Schutz vor und für Administratoren Bernd Zöllkau, SAP/NT-Konferenz der Betriebs- und Personalräte, Deine Energie ist hier.
Zur Person Name: Arbeitgeber: Bernd Zöllkau Stadtwerke Kiel AG Tätigkeit: Datensicherheitsbeauftragter Datenschutzbeauftragter Betriebsrat Vertreter für den Konzernbeauftragten für Informationssicherheit im MVV-Konzern Bestellungen: Stadtwerke Kiel AG 24sieben GmbH SWKiel Service GmbH SWKiel Netz GmbH 24/7 IT-Services GmbH Nordland Energie GmbH Schutz vor und für Administratoren Seite 2
Auslösende Momente (1) 2003 Stellungnahmen der Datensicherheit zu Administratorenkonzept der IT 2004 Stellungnahme der Datensicherheit zu lokalen Administrationsrechten auf Endgeräten 2004 Stellungnahme der Datensicherheit zu Fachbereichsadministratoren Schutz vor und für Administratoren Seite 3
Auslösende Momente (2) 2006 Ein subjektives Empfinden von Datenunsicherheit auf einem Notebook Wer kann eigentlich sehen, was auf meinem Rechner gespeichert ist. Sind meine Daten, die ich für den Vorstand erarbeitet habe, noch geheim? Schutz vor und für Administratoren Seite 4
Auslösende Momente (3) 2007 Umsetzung Telefon-Abrechnungsserver von TK-Abteilung zur IT-Abteilung Schutz vor und für Administratoren Seite 5
Erste Schritte (1) 2006 Einführung der Notebookverschlüsselung Begrenzung und Benennung der dafür zuständigen Administratoren Einrichtung eines VIP -Kreises Schutz vor und für Administratoren Seite 6
Erste Schritte (2) 2007 Suche nach einem Tool zur Überwachung priviligierter Benutzer (Admininstratoren) wegen Zusage gegenüber dem Vorstand und dem Betriebsrat, eine Software zu installieren, die nachweist, dass auf unternehmenskritische und vertrauliche Daten nicht unbefugt zugegriffen wurde und die vom Vorstand herausgegebenen Sicherheitsrichtlinien eingehalten werden. Schutz vor und für Administratoren Seite 7
Projekt (1) Zielsetzung: 1. Schutz der Arbeitnehmer durch eine stetige Protokollierung des Benutzerverhaltens in Bezug auf die kritischen Daten und Systeme sowie die Nachhaltung der Informationen zur forensichen Analyse bei Bedarf (Revisionssicher) 2. Überwachung des Benutzerverhaltens der priviligierten Benutzer und Prüfung gegen die Unternehmensrichtlinien 3. Frühwarnsystem zur Erkennung von möglichen Schwachstellen in der IT- Infrastruktur Schutz vor und für Administratoren Seite 8
Projekt (2) Fortsetzung Zielsetzung: 4. Nachvollziehbarkeit bei kritischen Systemveränderungen 5. Protokollierung von Zugriffen auf unternehmenskritische Informationen wie Personaldaten/Kundendaten/Vorstands- und Betriebsratsinformationen 6. Einhaltung des 4-Augen-Prinzips für die Protokollanalyse bei einem schwerwiegendem Verstoß gegen die IT- Sicherheitsrichtlinien Schutz vor und für Administratoren Seite 9
Projekt (3) Systeme: 1. Windows-Systeme 2. Windows-Benutzerverwaltung 3. RSA-Authentifikationen-Server 4. Email-Systeme Exchange 5. Webserver 6. SAP Systeme 7. SAP Benutzerverwaltung 8. Oracle-Datenbanksysteme 9. MS-SQL Datenbanksysteme 10. Firewall-Systeme 11. Router-Systeme Schutz vor und für Administratoren Seite 10
Projekt (4) Fortsetzung Systeme: 12. Filesysteme nn Fortschreibung notwendiger Systeme oder Systemkomponenten - Regelmäßige Überprüfung der überwachten Systeme ist erforderlich Schutz vor und für Administratoren Seite 11
Projekt (5) - Der Vorstand beauftragt die Informationssicherheit mit der Projektleitung - Enge Zusammenarbeit während des gesamten Projektes mit dem Betriebsrat - Erarbeitung einer Betriebsvereinbarung - Die IT als betroffenes Dienstleistungsunternehmen kann nur beratend mitwirken - Externe IT (Fachbereiche, Gesellschaften) müssen ebenfalls betrachtet werden Schutz vor und für Administratoren Seite 12
Geplanter Betrieb - Ampelsystem Vorfallsmeldung z.b. per Email, SMS - Zugriff auf Reports nur für Informationssicherheit und Datenschutz - Bei Vorfällen wird Einsicht in die Protokolle nur einem Gremium gewährt, in dem der Betriebsrat vertreten ist Schutz vor und für Administratoren Seite 13
Projektstand 2008 Erarbeitung einer Vorstandsvorlage Erarbeitung einer Betriebsvereinbarung Betriebsrat Kiel stimmt dem Projekt zu CIO erhält Projektantrag und muss Vorstand einbinden Betriebsräte des Konzerns eingebunden 2011 Umsetzung der Maßnahme angestossen Schutz vor und für Administratoren Seite 14
Zu erwartende Probleme - IT - Mitarbeiter - Compliancebeauftragte - Revision Schutz vor und für Administratoren Seite 15
Vielen Dank Kontakt: Bernd Zöllkau Datenschutzbeauftragter Stadtwerke Kiel AG Uhlenkrog 32 24113 Kiel Telefon: +49 431 594 2589 Mobil: +49 171 869 1479 Fax: +49 431 594 46 2589 Email: bernd.zoellkau@swkiel.de Schutz vor und für Administratoren Seite 16