Kommunales Lagebild der IT-Sicherheit

Transkript

1 Heino Sauerbrey Deutscher Landkreistag Ulrich-von-Hassell-Haus Lennéstraße Berlin Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

2 Kommunales Lagebild der IT-Sicherheit 1. Die Rolle der kommunalen Spitzenverbände DST, DStGB und DLT 2. Rahmenbedingungen und Besonderheiten kommunaler IT-Sicherheit 3. Welche Rolle spielen die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung und der IT-Grundschutz des BSI für Kommunalverwaltungen? 4. Wer trägt die Verantwortung für Informationssicherheit? 5. Die Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen 6. Das Internetforum der IT-Sicherheitsbeauftragten von Kommunen und Ländern (IT-SiBe-Forum) 7. Die Mitwirkung der Kommunen bei der Modernisierung des IT-Grundschutzes (kommunale Profile / kommunales Lagebild) 8. Die Unterstützung von Kommunen bei Bewältigung von Cyber- Vorfällen durch das BSI 9. Der Verwaltungs-CERT-Verbund (VCV) und die Kommunen 10. Worauf kommt es bei der Schaffung eines kommunalen Lagebildes an - abgesehen von den Inhalten? Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

3 Die kommunalen Spitzenverbände Die kommunalen Spitzenverbände vertreten die Interessen der Landkreise, Städte und n gegenüber anderen politischen Akteuren und üben auf Landesregierungen und Bundesregierung einen maßgeblichen Einfluss aus. Die Verbände auf Bundesebene sind der Deutsche Städtetag (DST), der mehr als Kommunen vertritt, der Deutsche Städte- und bund (DStGB), durch den [ ] ca kleine und mittlere Kommunen vertreten werden, und der Deutsche Landkreistag (DLT), der mit 294 Landkreisen in 13 Landesverbänden rund 74 % der Aufgabenträger* sowie ca. 68 % der Bevölkerung und 96 % der Fläche der Bundesrepublik Deutschland repräsentiert. Quelle: Wikipedia ( * Hierbei handelt es sich um Institutionen, denen durch Gesetz oder Satzung bestimmte öffentliche Aufgaben zugewiesen wurden. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

4 Kommunale Spitzenverbände Die meisten Gesetze des Bundes werden durch die Kommunalverwaltungen vollzogen. Die Kommunalen Spitzenverbände werden daher an Gesetzesvorhaben, die kommunale Anliegen berühren, vom Deutschen Bundestag und von den Bundesministerien beteiligt. Zudem wirken sie in einer Vielzahl von Gremien und Einrichtungen des Bundes und der Länder beschließend oder beratend mit (z.b. IT- Planungsrat). Die gemeinsame Interessenvertretung erfolgt über die Bundesvereinigung der kommunalen Spitzenverbände (BV). Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

5 Allgemeine Rahmenbedingungen kommunaler IT-Sicherheit Unübersichtlicher Situation bezüglich Rechtslage, Aufgaben, Methoden, Werkzeuge, Prioritäten, Reihenfolgen, usw. Datenschutz und Informationssicherheit sind unzureichend synchronisiert Datenschutzgrundverordnung (DSGVO): Mehr Fragen als Antworten Grundsätzliche Weichenstellungen für einen systematischen Aufbau der für die Digitalisierung erforderlichen IT-Sicherheit stehen noch aus Wachsende Verwundbarkeit und zunehmende Angriffe bei steigendem Schadenspotenzial führen zu Handlungsdruck Ressourcen sind eng limitiert IT-Sicherheit ist nur systematisch möglich. Der komplett modernisierte IT- Grundschutz des BSI bietet dafür die methodische Grundlage. Weitere Methoden, wie ISIS 12 oder die VdS-Richtlinien 3473, eignen sich als alternativer Einstieg in IT-Sicherheit. Auch der IT-Grundschutz des BSI ist kein Selbstläufer. Er erfordert strategische Vorbereitungen und konsequente organisatorische Maßnahmen. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

6 Allgemeine Rahmenbedingungen kommunaler IT-Sicherheit BSI-Jahresbericht Die Lage der IT-Sicherheit in Deutschland 2016 Die Verantwortlichen für IT-Sicherheit stehen vor besonderen Problemen, wenn Technik, Funktionen und Nutzerverhalten aus dem Consumer-Bereich unverändert in den Arbeitsplatz übertragen werden. Eine sichere Umsetzung wird zudem erschwert, wenn persönliche Sonderlösungen beansprucht werden wie spezielle Produkte oder Bring Your Own Device obwohl in der IT-Sicherheitsstrategie für eine Organisation andere Lösungen flächendeckend vorgesehen sind. Die Medienberichte über IT-Sicherheitsvorfälle und erfolgreiche Angriffe scheinen zur Sensibilisierung der Nutzer beizutragen, das Bewusstsein für die Notwendigkeit von mehr Sicherheitsmaßnahmen ist gestiegen. Es ist jedoch auch weiterhin eine elementare Herausforderung, auf die Umsetzung dieser Sicherheitsmaßnahmen hinzuwirken und dabei Einsicht und Akzeptanz zu schaffen. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

7 Kommunale Besonderheiten: Kommunale Selbstverwaltung / Organisationshoheit der Kommunen (Art. 28 GG) Leitlinie für Informationssicherheit hat nur empfehlenden Charakter aber: Anforderungen für Ebenen übergreifende Verfahren sind verbindlich länderspezifische rechtliche und organisatorische Gegebenheiten heterogene (gewachsene) Strukturen Verteilung in der Fläche große Aufgabenvielfalt hohe Fallzahlen mit vielen direkten Bürgerkontakten Defizite der IT-SiBe bei Information, Erfahrung, Vernetzung, begrenzte finanzielle und personelle Ressourcen ad-hoc-maßnahmen statt systematischer Entwicklung der IT-Sicherheit entwicklungsfähiges Gefahrenbewusstsein auf allen Ebenen Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

8 Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

9 Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

10 Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

11 Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

12 Welche Rolle spielen die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung und der IT-Grundschutz des BSI für Kommunalverwaltungen? Trotz des für Kommunen empfehlenden Charakters führt für Kommunalverwaltungen an der Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung und damit am IT-Grundschutz des BSI kein Weg vorbei Die Leitlinie legt fest, dass sich die Festlegung des Mindestsicherheitsniveaus einheitlich am IT-Grundschutz des BSI orientiert. Das BSI gleicht seinen IT-Grundschutz fortlaufend an internationale Normen wie der ISO/IEC an und gestaltet diese mit. Weitere Methoden, wie ISIS 12 oder die VdS-Richtlinien 3473, orientieren sich ebenfalls an ISO/IEC und am IT-Grundschutz und eignen sich als alternativer Einstieg in den systematischen Aufbau der IT-Sicherheit. Der IT-Grundschutz des BSI stellt nicht nur die Vorgabe, sondern auch die Vorgehensweise für das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme dar. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

13 Wer trägt die Verantwortung für Informationssicherheit? BSI-Standard Managementsysteme für Informationssicherheit (ISMS): 4.1 Aufgaben und Pflichten des Managements Die Aufgaben und Pflichten der Leitungsebene bezüglich Informationssicherheit lassen sich in folgenden Punkten zusammenfassen: 1. Übernahme der Gesamtverantwortung für Informationssicherheit 2. Informationssicherheit integrieren 3. Informationssicherheit steuern und aufrechterhalten 4. Erreichbare Ziele setzen 5. Sicherheitskosten gegen Nutzen abwägen 6. Vorbildfunktion Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

14 Wer trägt die Verantwortung für Informationssicherheit? BSI-Standard (Entwurf) zu Managementsystemen für Informationssicherheit: 2.3 Verantwortung für die Informationssicherheit Die Verantwortung für Informationssicherheit verbleibt in jedem Fall bei der obersten Managementebene, die Aufgabe "Informationssicherheit" wird allerdings typischerweise an einen Beauftragten für Informationssicherheit delegiert. In den IT-Grundschutz-Dokumenten wurde bisher die Bezeichnung IT- Sicherheitsbeauftragter verwendet, da dieser Begriff in Unternehmen und Behörden lange Zeit der am weitesten verbreitete war. Die Bezeichnung Informationssicherheitsbeauftragter oder kurz IS-Beauftragter (ISB) ist allerdings treffender und ersetzt daher im IT-Grundschutz die alte Bezeichnung. Informationssicherheit umfasst den umfangreicheren Bereich des Schutzes von Informationen, zwar in und mit IT, aber auch ohne IT bzw. über IT hinaus. Somit ist IT-Sicherheit ein Teilbereich der Informationssicherheit und beschäftigt sich gezielt mit dem Schutz der eingesetzten IT. In großen Institutionen kann es weiterhin neben dem ISB auch einen dedizierten IT-Sicherheitsbeauftragten (ITSiBe) geben. Dieser ist dann typischerweise im IT-Bereich tätig, während der ISB unmittelbar der Leitungsebene zuarbeitet. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

15 Wer trägt die Verantwortung für Informationssicherheit? BSI-Standard (Entwurf) zu Managementsystemen für Informationssicherheit: 3.1 Übernahme von Verantwortung durch die Leitungsebene Die oberste Leitungsebene muss den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Leitungsebene ist diejenige Instanz, die die Entscheidung über den Umgang mit Risiken treffen und die entsprechenden Ressourcen zur Verfügung stellen muss. Die Verantwortung für Informationssicherheit verbleibt dort. Aktionspunkte zu 3.1 Übernahme von Verantwortung durch die Leitungsebene Die Leitungsebene wird über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufgeklärt. Die Leitungsebene übernimmt die Gesamtverantwortung für Informationssicherheit. Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und benennt einen Verantwortlichen für Informationssicherheit. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

16 Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen Der IT-Planungsrat hat in seiner 16. Sitzung am 18. März 2015 im Beschluss 2015/05 erklärt, er halte die Handreichung "insbesondere in der Orientierungs- und Einstiegsphase der Entwicklung und Gestaltung von Informationssicherheitsleitlinien sowie für Aufbau und Betrieb kommunaler Informationssicherheits- Managementsysteme für geeignet und empfiehlt den Kommunalverwaltungen deren Anwendung." Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

17 Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen Überarbeitung Februar 2017 Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

18 Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen Download: Überarbeitung Februar 2017 Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

19 Zentrale Plattform für kommunale IT-Sicherheitsbeauftragte: Das Internetforum der IT-Sicherheitsbeauftragten von Kommunen und Ländern (IT-SiBe-Forum) Finanzierung und Betrieb: Low-Budget-Projekt: Kosten für Provider, Server, Zertifikat usw. trägt DLT eh-da Kosten Nutzung von Personalressourcen im DLT und in der Stadt Kassel (Jens Lange, IT-SiBe) für Administration und Moderation großes persönliches Engagement der Mitglieder (Herzlichen Dank an Alle!) Ausgewählte Ergebnisse: Vernetzung von 830 IT-Sicherheitsbeauftragten (Anfang September 2017) Bündelung von Kompetenzen zum Nutzen aller Beteiligten (z.b. Handreichung zur Ausgestaltung der ISLL in Kommunen, kommunale Arbeitsgruppe Modernisierung des IT- Grundschutzes, ) Ebenen übergreifender, Austausch (z.b. ISLL des ITPLR, NWR, UAG Datensicherheit bei i- Kfz, ) Vermittlung freier Ressourcen der BAköV-Sommerakademie (IT-SiBe-Ausbildung) Bisher 4 Kommunale IT-Sicherheitskongresses mit je 120 Teilnehmern seit 2014 Bereitstellung der vom IT-Planungsrat und seiner AG InfoSic initiierte Sammlung von nachnutzbaren Dokumenten zur Informationssicherheit Ansprechpartner der AG InfoSic für kommunalrelevante Themen Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

20 Zentrale Plattform für kommunale IT-Sicherheitsbeauftragte: Das Internetforum der IT-Sicherheitsbeauftragten von Kommunen und Ländern Anmeldung an oder Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

21 Mitwirkung der Kommunen bei der Modernisierung des IT- Grundschutzes: Kommunale Profile und kommunales Lagebild : Gespräch der Kommunalen Spitzenverbände (DST, DLT und DStGB) mit Vertretern des Bundesministeriums des Innern (BMI) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Vertretern des Geschäftsstelle des IT-Planungsrates und der Arbeitsgruppe Informationssicherheit (AG InfoSic) über die Mitwirkung der kommunalen Ebene bei der Modernisierung des IT-Grundschutzes. Intensiver Austausch über spezifische Rahmenbedingungen in Kommunalverwaltungen, insbesondere im Bereich der IT-Sicherheit. DLT wurde beauftragt, aus Mitgliedern des IT-SiBe-Forums die Kommunale AG Modernisierung des IT-Grundschutzes zu bilden und deren Ebenen übergreifende Koordinierung zu übernehmen. Diese AG bearbeitet parallel die Aufgaben Kommunalprofil und Lagebild. Diese beiden Aufgaben wurden als einzige Aufgaben mit unmittelbarem Kommunalbezug in die von der Bundesregierung beschlossene Cyber- Sicherheitsstrategie für Deutschland 2016 übernommen. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

22 Cyber-Sicherheitsstrategie 2016 der Bundesregierung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

23 Cyber-Sicherheitsstrategie 2016 der Bundesregierung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

24 Kommunale AG Modernisierung des IT-Grundschutzes 1. Schwerpunkt: Erarbeitung kommunaler Grundschutz-Profile in Zusammenarbeit mit dem BSI Profile für Ebenen übergreifende Verfahren? Profile für Fachverfahren? Synchronisation (Modularisierung) der Profile? Gütesiegel des BSI für Profile??

25 Kommunale AG Modernisierung des IT-Grundschutzes 2. Schwerpunkt Kommunales Lagebild Die kommunale AG Modernisierung des IT-Grundschutzes verfolgt zur Unterstützung des BSI bei der Erstellung eines aktuellen und aussagefähigen Lagebildes mit Informationen aus Kommunalverwaltungen einen speziellen Lösungsansatz: Dieser besteht darin, die zeitnahe Bereitstellung von aussagefähigen Informationen für das Lagebild quasi als Nebeneffekt bei der Nutzung eines modularen Software-Werkzeuges zu erreichen. Eine formale Meldeverpflichtung erscheint nicht zielführend für eine Form der Zusammenarbeit, die auf Freiwilligkeit, Vertrauen und gegenseitigen Nutzen ausgerichtet ist. Zur Nutzung der vom CERT als Gegenleistung bereitgestellten Informationen und Hilfestellungen sollen sich die Kommunalverwaltungen im eigenen Interesse an der Informationsbereitstellung beteiligen. Die Erbringung dieser Gegenleistung ist eine grundlegenden CERT-Aufgabe. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

26 Unterstützung von Kommunen bei Bewältigung von Cyber-Vorfällen durch das BSI: Das Fachwissen der Bundesbehörden wird über die Länder den Kommunen künftig verstärkt zur Verfügung gestellt. August 2017: Kontaktaufnahme des Bereiches Nationales Verbindungswesen des BSI mit der Bundesvereinigung der kommunalen Spitzenverbände (BV) o o o Aus der Umsetzung der europäischen NIS-Richtlinie resultieren für das BSI neue Befugnisse und die Aufgabe, die Landesbehörden bei der Bewältigung von Cyber-Vorfällen zu unterstützen. Angebot, die Zusammenarbeit auch auf den kommunalen Bereich auszuweiten. Bitte um Benennung eines gemeinsamen Ansprechpartners für IT-Sicherheit. September 2017: Benennung eines gemeinsamen Ansprechpartners der BV für das BSI. Verabredung eines ersten Gesprächstermins im September Gegenseitiger Nutzen in Verbindung mit kommunalem Lagebild! Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

