IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte – Workshop und Erfahrungsaustausch Matthias Hög Senatsverwaltung für Inneres und Sport ZS C Jens Redlich Senatsverwaltung für Stadtentwicklung und Umwelt

Aktuelle IT-Sicherheitsvorfälle heise.de: News-Meldung vom 02.08.2012 Kundendaten bei Online-Brillenladen Mister Spex geklaut Unbekannte konnten bei einem Hackerangriff auf den Internetoptiker Mister Spex auf die Kundendatenbank zugreifen. Laut dem Berliner Unternehmen hatten die Angreifer dabei Zugriff auf Adressdaten und Passwörter und habe diese möglicherweise auch kopiert. Gehasht waren die Passwörter demnach nicht. Zahlungsinformationen seien nicht betroffen, da diese laut Mister Spex nicht gespeichert werden.

Aktuelle IT-Sicherheitsvorfälle heise.de News-Meldung vom 26.07.2012 13:40 Oracles Sicherheitslücke im Dateikonverter gefährdet nicht nur Server-Dienste Einige der vergangene Woche von Oracle eigentlich geschlossenen Sicherheitslücken ziehen große Kreise. Denn die Bibliothek Oracle Outside In kommt in vielen Produkten zum Einsatz, um Dateien verschiedenster Formate zu konvertieren. Neben Microsofts Exchange und Sharepoint sind auch Produkte von Cisco, HP, IBM, Novell, Symantec, McAfee und anderen betroffen.

Aktuelle IT-Sicherheitsvorfälle heise.de: News-Meldung vom 25.04.2012 16:35 Hintertür in Netzwerk-Hardware für Industrieanlagen Das Betriebssystem Rugged Operating System (ROS) des Herstellers RuggedCom enthält eine undokumentierte Hintertür. Die Siemens-Tochter hat sich auf Netzwerk-Equipment für industriellen Einsatz in "rauen Umgebungen" spezialisiert; sie wirbt unter anderem für die Verwendung der Switches und Server in Kraftwerken, Öl-Raffinerien, beim Militär und in der Verkehrsüberwachung. Besonders erschütternd ist die Timeline dieses Vorgangs. Die Entdecker des Problems nahmen nämlich vor über einem Jahr Kontakt mit RuggedCom auf. Dort bestätigte man demnach zwar, von der Existenz dieser Hintertür zu wissen, zeigte jedoch anscheinend keine Bereitschaft, sie zu entfernen.

Aktuelle IT-Sicherheitsvorfälle heise.de News-Meldung vom 31.07.2012 19:15 Hacker nahmen EU-Politiker ins Visier Chinesische Hacker sollen unter anderem die E-Mails von EU-Ratschef Herman Van Rompuy und anderen europäischen Spitzenpolitikern ausspioniert haben. Das berichtete die Nachrichtenagentur Bloomberg. Der Rat (die Vertretung der EU-Staaten) wollte den Angriff gegenüber der Nachrichtenagentur dpa am Dienstag weder dementieren noch bestätigen. … Im Visier hätten die Hacker Investment-Banken oder Ölfirmen gehabt – oder eben europäische Spitzenpolitiker und -beamte.

Aktuelle IT-Sicherheitsvorfälle Warnmeldung BSI vom 27.08.12 Kritische Schwachstelle in allen 7er Versionen von JAVA Ausführung von Remote-Code beim Besuch von Web-Sites möglich Exploits verfügbar, Schwachstelle wird bereits ausgenutzt BSI empfiehlt, grundsätzlich auf den Einsatz von Java in den Browser-Plug-Ins beim Besuch von Internetseiten zu verzichten.

Aktuelle IT-Sicherheitsvorfälle Warnmeldung BSI vom 18.09.12 Kritische Schwachstelle im Internet Explorer 6, 7, 8 und 9 Ausführung von Remote-Code beim Besuch von Web-Sites möglich Exploits verfügbar, Schwachstelle wird bereits ausgenutzt BSI empfiehlt, bis zur Verfügbarkeit eines Patches einen alternativen Browser einzusetzen. grundsätzlich eine Zwei-Browser-Strategie, um bei aktuellen Schwachstellen eines Browsers ggf. auf das andere Produkt umschalten zu können.

Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin IT-Sicherheitsprozess IT-Sicherheitskonzept

IT-Sicherheitsbeauftragte IT-Sicherheitsgrundsätze Tz. 3.7 IT-Sicherheitsbeauftragter - begleitet die Umsetzung und Fortschreibung eines behördlichen IT-Sicherheitskonzeptes, - organisiert die Zusammenarbeit mit anderen Bereichen der Behörde, die sicherheitsrelevante Aufgaben wahrnehmen (z. B. Brandschutzbeauftragter, Datenschutzbeauftragter usw.), - koordiniert und kontrolliert das Zusammenspiel zwischen den verfahrensspezifischen IT-Sicherheitskonzepten und dem behördlichen IT-Sicherheitskonzept und - moderiert, sofern eingerichtet, das IT-Sicherheitsmanagementteam. Die Einrichtung eines ständigen IT-Sicherheitsmanagementteams wird insbesondere bei großen Behörden mit vielfältigem IT-Einsatz empfohlen.

IT-Sicherheitsbeauftragte IT-Grundschutzkatalog Maßnahme M 2.193 „Die Funktion des IT-Sicherheitsbeauftragten muss … in jeder Institution eingerichtet werden, da er für alle Belange der Informationssicherheit zuständig ist.“

Aufgaben IT-Sicherheitsbeauftragte Informationssicherheitsprozess steuern und koordinieren, Leitungsebene bei Erstellung der Leitlinie zur Informationssicherheit unterstützen Erstellung des Sicherheitskonzepts koordinieren, Realisierungsplan für die Sicherheitsmaßnahmen erstellen und Realisierung initiieren und überprüfen, Leitungsebene und IS-Management-Team über Status Quo der Informationssicherheit berichten, sicherheitsrelevante Projekte koordinieren und Informationsfluss zwischen Beteiligten sicherstellen, sicherheitsrelevante Zwischenfälle untersuchen Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und steuern. (IT-Grundschutzkatalog Maßnahme M 2.193, BSI 100-2 Tz 3.4.4)

Aufgabenwahrnehmung Empfehlung BSI: Rolle als Stabsstelle einrichten In kleinen Institutionen kann die Funktion des IT-Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Ausreichend Zeit für Aufgabenwahrnehmung qualifizierte Vertretung benennen (IT-Grundschutzkatalog Maßnahme M 2.193, BSI 100-2 Tz 3.4.4)

Anforderungen IT-Sicherheitsbeauftragte Wissen und Erfahrung in den Gebieten Informationssicherheit und Informationstechnik Überblick über Aufgaben und Ziele der Behörde Identifikation mit den Zielsetzungen der Informationssicherheit Kooperations- und Teamfähigkeit Fähigkeit zum selbständigen Arbeiten Durchsetzungsvermögen Erfahrungen im Projektmanagement (IT-Grundschutzkatalog Maßnahme M 2.193, BSI 100-2 Tz 3.4.4)

Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin IT-Sicherheitsprozess IT-Sicherheitskonzept

Regelungen im Land Berlin Übersicht AöR–Gesetz zu ITDZ VV IT-Steuerung IT-Organisationsgrundsätze IT-Sicherheitsgrundsätze IT-Standards „best practices“ Bericht zur Informationssicherheit (IS-Bericht)

Zusammenhang der Regelungen AöR-Gesetz ITDZ VV IT-Steuerung IT-Sicherheitsgrundsätze IT-Orggrundsätze … Standards zu IT-Sicherheit IS-Bericht ModellSiKo IT-GSKat … Best practice Best practice

IT-Sicherheitsgrundsätze (1) Senatsbeschluss vom 11 IT-Sicherheitsgrundsätze (1) Senatsbeschluss vom 11. Dezember 2007 (Rundschreiben Inn Nr. 57/2007) definieren Sicherheitspolitik (security policy) für Berliner Verwaltung Grundanforderungen an sicheren IT-Einsatz Legen Rollen und Aufgaben bzgl. IT-Sicherheit fest Sicherheitskonzepte als Voraussetzung für IT-Einsatz Controlling durch IT-Sicherheitsbericht Konkretisierung durch Standards zur IT-Sicherheit AG IT-Sicherheit als ständige Arbeitsgruppe

