Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

VSZGB: Säckelmeistertagung

Veröffentlicht von:Berthold Werfel Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "VSZGB: Säckelmeistertagung"—  Präsentation transkript:

1 VSZGB: Säckelmeistertagung
"Wer trägt die Verantwortung für die Sicherheit der Daten in den Gemeinden und Bezirken?" Referent: Herbert Reinecke, Leiter Amt für Informatik Ort: Muotathal Datum: 28. Oktober 2011

2 Inhalt Ausgangslage Drei Säulen der Daten- und Informationssicherheit
Gesetzliche Grundlagen Wer trägt die Gesamtverantwortung zur Datensicherheit? Wo gibt es Probleme zur Datensicherheit? Risikofelder der IT Sicherheit Massnahmen zur Verbesserung der IT Sicherheit Zusammenfassung und Ausblick Ihre Fragen Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

3 Ausgangslage Datensicherheit als Dauerthema! Rollen des Kantons:
Kanton als Gesetzgeber und Aufsichtsorgan – Aufsichtsebene Kanton als Lenker bei Verbundaufgaben – Strategieebene Kanton als Partner in der Fachgruppe ICT VSZGB - Fachgebietsebene Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

4 Ausgangslage Rollen des Kantons Kanton Gesetzgeber Strategiegestalter
Partner Aufsichtsebene Gemeinden und Bezirke Verbundebene * Fachebene * Gestaltungsebene Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

5 Ausgangslage Daten- und Informationssicherheit
Hohes Rechtsgut für Bürger und Unternehmen. IT-Crash oder Datenleck in der Verwaltung bedeutet erheblichen Vertrauensschwund gegenüber der betroffenen Behörde. IT-Compliance = Rechtskonformität Beschreibt bei Unternehmen die Einhaltung der gesetzlichen, unternehmens-internen und vertraglichen Regelungen im Bereich der Informatik. IT-Governance = Prinzipientreue IT-Führung Liegt in der Verantwortung des Rats und ist ein wesentlicher Bestandteil der Verwaltungsführung. IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Geschäftsziele der Gemeinden optimal und kostengünstig unterstützt. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

6 Drei Säulen Daten- und Informationssicherheit
Grundsatz: „Die Information ist ein zentraler Wert für das einwandfreie Funktionieren des Staates. Deshalb muss die Information angemessen geschützt werden.“ Dieser Grundsatz gilt in jedem Fall, wie auch immer die Form der Information ist, wie sie zugänglich ist und wie sie gespeichert wird! Vertraulichkeit Integrität Verfügbarkeit Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

7 Drei Säulen der Daten- und Informationssicherheit
Vertraulichkeit Die Vertraulichkeit ist dann gewährleistet, wenn die als schutzwürdig definierten Informationen nur berechtigten Personen zugänglich ist. Verlust der Vertraulichkeit: Unberechtigte haben Zugriff auf schutzwürdige Informationen. Integrität Die Integrität ist dann gewährleistet, wenn nur berechtigte Personen oder Systeme die Informationen korrekt und nachvollziehbar bearbeiten können. Verlust der Integrität: Der Inhalt der Informationen wurde bewusst oder unbewusst verfälscht. Verfügbarkeit Die Verfügbarkeit ist dann gewährleistet, wenn berechtigten Personen oder Systeme zum erforderlichen Zeitpunkt innert der erforderlichen Frist auf die betreffenden Informationen zugreifen können. Verlust der Verfügbarkeit: Die benötigten Informationen stehen zum erforderlichen Zeitpunkt vorübergehend oder dauernd nicht in der erforderlichen Qualität zur Verfügung. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

8 Gesetzliche Grundlagen
Gesetz über die Organisation der Gemeinde und Bezirke vom , SRSZ – GOG; § 40 Veröffentlichung und § 41 Archiv § 64 Datenschutz Gesetz über die Öffentlichkeit der Verwaltung und den Datenschutz vom , SRSZ Kantonales Datenschutzgesetz Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (Stand am 1. Januar 2010), (StGB); Verordnung über das Archivwesen des Kantons Schwyz, vom 10. Mai 1994, SRSZ Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