27 Verwaltungs-CERT-Verbund (VCV) CERT = Computer Emergency Response Team Ein Computer Emergency Response Team (CERT), deutsch Computersicherheits-Ereignis- und Reaktionsteam, [...] ist eine Gruppe von EDV- Sicherheitsfachleuten, die bei der Lösung von konkreten IT- Sicherheitsvorfällen (z. B. Bekanntwerden neuer Sicherheitslücken in bestimmten Anwendungen oder Betriebssystemen, neuartige Virenverbreitung, bei Spam versendenden PCs oder gezielten Angriffen) als Koordinator mitwirkt bzw. sich ganz allgemein mit Computersicherheit befasst (manchmal auch branchenspezifisch), Warnungen vor Sicherheitslücken herausgibt und Lösungsansätze anbietet (engl.: "advisories", dt.: Ratschläge ). Außerdem helfen manche CERTs, Sicherheitsrisiken für bestimmte Adressatengruppen (z. B. Bürger-CERT) zu beseitigen. Der Informationsfluss erfolgt meistens über Mailinglisten. Dort werden sicherheitskritische Themen erörtert, diskutiert und aktuelle Warnungen ausgegeben. Quelle: Wikipedia ( Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

28 Verwaltungs-CERT-Verbund (VCV) 16+1 Mitglieder: Länder und Bund Die Geschäftsordnung des VCV sieht keine unmittelbare Beteiligung der Kommunen vor. Aber: Jedes Bundesland kann maximal ein weiteres CERT am VCV teilnehmen lassen. Idealfall für Kommunen: Möglichst enge Zusammenarbeit zwischen Land und Kommune, so dass kein eigenständiges Kommunal-CERT erforderlich ist. Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

29 Verwaltungs-CERT-Verbund (VCV) - Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder sind möglich) - Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder- CERT CERT-SH CERT-MV CERT-HH CERT-HB CERT-NI CERT-BE CERT-ST CERT-BB CERT-NW - Unterschiedliche Ansätze zur Einbeziehung der Kommunen CERT-RP CERT-HE CERT-TH CERT-SN CERT-SL CERT-BY CERT-BW Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

30 Verwaltungs-CERT-Verbund (VCV) - Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) - Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder- CERT CERT Land A Kommunal-CERT - Unterschiedliche Ansätze zur Einbeziehung der Kommunen Stadt Landkreis Landkreis Kommunal-CERT als integraler Bestandteil des Landes-CERT Stadt Stadt Stadt Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

31 Verwaltungs-CERT-Verbund (VCV) - Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) - Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder- CERT CERT Land B Kommunal-CERT - Unterschiedliche Ansätze zur Einbeziehung der Kommunen Stadt Landkreis Landkreis Kommunal-CERT als integraler Bestandteil des Landes-CERT Kooperation durch Überschneidung von Kommunal-CERT und Landes-CERT Stadt Stadt Stadt Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

32 Verwaltungs-CERT-Verbund (VCV) - Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) - Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder- CERT CERT Land C Kommunal-CERT - Unterschiedliche Ansätze zur Einbeziehung der Kommunen Stadt Landkreis Landkreis Kommunal-CERT als integraler Bestandteil des Landes-CERT Kooperation durch Überschneidung von Kommunal-CERT und Landes-CERT Eigenständiges Kommunal-CERT arbeitet mit Landes-CERT zusammen und ist über dieses mit VCV verbunden Stadt Stadt Stadt Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

33 Verwaltungs-CERT-Verbund (VCV) - Länder bauen bis 2018 eigene CERT auf (Auch gemeinsame CERT mehrerer Länder wären möglich) - Unterschiedliche Ziele und Herangehensweisen bezüglich Struktur und Betrieb der Länder- CERT CERT Land D Kom- munal- CERT - Unterschiedliche Ansätze zur Einbeziehung der Kommunen Stadt Kommunal-CERT als integraler Bestandteil des Landes-CERT Kooperation durch Überschneidung von Kommunal-CERT und Landes-CERT Eigenständiges Kommunal-CERT arbeitet mit Landes-CERT zusammen und ist über dieses mit VCV verbunden Kommunal-CERT ist eigenständiges Mitglied im VCV Stadt Landkreis Stadt Landkreis Stadt Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

