Finanzdepartement / Amt für Informatik
"Wer trägt die Verantwortung für die Sicherheit der Daten in den Gemeinden und Bezirken?"
Referent: Herbert Reinecke, Leiter Amt für
Informatik Ort: Muotathal
Datum: 28. Oktober 2011
VSZGB: Säckelmeistertagung
Seite 2
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Inhalt
1. Ausgangslage
2. Drei Säulen der Daten- und Informationssicherheit
3. Gesetzliche Grundlagen
4. Wer trägt die Gesamtverantwortung zur Datensicherheit?
5. Wo gibt es Probleme zur Datensicherheit?
6. Risikofelder der IT Sicherheit
7. Massnahmen zur Verbesserung der IT Sicherheit
8. Zusammenfassung und Ausblick
9. Ihre Fragen
Seite 3
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Datensicherheit als Dauerthema!
Rollen des Kantons:
• Kanton als Gesetzgeber und Aufsichtsorgan – Aufsichtsebene
• Kanton als Lenker bei Verbundaufgaben – Strategieebene
• Kanton als Partner in der Fachgruppe ICT VSZGB - Fachgebietsebene
1. Ausgangslage
Seite 4
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
1. Ausgangslage
Rollen des Kantons
Kanton
Verbundebene *
Fachebene
Gemeinden
und
Bezirke
Gesetzgeber
Strategiegestalter
Partner
Aufsichtsebene
* Gestaltungsebene
Seite 5
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Daten- und Informationssicherheit Hohes Rechtsgut für Bürger und Unternehmen. IT-Crash oder Datenleck in der Verwaltung bedeutet erheblichen Vertrauensschwund gegenüber der betroffenen Behörde.
IT-Compliance = Rechtskonformität Beschreibt bei Unternehmen die Einhaltung der gesetzlichen, unternehmens-internen und vertraglichen Regelungen im Bereich der Informatik.
IT-Governance = Prinzipientreue IT-Führung Liegt in der Verantwortung des Rats und ist ein wesentlicher Bestandteil der Verwaltungsführung. IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Geschäftsziele der Gemeinden optimal und kostengünstig unterstützt.
1. Ausgangslage
Seite 6
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Grundsatz:
„Die Information ist ein zentraler Wert für das einwandfreie Funktionieren des Staates. Deshalb muss die Information angemessen geschützt werden.“
Dieser Grundsatz gilt in jedem Fall, wie auch immer die Form der Information ist, wie sie zugänglich ist und wie sie gespeichert wird!
2. Drei Säulen Daten- und Informationssicherheit
Vert
rau
lich
keit
Inte
gri
tät
Verf
üg
bark
eit
Seite 7
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
2. Drei Säulen der Daten- und Informationssicherheit
Vertraulichkeit Die Vertraulichkeit ist dann gewährleistet, wenn die als schutzwürdig
definierten
Informationen nur berechtigten Personen zugänglich ist.
Verlust der Vertraulichkeit:
Unberechtigte haben Zugriff auf schutzwürdige Informationen.
Integrität
Die Integrität ist dann gewährleistet, wenn nur berechtigte Personen oder
Systeme die
Informationen korrekt und nachvollziehbar bearbeiten können.
Verlust der Integrität:
Der Inhalt der Informationen wurde bewusst oder unbewusst verfälscht.
Verfügbarkeit
Die Verfügbarkeit ist dann gewährleistet, wenn berechtigten Personen oder
Systeme
zum erforderlichen Zeitpunkt innert der erforderlichen Frist auf die
betreffenden
Informationen zugreifen können.
Verlust der Verfügbarkeit:
Die benötigten Informationen stehen zum erforderlichen Zeitpunkt
vorübergehend oder
dauernd nicht in der erforderlichen Qualität zur Verfügung.
Seite 8
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
• Gesetz über die Organisation der Gemeinde und Bezirke vom 29.10.1969, SRSZ 152.100 – GOG; • § 40 Veröffentlichung und § 41 Archiv • § 64 Datenschutz
• Gesetz über die Öffentlichkeit der Verwaltung und den Datenschutz vom 23.05.2007, SRSZ 140.410 - Kantonales Datenschutzgesetz
• Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (Stand am 1. Januar 2010), 311.0 (StGB);
• Verordnung über das Archivwesen des Kantons Schwyz, vom 10. Mai 1994, SRSZ 140.611.
3. Gesetzliche Grundlagen
Seite 9
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
4. Wer trägt die Verantwortung zur Datensicherheit?
Strategische Verantwortung: Führungsverantwortung und Aufsichtspflicht
• Bezirksammänner• Gemeindepräsidenten • Säckelmeister
Operative Verantwortung: Daten- und Betriebsverantwortung
• Land- und Gemeindeschreiber• Kassier• Rechenzentrums-Leiter• IT-Verantwortliche • Abteilungs-Leiter
Seite 10
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
4. Wer trägt die Verantwortung zur Datensicherheit?
Operative Verantwortliche: Bereiche der Verantwortung:
"Datenherren"• Gemeindeschreiber• Landschreiber• Leiter Verwaltungseinheiten
Daten Vertraulichkeit und Daten Integrität
Betriebs Verantwortung • RZ- Leiter • IT – Leiter • IT - Fachpersonen
Verfügbarkeit: – Systeme – Fachanwendungen
Seite 11
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Vier Betriebsmodelle der Gemeinden nach Hosting FachanwendungenModellebetrachtung drei Eingemeinde Bezirke und Gemeinden
1. Reines RZ Modell Einsiedeln NEST (13)
2. Halbes RZ Modell Freienbach RUF ohne Bürokommunikation (9)
3. Modell: loser Verbund unabhängige RUF Anwender (7)
4. Modell: ohne Verbund HEIMER Anwender (1)
- Internet häufig separat bei Internetprovidern ausgelagert
- Nur eine Veränderung in den letzten 5 Jahren - Gemeinde Schwyz RZ Einsiedeln
Seite 12
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Betriebsmodelle der Bezirke und Gemeinden aus strategischer Sicht Modell
Leistungserbrin
ger
EigenschaftenBeurteilung aus Sicht
Betriebssicherheit
1Reines RZ Modell
Einsiedeln
NEST und alle Anwendungen –
keine Betriebsverantwortung; keine
eigenen Server für
Leistungsbezüger
Klare Abtretung an
Leistungserbringer; hat Macht
gegenüber Lieferant
Optimal
2Halbes RZ Modell
Freienbach
RUF ohne Officeanwendungen;
eigene Server von 9 Gden. zu
betreiben
Abtretung Haupt-Anwendung;
Betriebskompetenz erforderlich
suboptimal
3
Loser Verbund
RUF
Gemeinden
Identische Software für EWK und
Steuern, gesamte
Betriebsverantwortung bei der
Gemeinde – (wenige Köpfe)
Für mittlere und kleinere
Gemeinden
suboptimal
Risiko: Abhängigkeit zu internen
und externen Betreuern.
4Kein Verbund
HEIMER
Ein isolierter Anwender im ganzen
Kanton
Keine Synergien durch
Kantonsinterne Gemeinden
strategisch suboptimal
Seite 13
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
5. Wo gibt es Probleme zur Datensicherheit ?
a) Es sind dem AFI keine Schadensmeldungen oder Verstösse bekannt.
b) Sicherheits-Audit im 2009 der Fa. CNLAB, Rapperswil:Auftrag des AFI bei der Anbindung der Gemeinden an das KantonsnetzwerkGeprüft: 2 Rechenzenter
1 Leistungsbezüger RZ NEST1 NEST Anwender 1 Leistungsbezüger RZ RUF6 RUF Anwender1 Heimer Anwender
160 Feststellungen bei 9 Gemeinden und 3 Eingemeinde-Bezirken.
c) Befunde aus den Kommunaluntersuchen des Sicherheitsdepartements mit demKantonalen Datenschutzbeauftragten 2010 und 2011.
Seite 14
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Ergebnis des Audits nach Dringlichkeit Sicherheits Audit im 2009 der Fa. CNLAB, Rapperswil
• Auftrag des AFI bei der Anbindung der Gemeinden an das Kantonsnetzwerk
• Ergebnisse aus 9 Gemeinden und 3 Eingemeindebezirke: Gemeinden/Bezirke Anzahl Befunde Anzahl Befunde Anzahl Befunde
Hoch – sehr dringlich
Mittel – muss Tief – Empfehlung
Sechs Gemeinden (0 Hoch) 0 47 13
Vier Gemeinden (1 Hoch) 4 42 8
Zwei Gemeinden (3 u.4 Hoch) 7 26 13
Zwölf Gemeinden Total 160 11 115 34
Seite 15
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Beispiele von Befunden aus dem Sicherheits-Audit
Befunde mit "Hoch" – sehr dringlich: • "Unberechtigter Zugang zum Netzwerk – Firewall Administration über
das Internet ungeschützt"; • "Unberechtigter Zugang auf sensitive Daten" – Keine Authentisierung
des Ziel Servers für den Benutzer von aussen; • "Fehlende Sicherheits – Patches älter drei Monate" – Fehlerbehebungen
von Microsoft im Sicherheitsbereich wurden nicht installiert – das System kann aus dem Internet angesprochen werden.
Befunde mit "Mittel" - Muss:• Zu hohe Privilegien für einzelne Mitarbeiter – Fehlende
Nachvollziehbarkeit einzelner Tätigkeiten – grosse Anzahl von Administrations-Benutzern.
Seite 16
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Befunde des Sicherheits-Audits zum Kantonsnetzwerk 2009
Seite 17
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Feststellungen des AFI zur Umsetzung aus dem CNLAB Audit • Dort wo Risiken für das Kantonsnetzwerk bestanden – wurden die
Nachbesserungen geleistet;
• Die Umsetzung von planerischen und organisatorischen Massnahmen ist nur partiell erfolgt;
• Verbindliche Rollenkonzepte und fixierte Rechteverwaltung fehlen häufig;
• Dort wo Sicherheitsvorkehrungen den Betriebsprozess stören können, wird in der Regel auf die Umsetzung dieser Massnahmen verzichtet;
• die Anpassungen der Lokalitäten nach RZ Norm müssen langfristig geplant werden;
• Die Eigenbeurteilung wird höher gewichtet als die Fremdbeurteilung.
Seite 18
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Befunde des Datenschützers aus den Kommunaluntersuchen Im Vergleich zu einem spezialisierten ICT Auditor setzt der Datenschützer mitFragestellungen im organisatorischen und administrativen an.
Seine Befunde zur Datensicherheit decken sich mit den Feststellungen derFa. CNLAB
Auswahl von Feststellungen des Datenschützers:• „Zugriffsberechtigung sind nicht schriftlich geregelt“; • „es existiert keine Liste der externen Personen mit Zugriffsrechten“; • „Backups erfolgen an zwei Standorten“; • „im Serverraum befindet sich eine Gasheizung“; • „es besteht kein übergreifendes Informatiksicherheitskonzept der
Gemeinde“.
Empfehlungen des Datenschützers: • Auslagerung des Informatikbetriebs an grösseres RZ – das RZ als
Leistungserbringer • IT-Sicherheitspolitik anpassen.
Seite 19
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
6. Risikofelder der IT Sicherheit
Angriffe von Aussen auf WebsitesMELANI: Melde- und Analysestelle Informationssicherung Bund: http://www.melani.admin.ch/Empfehlung: Halbjahresberichte http://www.melani.admin.ch/
• Website Infektionen anhaltend hoch• Internetportale werden gehackt und mit Schadsoftware (Computerwurm)
infiziert• Der Mann in der Mitte – nutzt Schwächen bei unzureichender
Verschlüsselung
• Veränderungen werden festgestellt - Vandalenakte Racheakte • Überreaktion auf Verfügung – wird als Behördenwillkür verstanden • Politisch motivierte Störaktionen
Vorfälle: • "Swisscom Mobile Kunden" Internetausfall 9. Nov. 2010 • Zahlungsportal "Post Finance" lahm gelegt • Angriffe auf Schweizer Unternehmen im Zusammenhang mit Wikileaks
Seite 20
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
6. Risikofelder der IT Sicherheit
Angriffe von Aussen
Social Engineering: Ausnutzung der Hilfsbereitschaft, Gutgläubigkeit oder der Unsicherheit von Mitarbeitenden mit direkten Telefonanrufen.
Vortäuschung als autorisierte Person unserer Supportfirma zur Herausgabe von Benutzernamen und Passwort.
Phishing: "Passwort–Ernten" (Fischen im Internet). Der Benutzer wird via Link auf eine nachgeahmte Website geführt, die 1:1 der eBanking Website unserer Haus Bank entspricht.
Seite 21
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
6. Risikofelder der IT Sicherheit
Bedrohungspotenzial von Innen
Faktor Mensch als schwaches Glied in der Risiko-Kette. Innen BedrohungspotenzialGemäss Studien sehr hoch. IT Mitarbeitende und auch Benutzer gehören dazu.
Abhängigkeit: IT-Personal - Kompetenz konzentriert auf wenige Mitarbeiter
Erpressung: Hohe Abhängigkeit erhöht das Risiko der Erpressbarkeit
Datenklau: Bereicherung - (Datenverkauf an die Deutschen Behörden) Selbstinszenierung – Enthüllungsplattform WikiLeaks
Offene / versteckte Ungerechte BehandlungSabotage:
Seite 22
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
6. Risikofelder der IT Sicherheit
Hoch- und Horrorrisiken
Datenkorruptionen/ Verfälschungen auf der Datenbank – Datenkopie auch Datenverlust: defekt oder nicht aktuell.
Brandfall – Hochwasser: Geschäftsweiterführung nicht vorbereitet, keine externe Auslagerung der Daten.
Magnetische Störfelder: Thema für Geheimdienste – Daten in Hochrisiko sicheren Stollen auslagern – Papierausdruck.
Seite 23
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
7. Massnahmen zur Verbesserung der IT Sicherheit
Wahrnehmen der Führungs- und Aufsichtspflicht
Umsetzung der Befunde aus dem vom AFI veranlassten CNLAB Bericht 2009
• Befunde ROT – Hohes Risiko – Umsetzung dringlich – sollte längst erfolgt sein;
• Befunde Orange - Mittleres Risiko – Umsetzung ist vorzunehmen (Muss).
Umsetzung der Befunde des Kant. Datenschützers aus dem Kommunaluntersuch
• Pendenzen - Muss • Empfehlungen – im Interesse einer Verbesserung der Datensicherheit -
umzusetzen.
Seite 24
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
Ergebnis des Audits nach Dringlichkeit
Sicherheits Audit im 2009 der Fa. CNLAB, Rapperswil • Auftrag des AFI bei der Anbindung der Gemeinden an das
Kantonsnetzwerk • Ergebnisse aus 9 Gemeinden 3 Eingemeindebezirke:
Gemeinden/Bezirke Anzahl Befunde Anzahl Befunde Anzahl Befunde
Hoch – sehr dringlich
Mittel – muss Tief – Empfehlung
Sechs Gemeinden (0 Hoch) 0 47 13
Vier Gemeinden (1 Hoch) 4 42 8
Zwei Gemeinden (3 u.4 Hoch) 7 26 13
Zwölf Gemeinden Total 160 11 115 34
Seite 25
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
7. Massnahmen zur Verbesserung der Datensicherheit Massnahmen zur Sicherung der System Verfügbarkeit
1. Muss-Anforderungen an den Leistungserbringer sind zu definieren (Service Level Agreement).
2. Tauglichkeit des IT Raums sicherstellen, Zugangsabsicherung. 3. Klares Backup Konzept, kontinuierliche Auslagerung der Daten,
Wiederanlauf Simulation. 4. Firewall Konfiguration durch Profi – Zugriff von aussen nur verschlüsselt.5. Doppelte Auslegung von kritischen Geräteeinheiten (z. B. redundanter
Datenspeicher). 6. Ständiges Einpflegen von SW-Korrekturen (Patches, Antiviren-SW). 7. Notfallkonzept aktualisiert mit Abläufen zur Geschäftsfortführung
(Business Continuity Management).