9 Wer trägt die Verantwortung zur Datensicherheit?
Strategische Verantwortung: Führungsverantwortung und Aufsichtspflicht Bezirksammänner Gemeindepräsidenten Säckelmeister Operative Verantwortung: Daten- und Betriebsverantwortung Land- und Gemeindeschreiber Kassier Rechenzentrums-Leiter IT-Verantwortliche Abteilungs-Leiter Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

10 Wer trägt die Verantwortung zur Datensicherheit?
Operative Verantwortliche: Bereiche der Verantwortung: "Datenherren" Gemeindeschreiber Landschreiber Leiter Verwaltungseinheiten Daten Vertraulichkeit und Daten Integrität Betriebs Verantwortung RZ- Leiter IT – Leiter IT - Fachpersonen Verfügbarkeit: – Systeme – Fachanwendungen Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

11 Vier Betriebsmodelle der Gemeinden nach Hosting Fachanwendungen
Modellebetrachtung drei Eingemeinde Bezirke und Gemeinden Reines RZ Modell  Einsiedeln NEST (13) Halbes RZ Modell  Freienbach RUF ohne Bürokommunikation (9) Modell: loser Verbund  unabhängige RUF Anwender (7) Modell: ohne Verbund  HEIMER Anwender (1) - Internet häufig separat bei Internetprovidern ausgelagert - Nur eine Veränderung in den letzten 5 Jahren - Gemeinde Schwyz  RZ Einsiedeln Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

12 Betriebsmodelle der Bezirke und Gemeinden aus strategischer Sicht
Modell Leistungserbringer Eigenschaften Beurteilung aus Sicht Betriebssicherheit 1 Reines RZ Modell Einsiedeln NEST und alle Anwendungen – keine Betriebsverantwortung; keine eigenen Server für Leistungsbezüger Klare Abtretung an Leistungserbringer; hat Macht gegenüber Lieferant  Optimal 2 Halbes RZ Modell Freienbach RUF ohne Officeanwendungen; eigene Server von 9 Gden. zu betreiben Abtretung Haupt-Anwendung; Betriebskompetenz erforderlich  suboptimal 3 Loser Verbund RUF Gemeinden Identische Software für EWK und Steuern, gesamte Betriebsverantwortung bei der Gemeinde – (wenige Köpfe) Für mittlere und kleinere Gemeinden Risiko: Abhängigkeit zu internen und externen Betreuern. 4 Kein Verbund HEIMER Ein isolierter Anwender im ganzen Kanton Keine Synergien durch Kantonsinterne Gemeinden  strategisch suboptimal Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

13 5. Wo gibt es Probleme zur Datensicherheit ?
Es sind dem AFI keine Schadensmeldungen oder Verstösse bekannt. Sicherheits-Audit im 2009 der Fa. CNLAB, Rapperswil: Auftrag des AFI bei der Anbindung der Gemeinden an das Kantonsnetzwerk Geprüft: 2 Rechenzenter 1 Leistungsbezüger RZ NEST 1 NEST Anwender 1 Leistungsbezüger RZ RUF 6 RUF Anwender 1 Heimer Anwender 160 Feststellungen bei 9 Gemeinden und 3 Eingemeinde-Bezirken. c) Befunde aus den Kommunaluntersuchen des Sicherheitsdepartements mit dem Kantonalen Datenschutzbeauftragten 2010 und 2011. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

14 Ergebnis des Audits nach Dringlichkeit
Sicherheits Audit im 2009 der Fa. CNLAB, Rapperswil Auftrag des AFI bei der Anbindung der Gemeinden an das Kantonsnetzwerk Ergebnisse aus 9 Gemeinden und 3 Eingemeindebezirke: Gemeinden/Bezirke Anzahl Befunde   Anzahl Befunde Hoch – sehr dringlich Mittel – muss Tief – Empfehlung Sechs Gemeinden (0 Hoch) 47 13 Vier Gemeinden (1 Hoch) 4 42 8 Zwei Gemeinden (3 u.4 Hoch) 7 26 Zwölf Gemeinden Total 160 11 115 34 Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

15 Beispiele von Befunden aus dem Sicherheits-Audit
Befunde mit "Hoch" – sehr dringlich: "Unberechtigter Zugang zum Netzwerk – Firewall Administration über das Internet ungeschützt"; "Unberechtigter Zugang auf sensitive Daten" – Keine Authentisierung des Ziel Servers für den Benutzer von aussen; "Fehlende Sicherheits – Patches älter drei Monate" – Fehlerbehebungen von Microsoft im Sicherheitsbereich wurden nicht installiert – das System kann aus dem Internet angesprochen werden. Befunde mit "Mittel" - Muss: Zu hohe Privilegien für einzelne Mitarbeiter – Fehlende Nachvollziehbarkeit einzelner Tätigkeiten – grosse Anzahl von Administrations-Benutzern. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

