4. Ausgabe: IT-Sicherheit im Land Berlin (PDF)

KUNDENINFORMATION | AUSGABE 4/4 | Dezember 2013
KUNDENINFORMATION | AUSGABE 3/4 | August 2013
EDITORIAL
INHALT
Sehr geehrte Damen und Herren,
wir alle sind an unserem so selbstverständlichen „elektronischen Arbeitsplatz“
tagtäglich dafür verantwortlich IT-Sicherheitsrichtlinien
einzuhalten und mit den verarbeiteten Daten sorgsam umzugehen.
Verdeutlicht doch die aktuelle Debatte um die Datenbeschaffung
der NSA, dass es zahlreiche Interessenten für diese Daten gibt. Die
Themen Informations- und IT-Sicherheit sowie Datenschutz rücken
damit noch stärker in den Fokus. Anlass genug für uns, das Thema
IT-Sicherheit von mehreren Seiten zu beleuchten und einige der
(Foto: ITDZ Berlin)
wichtigsten IT-Sicherheitsleistungen des ITDZ Berlin zu beschreiben.
Die Rollenverteilung in der Berliner Verwaltung beim Thema IT-Sicherheit erläutern unsere Hintergrundartikel
sowie Interviews mit dem Datenschutzbeauftragten Dr. Alexander Dix, dem Leiter des
Verfassungsschutzes Bernd Palenda und dem Leiter der AG IT-Sicherheit Matthias Hög.
Ich wünsche Ihnen eine interessante Lektüre und bin gespannt auf Ihr Feedback. In dieser letzten
Ausgabe des Jahres bedanke ich mich zudem für Ihr Interesse und wünsche Ihnen und Ihren Familien
besinnliche Feiertage und einen Guten Rutsch ins neue Jahr.
Bis dahin
Ihre
Anna-Maria Krebs, Vertriebsleiterin
Thema
IT-Sicherheit im Land Berlin............ Seite 2/3
Fokus Kunde
Matthias Hög (Leiter der AG IT-Sicherheit
in der Berliner Senatsverwaltung
für Inneres und Sport).................... Seite 2/3
Lösungen
Harmonisierung der Verfahren
des LABO (HarVe)............................. Seite 1
Sonderthema
Interview mit Dr. Alexander Dix
(Berliner Beauftragter für Datenschutz
und Informationsfreiheit)................... Seite 4
Sonderthema
Interview mit Bernd Palenda (Leiter des
Berliner Verfassungsschutzes)............. Seite 5
Sonderthema
CERT............................................... Seite 6
Sonderthema
Security Awareness........................... Seite 7
Praxistipp
Nutzung der AppBox.......................... Seite 8
Aktuelles
McAfee/Notfallmanagement............... Seite 8
Veranstaltungen............................. Seite 8
LÖSUNGEN
Harmonisierung der Verfahren des LABO
(HarVe)
Führen Behörden Fachverfahren ein, basieren
die in der Regel auf einer eigenen IT-Infrastruktur.
Jede Behörde nutzt zahlreiche Fachverfahren
– dies führt zu hohen IT-Infrastrukturkosten
und erfordert Betreuungsaufwand.
Deshalb begannen das Landesamt für Bürgerund
Ordnungsangelegenheiten (LABO) und das
ITDZ Berlin 2005 mit der Zusammenführung
des Betriebs von insgesamt fünf IT-Verfahren
in einer Systemumgebung und einem gemeinsamen
Datenbanksystem. Dies war ein Novum.
Das Ziel „Harmonisierung der Infrastruktur für
die unterschiedlichen IT-Verfahren“ prägte den
Projektnamen „HarVe“.
Gestiegene Anforderungen an das Gesamtsystem,
die Entwicklung bestehender IT-Verfahren
sowie die Einbeziehung neuer Verfahren erforderten
neben einer Kapazitätserweiterung
eine Neustrukturierung der HarVe-Systemumgebung.
Deswegen begannen das LABO und
das ITDZ Berlin im April 2010 damit, die HarVe-
Umgebung technisch auf die Anforderungen
an einen stabilen und wirtschaftlichen Betrieb
für die nächsten Jahre auszurichten. Im Fokus
standen eine zukunftssichere Systemarchitektur,
definierte Prozessabläufe und Kommunikationswege
im Sinne eines IT-Servicemanagements
nach ITIL.
HarVe wurde mit großem Engagement auf
beiden Seiten im Dezember 2012 abgeschlossen.
Das neue System läuft stabil. Wegen der
Komplexität und der sich ständig ändernden
Anforderungen passten beide Häuser ihre Kommunikationsstrukturen
an und arbeiten täglich
daran sie mit Leben zu füllen.
(Foto: Wenn die Zusammenarbeit Früchte trägt © Fotolia/mardoyan)
1

FOKUS KUNDE
Interview partner
Matthias Hög
Leiter der AG IT-Sicherheit in der Berliner
Senatsverwaltung für Inneres und Sport
Interview
Welche Aufgaben hat die Senatsverwaltung
für Inneres und Sport in Bezug auf die IT-
Sicherheit in der Berliner Verwaltung?