IT-Sicherheitsgrundsätze (2) Eckpunkte IT-Sicherheit Voraussetzung und Bestandteil des IT-Einsatzes IT-Sicherheit ist integraler Bestandteil der Fachaufgabe. Damit verbleibt, ausgehend von der fachlichen Verantwortung, die letztendliche Verantwortung für IT-Sicherheit bei der jeweiligen Behörde. Verzicht bei untragbaren Restrisiken IT-Sicherheit als Prozess gestalten Die Gewährleistung von IT-Sicherheit ist als fortlaufender Prozess zu gestalten. Dazu zählen insbesondere die regelmäßige Überprüfung der Umsetzung und Wirksamkeit von Sicherheitsmaßnahmen und die Fortschreibung der IT-Sicherheitskonzepte.

IT-Sicherheitsgrundsätze (3) Eckpunkte Zuweisung der Aufgaben an Rollen gemäß IT-OrgGS Verhältnismäßigkeit Bei der Auswahl und Realisierung von Sicherheitsmaßnahmen ist das Verhältnismäßigkeitsgebot (aufzuwendende Mittel im Verhältnis zum Grad der Sicherheitsverbesserung) zu beachten. Behördliche und verfahrensspezifische IT-Sicherheitskonzepte Standards und IT-Grundschutz Vorgehensmethodik und Anforderungen bzgl. notwendiger Sicherheitskonzepte und -maßnahmen basieren auf den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). IT-Sicherheitsbericht als Controllinginstrument

Standards zu IT-Sicherheit VV IT-Steuerung IT-Sicherheitsgrundsätze IT-Orggrundsätze … Standards zu IT-Sicherheit IS-Bericht ModellSiKo IT-GSKat … Best practice Best practice

IT-Standards Bis 2006: IT-Warenkorb und IT-Sicherheitsstandards IT-Sicherheitsstandards sind in IT-Standards integriert (Abschnitt „IT-Sicherheit“) http://www.verwalt-berlin.de/seninn/itk/standards/index.html

Bericht zur Informationssicherheit (IS-Bericht) VV IT-Steuerung IT-Sicherheitsgrundsätze IT-Orggrundsätze … Standards zu IT-Sicherheit IS-Bericht ModellSiKo IT-GSKat … Best practice Best practice

Bericht zur Informationssicherheit „Controlling“ von IT-Sicherheit Jährlich erstellt und im IT-Koordinierungsausschuss (ITK) beraten Sachstandsdarstellung, Beschreibung neuer Risiken, Maßnahmenvorschläge (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html#berichte)

AG IT-Sicherheit IT-Sicherheitsgrundsätze: „Das ITK richtet eine ständige Arbeitsgruppe „IT-Sicherheit“ … mit folgenden Aufgaben ein: Mitarbeit am jährlichen IT-Sicherheitsbericht Bearbeitung konkreter Aufträge des ITK zu Fragen der IT-Sicherheit Mitwirkung an der Fortschreibung der Standards zur IT-Sicherheit Regelmäßiger Informations- und Erfahrungsaustausch zu allen relevanten Fragen der ITSicherheit. Weitere Aufgaben können der AG bei Bedarf zugewiesen werden.“

AG IT-Sicherheit Derzeit 15 Behörden in AG vertreten (RH, BlnBDI, ITDZ, Bezirke, SV, nachgeordnete Einrichtungen) Regelmäßige Sitzungen (i. A. jeden zweiten Monat) Protokolle im Intranet (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html) Beispiel für Tagesordnung: Sicheres Cloud Computing Intrusion Detection (IDS) Sicherer Einsatz mobiler Endgeräte

IT-Sicherheit im Intranet http://www. verwalt-berlin

Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin IT-Sicherheitsprozess IT-Sicherheitskonzept

Grundlagen BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ISO 27001 / 27002 - Information technology – Security techniques – Information security management systems – Requirements

Kernelemente ISMS Organisation Rollen und Aufgaben festlegen Organisationsstruktur aufbauen IT-Sicherheitsbeauftragter / IS-Beauftragter IS-Management Team genaue Ausprägung der Struktur abhängig von Größe und Aufgaben der Behörde

