IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau

IT-Sicherheitsrichtlinien für BayKom-Daten 

Kopplung der VPN 

IT-Sicherheitsrichtlinie 


BayITSRL-01 

Stand: 19.11.2003 

Seite 1 von 7



Inhaltsverzeichnis 


Stand: 19.11.2003 

1 Einleitung.....................................................................................................................3 

2 Struktur des Bayerischen Behördennetzes..................................................................3 

2.1 Netzdesign des Bayerischen Behördennetzes....................................................3 

2.2 Schutzbedarf .......................................................................................................4 

3 Regelungen .................................................................................................................5 

3.1 Technische Schutzmaßnahmen..........................................................................5 

3.2 Organisatorische Schutzmaßnahmen .................................................................6 

3.2.1 Physische Sicherheit ................................................................................6 

3.2.2 Audit .........................................................................................................6 

3.2.3 Technische Überwachung ........................................................................7 

3.2.4 Aktualisierung und Schwachstellenüberwachung.....................................7 

3.2.5 Reaktion auf IT-Sicherheitsvorfälle ...........................................................7 

4 Literatur .......................................................................................................................7 

Seite 2 von 7

1 Einleitung 




Stand: 19.11.2003 

Grundlage dieser IT-Sicherheitsrichtlinie zur Kopplung der VPN ist die IT-Sicherheitsleitlinie 

(BAYITSLL) sowie die IT-Sicherheitsrahmenrichtlinie für BayKom-Daten 

(BayITSRL-GL). 

Die vorliegende IT-Sicherheitsrichtlinie regelt die Kopplung der auf der Infrastruktur des 

Netzproviders eingerichteten VPN. 

2 Struktur des Bayerischen Behördennetzes 

2.1 Netzdesign des Bayerischen Behördennetzes 

Das Bayerische Behördennetz basiert auf der vom Netzprovider betriebenen Infrastruk- 

tur, im Folgenden als Transportnetz bezeichnet. Das Transportnetz beinhaltet keine Strecken, 

die über das öffentliche Internet geführt werden oder zum Internet-Backbone gehö- 

ren. Der Netzprovider richtet auf dem Transportnetz mehrere Virtual Private Networks 

(VPN) ein, wodurch eine flexible Strukturierung des Bayerischen Behördennetzes ermög- 

licht wird. Somit besteht das Bayerische Behördennetz aus der Kopplung mehrerer VPN. 

Zur gesicherten Trennung der VPN werden die nachfolgend beschriebenen Schutzmaß- 

nahmen eingesetzt. 

Innerhalb des Bayerischen Behördennetzes bestehen unterschiedliche Vertrauens- und 

Zuständigkeitsbereiche. Diesen Bereichen ist jeweils ein eigenes VPN zugeordnet. Zu 

einem VPN haben nur die zum jeweiligen Bereich zugehörigen Standorte und Teilnehmer 

Zugang. Die Kommunikation zwischen den verschiedenen VPN des Bayerischen Behördennetzes 

erfolgt über einen zentralen Übergangspunkt, an dem eine Sicherheitsinstanz 

betrieben wird. Innerhalb eines VPN ist, sofern nicht durch zusätzliche Filter und Access- 

Listen eingeschränkt, eine "Any-to-Any"-Kommunikation zwischen den daran angeschlossenen 

Nutzern möglich. 

Seite 3 von 7



Für das Bayerische Behördennetz sind derzeit 7 VPN vorgesehen: 

Staatliches Haupt-VPN 

Staatliches Neben-VPN 

Polizei-VPN 

Steuer-VPN 

Justiz-VPN 

Kommunales VPN 

Extranet-/Dienstleister-VPN 

Die Einrichtung weiterer VPN ist möglich. 

2.2 Schutzbedarf 


Stand: 19.11.2003 

Die VPN unterscheiden sich hinsichtlich der Benutzerschaft, der genutzten Dienste und 

der Sicherheitsbedürfnisse. Drei Punkte sind dabei besonders hervorzuheben: 

Innerhalb der staatlichen Verwaltung sind die einzelnen Ressorts für die Erstellung 

und Umsetzung von Sicherheitskonzepten verantwortlich. 

Die kommunalen Behörden betreiben ihre IT-Infrastruktur selbständig und eigenverantwortlich. 

Bei den Teilnehmern des Extranet-/Dienstleister-VPN handelt es sich um keine staatlichen 

oder kommunalen Behörden. 

Justiz-VPN, Polizei-VPN und Steuer-VPN haben einen besonders hohen Schutzbedarf. 

Zusammen mit dem in der IT-Sicherheitsleitlinie [2] geforderten Minimal- und Maximalprinzip 

ergibt sich eine Beschränkung des Zugriffs zwischen den VPN auf die benötigten 

Dienste und IT-Systeme. 

Seite 4 von 7

3 Regelungen 



3.1 Technische Schutzmaßnahmen 

Einen Überblick über die Kopplung der VPN gibt Abbildung 1: 

Staatliches Haupt-VPN 

Kommunales VPN 

Sicherheitsinstanz 

Staatliches Neben-VPN 

Extranet-/Dienstleister-VPN 

Abbildung 1: Die VPN des Bayerischen Behördennetzes 

TFA Nürnberg 

und/oder OFD 

München 

Oberlandesgericht 

München 

LKA München 


Stand: 19.11.2003 

Steuer-VPN 

Justiz-VPN 

Polizei-VPN 

Die Kopplung der VPN erfolgt über eine zentrale Sicherheitsinstanz. Die Sicherheitsinstanz 

ist mindestens als Firewall zu realisieren. Justiz, Polizei und Steuerverwaltung 

schützen ihre VPN zusätzlich durch eigene Sicherheitsinstanzen, die nicht Gegenstand 

dieser Richtlinie sind. Die derzeitigen Standorte und Betreiber der Sicherheitsinstanzen 

sind in Tabelle 1 aufgeführt. 

Seite 5 von 7



VPN Standort Sicherheitsinstanz 

– Betreiber LfStaD 


Stand: 19.11.2003 

Standort Sicherheitsinstanz – anderer Betreiber 

Justiz-VPN LfStaD Oberlandesgericht München 

Polizei-VPN LfStaD Bayerisches Landeskriminalamt 

Steuer-VPN LfStaD TFA Nürnberg und/oder OFD München 

Staatliches Haupt-VPN LfStaD 

Staatliches Neben-VPN LfStaD 

Kommunales VPN LfStaD 

Extranet-/Dienstleister-VPN LfStaD 

Tabelle 1: Standorte der Sicherheitsinstanzen 

3.2 Organisatorische Schutzmaßnahmen 

Die Komponenten der Sicherheitsinstanz erfordern einen gesicherten, hochverfügbaren 

und performanten Betrieb. Verschiedene Konzepte zur Durchführung eines solchen Be- 

triebes können in [1] eingesehen werden. Im Rahmen der vorliegenden Richtlinie sind die 

im Folgenden genannten Aufgaben durch die beauftragten Stellen kontinuierlich zu er- 

füllen und durch das Bayern-CERT zu überwachen. 

3.2.1 Physische Sicherheit 

Die Sicherheitskomponenten sind in physikalischen Schutzzonen unterzubringen. Der 

Zugang zu diesen Schutzzonen ist auf eine geschlossene Benutzergruppe zu reduzieren. 

3.2.2 Audit 

Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen. 

Die Überprüfung ist zu dokumentieren. Es ist sicherzustellen, dass die aktuellen 

Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus der IT- 

Sicherheitsleitlinie, der IT-Sicherheitsrichtlinie zur Kopplung der VPN sowie dem IT- 

Sicherheitskonzept der Behörde. Ergänzend kann das Bayern-CERT oder ein externer 

Dienstleister mit der Durchführung eines Audit beauftragt werden. 

Seite 6 von 7



3.2.3 Technische Überwachung 


Stand: 19.11.2003 

Keine Sicherheitskomponente bietet einen absoluten Schutz. Aus diesem Grund verbleibt 

stets ein Restrisiko. Dies bedeutet, dass es möglich ist, eine Sicherheitskomponente 

durch einen erfolgreichen Angriff zu überwinden. Ernst zu nehmende Angriffe sind über 

die Protokolldateien der Sicherheitskomponenten zu erkennen. Diese sind auszuwerten. 

Die Auswertung kann durch geeignete Filter- und Alarmmechanismen unterstützt werden. 

Die Mechanismen und anfallenden Daten müssen mindestens arbeitstäglich überprüft 

und ausgewertet werden. 

3.2.4 Aktualisierung und Schwachstellenüberwachung 

Alle Sicherheitskomponenten sind durch regelmäßige Updates auf aktuellem Stand zu 

halten. Die Betreiber der Sicherheitskomponenten sind dafür verantwortlich, aktuelle 

Schwachstellen der Sicherheitskomponenten zu erkennen und diese abzustellen. Durch 

das Einspielen der Updates oder Patches ist u. U. mit Störungen des Betriebes zu rechnen. 

Es gilt das in der IT-Sicherheitsleitlinie festgeschriebene Prinzip „Sicherheit vor 

Verfügbarkeit“. Die Verantwortlichen haben ihre Aktivitäten und Prüfungen zu dokumentieren. 

3.2.5 Reaktion auf IT-Sicherheitsvorfälle 

Bei verdächtigen IT-Sicherheitsvorfällen ist der Beauftragte für IT-Sicherheit unmittelbar 

und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei der Behebung des 

Sicherheitsvorfalls zusammen. 

4 Literatur 

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI). IT Grundschutzhandbuch. 

Bundesanzeiger Verlagsgesellschaft mbH. http://www.bsi.bund.de/gshb 

[2] Bayerisches Staatsministerium des Innern, IT Sicherheitsleitlinie, 01.01.2003 

Seite 7 von 7

IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?