IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau
IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau
IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong><br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
Seite 1 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
Inhaltsverzeichnis<br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
1 Einleitung.....................................................................................................................3<br />
2 Struktur des Bayerischen Behördennetzes..................................................................3<br />
2.1 Netzdesign des Bayerischen Behördennetzes....................................................3<br />
2.2 Schutzbedarf .......................................................................................................4<br />
3 Regelungen .................................................................................................................5<br />
3.1 Technische Schutzmaßnahmen..........................................................................5<br />
3.2 Organisatorische Schutzmaßnahmen .................................................................6<br />
3.2.1 Physische Sicherheit ................................................................................6<br />
3.2.2 Audit .........................................................................................................6<br />
3.2.3 Technische Überwachung ........................................................................7<br />
3.2.4 Aktualisierung und Schwachstellenüberwachung.....................................7<br />
3.2.5 Reaktion auf <strong>IT</strong>-Sicherheitsvorfälle ...........................................................7<br />
4 Literatur .......................................................................................................................7<br />
Seite 2 von 7
1 Einleitung<br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
Grundlage dieser <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> zur <strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong> ist die <strong>IT</strong>-Sicherheitsleitlinie<br />
(BAY<strong>IT</strong>SLL) sowie die <strong>IT</strong>-Sicherheitsrahmenrichtlinie für BayKom-Daten<br />
(Bay<strong>IT</strong>SRL-GL).<br />
Die vorliegende <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> regelt die <strong>Kopplung</strong> <strong>der</strong> auf <strong>der</strong> Infrastruktur des<br />
Netzprovi<strong>der</strong>s eingerichteten <strong>VPN</strong>.<br />
2 Struktur des Bayerischen Behördennetzes<br />
2.1 Netzdesign des Bayerischen Behördennetzes<br />
Das Bayerische Behördennetz basiert auf <strong>der</strong> vom Netzprovi<strong>der</strong> betriebenen Infrastruk-<br />
tur, im Folgenden als Transportnetz bezeichnet. Das Transportnetz beinhaltet keine Strecken,<br />
die über das öffentliche Internet geführt werden o<strong>der</strong> zum Internet-Backbone gehö-<br />
ren. Der Netzprovi<strong>der</strong> richtet auf dem Transportnetz mehrere Virtual Private Networks<br />
(<strong>VPN</strong>) ein, wodurch eine flexible Strukturierung des Bayerischen Behördennetzes ermög-<br />
licht wird. Somit besteht das Bayerische Behördennetz aus <strong>der</strong> <strong>Kopplung</strong> mehrerer <strong>VPN</strong>.<br />
Zur gesicherten Trennung <strong>der</strong> <strong>VPN</strong> werden die nachfolgend beschriebenen Schutzmaß-<br />
nahmen eingesetzt.<br />
Innerhalb des Bayerischen Behördennetzes bestehen unterschiedliche Vertrauens- und<br />
Zuständigkeitsbereiche. Diesen Bereichen ist jeweils ein eigenes <strong>VPN</strong> zugeordnet. Zu<br />
einem <strong>VPN</strong> haben nur die zum jeweiligen Bereich zugehörigen Standorte und Teilnehmer<br />
Zugang. Die Kommunikation zwischen den verschiedenen <strong>VPN</strong> des Bayerischen Behördennetzes<br />
erfolgt über einen zentralen Übergangspunkt, an dem eine Sicherheitsinstanz<br />
betrieben wird. Innerhalb eines <strong>VPN</strong> ist, sofern nicht durch zusätzliche Filter und Access-<br />
Listen eingeschränkt, eine "Any-to-Any"-Kommunikation zwischen den daran angeschlossenen<br />
Nutzern möglich.<br />
Seite 3 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
Für das Bayerische Behördennetz sind <strong>der</strong>zeit 7 <strong>VPN</strong> vorgesehen:<br />
Staatliches Haupt-<strong>VPN</strong><br />
Staatliches Neben-<strong>VPN</strong><br />
Polizei-<strong>VPN</strong><br />
Steuer-<strong>VPN</strong><br />
Justiz-<strong>VPN</strong><br />
Kommunales <strong>VPN</strong><br />
Extranet-/Dienstleister-<strong>VPN</strong><br />
Die Einrichtung weiterer <strong>VPN</strong> ist möglich.<br />
2.2 Schutzbedarf<br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
Die <strong>VPN</strong> unterscheiden sich hinsichtlich <strong>der</strong> Benutzerschaft, <strong>der</strong> genutzten Dienste und<br />
<strong>der</strong> Sicherheitsbedürfnisse. Drei Punkte sind dabei beson<strong>der</strong>s hervorzuheben:<br />
Innerhalb <strong>der</strong> staatlichen Verwaltung sind die einzelnen Ressorts für die Erstellung<br />
und Umsetzung von Sicherheitskonzepten verantwortlich.<br />
Die kommunalen Behörden betreiben ihre <strong>IT</strong>-Infrastruktur selbständig und eigenverantwortlich.<br />
Bei den Teilnehmern des Extranet-/Dienstleister-<strong>VPN</strong> handelt es sich um keine staatlichen<br />
o<strong>der</strong> kommunalen Behörden.<br />
Justiz-<strong>VPN</strong>, Polizei-<strong>VPN</strong> und Steuer-<strong>VPN</strong> haben einen beson<strong>der</strong>s hohen Schutzbedarf.<br />
Zusammen mit dem in <strong>der</strong> <strong>IT</strong>-Sicherheitsleitlinie [2] gefor<strong>der</strong>ten Minimal- und Maximalprinzip<br />
ergibt sich eine Beschränkung des Zugriffs zwischen den <strong>VPN</strong> auf die benötigten<br />
Dienste und <strong>IT</strong>-Systeme.<br />
Seite 4 von 7
3 Regelungen<br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
3.1 Technische Schutzmaßnahmen<br />
Einen Überblick über die <strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong> gibt Abbildung 1:<br />
Staatliches Haupt-<strong>VPN</strong><br />
Kommunales <strong>VPN</strong><br />
Sicherheitsinstanz<br />
Staatliches Neben-<strong>VPN</strong><br />
Extranet-/Dienstleister-<strong>VPN</strong><br />
Abbildung 1: Die <strong>VPN</strong> des Bayerischen Behördennetzes<br />
TFA Nürnberg<br />
und/o<strong>der</strong> OFD<br />
München<br />
Oberlandesgericht<br />
München<br />
LKA München<br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
Steuer-<strong>VPN</strong><br />
Justiz-<strong>VPN</strong><br />
Polizei-<strong>VPN</strong><br />
Die <strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong> erfolgt über eine zentrale Sicherheitsinstanz. Die Sicherheitsinstanz<br />
ist mindestens als Firewall zu realisieren. Justiz, Polizei und Steuerverwaltung<br />
schützen ihre <strong>VPN</strong> zusätzlich durch eigene Sicherheitsinstanzen, die nicht Gegenstand<br />
dieser Richtlinie sind. Die <strong>der</strong>zeitigen Standorte und Betreiber <strong>der</strong> Sicherheitsinstanzen<br />
sind in Tabelle 1 aufgeführt.<br />
Seite 5 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
<strong>VPN</strong> Standort Sicherheitsinstanz<br />
– Betreiber LfStaD<br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
Standort Sicherheitsinstanz – an<strong>der</strong>er Betreiber<br />
Justiz-<strong>VPN</strong> LfStaD Oberlandesgericht München<br />
Polizei-<strong>VPN</strong> LfStaD Bayerisches Landeskriminalamt<br />
Steuer-<strong>VPN</strong> LfStaD TFA Nürnberg und/o<strong>der</strong> OFD München<br />
Staatliches Haupt-<strong>VPN</strong> LfStaD<br />
Staatliches Neben-<strong>VPN</strong> LfStaD<br />
Kommunales <strong>VPN</strong> LfStaD<br />
Extranet-/Dienstleister-<strong>VPN</strong> LfStaD<br />
Tabelle 1: Standorte <strong>der</strong> Sicherheitsinstanzen<br />
3.2 Organisatorische Schutzmaßnahmen<br />
Die Komponenten <strong>der</strong> Sicherheitsinstanz erfor<strong>der</strong>n einen gesicherten, hochverfügbaren<br />
und performanten Betrieb. Verschiedene Konzepte zur Durchführung eines solchen Be-<br />
triebes können in [1] eingesehen werden. Im Rahmen <strong>der</strong> vorliegenden Richtlinie sind die<br />
im Folgenden genannten Aufgaben durch die beauftragten Stellen kontinuierlich zu er-<br />
füllen und durch das Bayern-CERT zu überwachen.<br />
3.2.1 Physische Sicherheit<br />
Die Sicherheitskomponenten sind in physikalischen Schutzzonen unterzubringen. Der<br />
Zugang zu diesen Schutzzonen ist auf eine geschlossene Benutzergruppe zu reduzieren.<br />
3.2.2 Audit<br />
Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen.<br />
Die Überprüfung ist zu dokumentieren. Es ist sicherzustellen, dass die aktuellen<br />
Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus <strong>der</strong> <strong>IT</strong>-<br />
Sicherheitsleitlinie, <strong>der</strong> <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> zur <strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong> sowie dem <strong>IT</strong>-<br />
Sicherheitskonzept <strong>der</strong> Behörde. Ergänzend kann das Bayern-CERT o<strong>der</strong> ein externer<br />
Dienstleister mit <strong>der</strong> Durchführung eines Audit beauftragt werden.<br />
Seite 6 von 7
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>n für BayKom-Daten<br />
<strong>Kopplung</strong> <strong>der</strong> <strong>VPN</strong><br />
3.2.3 Technische Überwachung<br />
Bay<strong>IT</strong>SRL-01<br />
Stand: 19.11.2003<br />
Keine Sicherheitskomponente bietet einen absoluten Schutz. Aus diesem Grund verbleibt<br />
stets ein Restrisiko. Dies bedeutet, dass es möglich ist, eine Sicherheitskomponente<br />
durch einen erfolgreichen Angriff zu überwinden. Ernst zu nehmende Angriffe sind über<br />
die Protokolldateien <strong>der</strong> Sicherheitskomponenten zu erkennen. Diese sind auszuwerten.<br />
Die Auswertung kann durch geeignete Filter- und Alarmmechanismen unterstützt werden.<br />
Die Mechanismen und anfallenden Daten müssen mindestens arbeitstäglich überprüft<br />
und ausgewertet werden.<br />
3.2.4 Aktualisierung und Schwachstellenüberwachung<br />
Alle Sicherheitskomponenten sind durch regelmäßige Updates auf aktuellem Stand zu<br />
halten. Die Betreiber <strong>der</strong> Sicherheitskomponenten sind dafür verantwortlich, aktuelle<br />
Schwachstellen <strong>der</strong> Sicherheitskomponenten zu erkennen und diese abzustellen. Durch<br />
das Einspielen <strong>der</strong> Updates o<strong>der</strong> Patches ist u. U. mit Störungen des Betriebes zu rechnen.<br />
Es gilt das in <strong>der</strong> <strong>IT</strong>-Sicherheitsleitlinie festgeschriebene Prinzip „Sicherheit vor<br />
Verfügbarkeit“. Die Verantwortlichen haben ihre Aktivitäten und Prüfungen zu dokumentieren.<br />
3.2.5 Reaktion auf <strong>IT</strong>-Sicherheitsvorfälle<br />
Bei verdächtigen <strong>IT</strong>-Sicherheitsvorfällen ist <strong>der</strong> Beauftragte für <strong>IT</strong>-Sicherheit unmittelbar<br />
und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei <strong>der</strong> Behebung des<br />
Sicherheitsvorfalls zusammen.<br />
4 Literatur<br />
[1] Bundesamt für Sicherheit in <strong>der</strong> Informationstechnik (BSI). <strong>IT</strong> Grundschutzhandbuch.<br />
Bundesanzeiger Verlagsgesellschaft mbH. http://www.bsi.bund.de/gshb<br />
[2] Bayerisches Staatsministerium des Innern, <strong>IT</strong> Sicherheitsleitlinie, 01.01.2003<br />
Seite 7 von 7