34 Verwaltungs-CERT-Verbund (VCV)? Kommunal-CERT als integraler Bestandteil des Landes-CERT Kooperation durch Überschneidung von Kommunal-CERT und Landes-CERT Eigenständiges Kommunal-CERT arbeitet mit Landes-CERT zusammen und ist über dieses mit VCV verbunden Kommunal-CERT ist eigenständiges Mitglied im VCV Mögliche weitere Varianten Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

35 Mögliches Zusammenwirken von Kommunen, Landes-CERT und BSI Erstbewertung, Zusammenführung und Vorverdichtung der Informationen Bewertung aus größerer Flughöhe Eigene Prüfungen/Auswertungen Anonymisierte Weiterleitung an VCV Landes-CERT VCV / BSI Basisinformationen über HW-/SW- Ausstattung, Ansprechpartner usw. Aktuelle Informationen über vermutete oder erkannte Angriffe Aktuelle Informationen über ITbezogene Auffälligkeiten bzw. Symptome mit unbekannten Ursachen Konkrete anlassbezogene Meldungen, Hinweise und Anfragen Information Auslöser, Inhalte, Metadaten und Struktur der Meldungen Verantwortungen und Rechte Meldewege Kommunalverwaltung Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

36 Mögliches Zusammenwirken von Kommunen, Landes-CERT und BSI Erstbewertung, Zusammenführung und Vorverdichtung der Informationen Bewertung aus größerer Flughöhe Eigene Prüfungen/Auswertungen Anonymisierte Weiterleitung an VCV Landes-CERT VCV / BSI Auswahl und Aufbereitung von Ergebnissen eigener Prüfungen/Auswertungen Erarbeitung von Lösungsvorschlägen bzw. Schutz- oder Gegenmaßnahmen Basisinformationen über HW-/SW- Ausstattung, Ansprechpartner usw. Aktuelle Informationen über vermutete oder erkannte Angriffe Aktuelle Informationen über ITbezogene Auffälligkeiten bzw. Symptome mit unbekannten Ursachen Konkrete anlassbezogene Meldungen, Hinweise und Anfragen Information Konkrete Nachfragen zur Vervollständigung des Lagebildes bei unklarer Informationslage Weiterleitung vom Informationen des VCV/BSI über relevante Schwachstellen, aktuelle Angriffe, Angriffsvektoren und -methoden Informationen über Lösungsvorschläge bzw. Schutzoder Gegenmaßnahmen Auslöser, Inhalte, Metadaten und Struktur der Meldungen Verantwortungen und Rechte Meldewege Kommunalverwaltung Nutzung der Informationen für akute Abwehr- bzw. Schutzmaßnahmen und zur Verbesserung der IT- Sicherheit Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

37 Worauf kommt es bei der Schaffung eines kommunalen Lagebildes an - abgesehen von den Inhalten? freiwillige Informationsbereitstellung durch die Nutzer (ohne Meldepflicht oder über Meldepflicht hinaus) schnelle und nützliche Informationen vom CERT für die Nutzer gemeinsame praxistaugliche Regeln und Strukturen Bereitstellung von relevanten Basisinformationen zu Hard- und Software, Verfahren u. a. von den Nutzern an das CERT Aufbau und Pflege von Datenbeständen (Schwachstellendatenbank, ) durch das CERT mit Unterstützung der Teilnehmer Minimierung des Aufwandes für die Meldenden (Berücksichtigung des Zeitdrucks und des hohen Arbeitsaufkommens in der Meldesituation) einfache und zuverlässige Kommunikationskanäle direkte Kommunikation zwischen den Teilnehmern Einbeziehung der gegenseitigen Information in die tägliche Arbeit optionale Kombinierbarkeit verschiedener Funktionen von Kommunikationstools Unterstützung vertrauensvoller Zusammenarbeit durch persönlichen Kontakt, Erfahrungsaustausch, gemeinsame Schulungsmaßnahmen, Networking Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,

38 Kommunales Lagebild der IT-Sicherheit Heino Sauerbrey IT-Sicherheit, Informationsmanagement, Webmaster Tel.: (030) Fax.: (030) Deutscher Landkreistag Ulrich-von-Hassell-Haus Lennéstraße Berlin Heino Sauerbrey Deutscher Landkreistag PITS 2017 Berlin,