16 Befunde des Sicherheits-Audits zum Kantonsnetzwerk 2009
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

17 Feststellungen des AFI zur Umsetzung aus dem CNLAB Audit
Dort wo Risiken für das Kantonsnetzwerk bestanden – wurden die Nachbesserungen geleistet; Die Umsetzung von planerischen und organisatorischen Massnahmen ist nur partiell erfolgt; Verbindliche Rollenkonzepte und fixierte Rechteverwaltung fehlen häufig; Dort wo Sicherheitsvorkehrungen den Betriebsprozess stören können, wird in der Regel auf die Umsetzung dieser Massnahmen verzichtet; die Anpassungen der Lokalitäten nach RZ Norm müssen langfristig geplant werden; Die Eigenbeurteilung wird höher gewichtet als die Fremdbeurteilung. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

18 Befunde des Datenschützers aus den Kommunaluntersuchen
Im Vergleich zu einem spezialisierten ICT Auditor setzt der Datenschützer mit Fragestellungen im organisatorischen und administrativen an. Seine Befunde zur Datensicherheit decken sich mit den Feststellungen der Fa. CNLAB Auswahl von Feststellungen des Datenschützers: „Zugriffsberechtigung sind nicht schriftlich geregelt“; „es existiert keine Liste der externen Personen mit Zugriffsrechten“; „Backups erfolgen an zwei Standorten“; „im Serverraum befindet sich eine Gasheizung“; „es besteht kein übergreifendes Informatiksicherheitskonzept der Gemeinde“. Empfehlungen des Datenschützers: Auslagerung des Informatikbetriebs an grösseres RZ – das RZ als Leistungserbringer IT-Sicherheitspolitik anpassen. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

19 6. Risikofelder der IT Sicherheit
Angriffe von Aussen auf Websites MELANI: Melde- und Analysestelle Informationssicherung Bund: Empfehlung: Halbjahresberichte Website Infektionen anhaltend hoch Internetportale werden gehackt und mit Schadsoftware (Computerwurm) infiziert Der Mann in der Mitte – nutzt Schwächen bei unzureichender Verschlüsselung Veränderungen werden festgestellt - Vandalenakte  Racheakte Überreaktion auf Verfügung – wird als Behördenwillkür verstanden Politisch motivierte Störaktionen Vorfälle: "Swisscom Mobile Kunden" Internetausfall 9. Nov. 2010 Zahlungsportal "Post Finance" lahm gelegt Angriffe auf Schweizer Unternehmen im Zusammenhang mit Wikileaks Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

20 6. Risikofelder der IT Sicherheit
Angriffe von Aussen Social Engineering: Ausnutzung der Hilfsbereitschaft, Gutgläubigkeit oder der Unsicherheit von Mitarbeitenden mit direkten Telefonanrufen. Vortäuschung als autorisierte Person unserer Supportfirma zur Herausgabe von Benutzernamen und Passwort. Phishing: "Passwort–Ernten" (Fischen im Internet). Der Benutzer wird via Link auf eine nachgeahmte Website geführt, die 1:1 der eBanking Website unserer Haus Bank entspricht. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

21 6. Risikofelder der IT Sicherheit
Bedrohungspotenzial von Innen Faktor Mensch als schwaches Glied in der Risiko-Kette. Innen Bedrohungspotenzial Gemäss Studien sehr hoch. IT Mitarbeitende und auch Benutzer gehören dazu. Abhängigkeit: IT-Personal - Kompetenz konzentriert auf wenige Mitarbeiter Erpressung: Hohe Abhängigkeit erhöht das Risiko der Erpressbarkeit Datenklau: Bereicherung - (Datenverkauf an die Deutschen Behörden) Selbstinszenierung – Enthüllungsplattform WikiLeaks Offene / versteckte Ungerechte Behandlung Sabotage: Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