Wir erstellen IT-Sicherheitsgrundsätze und
landesweite Regelungen, wie Verwaltungsvorschriften,
für den IT-Grundschutz der Berliner
Verwaltung. Auch definieren wir technische
und organisatorische Standards, wie aktuell
über die Einbindung mobiler Endgeräte.
Darüber hinaus erstellen wir den jährlichen
Bericht zur Informationssicherheit und sind
Ansprechpartner des Bundes zum Thema IT-
Sicherheit. Auch bei der IT-Sicherheit gilt
das Ressortprinzip. Die Senatsverwaltung für
Inneres und Sport ist zuständig, wenn keine
dezentrale Fach- und Ressourcenzuständigkeit
vorliegt.
THEMA
IT-SICHERHEIT IM
LAND BERLIN
Die aktuelle Debatte um das Abgreifen von Daten durch
amerikanische und englische Geheimdienste hat die
Themen IT-Sicherheit und Datenschutz erneut in den
Fokus gerückt.
Was leistet dabei die AG IT-Sicherheit?
Die AG ist ein Gremium auf Arbeitsebene. Mitglieder
sind IT-Experten aus Behörden mit
unterschiedlichen Funktionen, wie die Verantwortlichen
der IT-Stellen oder Beauftragte für
Informationssicherheit. Die AG identifiziert
Themen, bei denen landesweite Regelungen
zur IT-Sicherheit empfehlenswert oder notwendig
sind. Aktuell beispielsweise zu den
Themen Signatur, mobile Endgeräte oder
Cloud Computing. Wir erstellen auch konkrete
Handlungsempfehlungen oder Sicherheitsmaßnahmen.
Die Umsetzung verantwortet
jede Behörde selbst. Darüber hinaus dient die
AG dem Informationsaustausch zwischen Experten
für Informationssicherheit in der Berliner
Verwaltung.
Fortsetzung auf Seite 3 >>>
Anlass für uns, einige der wichtigsten IT-Sicherheitsleistungen
des ITDZ Berlin kurz zu
beschreiben. Bei einem großen Teil der IT-Sicherheitsleistungen
des ITDZ Berlin handelt es
sich nicht um Produkte, die beim ITDZ Berlin
bestellt werden können, sondern um Mechanismen,
die der Sicherung aller Systeme der
Berliner Verwaltung dienen und elementarer
Bestandteil aller Zugänge zum Berliner Landesnetz
sind.
Der Übergang ins Landesnetz
Allen voran grenzt ein mehrstufiges Firewall-
System das Netz der Berliner Verwaltung von
(Foto: © Fotoli /Brocreative)
Fremdnetzen, insbesondere dem Internet, ab.
Es stellt sicher, dass nur Datenpakete weitergeleitet
werden, die von den angesprochenen
internen Systemen erwartet werden. Täglich
werden hierdurch mehr als eine Million Kommunikationsversuche,
die ein potenzielles Sicherheitsrisiko
darstellen, abgefangen.
Zwischen den Firewalls befindet sich das
Grenznetz. Eine Sicherheitsinfrastruktur prüft
hier die durchgeleiteten Datenpakete auf verschiedene
Risiken. Zunächst erfolgt ein Virencheck,
wobei der Zugang zum Internet und
zu dem E-Mail-System im Mittelpunkt steht.
Gerade per E-Mail wird noch immer viel Schad-
2

KUNDENINFORMATION | AUSGABE 4/4 | Dezember 2013
FOKUS KUNDE
software versandt. Etwa 50 bis 80 Prozent der
E-Mails, die an Adressen der Berliner Verwaltung
gerichtet sind, lehnt der Spamschutz
täglich ab. Damit werden die meisten schädlichen
Sendungen, aber auch störende Werbemails
verhindert.
Die angenommenen E-Mails werden dann vor
der Zustellung von zwei Scannern auf Viren
überprüft. In der Regel finden sich pro Tag weniger
als 15 befallene E-Mails. Trotz mehr als
50.000 zugestellten E-Mails täglich ist bislang
kein einziger Fall bekannt, in dem eine E-Mail
einen Virenbefall in einer Dienststelle ausgelöst
hat. Das zeigt, wie erfolgreich der Spamund
Virenschutz an den Mailservern arbeitet.
Innerhalb des Landesnetzes
Auch innerhalb des Landesnetzes sind Sicherheitsvorkehrungen
erforderlich. Immerhin
handelt es sich um ein Netz mit etwa 74.000
Endgeräten und einer Vielzahl von Servern
und Fachverfahren. Die größte Gefahr für
die dezentralen Systeme geht momentan von
Wechseldatenträgern wie USB-Sticks, mobilen
Festplatten und CDs aus. Eine Kompromittierung
oder ein Virenbefall könnten sich auf
diesem Wege schnell über unzählige Systeme
ausbreiten. Deshalb betreibt das ITDZ Berlin
vor jedem Fachverfahren eine Firewall, die das
System bis auf die dediziert gewünschte Kommunikation
vom Rest des Landesnetzes trennt.
Auch die einzelnen Standorte der Dienststellen
sind per Firewall, teilweise durch das ITDZ
Berlin betrieben, abgesichert.
Sicherheitstechnische Herausforderungen
sind auch Fernzugriffe, d.h. Verbindungen von
Endgeräten außerhalb des Landesnetzes mit
Ressourcen der Berliner Verwaltung. Das geht
vom E-Mail-Zugriff via Smartphone bis zum
Administrationszugang externer Firmen. Hier
bietet das ITDZ Berlin je nach Anforderung unterschiedliche
Lösungen an. Diese beinhalten
immer eine Authentifikation des Nutzers mit
Hilfe zweier Faktoren (häufig ein Zertifikat
und ein Passwort), eine Verschlüsselung der
Kommunikation und eine Kontrolle, auf welche
Systeme zugegriffen werden darf.
Schutz personenbezogener Daten
Normaler E-Mail-Verkehr ist bezogen auf den
Datenschutz mit einer Postkarte zu vergleichen.
Jede Station, über die eine E-Mail auf
ihrem Versand geleitet wird, kann den Inhalt
der E-Mail lesen. Bei der Weiterleitung personenbezogener
Daten sind die gesetzlichen
Regelungen des Datenschutzes und die Best-
Practice-Maßnahmen des Bundesamtes für Sicherheit
in der Informationstechnik (BSI) für
die Berliner Verwaltung verpflichtend.
Danach muss der E-Mail-Verkehr die Sicherheitskriterien
Vertraulichkeit, Integrität,
Verfügbarkeit, Authentizität und Nachweisbarkeit
der Kommunikation erfüllen. Diesen
Anforderungen wird durch Verschlüsselung von
E-Mails mit zusätzlicher Signatur des Versenders
entsprochen.
Weitere Schutzmaßnahmen sind bei der Speicherung
personenbezogener Daten anzuwenden.
So liegt es auf der Hand, dass Daten bei
der Speicherung auf mobilen Datenträgern,
zum Beispiel in Form einer Festplatte innerhalb
eines Notebooks verschlüsselt werden
müssen, um im Falle eines Verlustes den unbefugten
Zugriff zu verhindern.
Zu den notwendigen Maßnahmen des Datenschutzes
gehört auch eine ordnungsgemäße
Entsorgung von Datenträgern wie Festplatten,
CDs und DVDs nach der Nutzung. Insbesondere
wenn schützenswerte Daten gespeichert wurden,
ist ein Datenträger zumindest sicher zu
löschen. Sicher löschen heißt, dass der Datenträger
mehrfach überschrieben wird. Bei
defekten Festplatten, CDs und DVDs ist dies
häufig nicht mehr möglich. Dann ist eine physikalische
Zerstörung notwendig. Dasselbe gilt
für Datenträger, auf denen Verschlusssachen
gespeichert waren. Dazu gibt es dezidierte
Vorgaben des BSI. Das ITDZ Berlin hat hierfür
einen Dienstleister verpflichtet, der Datenträger
sowohl schreddert, als auch thermisch behandelt.
Eine Wiederherstellung der Daten ist
anschließend nicht mehr möglich, dem Datenschutz
wird somit auch am Ende des Lebenszyklus
der IT-Komponente entsprochen.
Verantwortung für die Datensätze Berlins
Mit den vielfachen Schutzmechanismen übernimmt
das ITDZ Berlin die Verantwortung für
den Datenverkehr in der Berliner Verwaltung.
Ohne das verantwortliche Handeln des Anwenders
in den Behörden und dem sorgsamen
Umgang beispielsweise mit Passwörtern und
USB-Sticks werden aber auch diese Mechanismen
immer angreifbar sein.
Fortsetzung von Seite 2 >>>
Welche Rolle spielt das ITDZ Berlin bei der Aufgabenerfüllung
der Senatsverwaltung?
Das ITDZ Berlin hat als Betreiber der zentralen
IT-Infrastruktur eine Dienstleistungsverantwortung.
Die schließt auch die IT-Sicherheit
ein. Wir erstellen dazu Rahmenbedingungen
und Vorgaben. Darauf basierend entwickelt
das ITDZ Berlin Sicherheitskonzepte, beispielsweise
für das Berliner Landesnetz.
Wofür genau sind alle Behörden selbst verantwortlich?
Aus der für die Berliner Verwaltung geltenden
Ausrichtung am IT-Grundschutz des Bundesamts
für Sicherheit in der Informationstechnik
ergeben sich vielfältige IT-Sicherheitsmaßnahmen
und Empfehlungen. Für die Umsetzung ist
jede Behörde selbst zuständig. Für den jährlichen
Bericht zur Informationssicherheit fragen
wir den aktuellen Stand bei den Behörden ab
und ob weitergehender Regelungsbedarf besteht.
Die Umsetzung vor Ort prüfen können
wir nicht. Das ist dem Datenschutzbeauftragten
und dem Rechnungshof vorbehalten.