IS als Prozess gestalten Kernelemente ISMS IS als Prozess gestalten Planen (Plan) Rahmenbedingungen beschreiben IS-Leitlinie erstellen und verabschieden IS-Organisation aufbauen und bei Bedarf anpassen Umsetzen (Do) IT-Sicherheitskonzepte erstellen und umsetzen Erfolgkontrolle (Check) Sachstand und Wirksamkeit der Maßnahmen regelmäßig bewerten Optimierung (Act) erforderliche Optimierungsmaßnahmen veranlassen

Verantwortung Behördenleitung Kernelemente ISMS Verantwortung Behördenleitung Übernahme der Gesamtverantwortung für die IS Bestellung IS-Beauftragten für Konzeption, Koordinierung und Prüfung der IS Integration der IS in alle Prozesse und Projekte der Institution Steuerung und Aufrechterhaltung der IS IS-Leitlinie verabschieden organisatorischen Rahmenbedingungen für IS schaffen ausreichende Ressourcen zur Gewährleistung der IS bereit stellen Zielerreichung überwachen Motivation der Beschäftigten, Gewährleistung ausreichender Schulungs- und Sensibilisierungsmaßnahmen Übernahme der Vorbildfunktion

Kernelemente ISMS Kommunikation Die ausreichende und adressatengerechte Kommunikation zu Fragen der IS ist notwendig. Das bedeutet u. a. Regelmäßige Managementberichte an Leitungsebene durch IS-Management Informationsfluss Richtung Anwenderinnen und Anwender sicherstellen Aktuelle, konsistente und für die davon Betroffenen abrufbare Dokumentation

IS-Leitlinie Leitaussagen zur Informationssicherheitsstrategie in einer Behörde: Geltungsbereich Stellenwert der IS Sicherheitsziele Strategische IS-Maßnahmen IS-Organisation Erfolgskontrolle (vgl. Muster für IS-Leitlinie http://www.verwalt-berlin.de/imperia/md/content/intranet/seninn/it-kompetenzzentrum/it-sicherheit/110310_muster_is_leitline_v_1.0.pdf)

Prozess Sicherheitsvorfälle AG IT-Sicherheit hat verbindliches Konzept zur Behandlung von IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen erstellt: Wesentliche Inhalte: Einordnung von Sicherheitsvorfällen Verhaltensregeln beim Auftreten eines Sicherheitsvorfalls Abläufe und Meldewege Nachbereitung und Auswertung

Prozess Sicherheitsvorfälle Aufbau Berlin-CERT (geplant) CERT - Computer Emergency Response Team - Organisationseinheit, um IT-Sicherheitsvorfällen wirksam begegnen zu können Aufgaben (Beispiel CERT-Bund) erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung, weist auf Schwachstellen in Hardware- und Software-Produkten hin, schlägt Aktionen vor, um bekannte Sicherheitslücken zu beheben, unterstützt bei der Reaktion auf IT-Sicherheitsvorfälle, empfiehlt reaktive Maßnahmen zur Schadensbegrenzung oder -beseitigung

Prozess Sicherheitsvorfälle Aufbau Berlin-CERT (geplant) IT-Planungsrat hat den Aufbau einer Bund-Länder-übergreifenden CERT-Struktur beschlossen in jedem Bundesland ist ein CERT aufzubauen Berlin: ausgehend von vorhandenen Elementen Aufbau eines Berlin-CERT Konzept zum Vorgehen wird derzeit in AG IT-Sicherheit vorbereitet, dazu möglichst umfassend Erfahrungen anderer Bundesländer nutzen.

Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin IT-Sicherheitsprozess IT-Sicherheitskonzept

IT-Sicherheitskonzepte Themen Behördliche und verfahrensspezifische IT-Sicherheitskonzepte Grundschutzkatalog des BSI Modellsicherheitskonzept

IT-Grundschutz - ModellSiKo Der IT-Grundschutz ist auf Basis der Sicherheitsmaßnahmen gemäß dem Grundschutzkatalog des BSI in der jeweils aktuellen Fassung zu gewährleisten. Für das Erstellen von Sicherheitskonzepten sind die methodischen Vorgaben des BSI (BSI-Standards 100-x) zu beachten. Das ModellSiKo konkretisiert die Maßnahmen des Grundschutzkatalogs und unterstützt die Realisierung behördlicher IT-Sicherheitskonzepte.