22 6. Risikofelder der IT Sicherheit
Hoch- und Horrorrisiken Datenkorruptionen/ Verfälschungen auf der Datenbank – Datenkopie auch Datenverlust: defekt oder nicht aktuell. Brandfall – Hochwasser: Geschäftsweiterführung nicht vorbereitet, keine externe Auslagerung der Daten. Magnetische Störfelder: Thema für Geheimdienste – Daten in Hochrisiko sicheren Stollen auslagern – Papierausdruck. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

23 7. Massnahmen zur Verbesserung der IT Sicherheit
Wahrnehmen der Führungs- und Aufsichtspflicht Umsetzung der Befunde aus dem vom AFI veranlassten CNLAB Bericht 2009 Befunde ROT – Hohes Risiko – Umsetzung dringlich – sollte längst erfolgt sein; Befunde Orange - Mittleres Risiko – Umsetzung ist vorzunehmen (Muss). Umsetzung der Befunde des Kant. Datenschützers aus dem Kommunaluntersuch Pendenzen - Muss Empfehlungen – im Interesse einer Verbesserung der Datensicherheit - umzusetzen. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

24 Ergebnis des Audits nach Dringlichkeit
Sicherheits Audit im 2009 der Fa. CNLAB, Rapperswil Auftrag des AFI bei der Anbindung der Gemeinden an das Kantonsnetzwerk Ergebnisse aus 9 Gemeinden 3 Eingemeindebezirke: Gemeinden/Bezirke Anzahl Befunde   Anzahl Befunde Hoch – sehr dringlich Mittel – muss Tief – Empfehlung Sechs Gemeinden (0 Hoch) 47 13 Vier Gemeinden (1 Hoch) 4 42 8 Zwei Gemeinden (3 u.4 Hoch) 7 26 Zwölf Gemeinden Total 160 11 115 34 Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

25 7. Massnahmen zur Verbesserung der Datensicherheit
Massnahmen zur Sicherung der System Verfügbarkeit Muss-Anforderungen an den Leistungserbringer sind zu definieren (Service Level Agreement). Tauglichkeit des IT Raums sicherstellen, Zugangsabsicherung. Klares Backup Konzept, kontinuierliche Auslagerung der Daten, Wiederanlauf Simulation. Firewall Konfiguration durch Profi – Zugriff von aussen nur verschlüsselt. Doppelte Auslegung von kritischen Geräteeinheiten (z. B. redundanter Datenspeicher). Ständiges Einpflegen von SW-Korrekturen (Patches, Antiviren-SW). Notfallkonzept aktualisiert mit Abläufen zur Geschäftsfortführung (Business Continuity Management). Umsetzung geplant: Einführung SLA des RZ Einsiedeln Doppelte Hauptlinie des Kantonsnetzwerks in die Ausserschwyz (Backbone Redundanz 2013) Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

26 7. Massnahmen zur Verbesserung der Datensicherheit
Massnahmen zur Sicherung der Vertraulichkeit und Integrität Anwenderrollenkonzept und aktualisierte Berechtigungsliste. Berechtigungen für die externen Supporter eindeutig zuweisen. Periodische Aufforderung für die Passworterneuerung (mit komplexem Wortaufbau). Zugriffe vom Internet nur mit starker Authentisierung (z.B. SMS, Token). Administratorenrechte selektiv vergeben (root Passwort) Der Rekrutierung von IT-Personal höchste Beachtung schenken – Soziale Anforderungen den fachlichen Anforderungen mindestens gleichsetzen Mobile Geräte  Standards definieren, restriktive Portöffnung, Wireless absichern. Geplante Vorhaben Kanton Schwyz: Verkehr der Behörden über das Kantonsnetzwerk zu führen Zentralschweizer Kantone: Lösung für Administration, Autorisierung und Authentisierung (IAM) – Basis wird SuisseID – Single sign-on Künftige Anforderung: Speziell schützenswerte Daten und Prozesse sind mit einer automatischen Zugriffsaufzeichnung zu versehen (Rückverfolgbarkeit) Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

27 7. Massnahmen zur Verbesserung der Datensicherheit
Strategische Massnahmen Bestehende Rechenzenter bezüglich IT-Sicherheit festigen – damit diese kompetent weitere Aufgaben übernehmen können; Gezielte Audits auf technischer wie organisatorischer Ebene periodisch durchführen – keine Gefälligkeits-Gutachten, Kosten – Nutzen vertretbar; Zertifizierung nach ISO 27001Informationssicherheits-Managementsystem als Option – Zertifikat nicht als Feigenblatt. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