Gibt es etwas, dass Sie in Bezug auf das Thema
IT-Sicherheit den Behörden Berlins schon
immer sagen wollten?
Der Schutz der in der eigenen Behörde verarbeiteten
Daten sollte im ureigensten Interesse
der Behördenleitung geschehen. Sie
werden in allen diesbezüglichen Regelungen
als Verantwortliche benannt. Wir können nur
Handlungsempfehlungen geben. Dies sollte
allen bewusst sein. Für die Umsetzung der IT-
Sicherheitsmaßnahmen gibt es im Land Berlin
häufig Best-Practice-Beispiele, denen man
folgen kann. Schwierig wird es dann, wenn
die Maßnahmen zur IT-Sicherheit das Arbeiten
„unkomfortabler“ machen - beispielsweise die
Verwendung des Internet Explorers untersagt
wird oder USB-Sticks nur an gesicherten Zugängen
verwendet werden dürfen. Hier muss
deutlich werden, dass die Maßnahmen dem
Schutz der Bürgerdaten dienen. Dass sie nicht
gängeln sollen, sondern die Informationen,
die verarbeitet werden schützen. Dabei gilt es
Anwender mitzunehmen. Keiner will sich vorstellen,
was passiert, wenn sich jemand einen
USB-Stick mit Sozialhilfedaten einsteckt und
diese dann an eine Zeitung weitergibt.
3

SONDERTHEMA
INTERVIEW
Dr. Alexander Dix
Berliner Beauftragter für Datenschutz und
Informationsfreiheit
Wo genau ist die Trennlinie zwischen der Informations- und IT-Sicherheit
und dem Datenschutz?
Die Informations- und IT-Sicherheit ist technisch organisierter Datenschutz.
Notwendige Voraussetzungen, die jede Behörde schaffen muss.
Der Datenschutz legt fest, welche Daten verarbeitet werden dürfen und
kontrolliert, ob diese rechtmäßig erhoben und rechtssicher verarbeitet
werden. Jede Behörde darf Daten erst dann verarbeiten, wenn sie
ein entsprechendes Datenschutz- und IT-Sicherheitskonzept vorweisen
kann. Schließlich darf man nicht aufs Geratewohl Daten sammeln. Meine
Erfahrung zeigt jedoch, dass viele Behörden Datenverarbeitungsverfahren
starten und sich zeitgleich erst um entsprechende Sicherheitskonzepte
kümmern. Die notwendigen Änderungen sind dann häufig mit
hohem Aufwand verbunden.
Wie schätzen Sie das Schutzniveau der Daten im Land Berlin ein?
In der Hauptverwaltung haben wir ein gutes Niveau. Die Polizei ist
sehr gut aufgestellt. Und die „Private Cloud“ des ITDZ Berlin ist diesbezüglich
ein echter Standortvorteil. Bei einigen der nachgeordneten
Behörden und Bezirke sieht es weniger gut aus. Hier spielt auch die
finanzielle Situation eine Rolle. Bei großer finanzieller Not wird schon
mal an der falschen Stelle gespart. Nach meinem Dafürhalten ist hier
der Haushaltsgesetzgeber dringend gefordert, die erforderlichen Mittel
bereitzustellen!
Insgesamt hat sich im Land Berlin in den letzten Jahren diesbezüglich
viel verbessert. Ich denke, dass hierbei auch die öffentliche Diskussion
um das Thema eine Rolle spielt. Spätestens Snowden war ein Weckruf
für alle, die in Deutschland mit personenbezogenen Daten umgehen.
Und es macht auch keinen Sinn, resigniert die Hände in den Schoß zu
legen, da man annimmt, dass ohnehin alles mitgelesen werden kann.
Gute Verschlüsselungen erschweren das Abhören.
Was wäre Ihrer Ansicht nach die Folge davon, wenn etwa Daten zu Sozialleistungen
oder Gesundheitsdaten öffentlich werden?
Meiner Ansicht nach würde das bestehende System an seine Grenzen
kommen, wenn nicht gar zusammenbrechen. Bürger müssen viel von
sich preisgeben, wenn sie staatliche Leistungen in Anspruch nehmen
möchten. Bereits heute gibt es diesbezüglich eine hohe Schamgrenze.
Wenn das Vertrauen darin schwindet, dass der Staat mit diesen Daten
sorgsam umgeht, werden es sich viele zweimal überlegen, ob sie ihm
diese anvertrauen. Damit verstärkt sich die soziale Not.
„Datenschutz ist
informationeller Umweltschutz“
Was halten Sie von neuen Schutzmechanismen wie Fingerabdruckscanner
am Mobiltelefon?
Geräte, die biometrische Formen wie den Fingerabdruck als Ersatz für
Passworte einsetzen, würde ich mir persönlich nicht kaufen. Schließlich
weiß man nicht, was mit den Informationen geschieht. Verlassen
sie das Endgerät wirklich nicht? Kann ich dem Hersteller wirklich vertrauen?
