E-Government-Initiative für De-Mail und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis OBD Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für De-Mail und den neuen Personalausweis erstellt wurden. Deshalb werden die jeweils Verantwortlichen im Impressum auf der letzten Seite der Dokumente genannt. Sie stehen Ihnen für inhaltliche Fragen zur Verfügung.
Version 1.0 06.12.2013
Dokumentinformationen Datum 21.05.2013 Version 1.0 Zustand in Bearbeitung seit: 07.03.2013 vorgelegt am: akzeptiert/abgeschlossen Verfasser Verantwortlich Detlev Reimann Detlev Reimann Dokumenten-ID Dokumentenhistorie Datum Version Änderungsgrund Bearbeiter 07.03.2013 1 Erstellung DR
Inhaltsverzeichnis 1 Vorwort... 1 2 Risikoanalyse... 2 2.1 Gefährdungen... 2 2.2 Zusätzliche Gefährdungen... 3 KommWis GmbH Seite: i von i
1 Vorwort Das Dokument beinhaltet eine ergänzende Sicherheitsanalyse, da für die Nutzung des npa im Rahmen des Temporären Bürgerkontos der Schutzbedarf hoch festgelegt wurde (Schutzziel Vertraulichkeit). KommWis GmbH Seite: 1 von 3
2 Risikoanalyse 2.1 Gefährdungen Baustein lt. Grundschutzkataloge B.1.0 Sicherheitsmanagement B.1.1 Organisation B.1.2 Personal B.1.5 Datenschutz B.1.6 Schadprogramme B.1.7 Kryptokonzept B.1.8 Sicherheitsvorfälle B.1.9 Hard- und Software Management B.1.10 Software B.1.11 Outsourcing B.1.13 Sensibilisierung/Schulung B.1.14 Änderungsmanagement B.2.3 Büroraum B.2.4 Serverraum B.2.6 Raum techn. Infrastruktur B.2.12 IT-Verkabelung B.4.1 Heterogene Netze B.5.4 Webserver B.5.7 Datenbanken B.5.11 Apache Webserver Möglicherweise betroffener Bereich G.2.66, G.2.105, G.2.106 G.2.1, G.2.6, G.5.3, G.5.68 G.2.7, G.3.3, G.3.36, G.5.23, G.5.103 G.6.1 G.6.13 G.5.23, G.5.71, G.5.85 KommWis G.4.22, G.4.33, G.4.35 G.2.62, G.2.141, G.2.142 G.4.22, G.4.35, G.4.39, G.4.43, G.5.2, G.5.23, G.5.26, G.5.68, G.5.84 G.2.26, G.3.16, G.4.8, G.4.22, G.5.23 G.2.1, G.2.66, G.2.90, G.5.10, G.5.20, G.5.71 G.2.2, G.2.103 G.2.1, G.2.26, G.3.38, G.4.22 Räume IT-Services G.2.6, G.5.1 Serverraum Keller (aktive Netzwerkkomponenten) G.2.6, G.5.1 Wie B.2.4 IT-Services G.5.7, G.5.8 IT-Services G.2.22, G.2.27, G.2.45, G.3.28, G.5.1, G.5.8, G.5.67 IT-Services G.3.38, G.4.22, G.4.39, G.5.23, G.5.48, G.5.78, G.5.87, G.5.88 DB-Team G.2.22, G.2.26, G.2.39, G.2.40, G.3.16, G.3.23, G.3.24, G.5.64 wie B.5.4 KommWis GmbH Seite: 2 von 3
2.2 Zusätzliche Gefährdungen Am 06.03.2013 wurde ein Workshop durchgeführt, der speziell mögliche Gefährdungspotentiale hinsichtlich der Vertraulichkeit und Authentizität der Daten zum Gegenstand hatte. Dabei wurde der Ablauf der Datenkommunikation durchgespielt, den ein Bürger durchführt, wenn er eine Anwendung nutzt, bei der die Verwendung des npa erforderlich wird. Dabei wurde festgestellt, dass folgende Punkte im Handlungsbereich von KommWis liegen: Korrekter Einsatz/Betrieb der gelieferten Software Abnahme der gelieferten Software Prüfung der Datenkommunikation an einer Web Application Firewall Korrekter Einsatz/Betrieb der Infrastruktur (OS, Web-Application-Server), Auswertung der Logs Meldung von Unstimmigkeiten/Fehlern an die Hersteller Weiterhin wurde festgestellt, dass die schwerpunktmäßig genannten Gefährdungen durch Maßnahmen aus dem Maßnahmenkatalog der Grundschutzkataloge einzugrenzen / zu minimieren sind. KommWis GmbH Seite: 3 von 3
Herausgeber Bundesministerium des Innern IT-Stab, Referat IT4 Alt-Moabit 101 D, 10559 Berlin Bezugsquelle Bundesministerium des Innern E-Mail: IT4@bmi.bund.de Internet: www.personalausweisportal.de und www.de-mail.de Tel.: +49(0)30 18681-0 Fax: +49(0)30 18681-2926 Veröffentlicht Dezember 2013 HINWEIS Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der Ergebnisdokumente, die im Rahmen der E-Government-Initiative für De-Mail und den neuen Personalausweis erstellt wurden. Bitte wenden Sie sich bei inhaltlichen Fragen direkt an die hier genannten Ansprechpartner. Verantwortlich für den Inhalt dieses Ergebnisdokumentes Gesellschaft für Kommunikation und Wissenstransfer mbh (KommWis) Herr Herbert Benz Hindenburgplatz 3, 55118 Mainz Tel.: + 49 (0) 6131 6277-0 E-Mail: hbenz@kommwis.de Internet: www.kommwis.de Diese Veröffentlichung ist Teil der Öffentlichkeitsarbeit der Bundesregierung. Sie wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt.