IT-Sicherheit in der öffentlichen Verwaltung

Transkript

1 IT-Sicherheit in der öffentlichen Verwaltung

2 Eine kurze Geschichte der (IT-)Zeit

3 Daten, Daten, Daten Wir erzeugen heute an einem Tag mehr Daten, als in den Jahren bis 2003 insgesamt entstanden. 3 Quelle: IEEE

4 Maße und Gewichte Eine Seite Schönfelder hat rund 50 Zeilen Ein Blatt Schönfelder hat somit rund 100 Zeilen Ein Schönfelder enthält rund 4000 Seiten oder 2000 Blatt Damit: Ein entspricht rund Zeilen Text 4

5 Software und Fehler Wie groß ist Software? Windows XP ca. 40 Mio. Codezeile* oder 200 Mac OS X 10.4 ca. 86 Mio. Codezeilen* oder 430 Debian 5.0 ca. 320 Mio. Codezeilen* oder Wie fehlerhaft ist Software? 0,5 bis 3 Fehler pro 1000 ausgelieferter Codezeilen Das bedeutet bei 0,5/1000 Fehlern: XP , Mac OS X , Debian Fehler Individual-Software ist regelmäßig deutlich schlechter Zusammengefasst Software ist fehlerhaft 5 * Quelle:

6 Software und Fehler und wie sie benutzt werden Rund 93% der Gründe für erfolgreiche Infektionen liegen hier 6 Quelle: MS Analyse zur IT-Sicherheit, Ausgabe 11

7 Verwaltung im Visier von Hackern 7

8 Verwaltungsnetze unter Druck Im Sächsischen Verwaltungsnetz: * 300 erfolgreich abgewehrte Angriffe 69 Mio. abgewiesene Spam-Mails eingehende Schadprogramme im Web-Verkehr entdeckt und entfernt In eingehenden s Viren entdeckt und entfernt SVN Internet Das KDN wird nicht weniger unter Druck sein! 8 *Zahlen für das Jahr 2014

9 Und unsere Schutzsysteme? 9 Der klassische Schutz (AV-Scan, Content-Scan, Firewall, IDS, IPS) wird immer unwirksamer Eigene Untersuchungen bei professionellen AV-Lösungen zeigen eine Trefferquote von nur 75% Das notwendige Personal fehlt entweder in Masse oder Klasse oder beidem Vordergründig wird der Beitrag der IT- Sicherheit zum Haushalt (zu) oft negativ wahrgenommen. Aber: Behörden (und nicht nur Behörden!) sind oftmals blind für die Vorgänge in den eigenen Netzen Quelle: Verizon 2013 Von Befall bis Entdeckung

10 Grundlagen der Informationssicherheit 10

11 Informationssicherheit im Sächsischen E-Government-Gesetz 9 Interoperabilität und Informationssicherheit 13 Interoperabilität und Informationssicherheit 11 (1).. (2) Die staatlichen Behörden treffen angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zur Einhaltung der in 9 Abs. 2 SächsDSG definierten Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz für die in ihren informationstechnischen Systemen verarbeiteten Daten. Solche Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen einer Verletzung der Schutzziele steht. (1) Für die an E-Government beteiligten Träger der Selbstverwaltung gilt 9 Abs. 2 Satz 1 und 2 entsprechend. (2) Werden dem Freistaat Sachsen Interoperabilitäts- und Informationssicherheitsstandards verbindlich durch Beschlüsse des IT-Planungsrates gemäß Artikel 91c Abs. 2 Satz 1 des Grundgesetzes vorgeschrieben, sind diese Standards durch die Träger der Selbstverwaltung bei den von ihnen eingesetzten informationstechnischen Systemen einzuhalten. Quelle:

12 Verantwortlichkeiten in der Informationssicherheit Staatlich Staatsminister Staatssekretär Beauftragter für Informationssicherheit Fachadministrator Systemadministrator Kommunal (Ober)Bürgermeister (Fachbürgermeister/Amtsleiter) Beauftragter für Informationssicherheit Fachadministrator Systemadministrator 12

13 Eigene Sicherheitsprojekte APT-Erkennung Testprojekt zur Erkennung hochspezialisierter Cyberangriffe im Mai/Juni im Rahmen der G6/G7- Gipfel System scannte den kompletten E- Mail -und Internetverkehr Zudem Analyse des Verhaltens verdächtiger Programme und Dokumente auf bösartige Aktivitäten Ergebnis: Eine APT-Erkennung wird komplementär zu bisherigen Sicherheitsmaßnahmen eingesetzt werden 13

14 Eigene Sicherheitsprojekte Sensibilisierung der Mitarbeiter Bei bislang 4 Präsenzveranstaltungen in Chemnitz, Leipzig und Dresden gut Bedienstete erreicht In 180 Minuten unterhaltsame Mischung aus Vorträgen und Technikdemonstrationen Live- Hacking Themen: Gefährdungen bei der IT- Nutzung, Tücken Internetnutzung, Sicherheitsgefahren Mobiles Internet, Social Engineering Nachhaltig wirksam! 14

15 Eigene Sicherheitsprojekte E-Learning Forschungsprojekt mit der TU Dresden Grundlagen für ein E-Learning-Angebot zum Thema Informationssicherheit für die Landesbediensteten E-Learning-Plattform zur kontinuierlichen und aktuellen Schulung, z.b. jeden Monat ein neues Thema Parallel dazu internes Marketing zur Bewerbung der E-Learning-Plattform und zur Veröffentlichung von Informationsflyern 15

16 Eigene Sicherheitsprojekte Identity-Leak-Checker Aufbau eines Warndienstes Wenn Identitätsdaten aus der Landesverwaltung im Netz auffindbar Warnmeldung Damit Weiterentwicklung des Online-Dienstes Identity-Leak- Checker des HPI 16

17 Eigene Sicherheitsprojekte Sicherheitsscan Funktionierendes Monitoring unerlässlich für funktionierende IT-Sicherheit Automatisierte- und teilautomatisierte Scans der IT-Infrastruktur der Landesverwaltung als Teil des Sicherheitsmonitorings Welchen Stand hat das Niveau der Informationssicherheit tatsächlich? Daraus Lagebild als Grundlage für die Konzeption, Überprüfung der Wirksamkeit von Maßnahmen zur Erhöhung der Informationssicherheit A+ A A- B C F 17

18 Eigene Sicherheitsprojekte HoneySens Forschungsprojekt mit der TU Dresden Mit Honigtöpfen Hacker aufspüren: in Teilnetzen platzierte Sensoren (Honeypots) sollen Daten über alle ankommenden Datenpakete aufzeichnen und an diese an einen zentralen Server senden Herausforderungen: Gegebenheiten des SVN, Lösung soll wartungsarm, kostengünstig und benutzerfreundlich sein Entwicklung eines Prototyps, Einsatz in Teilnetzen 18

19 KRITIS Was wir haben: Ein IT-Sicherheitsgesetz des Bundes ABER: Wer sind KRITIS-Unternehmen? Warten auf Rechtsverordnungen für die 7 Sektoren Zielt auf Unternehmen in privater Rechtsform Was wir wissen: Symantec: 60% der Angriffe treffen KMU Microsoft: 90% aller erfolgreichen Angriffe werden durch Fehlverhalten der Nutzer ermöglicht Studien: nur ca. ¼ der Unternehmen bieten regelmäßige Informationen und Schulungen zum sicherheitsbewussten Verhalten für ihre Mitarbeiter an Aber auch: Angriffsvektor == Softwarefehler! Was wir (in Sachsen) planen: Beratungsangebot für Betreiber kritischer Infrastrukturen mit Anteilseigner der öffentlichen Hand Zertifizierungs- und Sicherheitslösungen zur Nachnutzung bei KRITIS 19

20 Abhilfen für mehr Sicherheit Wir brauchen alternative haben Lösungen für Die Cloud von morgen High Performance Computing Abhörsichere Kommunikation Sichere Vorgangsbearbeitung 20 Karl O. Feger

21 Danke für Ihre Aufmerksamkeit Für Rückfragen: Staatsministerium des Innern Karl-Otto Feger Beauftragter des Landes für Informationssicherheit (CISO) Referatsleiter 65, Informationssicherheit des Landes, Cybersicherheit Mail: Telefon: (0351)