Solange ich das nicht sicher weiß, würde ich es nicht nutzen.
Schließlich kann ich meinen Fingerabdruck nicht ändern, wenn ich Opfer
eines Identitätsdiebstahls wurde. Meiner Ansicht nach ein zu hohes
Risiko.
Sie sind seit vielen Jahren der Berliner Beauftragte für Datenschutz und
Informationsfreiheit. Was treibt Sie bei Ihrem Job an?
Ich bin der festen Überzeugung, dass der Mensch ein Grundbedürfnis
nach Privatheit hat. Er hat ein Grundrecht darauf zu entscheiden, was
er von sich preisgibt oder nicht. Die Autonomie des einzelnen Menschen
darf im digitalen Zeitalter nicht verloren gehen. Das wird immer schwieriger
zu realisieren und setzt voraus, dass die Menschen verstehen, um
was es geht. Auch junge Menschen müssen in Ruhe gelassen werden
können und ungestört kommunizieren.
Datenschutz ist die Freiheit des Einzelnen in der Informationsgesellschaft
und hat auf das persönliche Wohlbefinden mindestens einen so
großen Einfluss wie der Umweltschutz. Die grundsätzlich freie Selbstbestimmung
- das möchte ich für mich und für alle Anderen.
„Ohne Vertrauen ist
kein Staat zu machen!“
4

KUNDENINFORMATION | AUSGABE 4/4 | Dezember 2013
INTERVIEW
Bernd Palenda
Leiter des Berliner Verfassungsschutzes
heit und Wirtschaftsspionage zu steigern. Schließlich weiß man auch in
der Wirtschaft nie, ob eine Privatperson oder ein Staat Informationen
abgreifen möchte. Die Unternehmen bekommen von uns jedoch lediglich
Empfehlungen und keine konkreten Maßnahmenpakete. Wir bieten eher
Hilfe zur Selbsthilfe.
Bieten andere Bundesländer ihren Unternehmen diesen Service auch an?
Inwieweit berührt die Tätigkeit des Berliner Verfassungsschutzes das
Thema Informations- und IT-Sicherheit?
Zunächst ganz klassisch, wenn es um den Umgang mit besonders
schutzbedürftigen Daten geht. Hier stehen wir in Kontakt mit den Geheimschutzbeauftragten
der Behörden Berlins und beraten sie gegebenenfalls
auch zu Fragen der Datensicherheit oder der Bearbeitung von
Verschlusssachen. Darüber hinaus werden geheimschutzbetreute Unternehmen,
die einen VS-Auftrag in Berlin ausführen, regelmäßig durch
den Berliner Verfassungsschutz aufgesucht. Die Unternehmen werden in
Gesprächen angehalten, Sicherheitsvorfälle zu melden.
Alle Bundesländer bieten vergleichbare Services an. Mit dieser Sensibilisierung
sollen Unternehmer dazu gebracht werden, einen Blick auch auf
das Thema Sicherheit zu lenken. Weiterhin kann der Verfassungsschutz
durch den Besuch der Unternehmen sein Lagebild zum Thema Sicherheit
verbessern.
Wie ist es denn um die Sicherheit in den kleinen Berliner Unternehmen
bestellt?
Ein Durchschnitt ist immer ungerecht. Es gibt top gesicherte kleine
Unternehmen. Bei anderen wiederum fehlt das Problembewusstsein.
Das Kerngeschäft der Unternehmen ist ja in der Regel das Herstellen
und Verkaufen eines Produktes und nicht jeder hat hierfür große
finanzielle oder personelle Ressourcen. Das Wissen um den Herstellungsprozess
eines Produktes oder einen Teil der Herstellungskette
kann aber sehr wertvoll sein. Da reicht es meist nicht, so ein Kronjuwel
nur mit einem handelsüblichen Virenscanner zu schützen. Hier wollen
wir auf Risikofaktoren aufmerksam machen und den Blick der Unternehmen
auf ihr gesamtes Sicherheitsgefüge lenken. Wir geben aber
keine Maßnahmen vor, empfehlen auch keine Sicherheitsprodukte und
sind nicht verdeckt tätig.
Welche Gefährdungen werden am häufigsten unterschätzt?
(Foto: © Fotolia/momius)
Ein relativ neues Betätigungsfeld ist unser Angebot an kleine und mittelständische
Unternehmen, die sich nicht in der Geheimschutzbetreuung
befinden. Zielgruppe sind insbesondere Unternehmen, deren Knowhow
aufgrund von Entwicklungsvorsprüngen und Neuentwicklungen
Zielobjekt ausländischer, nachrichtendienstlich gesteuerter Informationssammler
sein könnten. Solche Unternehmen sind beispielsweise in
Berlin Adlershof zu finden. Wir arbeiten im Sinne der vorbeugenden Spionageabwehr
daran, ihre Sensibilität gegenüber Themen wie IT-Sicher-
Nicht selten fehlt es an Sensibilität gegenüber mobilen Datenträgern
und es wurde kein IT-Rechte-Management eingeführt. Somit kann jeder
auf alle Daten zugreifen und diese auf einem mobilen Datenträger speichern.
Wenn dies der Praktikant macht, den man vorher keiner besonderen
Prüfung unterzogen hat, kann das ärgerlich werden. Andere lagern
ihre Daten in eine Cloud aus und haben sich keine Gedanken über die
Sicherheitsmechanismen wie Verschlüsselung oder Backup-Regelungen
bei dieser Form der Datenspeicherung gemacht. Auch die Beschränkung
von USB-Schnittstellen, die fehlende physikalische Trennung des Produktivnetzes
vom Internet oder Regelungen zum Umgang mit sozialen
Netzwerken sind immer wieder Themen unseres Wirtschaftsschutzes. Gelegentlich
treffen wir auch auf schlecht ausgebildete IT-Fachkräfte, die
manchmal nur alle zwei Wochen beim Unternehmen „nach dem Rechten
sehen“. Auch über die Entsorgung des Papiers oder alter Datenträger,
auf denen sich sensible Informationen befinden können, macht sich
manch Unternehmer keine Gedanken.
Sind Behörden und Unternehmen beim Thema IT-Sicherheit vergleichbar?
Wie schätzen Sie das Sicherheitsniveau in den Behörden ein?
Die IT-Sicherheit in den einzelnen Behörden kann ich nicht beurteilen,
da die Überprüfung nicht zu unseren Aufgaben zählt.
5

SONDERTHEMA
DAS COMPUTER EMERGENCY RESPONSE
TEAM (CERT) FÜR DAS LAND BERLIN
Die ENISA – European Network Security and Information Agency ist zuständig
für die Netzsicherheit Europas.
vorfalls reduziert und zukünftige Ereignisse
verhindert werden.
Das Ziel des Berlin-CERT ist es, den betroffenen
Behörden bei Sicherheitsereignissen und
-vorfällen zu helfen, deren Auswirkungen zu
reduzieren und zukünftige Ereignisse zu verhindern.
Präventive Tätigkeiten:
Die regelmäßige Verteilung sicherheitsrelevanter
Empfehlungen
Die Analyse und Überprüfung von Kundensystemen
auf Verwundbarkeiten (Security
Audit) bzw. deren Umgebung
Die frühzeitige Erkennung von Angriffen
oder Missbrauch (Intrusion Detection).
Damit die europäischen Nationen bei Bedrohungen
aus dem Cyberraum enger kooperieren,
empfahl sie die Gründung nationaler CERTs, die
auf nationaler Ebene für IT-Netzsicherheit zuständig
sind.
Für die Bundesrepublik Deutschland nimmt diese
Aufgabe das CERT-Bund war, das beim Bundesamt
für Sicherheit in der Informationstechnik
(BSI) angesiedelt ist. Um die IT-Sicherheit der
kritischen IT-Infrastrukturen der Landesverwaltungen
zu sichern, beschloss der IT-Planungsrat,
der in Deutschland landesübergreifende IT-Fragen
regelt, ergänzend in jedem Bundesland ein
CERT einzurichten. Denn die Angriffe aus dem
Internet auf Institutionen in Deutschland nehmen
zu. Im Land Berlin beauftragte der Innensenator
die IT-Gremien des Landes Berlin, die
Vorgaben des IT-Planungsrates für die Einrichtung
eines Berlin-CERT umzusetzen.
(Foto: © Fotolia / Snr)
Das Berlin-CERT ist eine klassische IT-Dienstleistung
für das Land Berlin und fällt in das
Kerngeschäft des IT-Dienstleistungszentrum
Berlin. In anderen Bundesländern nehmen diese
Aufgabe ebenfalls die jeweiligen IT-Dienstleister
wahr.
Das ITDZ Berlin verfügt über die erforderlichen
Kenntnisse der komplexen „IT-Landschaft“
des Landes Berlin. Ferner ist es erforderlich,
bei einem IT-Sicherheitsvorfall in einer Behörde,
diese, wie es die Richtlinie zu behördenübergreifenden
IT-Sicherheitsvorfällen vorsieht,
wegen der Gefährdung des Übergriffs
auf andere Behörden vom Berliner Landesnetz
zu trennen. Das ist der klassische Einsatzfall
für das Berlin-CERT und es gilt, möglichst vor
Ort und in kurzer Zeit die Handlungsfähigkeit
der Behörde wiederherzustellen. Darüber hinaus
sollen die Auswirkungen des Sicherheits-
Reaktive Tätigkeiten:
Die technische Analyse und Ursache des IT-
Sicherheitsvorfalls
Unterstützung bei der Reaktion (Response)
auf Vorfälle, Schwachstellen oder Angriffswerkzeuge
Bearbeitung von Anfragen zu Sicherheitsvorfällen
Die Zusammenarbeit und Kooperation mit
dem IT-Lagezentrum, dem CERT-Bund und
Landes-CERTs.
Das ITDZ Berlin nutzt für diese Aufgabe die
Erfahrungen der Mitarbeitenden in den Bereichen
der IT-Sicherheit des Berliner Landesnetzes
und der Windows-/Unix-/Linuxbetriebssysteme
in Verbindung mit Berliner
Behörden. Noch in diesem Jahr erfolgt die
Aus- und Fortbildung der Mitarbeitenden
hinsichtlich der IT-Sicherheit im Zusammenhang
mit den Aufgaben eines Berlin-CERT
etwa in den Bereichen Vulnerability, Penetration
Tests oder IT-Forensik. Danach erfolgt
die Prüfung und der strukturierte, organisierte
Aufbau von IT-Sicherheitsdienstleistungen
eines CERT für Berlin, damit das Berlin-CERT
Anfang 2014 aktionsfähig ist.
6

KUNDENINFORMATION | AUSGABE 4/4 | Dezember 2013
SECURITY
AWARENESS
IT- und Informationssicherheit wird häufig ausschließlich als technische
Herausforderung gesehen.
(Foto: © Fotolia/aetb)
Ebenso wichtig sind aber die konsequente
Umsetzung von Sicherheitsrichtlinien und das
Bewusstsein aller Beteiligten bezüglich der
Gefahren, die von Unwissenheit oder Achtlosigkeit
im Umgang mit Systemen und Daten
herrühren können. Unter Security Awareness
versteht man die Sensibilisierung der Mitarbeitenden
bezüglich dieser Risiken.
Der eigene Geburtstag ist kein ausreichend
sicheres Passwort
Eine beliebte Methode an vertrauliche Daten zu
kommen ist das sogenannte „Social Engineering“.
Damit versucht der Angreifer die nötigen
Daten für den Zugriff auf geschützte Systeme
direkt über den Mitarbeitenden zu bekommen.
Im ersten Schritt werden hierfür alle verfügbaren
persönlichen oder vertraulichen Informationen
der Opfer ausgespäht. Teil dieses Systems
ist das „Phishing“, bei dem mit fingierten
E-Mails oder Anrufen Zugangsdaten ermittelt
werden. Dabei wird häufig an die Bereitschaft
der Mitarbeitenden zu helfen appelliert. So
etwa, wenn angebliche Administratoren per Telefon
nach Passwörtern fragen. Hier sind klare
Vorgaben zum Umgang mit Passwörtern und
gesundes Misstrauen gefragt.
Häufig müssen die Passwörter aber gar nicht
preisgegeben werden. Oft reichen schon wenige
Informationen aus dem Umfeld, um Passwörter
erraten zu können. Insbesondere, wenn
die Namen naher Angehöriger als Passwort
oder Geburtstage als PIN verwendet werden.
Manchmal braucht es noch weniger. Die am
häufigsten benutzten Passwörter sind immer
noch „123456“ und „password“ und gewähren
keinen ausreichenden Zugriffsschutz.
USB-Sticks sind ein Risiko für die
Datensicherheit
Ein anderer Weg, unbefugt an Daten zu gelangen,
sind absichtlich „verlorene“ mobile Datenträger
wie USB-Sticks. Dabei wird gehofft,
dass der Finder aus Neugier, oder um den Besitzer
zu ermitteln, den Datenträger an seinen
PC anschließt. Auf diesem Weg wird unbemerkt
Schadsoftware installiert, die Passwörter werden
ausgespäht oder direkt Daten abgegriffen
und dem Angreifer zugesendet.
Insgesamt ist die Benutzung von mobilen Datenträgern
mit besonderen Risiken für die Datensicherheit
verbunden. So gehen kleine Geräte wie
USB-Sticks leicht verloren. Unverschlüsselte
Daten können damit schnell in unbefugte Hände
geraten. Auch können Datenträger bereits durch
die Nutzung an anderen Systemen mit Schadsoftware
verseucht sein und stellen dann eine
Gefahr für den Arbeitsplatz-PC dar. Private Festplatten,
USB-Sticks und CDs sind an dienstlichen
Computern deswegen nicht zu verwenden.
Die Mittel zur sicheren Nutzung der Technik
sind häufig sehr einfach. Dazu gehören ein
bedachter Umgang und Schutz von Zugangsdaten,
eine strikte Trennung von dienstlichen und
privaten Daten sowie eine allgemeine Vorsicht
mit Anfragen zu sicherheitsrelevanten Daten.
Das ITDZ Berlin führt dazu für seine Mitarbeitenden
regelmäßig Schulungen durch.
Auch für Beschäftigte der Berliner Verwaltung
werden Veranstaltungen angeboten, die sich
mit dem Thema IT-Sicherheit befassen, unter
anderem in Zusammenarbeit mit der Verwaltungsakademie.