Behördliche IT-Sicherheitskonzepte Fokus auf IT-Grundschutz für IT-Infrastruktur in der Behörde Behörde kann aus mehreren Teildomänen (z. B. Standorten) bestehen Ergänzungen für Domänen mit hohem Schutzbedarf prüfen Beispiel: ModellSiKo

Verfahrensspezifische IT-Sicherheitskonzepte Fokus auf verfahrensspezifischen IT-Sicherheitsmaßnahmen Setzt auf realisiertem Grundschutz in Behörde auf Abstimmung erforderlich AG IT-Sicherheit und AG IT-Verfahren haben unter Mitwirkung des BlnBDI eine Mustervorlage für ein verfahrensspezifisches IT-Sicherheitskonzept erstellt.

Schutz der Daten, Authentisierung, Zugriffsrechte, Administration, … Schnittstellen SiKo Verfahren A SiKo Verfahren B SiKo Verfahren C Schutz der Daten, Authentisierung, Zugriffsrechte, Administration, … Datenträger, Datensicherung, Protokollierung, Notfallvorsorge, Wartung, … Behördliches SiKo Virenschutz, Firewall, Zugangsregeln, Sichere Räume, Netze, E-Mail, PC, Betriebssysteme, …

IT-Grundschutz Wesentliche Elemente Normaler Schutzbedarf (vgl. BSI 100-2) Standardsicherheitsmaßnahmen (IT-GSKat) Typische IT-Systeme Typische Gefährdungen, pauschalisierte Risikobetrachtung

Grundschutzkatalog - BSI IT-Grundschutz-Kataloge (GSKat) umfassen Gefährdungslage und Maßnahmenempfehlungen für verschiedene Komponenten und IT-Systeme Baukastenprinzip (Bausteine) Bausteine sind in Kapitel gruppiert: Übergeordnete Aspekte der IT-Sicherheit Sicherheit der Infrastruktur Sicherheit der IT-Systeme Sicherheit im Netz Sicherheit in Anwendungen

Modellsicherheitskonzept Ziele Unterstützung des Prozesses, behördliche IT-Sicherheitskonzepte zu erstellen und umzusetzen. Konkretisierung der Bausteine des GS-Kat Umsetzung gemäß dezentralen Anforderungen obliegt einzelnen Behörden

Modellsicherheitskonzept Gegenstand Behördliches IT-Sicherheitskonzept für die dezentrale IT-Infrastruktur auf Basis der Gefährdungen, Maßnahmen und Bausteine des IT-Grundschutzkatalogs Die empfohlenen Maßnahmen decken den normalen Schutzbedarf ab, Sicherheitsdomänen mit höherem Schutzbedarf sind eigenständig zu betrachten Die Schnittstellen zu IT-Verfahren und zu behördenübergreifenden Maßnahmen werden aufgezeigt/berücksichtigt. Datenschutz (personenbezogene Daten) ist nur Gegenstand, soweit verfahrensunabhängige Maßnahmen mit IT-Bezug und normalem Schutzbedarf betroffen sind.

Modellsicherheitskonzept Maßnahmen Inhaltlich/sachlich zusammenhängende Maßnahmen sind in Komponenten zusammengefasst Unterteilung der Komponenten Übergreifende: Maßnahmen, die unabhängig von der konkreten Ausprägung der IT-Systeme (z. B. Betriebssysteme) durchgeführt werden müssen. Spezifische: spezifische Maßnahmen für bestimmte IT-Systeme

Übergreifende Komponenten Organisation/Personal/Schulung Notfallvorsorge Datensicherung/Umgang mit Datenträgern Virenschutz Sichere Administration Sichere Protokollierung Gebäude/Räume/Zutrittsregelung Verhinderung unberechtigter Zugriff Heterogene Netze/WLAN Wartung Softwarefreigabe

