IT-Sicherheitsrahmenrichtlinie für BayKom-Daten - Landkreis Passau
IT-Sicherheitsrahmenrichtlinie für BayKom-Daten - Landkreis Passau
IT-Sicherheitsrahmenrichtlinie für BayKom-Daten - Landkreis Passau
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong><br />
<strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
Seite 1 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Inhaltsverzeichnis<br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
1 Einleitung.....................................................................................................................3<br />
2 Grundsätze der <strong>IT</strong>-Sicherheitsdokumente ...................................................................3<br />
2.1 Grundlage ...........................................................................................................3<br />
2.2 Dokumentenkontrolle ..........................................................................................4<br />
3 Teilnehmer- und Netzstrukturen des Behördennetzes.................................................4<br />
3.1 Erläuterung..........................................................................................................4<br />
3.2 Definition von Teilnehmergruppen (TG) ..............................................................5<br />
3.3 Bildung von Virtuellen Privaten Netzen ...............................................................5<br />
3.3.1 Staatliche VPN..........................................................................................5<br />
3.3.2 Kommunales VPN ....................................................................................6<br />
3.3.3 Logische Netztopologie ............................................................................7<br />
3.3.4 Logische Netztopologie ............................................................................7<br />
4 Verbindlichkeit .............................................................................................................8<br />
Anlage 1 - Dokumente zur <strong>IT</strong>-Sicherheit (Stand: 16.03.2004)...........................................9<br />
Anlage 2 - Glossar ...........................................................................................................11<br />
Seite 2 von 15
1 Einleitung<br />
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
Gemäß Nr. 1, Nr. 5.2 und Nr. 6 der <strong>IT</strong>-Sicherheitsleitlinie <strong>für</strong> die bayerische Staatsverwaltung<br />
vom 1.1.2003 sind detaillierte und diese konkretisierende <strong>IT</strong>-Sicherheitsrichtlinien<br />
<strong>für</strong> alle sicherheitsrelevanten Themengebiete zu erstellen. Die vorliegende <strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong><br />
<strong>für</strong> die Bayerische Staatsverwaltung (Bay<strong>IT</strong>SRL-GL) ist das Grundlagendokument,<br />
auf das die <strong>IT</strong>-Sicherheitsrichtlinien, Sicherheitskonzepte und Sicherheitsregeln<br />
Bezug nehmen.<br />
Die Struktur des gesamten Sicherheitsregelwerks stellt sich wie folgt dar:<br />
Richtlinie zur <strong>IT</strong>-<br />
Sicherheitsorganisation der<br />
Bayer. Staatsverwaltung<br />
Geschäftsordnung <strong>für</strong> das<br />
Sicherheitsteam der<br />
Bayer. Staatsverwaltung<br />
2 Grundsätze der <strong>IT</strong>-Sicherheitsdokumente<br />
2.1 Grundlage<br />
Grundlage <strong>für</strong> die <strong>IT</strong>-Sicherheitsdokumente ist die <strong>IT</strong>-Sicherheitsleitlinie (BAY<strong>IT</strong>SLL). Sie<br />
macht Vorgaben zu den folgenden Bereichen:<br />
Zielgruppe und Geltungsbereich<br />
<strong>IT</strong>-Sicherheitsziele<br />
Prinzipien der <strong>IT</strong>-Sicherheit<br />
<strong>IT</strong>-Sicherheitsleitlinie<br />
(<strong>IT</strong>-Security Policy)<br />
<strong>für</strong> die Bayer. Staatsverwaltung<br />
<strong>IT</strong>-<br />
<strong>Sicherheitsrahmenrichtlinie</strong><br />
Sicherheitsdokumente:<br />
<strong>IT</strong>-Sicherheitsrichtlinien<br />
<strong>IT</strong>-Sicherheitskonzepte<br />
<strong>IT</strong>-Sicherheitsregeln<br />
Seite 3 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
<strong>IT</strong>-Sicherheitsorganisation<br />
<strong>IT</strong>-Sicherheitsprozess<br />
Durchsetzung<br />
Sicherheitsdokumentation<br />
Im Rahmen des in der <strong>IT</strong>-Sicherheitsleitlinie definierten <strong>IT</strong>-Sicherheitsprozesses sind detaillierte<br />
Sicherheitsrichtlinien zu erarbeiten.<br />
Eine Übersicht aller Dokumente zur <strong>IT</strong>-Sicherheit findet sich in der Anlage 1.<br />
2.2 Dokumentenkontrolle<br />
Die Dokumente zur <strong>IT</strong>-Sicherheit unterliegen einer Dokumentenkontrolle. Sie werden<br />
im Intranet des Bayerischen Behördennetzes veröffentlicht, soweit sie von allgemeiner<br />
Bedeutung sind,<br />
im Rahmen der technischen Weiterentwicklung des Behördennetzes laufend fortgeschrieben,<br />
bei Ungültigkeit unverzüglich widerrufen und<br />
aufbewahrt, um <strong>für</strong> rechtliche Zwecke oder <strong>für</strong> Zwecke der Wissenserhaltung verfügbar<br />
zu sein.<br />
3 Teilnehmer- und Netzstrukturen des Behördennetzes<br />
3.1 Erläuterung<br />
Zur Abgrenzung der unterschiedlichen Aufgabenstellungen bzw. Zuständigkeiten der<br />
Teilnehmer am Behördennetz erfolgt eine Einteilung in Teilnehmergruppen (TG).<br />
An diesen orientiert sich die logische Struktur des Behördennetzes, die Untergliederung<br />
des Bayerischen Behördennetzes in unterschiedliche Virtuelle Private Netze (VPN) und<br />
die Kopplung dieser VPN über eine zentrale Sicherheitsinstanz (vgl. Bay<strong>IT</strong>SRL-01).<br />
Seite 4 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
3.2 Definition von Teilnehmergruppen (TG)<br />
Es werden folgende Teilnehmergruppen definiert:<br />
Teilnehmergruppen<br />
Erläuterung<br />
TG 1 Staatliche Behörden, unmittelbare Landesverwaltung<br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
TG 2 Kommunaler Bereich: Kreisverwaltungsbehörden (KVB), Bezirke, kommunale<br />
Spitzenverbände, Gemeinden, Verwaltungsgemeinschaften,<br />
Zweckverbände 1<br />
TG 3 Diese Teilnehmergruppe umfasst alle sonstigen Teilnehmer am Bayerischen<br />
Behördennetz und die Übergänge zu anderen Netzen und deren<br />
Dienste.<br />
Der Zugang zum Bayerischen Behördennetz kann erst nach einer Berechtigungsprüfung<br />
im Einzelfall erfolgen, vgl. auch Bay<strong>IT</strong>SRL-09.<br />
3.3 Bildung von Virtuellen Privaten Netzen<br />
Auf Grundlage der Teilnehmergruppen werden folgende VPN gebildet:<br />
Staatliches VPN<br />
Kommunales VPN<br />
Extranet-/Dienstleister-VPN<br />
Die Zugehörigkeit zu einem VPN richtet sich immer nach der Zugehörigkeit zu einer Teilnehmergruppe<br />
(s. u.) und niemals nach der Art des Zugangs (z. B. Einwahl).<br />
3.3.1 Staatliche VPN<br />
Innerhalb des Staatlichen VPN sind darüber hinaus noch weitere fachliche, technische<br />
und sicherheitsrelevante Konstellationen zu berücksichtigen:<br />
a) Fachliche Zuordnung<br />
Dienststellen aus den Bereichen Justiz, Polizei und Steuerverwaltung sind jeweils einem<br />
eigenen VPN zugeordnet.<br />
1 Gemeinden, Verwaltungsgemeinschaften und Zweckverbände können beim Provider keinen eigenen<br />
Zugang zum Bayerischen Behördennetz beantragen. Sie werden ausschließlich über eine KVB angeschlossen.<br />
Seite 5 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
b) Inanspruchnahme weiterer Netzprovider<br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
Bei Inanspruchnahme eines weiteren Providers ist von Seiten des auftraggebenden<br />
Teilnehmers sicherzustellen, dass das vom Provider zur Verfügung gestellte Netz nur<br />
von Teilnehmern der TG 1 genutzt werden kann.<br />
c) Betrieb eines eigenen Internetzugangs (bzw. weiterer Netzübergange)<br />
Soweit sich die Zuordnung einer staatlichen Behörde zu einem VPN nicht aus der<br />
fachlichen Zuordnung ergibt und der Betrieb eines eigenen Internetzugangs in begründeten<br />
Ausnahmefällen unabdingbar ist, wird diese Behörde <strong>für</strong> den Gültigkeitszeitraum<br />
der Ausnahme dem Staatlichen Neben-VPN zugeordnet. Durch die Zuordnung<br />
zum Staatlichen Neben-VPN wird die generelle Any-to-Any-Kommunikation im<br />
staatlichen Bereich <strong>für</strong> Behörden mit eigenem Internetzugang eingeschränkt, weil<br />
sämtlicher Verkehr vom und zum Neben-VPN über die Sicherheitsinstanz geleitet<br />
wird.<br />
Das Staatliche VPN der TG 1 untergliedert sich somit in:<br />
Polizei-VPN<br />
Justiz-VPN<br />
Steuer-VPN<br />
Staatliches Haupt-VPN<br />
Staatliches Neben-VPN<br />
3.3.2 Kommunales VPN<br />
Nur die Kreisverwaltungsbehörden, die Bezirke sowie die kommunalen Spitzenverbände<br />
werden unmittelbar über das Kommunale VPN an das Behördennetz angeschlossen. Die<br />
Landratsämter ermöglichen allen übrigen Teilnehmern der TG 2 im Rahmen von Kom-<br />
munalen Behördennetzen (KommBN) die Teilnahme am Behördennetz.<br />
Auch im Kommunalen VPN sind die sicherheitsrelevanten Konstellationen (Betrieb eines<br />
eigenen Internetzugangs, Inanspruchnahme eines weiteren Providers) vorzufinden.<br />
Im Kommunalen VPN gilt der Grundsatz einer Any-to-Any-Kommunikation. Dieser kann<br />
durch die Einrichtung einer standardisierten Access Control List (ACL) auf dem Zugangsrouter<br />
zum Behördennetz eingeschränkt werden. Dadurch sind nur Kommunikationsverbindungen<br />
möglich, die über die Sicherheitsinstanz verlaufen.<br />
Seite 6 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
3.3.3 Logische Netztopologie<br />
Auf Initiative eines Teilnehmers aus TG 1 oder TG 2 können auch weitere Institutionen<br />
Anschluss an das Behördennetz erhalten. Sie erhalten den Zugang über das Extranet-/Dienstleister-VPN.<br />
Die Detailregelungen finden sich in der <strong>IT</strong>-Sicherheitsrichtlinie<br />
Bay<strong>IT</strong>SRL-09.<br />
3.3.4 Logische Netztopologie<br />
Es ergibt sich somit die folgende logische Netztopologie:<br />
Internet<br />
KommBNs<br />
Kommunales<br />
VPN<br />
Staatl. Neben-<br />
VPN<br />
Staatl. Haupt-<br />
VPN Dezentrale<br />
Sicherheitsinstanz<br />
Zentrale<br />
Sicherheitsinstanz<br />
Extranet-/<br />
Dienstleister-<br />
VPN<br />
Dezentrale<br />
Sicherheitsinstanz<br />
Dezentrale<br />
Sicherheitsinstanz<br />
Steuer-VPN<br />
Justiz-VPN<br />
Polizei-VPN<br />
Eine detaillierte Beschreibung der Netztopologie findet sich in der <strong>IT</strong>-Sicherheitsrichtlinie<br />
Bay<strong>IT</strong>SRL-01 "Kopplung der VPN".<br />
Seite 7 von 15
4 Verbindlichkeit<br />
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Stand: 19.11.2003<br />
Um ein einheitlich hohes Sicherheitsniveau im Bayerischen Behördennetz halten zu können,<br />
sind die <strong>IT</strong>-Sicherheitsrichtlinien verpflichtend. Insbesondere gelten diese Regelungen<br />
<strong>für</strong> die am Kommunalen VPN angeschlossene Teilnehmergruppe 2. Eine KVB kann<br />
ihren zugehörigen Kommunen, Verwaltungsgemeinschaften (VG) und Einrichtungen einen<br />
Zugang zum Bayerischen Behördennetz ermöglichen. Diese Kommunen, VG und<br />
Einrichtungen bilden zusammen mit der KVB ein Kommunales Behördennetz (KommBN).<br />
Die KVB hat in diesem Fall sicherzustellen, dass die <strong>IT</strong>-Sicherheitsrichtlinien im KommBN<br />
entsprechend zur Anwendung kommen.<br />
Seite 8 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Anlage 1 - Dokumente zur <strong>IT</strong>-Sicherheit<br />
(Stand: 16.03.2004)<br />
Grundlagendokumente zur <strong>IT</strong>-Sicherheit<br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 1<br />
Bay<strong>IT</strong>SLL: <strong>IT</strong>-Sicherheitsleitlinie <strong>für</strong> die Bayer. Staatsverwaltung (Stand: 01.01.2003)<br />
Bay<strong>IT</strong>SO: Richtlinie zur <strong>IT</strong>-Sicherheitsorganisation der Bayer. Staatsverwaltung<br />
(Stand: 01.01.2003)<br />
Bay<strong>IT</strong>SGO: Geschäftsordnung <strong>für</strong> das Sicherheitsteam der Bayer. Staatsverwaltung<br />
(Stand: 01.01.2003)<br />
Bay<strong>IT</strong>SRL-GL: <strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong> (Stand: 19.11.2003)<br />
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-01: Kopplung der VPN (Stand: 19.11.2003)<br />
Bay<strong>IT</strong>SRL-02: Betrieb eines Übergangs in das Internet (Stand: 19.11.2003,<br />
Anhang Stand: 01.02.2004)<br />
Bay<strong>IT</strong>SRL-03: Aufbau und Betrieb von Funk-LAN (WLAN) (Stand: 01.02.2004)<br />
Bay<strong>IT</strong>SRL-04: Betrieb von IP-basierenden Virtuellen Privaten Netzen (IP-VPN)<br />
(Stand: 19.11.2003)<br />
Bay<strong>IT</strong>SRL-05: Telearbeits- und mobile Arbeitsplätze (Stand: 19.11.2003)<br />
Bay<strong>IT</strong>SRL-06: Fernwartung und externe Anwendungen (Stand: 19.11.2003)<br />
Bay<strong>IT</strong>SRL-07: Einsatz von Personal Digital Assistent (PDA) (Stand: -)<br />
Bay<strong>IT</strong>SRL-08: Durchführung von Penetrationstests (Stand: 16.03.2004)<br />
Bay<strong>IT</strong>SRL-09: Extranet-/Dienstleister-VPN (Stand: 19.11.2003)<br />
Bay<strong>IT</strong>SRL-10: Sicherheitsrichtlinie <strong>für</strong> Wählverbindungen im Bayerischen Behördennetz<br />
(Stand: 01.10.2001)<br />
Bay<strong>IT</strong>SRL-11: Nutzung von Anwendungen über das Internet unter Verwendung von<br />
SSL/TSL (Stand: 01.02.2004)<br />
Seite 9 von 15
Sicherheitskonzepte<br />
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SK-01: Aufbau und Betrieb Kommunaler Behördennetze (KommBN)<br />
(Stand: 19.11.2003)<br />
Sicherheitsregeln <strong>für</strong> den einzelnen Geschäftsprozess<br />
Bay<strong>IT</strong>SR-xx:<br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 1<br />
Seite 10 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Anlage 2 - Glossar<br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 2<br />
Account (Benutzerkonto): In einem Benutzerkonto werden alle Informationen zur Benutzerkennung zusammengefasst.<br />
Dazu zählen unter anderem der <strong>für</strong> die Anmeldung erforderliche Benutzername und das<br />
Kennwort, die Gruppen, denen der Benutzer angehört, sowie die Rechte des Benutzers.<br />
AH (Authentication Header): Bei Kommunikationsprotokollen Element von Übertragungsrahmen (Paketen,<br />
Datagrammen, Frames usw.) mit Steuernachrichten <strong>für</strong> die Abwicklung der Authentifikation. Beispiel: Authentification<br />
Header in den Protokollspezifikationen der IETF-Arbeitsgruppe IPSec.<br />
Audit: Prüfung eines Systems durch unabhängige Fachleute.<br />
Authentizität: Echtheit, Zuverlässigkeit, Glaubwürdigkeit, Gesichertheit.<br />
Authentifizierung: Auch als Authentikation bezeichnet. Allgemein <strong>für</strong> Verifizierungsverfahren zur Sicherstellung<br />
der Authentizität einer Person (Teilnehmer, Benutzer), einer Nachricht oder einer Einrichtung (z.B.<br />
Server).<br />
Bayerisches Behördennetz: <strong>IT</strong>-gestützte Kommunikationsinfrastruktur <strong>für</strong> die bayerische Staats- und Kommunalverwaltung.<br />
<strong>BayKom</strong>: Bayerische Kommunikationsnetze (Netzinfrastruktur <strong>für</strong> Sprach-, Mobilfunk-, <strong>Daten</strong>- und Internet-<br />
Kommunikation).<br />
<strong>BayKom</strong>-<strong>Daten</strong>: <strong>Daten</strong>netz der Bayerischen Kommunikationsnetze.<br />
<strong>BayKom</strong>-Internet: Internetanschlüsse über den Behördennetzprovider.<br />
Common Criteria (CC): Gemeinsame Kriterien <strong>für</strong> die Prüfung und Bewertung der Sicherheit der Informationstechnik.<br />
Sie beschreiben abstrakt die Anforderungen, nach denen Produkten in einer Hierarchie von<br />
Vertrauenswürdigkeitsstufen das Sicherheitsniveau zertifiziert werden kann. Diese Evaluation Assurance<br />
Levels (EAL) erstrecken sich von EAL 1 (einfache Tests) bis EAL 7 (formal-logisch verifizierte Hochsicherheitslösung).<br />
Die Common Criteria sind als Fortentwicklung von <strong>IT</strong>SEC (Europa) und TCSEC (USA) in die<br />
veröffentlichte Norm ISO/IEC 15408 eingegangen und sollen die internationale Vergleichbarkeit der Zertifizierung<br />
von Produkten und Systemen auf dem Weltmarkt sicherstellen.<br />
CERT (Computer Emergency Response Team): Computer Notfall- und Aktionsteam.<br />
<strong>Daten</strong>: Hierunter fallen alle Informationen, die auf <strong>IT</strong>-Systemen oder Speichermedien gespeichert oder<br />
verarbeitet werden.<br />
DMZ (Demilitarized Zone): Demilitarisierte Zone ist ein Schlagwort <strong>für</strong> ein Netzsegment, das als "neutrale<br />
Zone" zwischen dem internen Netz eines Unternehmens und dem "äußeren" öffentlichen Netz eingerichtet<br />
wird. Dadurch soll verhindert werden, dass Benutzern von außen direkt auf einen Server mit Unternehmensdaten<br />
zugreifen können. "Perimeter Network" (Grenznetz) ist eine weitere oft verwendete Bezeichnung<br />
<strong>für</strong> die DMZ. Man unterscheidet zwei Varianten: Die DMZ ist entweder ein Netzwerksegment zwischen<br />
zwei hintereinander liegenden Firewalls oder über ein dezidiertes Interface an einer Firewall angeschlossen.<br />
DNS (Domain Name System): Ein spezieller Verzeichnisdienst, der <strong>für</strong> die Benennung von Objekten in<br />
vernetzten Systemen entworfen wurde. Im Internet dient das DNS zur Verwaltung von Rechnernamen und<br />
Mailadressen.<br />
Seite 11 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 2<br />
ESP-Verfahren (Encapsulating Security Payload): In den Protokollspezifikationen der IETF-Arbeitsgruppe<br />
IPSec <strong>für</strong> getunnelte Übertragungen über IP-Netze Paketkomponente mit Aufgaben im Rahmen der Verschlüsselung<br />
von Nutzdaten vorgesehen.<br />
Extranet: Ein Extranet definiert den Informationsaustausch zwischen Intranets und Partnern über ein privates<br />
oder öffentliches Netz (TCP/IP-basierend).<br />
Fernwartung: Die Fernwartung ist ein System zur Wartung räumlich entfernt stehender Rechner. Die Verbindung<br />
zum fernen Computer wird üblicherweise über PC/Modem und das öffentliche Telefonnetz aufgebaut.<br />
Auch eine Fernwartung über Funkstrecken und das Internet ist möglich.<br />
FTP: Das File Transfer Protocol (RFC 959) wird benötigt, um <strong>Daten</strong> zwischen unterschiedlichen Betriebssystemen<br />
zu transferieren (z.B. UNIX, Windows). Mit FTP können sowohl zeichencodierte als auch binäre<br />
Dateien übertragen werden.<br />
HTTP (Hypertext Transfer Protocol): Im World Wide Web (Web) das am häufigsten verwendete Kommunikationsprotokoll.<br />
Das HTTP wird zur Übertragung von HTML-Seiten (Hypertext Markup Language) zwischen<br />
Browsern, Programmen mit grafischer Oberfläche zum Betrachten der Webseiten und Webservern<br />
benutzt.<br />
IEC (International Electronics Commission): Internationales Standardisierungsgremium auf allen Gebieten<br />
der Elektrotechnik und Elektronik.<br />
IEEE (Institute of Electrical and Electronics Engineers): Gremium, das Internet-Standards verabschiedet.<br />
IETF (Internet Engineering Task Force): Gremium, das Internet-Standards verabschiedet.<br />
Integrität: Die physische und logische Abgeschlossenheit von Informationssystemen zum Schutz vor unberechtigter<br />
Veränderung oder der unberechtigten Erstellung von Informationen.<br />
Internet: Abgeleitet von engl. international (international) und network (Netz). Globales, dezentral organisiertes<br />
und strukturiertes Rechnernetz mit einheitlichem Adressierungsschema, das heute weltweit mit hohen<br />
Zuwachsraten über 300 Mio. Benutzer miteinander verbindet und neben dem ausgebauten Telefonsystem<br />
die wichtigste Basisinfrastruktur <strong>für</strong> den internationalen elektronischen Austausch von Informationen<br />
darstellt.<br />
Intranet: Ein Intranet ist ein lokales Netzwerk (LAN), das auf dem Internet-Protokoll TCP/IP beruht. Ein<br />
Intranet wird vorwiegend nichtöffentlich in Firmen und Verwaltungen genutzt.<br />
IP: Das Internet Protocol (IP) ist das wichtigste Protokoll (RFC 791) der TCP/IP-Protokollfamilie der Internetschicht<br />
(entsprechend Schicht 3 des OSI-Referenzmodells) mit Funktionen zur Leitweg- und Flusskontrolle.<br />
IPSec (IP Security Protokoll): Hilfsmittel, das es erlaubt, über ein Netzwerk auf andere Computer/Netze<br />
gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen.<br />
ISO (International Standard Organization): Die Internationale Organisation <strong>für</strong> Standardisierung.<br />
<strong>IT</strong>SEC (Information Technique System Evaluation Criteria): Sicherheitskriterien zur Bewertung von <strong>IT</strong>-<br />
Systemen; Richtlinie, die 1991 die deutschen <strong>IT</strong>S-Kriterien ablöste. <strong>IT</strong>SEC gilt in mehreren europäischen<br />
Staaten zur Prüfung von Hardware und Software.<br />
KoAIuK: Ressortübergreifender Koordinierungssausschuss <strong>für</strong> grundsätzliche und geschäftsübergreifende<br />
Angelegenheiten der Informations- und Kommunikationstechnik (IuK) (Art. 6 IuKG).<br />
Seite 12 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 2<br />
KommBN (Kommunale Behördennetze): <strong>Landkreis</strong>extranets bestehend aus den Gemeinden, Städten,<br />
Verwaltungsgemeinschaften sowie deren Zusammenschlüsse (z.B. Zweckverbände).<br />
NETBIOS(Network Basic Input/Output System): Von IBM 1984 eingeführte, hardwareunabhängige Anwendungsprogrammierschnittstelle<br />
(Application Program Interface, API), die sich über die Schichten 3 bis 5 des<br />
OSI-Referenzmodells erstreckt. Dabei ist die Schicht 3 (Network Layer) nur als Nullschicht implementiert,<br />
sodass Routingfunktionen nicht zur Verfügung stehen. Das inzwischen technisch überholte NetBIOS - eine<br />
Weiterentwicklung von NetBIOS ist das NetBEUI (NetBIOS Extended User Interface) - stellt <strong>für</strong> ein Telekommunikationsnetz<br />
dieselben grundlegenden Funktionen zur Verfügung wie das BIOS (Basic Input Output<br />
System) <strong>für</strong> einen Computer.<br />
NNTP (“Network News Transfer Protocol” oder “Network News Transport Protocol”): Ein zum OSI-<br />
Referenzmodell (Open Systems Interconnection) konformes Kommunikationsprotokoll. Das auf den Internetprotokollen<br />
IP und TCP aufbauende NNTP (RFC 977) dient der Übertragung von News-Artikeln. Es<br />
findet häufig in lokalen Netzwerken oder Wide Area Networks (WAN), beispielsweise bei Verbindungen<br />
zwischen Universitäten als Alternative zum UUCP (UNIX-to-UNIX Copy Program), Verwendung.<br />
NTP (Network Time Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll bzw. -dienst<br />
(RFC 1305) zur Synchronisation der Uhrzeit in den Rechnern des Internet. Das NTP ist technisch realisiert<br />
durch synchronisierte (Coordinated universal time) Time-Server an verschiedenen Punkten des Internet.<br />
OSI(Open Systems Interconnection)-Referenzmodell:. Auch als ISO-Modell, OSI-Architektur und Ebenenmodell<br />
bezeichnet. Ein von der ISO (International Standard Organization) entwickelter globaler Rahmen <strong>für</strong><br />
die Standardisierung "Offener Kommunikation" zwischen kooperierenden Systemen. Der Rahmen zerlegt,<br />
losgelöst von speziellen Implementierungen, den Funktionskomplex Kommunikation in sieben schichtdiskrete<br />
hierarchische Teilprozesse, die in die sieben OSI-Schichten eingebettet sind. Die in den Schichten<br />
residierenden Instanzen der kooperierenden Systeme erbringen Kommunikationsdienste <strong>für</strong> die jeweils<br />
nächsthöhere Schicht. Dabei stützen sie sich auf die Dienste der darunter liegenden Schichten ab. Die<br />
Bedingungen <strong>für</strong> die schichtbezogene Kooperation unter den verbundenen Systemen reglementiert das<br />
Schichtenprotokoll.<br />
Penetration: Versuch der Umgehung der Sicherheitsfunktionen eines <strong>IT</strong>-Systems.<br />
Penetrationtest: In der Informationstechnologie (<strong>IT</strong>) und Telekommunikation (TK) ein Sicherheitscheck, in<br />
dem <strong>IT</strong>/TK-Systeme unter Zuhilfenahme aktueller sicherheitstechnischer Angriffsmuster untersucht werden<br />
und somit deren Standhaftigkeit gegenüber potenziellen Angreifern getestet werden.<br />
POP (Point of Presence): Zugangspunkte (Access Nodes) im Internet und den in Internet-Technologie aufgebauten<br />
Intranets.<br />
POP3 (Post Office Protocol): Standard zur Übermittlung von E-Mails.<br />
Port (Schnittstelle, Anschluss): Unter Port versteht man eine Schnittstelle, mit der ein Server mit dem<br />
Netzwerk kommuniziert. Der Port ist daher auch immer Teil der Adresse des Host-Rechners, die aber weggelassen<br />
werden kann, wenn es sich um den Standardport handelt. Bei HTTP lautet der Standardport 80<br />
und wird durch einen Doppelpunkt an die Adresse angehängt.<br />
RFC (Request for Comments): Sammlung von Empfehlungen, Artikeln und Standards (RFC-Standards), in<br />
denen netzrelevante Konventionen und allgemeine Informationen zum Internet festgehalten sind. Als RFC<br />
sind auch die Anregungen und Verbesserungsvorschläge bezeichnet, die die Teilnehmer des Internets<br />
beim so genannten RFC-Editor, http://www.rfc-editor.org, einreichen. Soll ein RFC einmal zu einem Standard<br />
werden, wird er vom IAB (Internet Architecture Board) geprüft und gegebenenfalls zum "Proposed<br />
Standard" (Standardvorschlag) erklärt. Sobald genügend Erfahrungen mit dem neuen Standard gesammelt<br />
wurden - frühestens aber nach einem halben Jahr - kann daraus ein "Draft Standard" (Standardentwurf)<br />
werden. Nach einer angemessenen Zeit kann dann daraus wiederum ein mit einer Ordnungsnummer ver-<br />
Seite 13 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 2<br />
sehener Internet Standard - d.h. vollwertiger RFC-Standard - werden, von denen bislang weit über Tausend<br />
veröffentlicht wurden.<br />
Sicherheit: Schutz von Informationsquellen vor unberechtigten Änderungen, Zerstörungen oder Preisgabe<br />
unabhängig davon, ob sie absichtlich oder unabsichtlich erfolgten.<br />
Sicherheitsinstanz: Die wesentliche Komponente einer Sicherheitsinstanz ist eine Firewall. In den meisten<br />
Fällen muss außerdem eine DMZ eingerichtet werden. Die in der DMZ enthaltenen Server und Proxies sind<br />
ebenfalls als Komponenten der Sicherheitsinstanz aufzufassen. Bestandteile einer Sicherheitsinstanz können<br />
außerdem eine Virenschleuse und ähnliche Komponenten sein.<br />
SMTP (Simple Mail Transfer Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC<br />
821) <strong>für</strong> die Übermittlung elektronischer Nachrichten (E-Mail). Diese werden vom Anwender zunächst mittels<br />
eines Mailprogramms (User Agent, UA) erzeugt und zu einem lokalen Mitteilungstransfersystemteil<br />
(Message Transfer Agent, MTA) geschickt, der die Nachrichten mit dem SMTP zum MTA des Zielsystems<br />
weiterleitet, wo der Empfänger sie mit seinem Mailprogramm lesen kann.<br />
SSH (Secure Shell): SSH stellt ein sicheres Remote-Login-Protokoll dar, dessen ursprüngliches Ziel es<br />
war, die Berkeley Remote-Dienste (rsh, rlogin, rcp, ... ) zu ersetzen. Heute wird SSH u. a. als Ersatz <strong>für</strong><br />
Telnet eingesetzt und ermöglicht damit einen gesicherten Zugriff auf einen anderen Rechner unter Verwendung<br />
kryptografischer Mechanismen.<br />
SSL/TLS (Secure Socket Layer/Transport Layer Security): Hilfsmittel, das es erlaubt, über ein Netzwerk auf<br />
andere Computer gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen. Diese Technik<br />
kommt überwiegend <strong>für</strong> gesicherte Webverbindungen zum Einsatz.<br />
TCSEC (Trusted Computer System Evaluation Criteria): Titel eines vom US-amerikanischen Verteidigungsministerium<br />
(Department of Defense, DoD) im Jahr 1985 veröffentlichten Standardisierungsdokuments<br />
mit Evaluierungskriterien <strong>für</strong> die Prüfung und Bewertung der Sicherheit der Informationstechnik. Das<br />
Dokument, auch "Orange Book" genannt, spezifiziert ein System mit mehreren Sicherheitsstufen, die von<br />
A1 (höchste Sicherheitsstufe) bis D (niedrigste Sicherheitsstufe) reichen und jeweils die Fähigkeit angeben,<br />
die ein Computersystem aufweisen muss, um den Schutz der gefährdeten <strong>Daten</strong> sicherzustellen.<br />
Telnet: In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC 854), mit dem sich der Benutzer<br />
bei einem fernen Rechner (Host) im Internet anmelden kann (Remote Login). Telnet realisiert eine Client-<br />
Server-Beziehung zwischen der lokalen Telnet-Software (Client) und der fernen Software (Server), d. h. der<br />
Benutzer kann sein Terminal an seinem lokalen Rechner benutzen, um auf einem fernen Rechner zu arbeiten.<br />
Das Terminal erscheint auf dem fernen Rechner wie ein lokal angeschlossenes Terminal.<br />
Telearbeit: Arbeit am Computer in der Wohnung der Mitarbeiter, online oder offline.<br />
Topologie: Die Netztopologie ist die geometrische Ausdehnung der Netzknoten und der physikalischen<br />
Verbindungswege zwischen ihnen und stellt somit die Struktur der Nachbarschaftsbeziehungen und der<br />
Übertragungsmöglichkeiten in einem Netz dar. Die Topologie wird auch als Netzstruktur oder Netzform<br />
bezeichnet.<br />
Verfügbarkeit: Die Gewährleistung, dass berechtigte Nutzer innerhalb einer angemessenen Zeit Zugriff auf<br />
gespeicherte Informationen erhalten und diese entsprechend ihrer Zugriffsberechtigung weiterverarbeiten<br />
können.<br />
Vertraulichkeit: Der Schutz von Informationen gegen unautorisierte Zugriffe von innen und außen.<br />
VPN (Virtual Private Network): Virtuelles Privates Netz (Geschlossene Benutzergruppe) i. d. Regel auf Basis<br />
von Festverbindungen (Frame Relay, ATM) oder Internet.<br />
Seite 14 von 15
<strong>IT</strong>-Sicherheitsrichtlinien <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
<strong>IT</strong>-<strong>Sicherheitsrahmenrichtlinie</strong> <strong>für</strong> <strong>BayKom</strong>-<strong>Daten</strong><br />
Bay<strong>IT</strong>SRL-GL<br />
Anlage 2<br />
WLAN (Wireless Local Area Network): Allgemein <strong>für</strong> vollständig oder teilweise drahtlos aufgebautes LAN-<br />
System (Local Area Network), das an Stelle eines Kabels elektromagnetische oder optische Funkübertragungen<br />
einsetzt. Primäre Vorteile sind die schnelle und kostengünstige Installation sowie die leichte Ortsveränderung<br />
(ggf. sogar mobil) der Endgeräte. Standardisierungsprojekte: IEEE (802.11.).<br />
Seite 15 von 15