Vorlage an den Grossen Gemeinderat vom 22. Januar 2002 Nr. 1532



Ähnliche Dokumente
Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Powermanager Server- Client- Installation

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Content Management System mit INTREXX 2002.

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

ANYWHERE Zugriff von externen Arbeitsplätzen

Verwendung des IDS Backup Systems unter Windows 2000

WinVetpro im Betriebsmodus Laptop

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Verschlüsselung

Lizenzierung von System Center 2012

OP-LOG

1 Planung Migration UNIMOD collect (=neues Release

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Whitepaper. Produkt: combit Relationship Manager. combit Relationship Manager und Terminalserver. combit GmbH Untere Laube Konstanz

Mobile Intranet in Unternehmen

Gesetzliche Aufbewahrungspflicht für s

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

FTP-Leitfaden RZ. Benutzerleitfaden

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

ICS-Addin. Benutzerhandbuch. Version: 1.0

Installationsanleitung. Hardlock Internal PCI Hardlock Server Internal PCI

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

Microsoft Update Windows Update

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Bojendaten Übertragung mit UMTS

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Pflegende Angehörige Online Ihre Plattform im Internet

I. Allgemeine Zugangsdaten für den neuen Server: II. Umstellung Ihres Windows Arbeitsplatzrechners

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Online Data Protection

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

FAQ. Häufige VoIP-Probleme

Du hast hier die Möglichkeit Adressen zu erfassen, Lieferscheine & Rechnungen zu drucken und Deine Artikel zu verwalten.

Nutzung von GiS BasePac 8 im Netzwerk

Installation und Inbetriebnahme von SolidWorks

Thema: Microsoft Project online Welche Version benötigen Sie?

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Reporting Services und SharePoint 2010 Teil 1

Avira Management Console Optimierung für großes Netzwerk. Kurzanleitung

ASP Dokumentation Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

PC-Software für Verbundwaage

ISA Server 2004 Einzelner Netzwerkadapater

Windows Small Business Server (SBS) 2008

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Hinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2

Auszug aus der Auswertung der Befragung zur Ermittlung der IT-Basiskompetenz

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Einrichtung von VPN-Verbindungen unter Windows NT

Pflegeversicherung von AXA: Langfristige Erhaltung der Lebensqualität als zentrale Herausforderung

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Einrichtung eines VPN-Zugangs

Die Gesellschaftsformen

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

Produktbeschreibung ContentX

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Anbindung des eibport an das Internet

Anleitung. Verschieben des alten -Postfachs (z.b. unter Thunderbird) in den neuen Open Xchange-Account

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Der Datenschutzbeauftragte

D Versandoptionen

Wie oft soll ich essen?

Installationsanleitung dateiagent Pro

Verwendung des Terminalservers der MUG

Information über das Virtual Private Networks (VPNs)

ISA Einrichtung einer DFUE VErbindung - von Marc Grote

FastViewer Remote Edition 2.X

Datenübernahme easyjob 3.0 zu easyjob 4.0

Virtual Private Network

Anwenderleitfaden Citrix. Stand Februar 2008

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

INTERPELLATION Roland Engeler-Ohnemus betr. Paradigmenwechsel bei Bauvorhaben der Gemeinde?

BSV Software Support Mobile Portal (SMP) Stand

Umstieg auf Microsoft Exchange in der Fakultät 02

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

visionapp Base Installation Packages (vbip) Update

estos UCServer Multiline TAPI Driver

AUTOMATISCHE -ARCHIVIERUNG. 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD!

Lizenzen auschecken. Was ist zu tun?

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Das Leitbild vom Verein WIR

Die Post hat eine Umfrage gemacht

Step by Step Webserver unter Windows Server von Christian Bartl

Social Media Guidelines. Miriam Nanzka, Hohenzollern SIEBEN

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Formular»Fragenkatalog BIM-Server«

Transkript:

Stadt St.Gallen C Stadtrat Vorlage an den Grossen Gemeinderat vom 22. Januar 2002 Nr. 1532 Informatik Errichtung von zwei Firewall-Systemen 1 usgangslage Im Frühjahr 2001 wurde durch einen externen Partner eine umfassende Risikoanalyse über die städtische Informatik-Infrastruktur durchgeführt. Daraus resultierte ein Schwachstellenkatalog, der neben den physischen (baulichen) Schwachstellen auch diejenigen der eingesetzten Serversysteme (inkl. Polizei Einsatzleitsystem (PELIX) der Stadtpolizei), der Remote- ccess-lösung (RS) sowie der nbindung an das kantonale Kommunikationsnetzwerk (KOMSG) beinhaltete. Die nalyse zeigte u.a. unmissverständlich auf, dass die nbindung des städtischen Netzwerkes an das KOMSG und damit an andere Netzwerke der St.Gallischen Gemeinden sowie zum Bundesnetzwerk (KOMBV) ungenügend geschützt ist. Bei der Installation der IT-nlagen wurde früher sehr grosses Gewicht auf den spekt der Verfügbarkeit gelegt. So sind die Hauptserver redundant ausgelegt und entsprechen einem hohen Verfügbarkeitslevel. Doch bezüglich uthentisierung, Integrität von Daten, uthorisierung wurden Mängel entdeckt. Das städtische Netzwerk ist zudem ein Perimeter- Netzwerk des kantonalen Netzwerkes KOMSG. uch hier sind keine einschränkenden Massnahmen im Einsatz, welche es z.b einem ngestellten einer anderen, am KOMSG angeschlossenen Gemeinde verunmöglicht hätten, ttacken auf die städtischen Systeme durchzuführen. Umgekehrt sind auch die Server in den am KOMSG angeschlossenen Gemeinden ohne einschränkende Mittel erreichbar. uf den städtischen Serversystemen wird heute eine beachtliche Datenmenge verwaltet. Viele dieser Informationen sind potentiell für ussenstehende interessant und/oder unterliegen direkt oder indirekt dem Datenschutzgesetz. Weiter steht fest, dass ein längerer usfall der Systeme zu erheblichen Unterbrüchen in allen rbeitsprozessen führen würde. Dies nicht zuletzt auch aufgrund der heute umfassend integrierten Informatik.