Spezifische Komponenten Notebook Internet-PC Firewall LAN-LAN Kopplung Bürokommunikation im Intranet und Extranet / Zusammenarbeit im Internet (Collaboration) E-Mail WWW-Server Mobile Endgeräte (Allgemein) Mobile Endgeräte - Smartphones Sichere Virtualisierung WLAN

Maßnahmen in ausgewählten Komponenten Datensicherung/Datenträger Gebäude/Räume Sichere Virtualisierung Mobile Endgeräte

Komponente Datensicherung/Datenträger Durch die IT-Stelle werden grundsätzlich nur zentral gehaltene Anwenderdaten gesichert. Die Sicherung lokaler Daten obliegt dem Anwender. Es werden folgende Daten zentral gesichert: ... (tabellarische Auflistung der Daten/Verzeichnisse/Fileserver) Zur Datensicherung wird ... (Produkt/System) eingesetzt. Von Originaldatenträger eingesetzter Systemkomponenten wird vor der Softwareinstallation durch die IT-Stelle eine Sicherungskopie erstellt und im Datenträgerraum aufbewahrt. (Alternativ: Nach der Installation Sicherungskopie erzeugen) Entsprechende Konfigurationsdateien werden nach jeder Änderung gesichert. Die Datensicherung der Anwenderdaten an mobilen Geräten erfolgt durch den Anwender in eigener Verantwortung (mit externen Datenträgern oder temporärer Anschluss ans Netz). Die Mittel für diese Datensicherung werden durch die IT-Stelle bereitgestellt. Die Systemkonfiguration der mobilen Systeme wird nach jeder Veränderung durch die IT-Stelle gesichert.

Komponente Datensicherung/Datenträger Datenträgerverwaltung (2.3, 6.20) Die zur Datensicherung verwendeten Datenträger werden eindeutig gekennzeichnet Die Sicherungsdatenträger werden getrennt (d. h. in einem anderen Brandabschnitt) von den gesicherten Systemen in Raum ... (in anderem Gebäude) (in einem Datenträgerschrank ...) aufbewahrt. Der Zugang zu diesem Raum ist besonders geschützt (vgl. Räume). Die Datenträger für Datensicherung an mobilen Systemen werden vom Anwender verwaltet. Sie sind geschützt vor unbefugtem Zugriff auf zu bewahren bzw. der IT-Stelle zu übergeben. Geeignete Datenträger werden von der IT-Stelle zur Verfügung gestellt. Der Anwender muss mit diesen Medien sorgsam umgehen (Verlust, Beschädigung vermeiden).

Komponente Datensicherung/Datenträger Entsorgen/Löschen (2.167, 4.234) Datenträger werden durch die IT-Stelle entsorgt. Sie werden vorher (außer CD-R) mittels ... sicher gelöscht. Die Vernichtung ist zu dokumentieren. Die Maßnahmen zum sicheren Löschen sind in Abhängigkeit vom Schutzbedarf der Daten auszuwählen: Kein bis niedriger Schutzbedarf – keine Maßnahmen erforderlich Normaler Schutzbedarf – sicheres Löschen durch entsprechende Software Ab hohem (bzw. bei unbekanntem) Schutzbedarf – physikalische Vernichtung Die physikalische Vernichtung muss durch beauftragte Firmen vorgenommen werden.

Komponente Gebäude/Räume Schutz von Räumen für IT-Infrastruktur (1.10, 1.12, 1.15, 1.18, 1.19, 1.24, 1.25, 1.26, 1.27, 1.28, 1.31, 1.58) Der Raum liegt in einem eigenen Brandabschnitt (gemäß DIN 4102) und ist rauchdicht. Die Räume sind mit einer einbruchshemmenden, rauchdichten und löschwasserfesten Sicherheitstür (DIN 4102, EN 1047, DIN 18095, DIN 18103) ausgerüstet. Der Raum hat keine Fenster (Alternativ: Fenster entsprechend sichern) Bei der Einrichtung des Raumes werden unnötige Brandlasten (z. B durch Mobiliar, Verpackung, Dokumentation) vermieden. Die Räume sind mit Rauchmeldern/Brandmeldeanlage ausgerüstet. In den Räumen werden keine ortsveränderlichen Elektrogeräte aufgestellt. Die Beleuchtung ist durch Metallgehäuse gesichert. (Alternativ: Einsatz von Sicherheitsstartern) Die Räume sind mit Klimatisierung, lokaler USV ausgerüstet. Die Räume enthalten keine wasserführenden Leitungen. (Die Notwendigkeit von weiteren Maßnahmen ist gesondert zu prüfen)

Komponente Sichere Virtualisierung Maßnahmen – Phase Planung und Konzeption Detaillierte Planung wegen hoher Komplexität unerlässlich. Alle betroffenen (Administrations)bereiche einbeziehen. Festlegung der zu virtualisierenden Systeme (Modellierung) – welche Serversysteme, welche Anwendungen sollen laufen Sinnvolle Aufteilung der Funktionen und Anwendungen auf die virtuellen Server unter Berücksichtigung vorhandener unterschiedlicher Vertrauens- bzw. Sicherheitszonen Zugriffe auf andere benötigte Ressourcen berücksichtigen (physische Netzverbindungen, Verbindung zu Speichernetzen, Zugriffe auf Infrastruktursysteme wie DNS-, DHCP- oder Verzeichnisdienstserver) In nicht homogenen Umgebungen bei Clusterbildung beachten, dass ggf. keine Live Migration. zwischen (hardwaremäßig) unterschiedlichen Blades möglich ist

Komponente Sichere Virtualisierung Maßnahmen – Phase Planung und Konzeption Anforderungen an Backup berücksichtigen --> Komponente „Datensicherung“ anpassen. Die Datensicherung soll auf gesonderter physischer Hardware erfolgen. Anforderungen an Verfügbarkeit definieren. Zur Hochverfügbarkeit ggf. Cluster von Virtualisierungsservern bilden. Weitere Aspekte bzgl. Verfügbarkeit (z. B. Verteilung auf mehrere Standorte, Auswirkungen unterschiedlicher IP-Adressbereiche) prüfen. Besondere Anforderungen an Managementserver (z. B. erhöhte Ausfallsicherheit) beachten (z. B. durch „stand-alone“ System) Auswirkungen der Virtualisierung auf vorhandene Lizenzierung prüfen, ggf. Lizenzierung anpassen Prüfen, ob der Herstellersupport für die Anwendungen auch für Betrieb in virtuellen Umgebungen gilt Existierende Regeln insgesamt auch auf Lebenszyklus virtueller Systeme anwenden. Insbesondere Vorgehen zur Bereitstellung (incl. Finanzierung), Dokumentation, Inventarisierung festlegen

Komponente Mobile Endgeräte Maßnahmen zur sicheren Anbindung von zur dienstlichen Nutzung bereitgestellten mobilen Endgeräten an Ressourcen des Berliner Landesnetzes. Betrachtet werden Smartphones und Tablet-PC. Mobile Endgeräte werden als Bestandteil der dezentralen IT-Infrastruktur betrachtet. Damit finden für sie grundsätzlich die für stationäre Arbeitsplätze geltenden Regeln und Prozesse Anwendung.

Komponente Mobile Endgeräte Ausgewählte Maßnahmen Wenn für das jeweilige Betriebssystem Virenschutzlösungen verfügbar sind, sind die mobilen Endgeräte mit einem wirksamen Virenschutz auszustatten und eine regelmäßige Aktualisierung sicher zu stellen. Eingesetzte Geräte müssen über eine Hardwareverschlüsselung verfügen, die sicherstellt, dass bei direktem Zugriff auf die Datenträger keine Daten verfügbar sind. Apps unterliegen wie sonstige Software grundsätzlich einem geregelten Freigabeprozess. Dazu zählt auch eine sicherheitstechnische Bewertung vor Nutzung der Apps. Keine Daten auf dem mobilen Endgerät speichern Nicht benötigte Schnittstellen sind standardmäßig zu deaktivieren. Defekt, Diebstahl u. ä. sowie Verdacht auf Missbrauch des überlassenen mobilen Endgerätes umgehend dem IT-Infrastrukturbetreiber melden.