28 8. Zusammenfassung und Ausblick
Drei Säulenprinzip der Daten- und Informationssicherheit: - Verfügbarkeit - Vertraulichkeit - Integrität Ausreichende Gesetzesgrundlage mit dem Kant. DSG und dem GOG. Die Massnahmen zu den Feststellungen der CNLAB von 2009 und Befunde aus den laufenden Kommunaluntersuchen sind konsequent zu bearbeiten. Strategisches Veränderungspotenzial zur IT im Rat diskutieren und durch die RZ- Leiter Einsiedeln und Freienbach prüfen lassen – beide sind Mitglieder der Kantonalen E-Government Kommission. Die Behörden haben gesetzeskonform zu handeln und die IT-Prozesse zeitgemäss unter guter Kontrolle zu halten (IT-Compliance und IT-Governance). Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

29 8. Zusammenfassung und Ausblick
Die Daten und IT-Verantwortung liegt bei Ihnen: - Gemeindepräsidenten, Säckelmeister: strategisch - Gemeindeschreiber, Kassiere, IT-Fachleute: operativ Realistische Ausgaben für die IT-Sicherheit sind gut angelegt – Vollkostenbetrachtung vorher – nachher. IT – Sicherheit = Dauerprozess Zum Glück keine ernsthaften Vorfälle – hüten wir uns! Die Durchgängigkeit von Behördenprozessen mit IT Unterstützung soll die Verwaltungsprozesse beschleunigen – nicht jedoch die Gemeindeautonomie untergraben. Junge Generationen von Bürgern bestimmen die Zukunft – Facebook und Twitter. Die Kommunikation zwischen den Bürgern, Unternehmen und den Behörden wird auf elektronischem Weg intensiviert werden. Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

30 8. Zusammenfassung und Ausblick
Clevere Lösungen.. Fragen? Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken

Herunterladen ppt "VSZGB: Säckelmeistertagung"

Ähnliche Präsentationen

Empfehlungen Kurzfristig Mittelfristig Langfristig Prozesse

Empfehlungen Kurzfristig Mittelfristig Langfristig Prozesse
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Juristische Aspekte der IT-Sicherheit

Juristische Aspekte der IT-Sicherheit
Wie kann betriebliche Gesundheitsförderung einen Beitrag zur Modernisierung des Öffentlichen Dienstes leisten? von Senatsdirektor Dr. Volker Bonorden Senat.

Wie kann betriebliche Gesundheitsförderung einen Beitrag zur Modernisierung des Öffentlichen Dienstes leisten? von Senatsdirektor Dr. Volker Bonorden Senat.
IT – Struktur an Schulen

IT – Struktur an Schulen
Pflege der Internetdienste

Pflege der Internetdienste
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn Handhabung.

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn Handhabung.
Zertifizierung von Software: CMM oder ISO 9000

Zertifizierung von Software: CMM oder ISO 9000
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Beurteilung der Arbeitsbedingungen

Beurteilung der Arbeitsbedingungen
Datenschutz in der Social-Media-Nutzung durch öffentliche Verwaltungen

Datenschutz in der Social-Media-Nutzung durch öffentliche Verwaltungen
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Grundschutztools 23.02.2003.

Grundschutztools
Gesundes Führen lohnt sich !

Gesundes Führen lohnt sich !
Was ist Qualität? Qualität nach DIN ISO ist das...

Was ist Qualität? Qualität nach DIN ISO ist das...
Wie E-Health & ELGA unser Leben verändern APA E-Business-Community 25. Juli 2013 Susanne Herbek, ELGA GmbH.

Wie E-Health & ELGA unser Leben verändern APA E-Business-Community 25. Juli 2013 Susanne Herbek, ELGA GmbH.
© 2010-2012 VMware Inc. Alle Rechte vorbehalten. My VMware Einfacheres Management von Produktlizenzen und Support Neueinführung 2012.

© VMware Inc. Alle Rechte vorbehalten. My VMware Einfacheres Management von Produktlizenzen und Support Neueinführung 2012.
Die Umsetzung der ISO/IEC 17020

Die Umsetzung der ISO/IEC 17020

Ähnliche Präsentationen

Google-Anzeigen