Seite 2 von 6 Weiter hat sich die Flut an schädlichen oder gar gefährlichen Computer-Viren im Jahr 2001 nahezu vervierfacht und auch hier zeichnet sich eine bedenkliche Entwicklung ab. In Fachkreisen besteht die einhellige Meinung, dass mehrere, kombinierte Strategien nötig sind, um ein wirkungsvolles Sicherheitsnetz zu schaffen. Mit der Installation eines Firewall-Systems wird auf jeden Fall eine wichtige Hürde zur Risikoverminderung geschaffen. Die Stadtpolizei betreibt aufgrund der erwähnten Sicherheitslücken für die Einsatzleitzentrale bereits heute ein Firewall-System, um die hochsensiblen Daten dieses Systems effektiv gegen ngreifer zu schützen. 2 Zielsetzungen Zur Risikoverminderung wurden insbesondere die nachstehenden Ziele festgelegt: - Sicherstellung des störungsfreien Betriebs der eigenen nlagen - Gewährleistung des Datenschutzes gemäss Datenschutzgesetz - Überwachung des gesamten eingehenden und ausgehenden Datenverkehrs - bsicherung gegen aktive ngriffe von aussen und innen - Schaffung der technischen Basis für diverse geplante Projekte - Das System verfügt über die Protokollierung aller Zugriffe sowie deren uswertung - Das System verfügt über ein Intrusion Detection System (IDS) zur Überwachung von Hackerangriffen - Das System verfügt über ein Content Filtering, womit die Daten, welche übermittelt werden, auf deren Inhalt nach Rubriken (Pornografie, Rassismus etc.) geprüft und deren Übermittlung gesperrt werden kann. - Das System kann für verschlüsselte Zugriffe auf das Stadtnetz über das Internet mit VPN- Verbindungen ausgebaut werden - Die Firewall verfügt über einen Virenschutz der neusten Technologie - Das System darf nicht Microsoft-basierend sein. 3 Lösungsbeschrieb Der geplante Einsatz der Firewall-Systeme umfasst alle nötigen technischen spekte inkl. eines Load-Balancing (ausfallsicheres, redundantes System, welches die Netzwerklast auf zwei Subsysteme verteilt) Die beiden Firewall werden so angelegt und ausgewählt, dass ein eventueller, späterer usbau ohne Probleme und ohne nötig werdende blösung bestehender Infrastruktur möglich ist. Die Firewall sollen mit den Bedürfnissen wachsen können. Die geplante Lösung sieht wie folgt aus: - Zwischen beiden Verbindungen zum KOMSG-Netz wird neu je ein Firewall-System eingesetzt.

Seite 3 von 6 - Das System wird redundant ausgelegt und an geografisch unterschiedlichen Orten installiert (Rathaus-Serverfarm und mtshaus), um eine höhere Verfügbarkeit zu gewährleisten - Die Firewall-Systeme werden durch eine noch zu evaluierende Partnerfirma installiert. - Das OI definiert zusammen mit dem externen Partner die Sicherheits-nforderungen für die Installation solcher Systeme. - Für die regelmässige Kontrolle, Wartung und Erweiterung der Firewall-Systeme wird ein externer Partner eingesetzt. - Das OI lässt zwei Mitarbeiter zur Überwachung der Firewalls ausbilden. Diese Mitarbeiter sollen in der Lage sein, kleinere Wartungsarbeiten durchzuführen, die Einhaltung der Sicherheits-nforderungen zu garantieren, ngriffe zu erkennen und in diesen Situationen somit angemessen zu reagieren. - Beide Systeme werden gleichzeitig in Betrieb genommen. Das OI definiert entsprechende Grundbedingungen für die Firewall-Systeme. Dazu wird den offerierenden Parteien ein nforderungskatalog (inkl. Firewall-nforderungen der IG KOMSG) abgegeben. Im Hinblick auf die schnellen Entwicklungen in diesem Markt und der in den letzten Jahren erheblich gestiegenen Gefahren im Netzwerk wird die neuste verfügbare Firewall- Technologie eingesetzt. Die Firewall muss ICS-zertifiziert sein. Die nötige Hardware wird optimal auf die Firewall-Software abgestimmt. ls Betriebsystem soll nicht Microsoft- Windows eingesetzt werden, da Windows nicht die nötige sichere Grundlage für eine professionelle Firewall bietet. Die Firewall unterstützt die heute gängigen Methoden des Filterings sowie die Möglichkeit einer Rückverfolgung von ngriffen. Es wird kein Firewall-Produkt eingesetzt, welches bei den möglichen Providern für die Zukunft bereits eingesetzt wird. (Kaskadierung ist nur mit unterschiedlichen Produkten sinnvoll). Die Systeme sollen soweit skalier- und ausbaubar sein, dass sie auch den geplanten Umstellungen und usbauten der Informatikinfrastruktur Rechnung tragen (z.b.: Providerwechsel, blösung RS, öffentliche Webzonen, Metaframe, CMS, egov). Mit diesem Projekt sollen die bestehenden Sicherheitslücken zwischen dem Stadtnetz und dem KOMSG mittels einem Firewall-System der neusten Generation eliminiert werden und für das EZ-LN der Stapo ein zusätzlicher Schutz geboten werden.

Seite 4 von 6 4 Mittelbedarf ufgrund vorliegender Offerten ergeben sich folgende ufwendungen: 4.1 Einmalige Kosten Fr. 4.1.1 Hardware Firewall-Systeme 17 000.-- Fireproof pplication-switches / Cisco Catalyst 86 000.-- Reserve 12 % 12 360.-- Zwischentotal inkl. 8'840.-- 124 200.-- 4.1.2 Software Lizenzkosten für Firewallsoftware (Clusterlizenz) 56 000.-- Reserve 10 % 5'600.-- Zwischentotal inkl. 4 700.-- 66 300.-- 4.1.3 Installation durch externe Partner Engineering / ufsetzen / Konfigurieren / Testen Reserve 10 % Inkl. 4.1.4 usbildung Schulung zweier OI-Mitarbeiter Zwischentotal inkl. 45'000.-- 4'500.-- 3'800.-- 53 300.-- 4'000.-- 300.-- 4'300.-- Total Projektkosten inkl. 248 100.-- 4.2 Wiederkehrende Kosten Jährliche Wartungsgebühr Wartung durch externen Partner (12 Monate) Reserve 10 % Total inkl. 33'000.-- 3'300.-- 2 800.-- 39 100.-- Ein Teil dieser Kosten fällt bereits im Realisierungsjahr an.

Seite 5 von 6 5 Terminplan und weiteres Vorgehen Der Informatiklenkungsausschuss hat am 12. Dezember 2001 dem Lösungskonzept zur Einführung zweier Firewall-Systeme zwischen dem Stadtnetz und dem KOMSG zugestimmt und das Projekt genehmigt. Nach dem Beschluss des Grossen Gemeinderates wird zur uswahl des Lieferanten ein Einladungsverfahren durchgeführt. Die Realisierung des Projektes bzw. die Einführung der Firewall-Systeme ist im Sommer / Herbst 2002 geplant. 6 Wirtschaftlichkeit und Nutzenüberlegungen Für die Firewall-Lösung lässt sich nur schwer ein quantifizierbarer Nutzen nachweisen. Die Stadtverwaltung St. Gallen beugt damit System- und rbeitsausfällen vor, erfüllt die Pflichten und Verantwortungen betreffend Datenschutz und erweitert ihre eigene Hardware- Infrastruktur auf ein zeitgemässes Niveau. Eine Verwaltung dieser Grösse muss zudem die Basis für ein zukünftiges Wachstum im Intranet- sowie Internetbereich in dieser rt schaffen. Bei Nichtrealisation wird ein übermässiges Risiko betreffend Datenschutz und Betriebssicherheit für die Zukunft eingegangen. Im Falle einer tatsächlichen ttacke ist unter Umständen mit sehr langen usfallzeiten der städtischen Systeme zu rechnen. usserdem ist die Gefahr zu gross, dass sensible Daten in falsche Hände geraten. 7 Finanzierung Den Betrieben und Spezialfinanzierungen werden die folgenden nteile belastet: Stadtwerke sgsw Fr. 27'000.-- VBSG Fr. 4'500.-- KV Fr. 2'300.-- Feuerwehr Fr. 4'500.-- Parkierung Fr. 4'500.-- Entsorgungsamt Fr. 9'000.-- Der auf die Betriebe mit eigenen Rechnungskreisen entfallende Betrag von Fr. 33'800.-- wird über dort vorhandene Kredite finanziert und kann daher bei der Ermittlung des Kreditbetrages in bzug gebracht werden. 8 ntrag Dem Lösungskonzept zur Einführung zweier Firewall-Systeme zwischen dem Stadtnetz und

Seite 6 von 6 dem KOMSG im Betrag von Fr. 248'100.-- wird zugestimmt und für den auf den allgemeinen Haushalt entfallenden nteil ein Verpflichtungskredit von Fr. 214 300.-- erteilt. Der Stadtpräsident: Christen Im Namen des Stadtrates Der Stadtschreiber: Linke

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback