3ureohph - IT-Dienstleistungszentrum Berlin
Teilen Einbetten Melden
ePaper herunterladen

3ureohph - IT-Dienstleistungszentrum Berlin

3ureohph - IT-Dienstleistungszentrum Berlin 3ureohph - IT-Dienstleistungszentrum Berlin

itdz.berlin.de
von itdz.berlin.de Mehr von diesem Publisher
14.12.2012 Aufrufe

ç Zwischen den Verschlüsselungspartnern wird als Verbindung ein sogenannter ‚Tunnel‘ aufgebaut, um über die gegebene Infrastruktur sicher zu kommunizieren. Einen Tunnel zwischen zwei Krypto-Gateways können viele Anwender nutzen. Der LIT als zentraler IT-Strukturbetreiber muss nach dem IT KAB-Beschluß die Kommunikation über das MAN absichern. Dazu ist die Kommunikation beim Eintritt in das MAN zu verschlüsseln und nach Austritt wieder zu entschlüsseln. Das erfordert eine site to site-Verschlüsselung mittels Krypto-Gateway. Bestehende Infrastruktur Das heutige MAN ist ein Routernetz, welches im Core-Bereich aus 12 in einem FDDI-Ring (100 Mbit/s max. Bandbreite) verbundenen Routern besteht. An die Core-Router sind über Ethernet-Verbindungen (max. 10 Mbit/s), einzelne FDDI, Fast-Ethernet oder gemietete 2Mbit/s-Strecken die Router der Nebenstandorte angebunden Die Verbindungen mit FDDI, Ethernet und Fast-Ethernet im Core-Bereich sind über die landeseigene LWL-Infrastruktur realisiert. Weiterentwicklung des MAN Bis Mitte 2001 wird der Core-Bereich des MAN durch Layer 2/3-Switches unter Verwendung von Gigabit-Ethernet-Strecken ersetzt. Die Bandbreite des MAN wird in Etappen auf 4 Gigabit/s aufgerüstet. Anbindung an das MAN über das Krypto-Gateway MAN 2 unverschlüsselt verschlüsselt LIT-Router Krypto-Gateway Kunden-Router Im LIT wird ein Konzept erarbeitet, in dem mehrere Varianten zur Anbindung mit Verschlüsselung ans MAN vorgestellt werden. Ausgegengen wird von einer Hardwareverschlüsselung. Werden alle Anschlüsse zum MAN realisiert, ist mit ca. 300 Krypto- Gateways zu rechnen. Weiteres Vorgehen Aktivität Zeitplan Test der Produkte nach Kriterienkatalog Oktober 2001 Test im MAN mit lokalen Routern incl. Ausfallsicherung November 2001 Erstellung eines Betriebskonzepts für die Krypto-Gateways ausgehend vom Teststandort November 2001 Preiskalkulation und Anforderungen an den Netzbetrieb November 2001 Vorstellung der ausgewählten Produkte und Auswahlentsch. (Bln Datenschützer, IT-KAB, QC, GL LIT) Dezember 2001 Einsatzplanung Dezember 2001 Auslösung der Beschaffung von Hard- und Software Januar 2002 Beginn des Einsatzes mit der Aufrüstung des MAN ab Februar 2002 2/01 2 8 Lokales Netz Die dem LIT aus den Rahmenverträgen mit dem Land Berlin zur Auswahl stehenden Verschlüsselungsprodukte werden auf Erfüllung folgender Kriterien geprüft: • Hardware Encryption • Firewall Funktionalität • Produkt im LIT-Einsatz bekannt • Skalierbarkeit des Einsatzes • Verwendung von Verschlüsselungsstandards und Protokollen, Sicherheit • Bandbreite bis zu Gigabit • PKI-Tauglichkeit • Möglichkeit der Sprachübertragung • bedarfsgerechte Administration und Verwaltung der Gateways • Remote Client vorhanden • Ausfall, Fehlerbehebung und Wartung • Performance • Kosten-/Nutzenverhältnis BARBARA KLOPSCH LIT Berlin Email: Barbara.Klopsch@lit.verwaltberlin.de u Risikoanalysen, Sicherheitskonzepte und Sicherheitsaudits Das Abgeordnetenhaus von Berlin hat in seiner letzten Sitzung vor der parlamentarischen Sommerpause eine Neufassung des Berliner Datenschutzgesetzes verabschiedet. Danach müssen vor der Einführung von EDV-Verfahren künftig Sicherheits- und Risikoanalysen sowie Vorabkontrollen durchgeführt werden. Es muss gewährleistet sein, dass alle das Berliner Landesnetz nutzenden Behörden und IT-Verfahren über ein ausreichendes und anforderungsgerechtes Sicherheitsniveau verfügen. Behörden bzw. IT-Verfahren mit unzureichenden Sicherheitsmaßnahmen stellen ein è

ç erhebliches Risiko für alle das Berliner Landesnetz nutzenden Einrichtungen dar. Die Beratung und Erstellung von netzbezogenen Risikoanalysen und Sicherheitskonzepten nach der Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird vom Landesbetrieb für Informationstechnik (LIT) angeboten. Die Beratung und Durchführung von netzbezogenen Sicherheitsüberprüfungen werden im Kundenauftrag erbracht. Sie basieren auf den gesicherten Kenntnissen der IT-Infrastruktur in der Berliner Verwaltung und spezialisiertem Sicherheitswissen im LIT. Die durch diese Dienstleistungen erstellten Dokumente bilden die Grundlage und Maßnahmeplattform für die vom IT-Anwender eigenverantwortlich umzusetzende Sicherheitspolitik. Gleichzeitig werden hier Empfehlungen zum Einsatz technischer und organisatorischer Sicherheitsmaßnahmen gegeben. Die Sicherheitskonzepte werden softwaregestützt mit Hilfe des Seconet Grundschutztools (SGT) erstellt. Screenshot Seconet Grundschutztool - Einige Angaben wurde aus Sicherheitsgründen teilweise geschwärzt Wenn tatsächlich einmal ein Problemfall auftritt, kann der LIT weiterhelfen. Nach eingetretenem technischen Sicherheitsverlust werden ggf. unter Hinzuziehung neutraler externer Spezialisten Ursachen ermittelt und Gegenmaßnahmen empfohlen. Unter technischem Sicherheitsverlust ist z.B. der Ausfall der Verfügbarkeit, ein unbefugter Datenabfluss und die Offenlegung geschützter Daten zu verstehen. u Definitionssache Computer-Sicherheit ist der Schutz der Aktiva einer Gesellschaft/Firma durch Gewährleistung des sicheren, ununterbrochenen Betriebs des Systems und die Sicherung seines Computers, seiner Programme und Daten-Files. Harold J Highland 2/01 2 9 Umfassende Sicherheitskonzepte oft Fehlanzeige in Unternehmen und Behörden CSI-Report belegt dramatische Zunahme von finanziellen Schäden durch Hackerangriffe Ismaning (ots) - Wer einem Unternehmen Schaden zufügen will, tut dies am besten per Computer. Zu diesem ernüchternden Ergebnis kommt das kalifornische Computer Security Institute (CSI) in seinem aktuellen ,Computer Crime and Security“-Report (www.gocsi.com). In der alljährlich durchgeführten Studie wurden 538 fiir die Netzwerk-Sicherheit zuständige Mitarbeiter von US-Unternehmen, Behörden und Universitäten nach ihren Erfahrungen mit Hackerangriffen und Internetkriminalität befragt. Demnach ist die Zahl der Attacken und die daraus resultierenden finanziellen Schäden im Vergleich zum Vorjahr erneut dramatisch angestiegen. Immerhin 70 Prozent der Befragten nannten das Internet als Quelle häufiger Angriffe auf die internen Systeme. Dabei haben die Angreifer oft leichtes Spiel. Die Ursache dafür ist das noch immer mangelnde Bewusstsein der Unternehmensführung. Dies bestätigt auch Andreas Lamm vom Articon- Integralis Strategic Development: „Unsere Erfahrungen im täglichen Umgang mit unseren Kunden zeigen, dass vielfach die IT-Sicherheit nicht gerade zu den vordringlichen Sorgen zählt. Es wird in der Regel nur einmalig in standardisierte Sicherheitssoftware investiert, um Kosten zu sparen und um das eigene Gewissen zu beruhigen. Darüber hinaus regiert das St.-Florians-Prinzip.“ Langfristig rächt sich eine derartige Sorglosigkeit. Mit dem technischen Fortschritt und der zunehmenden Nutzung des Internet als Plattform für è 7

ç Zwischen den Verschlüsselungspartnern wird als Verbindung ein sogenannter<br />

‚Tunnel‘ aufgebaut, um über die gegebene Infrastruktur sicher zu kommunizieren.<br />

Einen Tunnel zwischen zwei Krypto-Gateways können viele Anwender nutzen.<br />

Der L<strong>IT</strong> als zentraler <strong>IT</strong>-Strukturbetreiber muss nach dem <strong>IT</strong> KAB-Beschluß die<br />

Kommunikation über das MAN absichern. Dazu ist die Kommunikation beim<br />

Eintritt in das MAN zu verschlüsseln und nach Austritt wieder zu entschlüsseln. Das<br />

erfordert eine site to site-Verschlüsselung mittels Krypto-Gateway.<br />

Bestehende Infrastruktur<br />

Das heutige MAN ist ein Routernetz, welches im Core-Bereich aus 12 in einem<br />

FDDI-Ring (100 Mbit/s max. Bandbreite) verbundenen Routern besteht. An die<br />

Core-Router sind über Ethernet-Verbindungen (max. 10 Mbit/s), einzelne FDDI,<br />

Fast-Ethernet oder gemietete 2Mbit/s-Strecken die Router der Nebenstandorte<br />

angebunden<br />

Die Verbindungen mit FDDI, Ethernet und Fast-Ethernet im Core-Bereich sind<br />

über die landeseigene LWL-Infrastruktur realisiert.<br />

Weiterentwicklung des MAN<br />

Bis Mitte 2001 wird der Core-Bereich des MAN durch Layer 2/3-Switches unter<br />

Verwendung von Gigabit-Ethernet-Strecken ersetzt.<br />

Die Bandbreite des MAN wird in Etappen auf 4 Gigabit/s aufgerüstet.<br />

Anbindung an das MAN über das Krypto-Gateway<br />

MAN<br />

2<br />

unverschlüsselt<br />

verschlüsselt<br />

L<strong>IT</strong>-Router Krypto-Gateway Kunden-Router<br />

Im L<strong>IT</strong> wird ein Konzept erarbeitet, in dem mehrere Varianten zur Anbindung mit<br />

Verschlüsselung ans MAN vorgestellt werden. Ausgegengen wird von einer Hardwareverschlüsselung.<br />

Werden alle Anschlüsse zum MAN realisiert, ist mit ca. 300 Krypto-<br />

Gateways zu rechnen.<br />

Weiteres Vorgehen<br />

Aktivität Zeitplan<br />

Test der Produkte nach Kriterienkatalog Oktober 2001<br />

Test im MAN mit lokalen Routern incl. Ausfallsicherung November 2001<br />

Erstellung eines Betriebskonzepts für die Krypto-Gateways<br />

ausgehend vom Teststandort November 2001<br />

Preiskalkulation und Anforderungen an den Netzbetrieb November 2001<br />

Vorstellung der ausgewählten Produkte und Auswahlentsch.<br />

(Bln Datenschützer, <strong>IT</strong>-KAB, QC, GL L<strong>IT</strong>) Dezember 2001<br />

Einsatzplanung Dezember 2001<br />

Auslösung der Beschaffung von Hard- und Software Januar 2002<br />

Beginn des Einsatzes mit der Aufrüstung des MAN ab Februar 2002<br />

2/01 2 8<br />

Lokales<br />

Netz<br />

Die dem L<strong>IT</strong> aus den Rahmenverträgen<br />

mit dem Land <strong>Berlin</strong> zur Auswahl stehenden<br />

Verschlüsselungsprodukte werden<br />

auf Erfüllung folgender Kriterien<br />

geprüft:<br />

• Hardware Encryption<br />

• Firewall Funktionalität<br />

• Produkt im L<strong>IT</strong>-Einsatz bekannt<br />

• Skalierbarkeit des Einsatzes<br />

• Verwendung von Verschlüsselungsstandards<br />

und Protokollen,<br />

Sicherheit<br />

• Bandbreite bis zu Gigabit<br />

• PKI-Tauglichkeit<br />

• Möglichkeit der Sprachübertragung<br />

• bedarfsgerechte Administration<br />

und Verwaltung der Gateways<br />

• Remote Client vorhanden<br />

• Ausfall, Fehlerbehebung und<br />

Wartung<br />

• Performance<br />

• Kosten-/Nutzenverhältnis<br />

BARBARA KLOPSCH<br />

L<strong>IT</strong> <strong>Berlin</strong><br />

Email: Barbara.Klopsch@lit.verwaltberlin.de<br />

u<br />

Risikoanalysen,<br />

Sicherheitskonzepte<br />

und Sicherheitsaudits<br />

Das Abgeordnetenhaus von<br />

<strong>Berlin</strong> hat in seiner letzten Sitzung<br />

vor der parlamentarischen<br />

Sommerpause eine Neufassung<br />

des <strong>Berlin</strong>er Datenschutzgesetzes verabschiedet.<br />

Danach müssen vor der Einführung<br />

von EDV-Verfahren künftig<br />

Sicherheits- und Risikoanalysen sowie<br />

Vorabkontrollen durchgeführt werden.<br />

Es muss gewährleistet sein, dass alle das<br />

<strong>Berlin</strong>er Landesnetz nutzenden Behörden<br />

und <strong>IT</strong>-Verfahren über ein ausreichendes<br />

und anforderungsgerechtes<br />

Sicherheitsniveau verfügen. Behörden<br />

bzw. <strong>IT</strong>-Verfahren mit unzureichenden<br />

Sicherheitsmaßnahmen stellen ein è

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!