Umsetzung geplant: • Einführung SLA des RZ Einsiedeln• Doppelte Hauptlinie des Kantonsnetzwerks in die Ausserschwyz
(Backbone Redundanz 2013)
Seite 26
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
7. Massnahmen zur Verbesserung der Datensicherheit Massnahmen zur Sicherung der Vertraulichkeit und Integrität 1. Anwenderrollenkonzept und aktualisierte Berechtigungsliste. 2. Berechtigungen für die externen Supporter eindeutig zuweisen.3. Periodische Aufforderung für die Passworterneuerung (mit komplexem
Wortaufbau). 4. Zugriffe vom Internet nur mit starker Authentisierung (z.B. SMS, Token). 5. Administratorenrechte selektiv vergeben (root Passwort) 6. Der Rekrutierung von IT-Personal höchste Beachtung schenken – Soziale
Anforderungen den fachlichen Anforderungen mindestens gleichsetzen 7. Mobile Geräte Standards definieren, restriktive Portöffnung, Wireless
absichern.
Geplante Vorhaben Kanton Schwyz: • E-Mail Verkehr der Behörden über das Kantonsnetzwerk zu führen• Zentralschweizer Kantone: Lösung für Administration, Autorisierung und
Authentisierung (IAM) – Basis wird SuisseID – Single sign-on
Künftige Anforderung: • Speziell schützenswerte Daten und Prozesse sind mit einer automatischen
Zugriffsaufzeichnung zu versehen (Rückverfolgbarkeit)
Seite 27
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
7. Massnahmen zur Verbesserung der Datensicherheit Strategische Massnahmen
• Bestehende Rechenzenter bezüglich IT-Sicherheit festigen – damit diese kompetent weitere Aufgaben übernehmen können;
• Gezielte Audits auf technischer wie organisatorischer Ebene periodisch
durchführen – keine Gefälligkeits-Gutachten, Kosten – Nutzen vertretbar; • Zertifizierung nach ISO 27001Informationssicherheits-
Managementsystem als Option – Zertifikat nicht als Feigenblatt.
Seite 28
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
8. Zusammenfassung und Ausblick
• Drei Säulenprinzip der Daten- und Informationssicherheit:- Verfügbarkeit- Vertraulichkeit - Integrität
• Ausreichende Gesetzesgrundlage mit dem Kant. DSG und dem GOG.
• Die Massnahmen zu den Feststellungen der CNLAB von 2009 und Befunde aus den laufenden Kommunaluntersuchen sind konsequent zu bearbeiten.
• Strategisches Veränderungspotenzial zur IT im Rat diskutieren und durch die RZ- Leiter Einsiedeln und Freienbach prüfen lassen – beide sind Mitglieder der Kantonalen E-Government Kommission.
• Die Behörden haben gesetzeskonform zu handeln und die IT-Prozesse zeitgemäss unter guter Kontrolle zu halten (IT-Compliance und IT-Governance).
Seite 29
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
8. Zusammenfassung und Ausblick
• Die Daten und IT-Verantwortung liegt bei Ihnen: - Gemeindepräsidenten, Säckelmeister: strategisch - Gemeindeschreiber, Kassiere, IT-Fachleute: operativ
• Realistische Ausgaben für die IT-Sicherheit sind gut angelegt – Vollkostenbetrachtung vorher – nachher.
• IT – Sicherheit = Dauerprozess Zum Glück keine ernsthaften Vorfälle – hüten wir uns!
• Die Durchgängigkeit von Behördenprozessen mit IT Unterstützung soll die Verwaltungsprozesse beschleunigen – nicht jedoch die Gemeindeautonomie untergraben.
• Junge Generationen von Bürgern bestimmen die Zukunft – Facebook und Twitter.
• Die Kommunikation zwischen den Bürgern, Unternehmen und den Behörden wird auf elektronischem Weg intensiviert werden.
Seite 30
VSZGB Säckelmeistertagung 28. 10. 2011
Amt für Informatik
Herbert Reinecke, AFI, Datensicherheit in Gemeinden und Bezirken
8. Zusammenfassung und Ausblick
Clevere Lösungen..
Fragen?