7

PRAXISTIPP
VERANSTALTUNGEN
Mit der AppBox im Berliner Landesnetz
Die neue AppBox des ITDZ Berlin bietet den
Nutzern des „Mobilen Netzzugangs“ (MNZ) einen
gesicherten Zugriff auf neue, webbasierte
Angebote. So ermöglicht sie den Zugriff via
Smartphone auf das interne Telefonverzeichnis
(ITVB) und somit den schnellen Zugriff auf die
Kontaktdaten der Kolleginnen und Kollegen
im Land Berlin. Ergänzend können Nutzer der
AppBox das Intranetangebot des Landes Berlin
oder ihren „Persönlichen Informationsassistenten“
PIA nutzen. Die Anbindung von Sharepoint
ermöglicht den Nutzern des mobilen Zugangs
zudem im hauseigenen Netz hinterlegte Daten
abzurufen. Mit der AppBox können die User via
Smartphone oder Tablet auch auf webbasierte
Fachverfahren zugreifen. Das bedeutet für Mitarbeitende
der Berliner Verwaltung, die viel von
unterwegs arbeiten, dass sie im Rahmen des
Fachverfahrens anfallende Aufgaben mobil direkt
weiterbearbeiten können, ohne sie später in
der Dienststelle in das lokale System übertragen
zu müssen. Den Sicherheitsanforderungen für
mobile Endgeräte entspricht die AppBox im gleichen
Maße wie alle weiteren mobil zu nutzenden
Angebote des ITDZ Berlin. Die Daten verlassen
bei der AppBox zu keiner Zeit die Applikation
des mobilen Netzzugangs und es werden keine
Daten auf dem Endgerät gespeichert.
03.-04. Dezember 2013 | Moderner Staat |
Estrel Convention Center Berlin,
Sonnenallee 225, 12057 Berlin
19.-20. Februar 2014 | INFORA Anwenderforum
E-Government | Bundespresseamt Berlin,
Reichstagufer 14, 10117 Berlin
10.-14. März 2014 | CeBIT |
Halle 7, Messegelände Deutsche Messe AG,
30521 Hannover
AKTUELLES
1. McAfee-Sammellizenz noch bis
Ende des Jahres
Einrichtungen des Landes Berlin können Sicherheitsprodukte
der Firma McAfee über einen
Sammellizenzvertrag beziehen. Die aktuell sehr
attraktiven Preise stehen noch mindestens bis
Jahresende über den IT-Shop zur Verfügung.
Der Vertrag enthält die im Land Berlin am häufigsten
verwendeten McAfee-Produkte aus folgenden
Suiten und Einzelprodukten:
McAfee Suiten:
Active VirusScan (SAV)
Total Protection for Endpoint (TEN)
Endpoint Protection Suite (EPS)
Endpoint Protection Advanced (EPA)
McAfee Einzelprodukte:
Endpoint Encryption for PC (DED)
Endpoint Encryption for Files and
Folders (DFF)
Total Protection for Data (TDA)
MOVE for virtual Desktops (MOVE-D)
MOVE for virtual Server (MOVE-S)
2. Notfallmanagement
Sowohl die tägliche Arbeit der Verwaltung als
auch die Bürgerservices der Behörden basieren
vielfach auf zentral vom ITDZ Berlin bereitgestellte
IT-Services. Die Verfügbarkeit der Angebote
hat für das ITDZ Berlin höchste Priorität
und wird über definierte Prozesse und Service
Level sichergestellt. Fallen Services aus, wird
von Auftraggebern, Mitbewerbern und Nutzern
die Wirtschaftlichkeit, Leistungsfähigkeit und
Nachhaltigkeit des Angebotes in Frage gestellt
- ein Schaden von hohem Ausmaß, der ein Notfallmanagement
erfordert. Maßnahmen daraus
sollen entsprechend dem Standard des Bundesamts
für Sicherheit in der Informationstechnik
dafür sorgen, dass wichtige Geschäftsprozesse
selbst in kritischen Situationen nicht oder nur
temporär unterbrochen werden. Wichtiger Teil
des Notfallmanagements ist die Information und
Kommunikation mit unseren Kunden. Zu dessen
Sicherstellung ist das ITDZ Berlin auf Ihre Mitwirkung
angewiesen. Informieren Sie uns über
Änderungen und benennen Sie uns immer die
aktuell Verantwortlichen, die unabhängig von
der „eigenen“ IT-Infrastruktur erreichbar sind.
Das Sortiment steht Ihnen im IT-Shop unter
https://it-selling.itdz.verwalt-berlin.de zur Verfügung.
Einrichtungen, die keinen Zugang zum
IT-Shop besitzen, können über Abrufscheine
bestellen, die sie vom IT-Selling-Team erhalten
(E-Mail eSelling@itdz-berlin.de, Hotline-Telefonnummer
+49 30 90222 8282).
IMPRESSUM
Herausgeber: IT-Dienstleistungszentrum Berlin,
Berliner Straße 112–115, 10713 Berlin,
www.itdz-berlin.de, V. i. S. d. P. Konrad Kandziora
Redaktion: Anna-Maria Krebs (Vertriebsleiterin),
Tel. 030 90222-8090, info@itdz-berlin.de
Gestaltung, Satz: Weinert & Partner, publicgarden
(Foto: © Fotolia/hansgeel)
8