Bericht IT-Security_Sensibilisierungsworkshop - vszgb verband ...
Bericht IT-Security_Sensibilisierungsworkshop - vszgb verband ...
Bericht IT-Security_Sensibilisierungsworkshop - vszgb verband ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Kurzbericht zum <strong>IT</strong>-<strong>Security</strong> Sensibilisierungs-<br />
Workshop des <strong>vszgb</strong> Entwurf<br />
<strong>IT</strong>-<strong>Security</strong> – Sensibilisierungs-Workshop für Informatik-Verantwortliche von<br />
Schwyzer Gemeinden.<br />
Am Dienstagnachmittag, 9. Juni 2009, konnte Daniel Harder, Präsident der <strong>IT</strong>-<br />
Fachgruppe des <strong>vszgb</strong> (<strong>verband</strong> schwyzer gemeinden und bezirke) 25 Teilnehmer<br />
im Zivilschutzzentrum Schwyz zum Workshop begrüssen.<br />
Er hielt ein kurzes Einführungsreferat über seine Erfahrungen zum Thema <strong>IT</strong>-<br />
<strong>Security</strong> in der Gemeindeverwaltung Freienbach. Die RPK erteilte im Jahre 2002 an<br />
eine externe Kontrollstelle den Auftrag zur Überprüfung des Informatikbereichs in der<br />
Gemeinde. Die Durchleuchtung der von der <strong>IT</strong>-Abteilung mit viel Aufwand erfassten<br />
Ist-Situation, brachte ca. 1 Dutzend Schwachstellen zutage. Daraus wurde ein konkreter<br />
Massnahmenkatalog entwickelt, welcher in den Jahren 2003 bis 2007 umgesetzt<br />
wurde. Der dabei entstandene <strong>IT</strong>-<strong>Security</strong>-Ordner wird von den <strong>IT</strong>-<br />
Verantwortlichen regelmässig konsultiert und laufend aktualisiert. Sein Fazit: Im <strong>IT</strong>-<br />
Bereich werden heute klare und strenge Sicherheitsrichtlinien beachtet. Der Aufwand<br />
hat sich gelohnt. Die Mitarbeitenden der <strong>IT</strong>-Abteilung haben heute für die Durchsetzung<br />
der <strong>IT</strong>-Sicherheit die Unterstützung der Verwaltungsleitung und der Behörden.<br />
Daniel Harder stellte darauf die zugezogenen Referenten des Workshops vor:<br />
• Jules Busslinger, lic. iur., Datenschutzbeauftragter der Kantone Schwyz, Obwalden<br />
und Nidwalden.<br />
• Geri Wölfinger, Geschäftsführer, & Urs Fässler, VR-Präsident der tribull ag,<br />
Goldau.<br />
Sensibilisierung<br />
Die Gefährdung im <strong>IT</strong>-Betrieb setzt sich zusammen aus ‚Bedrohung & Schwachstellen’<br />
Die Gefährdungs-Arten sind grob in<br />
• Höhere Gewalt<br />
• Technisches Versagen<br />
• Vorsätzliche Handlung<br />
• Organisatorische Mängel<br />
zu unterteilen. Die höchste und teuerste Gefährdung für die <strong>IT</strong> entsteht gemäss<br />
-Studie durch „Irrtum und Nachlässigkeit“ der Mitarbeitenden in der Verwaltung.<br />
Das Fehlverhalten entsteht wegen fehlenden Regelungen, Unwissenheit, mangelnder<br />
Ausbildung, Gleichgültigkeit und in selteneren Fällen durch Boshaftigkeit der<br />
Menschen.<br />
Technische Sicherheit<br />
Der Ausführungsgrad der technischen Sicherheit wird ermittelt aufgrund der Frage:<br />
„Wie viel Ausfall verträgt unsere EDV?“ Wie lange können schlimmstenfalls Anwender<br />
ohne Verfügbarkeit einer Applikation auskommen? Eine tabellarische Auflistung<br />
sämtlicher Anwendungen dient der Ermittlung des Schutzbedarfes.<br />
urs.faessler@bluewin.ch 1 / 3 30.06.2009
Kurzbericht zum <strong>IT</strong>-<strong>Security</strong> Sensibilisierungs-<br />
Workshop des <strong>vszgb</strong> Entwurf<br />
Neben der Stromversorgung sind die interne Verkabelung und die Netzkomponenten<br />
auf Ausfallsicherheit zu überprüfen. Die früher ‚einbruchsicheren’ internen <strong>IT</strong>-Netze<br />
bekommen wegen Internet, E-Mail, WLAN usw. ‚Fallmaschen’. Diese sind mit Firewalls,<br />
Virenschutz, Spamfilter und einem gut funktionierenden Backup-System zu<br />
schliessen.<br />
Funktionale Sicherheit<br />
Heute stehen in den Gemeindeverwaltungen neben den zentralen Applikationen 20<br />
und mehr Randapplikationen im Einsatz. Diese werden von unterschiedlichen Herstellern<br />
meistens über Remote-Support am Laufen gehalten. Zur Sicherstellung der<br />
Datenintegrität muss der Zugang von aussen und die ‚unbefugte’ Datenveränderung<br />
von innen abgesichert sein. Dazu dient eine aktuell gehaltene Liste über die Zugriffsberechtigung.<br />
Anwendungs-Sicherheit<br />
Heutzutage kann man sich die Verwaltungsarbeit ohne die Benützung von dafür spezialisierten<br />
Software-Teilen kaum noch vorstellen. Trotzdem sollten Mitarbeitende an<br />
Facharbeitsplätzen in der Lage sein, elementare Handlungen auch ohne den Computer<br />
zu erledigen (Aufenthaltsbestätigungen, Verzugszinsberechnungen usw.).<br />
Von jeder Anwendung muss der logische Ablauf bekannt sein, um Fragen wie:<br />
• Bis zu welchem Zeitpunkt können eingegebene Daten verändert werden?<br />
• Kann provisorisch verbucht werden?<br />
• Wie kann ein fehlerhafter Lauf rückgängig gemacht werden?<br />
Von den Software-Herstellern sind entsprechende Checklisten und Musterabläufe<br />
zur Verfügung zu stellen.<br />
Datenschutz SZ, OW, NW – Organisation<br />
Jules Busslinger erklärte Organisation und Stellung der Datenschutzstelle. Sie hat<br />
den Auftrag, die Anwendung von Vorschriften über den Datenschutz zu überwachen.<br />
Sie berät die Behörden und wirkt bei der Gesetzgebung mit.<br />
Begriffe und Verantwortung<br />
Die Datenschutzstelle beobachtet im Bereich ‚Personendaten’ deren korrekte Bearbeitung.<br />
Wie gehen die ‚öffentlichen Organe’, das sind u.a. Gemeinderäte, Kommissionen,<br />
Verwaltungsstellen mit den Personendaten um?<br />
Wird nach den Grundsätzen von ‚Treu und Glauben’ und der ‚Verhältnismässigkeit’<br />
nachgekommen? Das bedeutet die Beachtung von: Zweckbindung, Zugriffsrechte,<br />
Datenvermeidung und Datensparsamkeit. Die ‚öffentlichen Organe’ sollen sich bei<br />
der Personendaten-Bearbeitung an Organisationserlasse und Zuständigkeitsregelungen<br />
halten.<br />
Herr Busslinger stellt fest, dass im <strong>IT</strong>-Sicherheitsmanagement der Gemeinderat die<br />
strategische, die Verwaltungsleitung die operative und <strong>IT</strong>-Verantwortliche die betriebliche<br />
Verantwortung tragen.<br />
urs.faessler@bluewin.ch 2 / 3 30.06.2009
Kurzbericht zum <strong>IT</strong>-<strong>Security</strong> Sensibilisierungs-<br />
Workshop des <strong>vszgb</strong> Entwurf<br />
Häufigste Versäumnisse<br />
Geri Wölfinger machte auf alltägliche Gefahren im Umgang mit der <strong>IT</strong> und deren<br />
Output aufmerksam z.B.<br />
• Nachlässigkeiten im Umgang mit Listen beim Transport, Lagerung, Vernichtung<br />
und Wiederverwendung (Rückseiten).<br />
• Verlassen von Bildschirmarbeitplätzen ohne logout.<br />
• Passwort-Handling<br />
• Externe DVD’s, Stick’s, Handy’s, PDA’s oder Notbook's gehören nicht an den<br />
Gemeindearbeitsplatz.<br />
• Vorsicht bei Downloads<br />
• Einfacher Zutritt zu Datenarchiv<br />
Massnahmen<br />
Im Kapitel ‚Massnahmen’ erinnerte Urs Fässler nochmals an den Schutzbedarf von<br />
Daten (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit).<br />
Sicherheit ist Chefsache – deshalb sollten die politisch verantwortlichen, nämlich der<br />
Gemeinderat, dem Thema Sicherheit in der Gemeinde-Informatik mehr Beachtung<br />
schenken. Er kann sich, ähnlich wie die Gemeinde Freienbach, eine transparente<br />
Sicht auf die <strong>IT</strong>-Sicherheit verschaffen. Das ist heute zu einem tragbaren Fixpreis<br />
erhältlich.<br />
Vor Ort, nämlich in Ihrem Gemeindehaus wird zusammen mit den <strong>IT</strong>-<br />
Verantwortlichen ein evtl. Gefährdungspotential erhoben. In einem auch für Laien<br />
lesbaren <strong>Bericht</strong> wird die Sicherheits-Situation dargestellt und Behebungsmassnahmen<br />
empfohlen.<br />
Die Mitarbeitenden von tribull ag sind seit über 20 Jahren im Gemeinde-<strong>IT</strong>-Umfeld<br />
tätig und garantieren eine fachmännische Ausführung der Sicherheitsabklärungen.<br />
urs.faessler@bluewin.ch 3 / 3 30.06.2009