

19 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes 1. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kommunen 2. Die Leitlinie des ITPlanungsrates für Informationssicherheit in der öffentlichen Verwaltung 3. Organisationshoheit der Kommunen / Kommunale Selbstverwaltung a) Aufgaben und Funktion der kommunalen Spitzenverbände b) Kommunale Besonderheiten 4. Mitwirkung der Kommunen bei der Modernisierung des ITGrundschutzes a) Kommunale AG Modernisierung des ITGrundschutzes b) LänderCERT und VerwaltungsCERTVerbund (VCV) c) Kommunen und LandesCERT d) Lösungsansatz für aktuelle Lagebilderfassung Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA) Softwaretool ISiMap mit wesentlichen Nebenwirkungen 5. Wie geht s weiter?

20 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Gespräch vom über die Mitwirkung der Kommunen bei der Modernisierung des IT Grundschutzes Am fand auf Einladung des Deutschen Landkreistages in dessen Hauptgeschäftsstelle ein Gespräch der Kommunalen Spitzenverbände (DST, DLT und DStGB) mit Vertretern des Bundesministeriums des Innern (BMI) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Vertretern des Geschäftsstelle des IT Planungsrates und der Arbeitsgruppe Informationssicherheit (AG InfoSic) über die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes statt. In dem Gespräch erfolgte ein intensiver Austausch über die spezifischen Rahmenbedingungen in Kommunalverwaltungen, insbesondere im Bereich der ITSicherheit. Zur Realisierung der erforderlichen Maßnahmen wurde die Kommunale AG Modernisierung des ITGrundschutzes gebildet.

21 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ a) Kommunale AG Modernisierung des ITGrundschutzes 1. Schwerpunkt: Erarbeitung kommunaler GrundschutzProfile in Zusammenarbeit mit dem BSI Die Arbeitsergebnisse sollen den Kommunalverwaltungen mit dem modernisierten ITGrundschutz zur Verfügung gestellt und unabhängig von zusätzlichen Anforderungen durch Ebenen übergreifende Verfahren zur Anwendung empfohlen werden. So sollen flächendeckend die vom BSI aus dessen fachlicher Zuständigkeit entwickelten Vorgaben zur Gewährleistung von ITSicherheit unter Wahrung der Organisationshoheit der Kommunen adäquat umgesetzt werden, um durch eine hohe Akzeptanz der IT Sicherheitsanforderungen und deren effektive Realisierung in Städten, Landkreisen und Gemeinden ein angemessenes MindestSicherheitsniveau zu erreichen.

22 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ a) Kommunale AG Modernisierung des ITGrundschutzes 2. Schwerpunkt: Unterstützung des BSI bei der Erstellung eines aktuellen und aussagefähigen Lagebildes mit Informationen aus Kommunalverwaltungen. Neben fehlenden Informationskanälen bzw. Meldewegen wird die Lösung dieser Aufgabe auch dadurch erschwert, dass Betreiber von ITSystemen im Zusammenhang mit derartigen Informationen (insbesondere über erfolgreiche Angriffe) um Diskretion bemüht sind und keine diesbezügliche Meldepflicht besteht bzw. zu erwarten ist. Eine aussagefähige und aktuelle Bedrohungsanalyse kommunaler IT Systeme ist derzeit nicht möglich. Sie ist eine wichtige Voraussetzung für die Verbesserung der ITSicherheit der gesamten Verwaltung. Die AG arbeitet an einer geeigneten Methode, in einem anonymisierten Verfahren die erforderlichen Informationen für eine aktuelle Bedrohungsanalyse des BSI zu erheben und diesen Prozess zu verstetigen. Dies soll unter Einbeziehung bestehender bzw. bereits im Aufbau befindlicher Strukturen der Länder CERT und des VerwaltungsCERTVerbundes (VCV) erfolgen.

23 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ a) Kommunale AG Modernisierung des ITGrundschutzes 2. Schwerpunkt: Unterstützung des BSI bei der Erstellung eines aktuellen und aussagefähigen Lagebildes mit Informationen aus Kommunalverwaltungen. Auf Grund der Bedeutung eines aktuellen aussagefähigen Lagebildes hat der ITPlanungsrat im Beschluss 2016/01 vom 16. März 2016 Melde und Informationspflichten über Cyberangriffe seine ständige Arbeitsgruppe Informationssicherheit (AG InfoSic) gebeten, ein Konzept für das verbindliche und praktikable Verfahren zum Austausch von informationssicherheitsrelevanten und informationssicherheitslagerelevanten Informationen zwischen Bund (BSI) und Ländern über IT Sicherheitsvorfälle vorzulegen. Diese Aufgabenstellung bezieht sich nicht auf die Kommunalebene, doch möglicherweise kann die Lösung dieser Aufgabe durch den Aufbau eines aktuellen Informationssystems der Kommunalverwaltungen unterstützt werden, da dieses auch auf die Zusammenarbeit der LänderCERT mit den Kommunalverwaltungen und mit dem VerwaltungsCERTVerbund (VCV) übertragbar sein könnte.

24 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) CERT = Computer Emergency Response Team Ein Computer Emergency Response Team (CERT), deutsch ComputersicherheitsEreignis und Reaktionsteam, [...] ist eine Gruppe von EDV Sicherheitsfachleuten, die bei der Lösung von konkreten IT Sicherheitsvorfällen (z. B. Bekanntwerden neuer Sicherheitslücken in bestimmten Anwendungen oder Betriebssystemen, neuartige Virenverbreitung, bei Spam versendenden PCs oder gezielten Angriffen) als Koordinator mitwirkt bzw. sich ganz allgemein mit Computersicherheit befasst (manchmal auch branchenspezifisch), Warnungen vor Sicherheitslücken herausgibt und Lösungsansätze anbietet (engl.: "advisories", dt.: Ratschläge ). Außerdem helfen manche CERTs, Sicherheitsrisiken für bestimmte Adressatengruppen (z. B. BürgerCERT) zu beseitigen. Der Informationsfluss erfolgt meistens über Mailinglisten. Dort werden sicherheitskritische Themen erörtert, diskutiert und aktuelle Warnungen ausgegeben. Quelle: Wikipedia (

25 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) VCVMitglieder: 16+1 CERTBund, BSI Alle LänderCERT

26 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) VCVMitglieder: 16+1 CERTBund, BSI Alle LänderCERT

27 b) VerwaltungsCERTVerbund (VCV) Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

28 b) VerwaltungsCERTVerbund (VCV) Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

29 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Die Geschäftsordnung des VCV sieht keine unmittelbare Beteiligung der Kommunen vor.

30 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Die Geschäftsordnung des VCV sieht keine unmittelbare Beteiligung der Kommunen vor. Aber: Jedes Bundesland kann maximal ein weiteres CERT am VCV teilnehmen lassen.

31 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Die Geschäftsordnung des VCV sieht keine unmittelbare Beteiligung der Kommunen vor. Aber: Jedes Bundesland kann maximal ein weiteres CERT am VCV teilnehmen lassen. Ziel: Möglichst enge Zusammenarbeit zwischen Land und Kommune, so dass kein eigenständiges KommunalCERT erforderlich ist.

32 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) CERTSH CERTHB CERTHH CERTMV CERTNI CERTBE CERTNW CERTST CERTBB CERTRP CERTHE CERTTH CERTSN CERTSL CERTBY CERTBW

33 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder CERT (Bis zu 16 verschiedene Lösungen) CERTSH CERTMV CERTHH CERTHB CERTNI CERTBE CERTST CERTBB CERTNW CERTTH CERTSN CERTHE CERTRP CERTSL CERTBY CERTBW

34 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder CERT (Bis zu 16 verschiedene Lösungen) Unterschiedliche Ansätze zur Einbeziehung der Kommunen CERTSH CERTMV CERTHH CERTHB CERTNI CERTBE CERTST CERTBB CERTNW CERTTH CERTSN CERTHE CERTRP CERTSL CERTBY CERTBW

35 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder CERT (Bis zu 16 verschiedene Lösungen) Unterschiedliche Ansätze zur Einbeziehung der Kommunen KommunalCERT als integraler Bestandteil des LandesCERT CERT Land A KommunalCERT Stadt Landkreis Gemeinde Stadt Stadt Gemeinde Landkreis Stadt Gemeinde Gemeinde Gemeinde Gemeinde

36 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder CERT (Bis zu 16 verschiedene Lösungen) Unterschiedliche Ansätze zur Einbeziehung der Kommunen KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT CERT Land B KommunalCERT Stadt Landkreis Gemeinde Stadt Stadt Gemeinde Gemeinde Gemeinde Landkreis Stadt Gemeinde Gemeinde

37 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder CERT (Bis zu 16 verschiedene Lösungen) Unterschiedliche Ansätze zur Einbeziehung der Kommunen KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT Eigenständiges KommunalCERT arbeitet mit LandesCERT zusammen und ist über dieses mit VCV verbunden CERT Land C KommunalCERT Stadt Landkreis Gemeinde Stadt Stadt Gemeinde Gemeinde Gemeinde Landkreis Stadt Gemeinde Gemeinde

38 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder CERT (Bis zu 16 verschiedene Lösungen) Unterschiedliche Ansätze zur Einbeziehung der Kommunen KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT Eigenständiges KommunalCERT arbeitet mit LandesCERT zusammen und ist über dieses mit VCV verbunden KommunalCERT ist eigenständiges Mitglied im VCV CERT Land D Stadt Gemeinde Stadt Gemeinde Kom munal CERT Landkreis Stadt Gemeinde Gemeinde Landkreis Stadt Gemeinde Gemeinde

39 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV)? KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT Eigenständiges KommunalCERT arbeitet mit LandesCERT zusammen und ist über dieses mit VCV verbunden KommunalCERT ist eigenständiges Mitglied im VCV Mögliche weitere Varianten

40 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV)? KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT Eigenständiges KommunalCERT arbeitet mit LandesCERT zusammen und ist über dieses mit VCV verbunden KommunalCERT ist eigenständiges Mitglied im VCV Mögliche weitere Varianten

41 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV)? KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT Eigenständiges KommunalCERT arbeitet mit LandesCERT zusammen und ist über dieses mit VCV verbunden KommunalCERT ist eigenständiges Mitglied im VCV Mögliche weitere Varianten

42 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ b) VerwaltungsCERTVerbund (VCV) KommunalCERT als integraler Bestandteil des LandesCERT Kooperation durch Überlagerung von KommunalCERT und LandesCERT Eigenständiges KommunalCERT arbeitet mit LandesCERT zusammen und ist über dieses mit VCV verbunden KommunalCERT ist eigenständiges Mitglied im VCV Worst Case: Keine Einbeziehung der Kommunen in den VCV

43 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ c) Kommune und LandesCERT VCV / BSI Erstbewertung, Zusammenführung und Vorverdichtung der Informationen Eigene Prüfungen/Auswertungen Anonymisierte Weiterleitung an VCV LandesCERT Basisinformationen über HW/SW Ausstattung, Ansprechpartner usw. Aktuelle Informationen über vermutete oder erkannte Angriffe Aktuelle Informationen über ITbezogene Auffälligkeiten bzw. Symptome mit unbekannten Ursachen Konkrete anlassbezogene Anfragen Information Auslöser, Inhalte, Metadaten und Struktur der Meldungen Verantwortungen und Rechte Meldewege Kommunalverwaltung

44 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ c) Kommune und LandesCERT VCV / BSI Erstbewertung, Zusammenführung und Vorverdichtung der Informationen Eigene Prüfungen/Auswertungen Anonymisierte Weiterleitung an VCV LandesCERT Basisinformationen über HW/SW Ausstattung, Ansprechpartner usw. Aktuelle Informationen über vermutete oder erkannte Angriffe Aktuelle Informationen über ITbezogene Auffälligkeiten bzw. Symptome mit unbekannten Ursachen Konkrete anlassbezogene Anfragen Information Auslöser, Inhalte, Metadaten und Struktur der Meldungen Verantwortungen und Rechte Meldewege Kommunalverwaltung

45 c) Kommune und LandesCERT VCV / BSI Erstbewertung, Zusammenführung und Vorverdichtung der Informationen Eigene Prüfungen/Auswertungen Anonymisierte Weiterleitung an VCV LandesCERT Auswahl und Aufbereitung von Ergebnissen eigener Prüfungen/Auswertungen Erarbeitung von Lösungsvorschlägen bzw. Schutz oder Gegenmaßnahmen Basisinformationen über HW/SW Ausstattung, Ansprechpartner usw. Aktuelle Informationen über vermutete oder erkannte Angriffe Aktuelle Informationen über ITbezogene Auffälligkeiten bzw. Symptome mit unbekannten Ursachen Konkrete anlassbezogene Anfragen Information Konkrete Nachfragen zur Vervollständigung des Lagebildes bei unklarer Informationslage Weiterleitung vom Informationen des VCV/BSI über relevante Schwachstellen und aktuelle Angriffsvektoren und methoden Informationen über Lösungsvorschläge bzw. Schutzoder Gegenmaßnahmen Auslöser, Inhalte, Metadaten und Struktur der Meldungen Verantwortungen und Rechte Meldewege Kommunalverwaltung Nutzung der Informationen für akute Abwehr bzw. Schutzmaßnahmen und zur Verbesserung der IT Sicherheit Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

46 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ d) Lösungsansatz Die kommunale AG Modernisierung des ITGrundschutzes verfolgt zur Unterstützung des BSI bei der Erstellung eines aktuellen und aussagefähigen Lagebildes mit Informationen aus Kommunalverwaltungen einen ungewöhnlichen Lösungsansatz: Der von der AG verfolgte Lösungsweg besteht darin, die zeitnahe Bereitstellung von aussagefähigen Informationen für das Lagebild quasi als Nebeneffekt bei der Nutzung eines effektiven SoftwareWerkzeuges zu erreichen. Die Arbeiten an diesem Tool, das den Funktionsumfang des bisher vom BSI für Kommunen kostenlos bereitgestellten und inzwischen eingestellten GrundschutzTools deutlich übertreffen und auch möglichst für alternative Vorgehensweisen, wie ISO 27001, ISIS12 oder VdSRichtlinie 3473 geeignet sein soll, haben bereits begonnen. Eine erste Programmversion ist bereits im Jahr 2016 vorgesehen. Fragen der Finanzierung und des Lizenz/Preismodells sind noch zu klären, dabei soll jedoch berücksichtigt werden, dass kleinere Kommunen häufig die geringeren Ressourcen und den größeren Nachholbedarf haben.

47 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA, StädteRegion Aachen) Entwicklung eines Softwaretools Entwicklung eines integrierten IS/DSManagementSystems (ISMS/DSMS) mit WebPortal auf Basis einer prozess und workfloworientierten Dienstleistersoftware (aufbauend auf einem FacilityManagementSystem) mit umfangreicher Funktionalität: Statische Informationsbereitstellung: Informationssammlung (Sicherheitskonzepte, ITVerbund, Gebäudemanagement, Infrastruktur, Ansprechpartner, ) Dokumentation (Audits, Zertifikate, Betriebshandbuch, Dokumentationen, ) Notfallmanagement (Notfallhandbuch, Kommunikation mit LandesCERT) Kommunikation: Meldung aktueller Zwischenfälle an LandesCERT (auch zur anonymisierten Weiterleitung an VCV/BSI) Anfragen an LandesCERT (ggf. TicketSystem) Informationen vom LandesCERT (auch Weiterleitung von VCV/BSIInformationen) Rückfragen vom LandesCERT (auch VCV/BSI) ggf. direkte Kommunikation mit anderen Anwendern

48 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA, StädteRegion Aachen) Durchführung: 1. Zusammenarbeit von Spezialisten verschiedener Fachbereiche IT Sicherheit Datenschutz ManagementSysteme Software Entwicklung 2. Entwicklung des Softwaretools ISiMap (Ersetzen des GS Tools mit umfangreichen Mehrwerten) Einfache Einführung des ISMS/DSMS mittels Schablonentechnik (Region/ Kreisvorlage; Mastermandant ) wahlweise zentrale bzw. dezentrale Pflege integrierte Prozesse und Workflows automatisierte Informations und Eskalationsmechanismen Sicherheitsvorfallmanagement Änderungsmanagement (Simulation und Planung auch für die Kostenermittlung oder Kosteneinsparung in der Kommune)

49 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

50 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

51 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

52 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

53 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

54 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

55 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

56 Softwaretool ISiMap mit wesentlichen Nebenwirkungen Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./

57 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes 1. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kommunen 2. Die Leitlinie des ITPlanungsrates für Informationssicherheit in der öffentlichen Verwaltung 3. Organisationshoheit der Kommunen / Kommunale Selbstverwaltung a) Aufgaben und Funktion der kommunalen Spitzenverbände b) Kommunale Besonderheiten 4. Mitwirkung der Kommunen bei der Modernisierung des ITGrundschutzes a) Kommunale AG Modernisierung des ITGrundschutzes b) LänderCERT und VerwaltungsCERTVerbund (VCV) c) Kommunen und LandesCERT d) Lösungsansatz für aktuelle Lagebilderfassung Arbeitskreis Informationssicherheit und Datenschutz (AK ISDA) Softwaretool ISiMap mit wesentlichen Nebenwirkungen 5. Wie geht s weiter?

58 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Wie geht es weiter? 09./10. Mai 2016 in Berlin: 3. Kommunaler ITSicherheitskongress Vorstellung der Softwarelösung durch Heino Reinartz (StädteRegion Aachen) 10. Mai 2016 in Berlin: 2. Sitzung der AG Modernisierung des ITGrundschutzes 11./12. Mai 2016 in Erfurt: 13. Sitzung der AG Informationssicherheit (AG InfoSic) des IT Planungsrates Juni 2016: Erweitertes Arbeitstreffen zur Abstimmung des weiteren Vorgehens

59 Heino Sauerbrey Deutscher Landkreistag (DLT) Kongress neueverwaltung WCCB Bonn 28./ Die Mitwirkung der kommunalen Ebene bei der Modernisierung des ITGrundschutzes Heino Sauerbrey ITSicherheit, Informationsmanagement, Webmaster Tel.: (030) Fax.: (030) Deutscher Landkreistag UlrichvonHassellHaus Lennéstraße Berlin