3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin 3ureohph - IT-Dienstleistungszentrum Berlin
ç Zwischen den Verschlüsselungspartnern wird als Verbindung ein sogenannter ‚Tunnel‘ aufgebaut, um über die gegebene Infrastruktur sicher zu kommunizieren. Einen Tunnel zwischen zwei Krypto-Gateways können viele Anwender nutzen. Der LIT als zentraler IT-Strukturbetreiber muss nach dem IT KAB-Beschluß die Kommunikation über das MAN absichern. Dazu ist die Kommunikation beim Eintritt in das MAN zu verschlüsseln und nach Austritt wieder zu entschlüsseln. Das erfordert eine site to site-Verschlüsselung mittels Krypto-Gateway. Bestehende Infrastruktur Das heutige MAN ist ein Routernetz, welches im Core-Bereich aus 12 in einem FDDI-Ring (100 Mbit/s max. Bandbreite) verbundenen Routern besteht. An die Core-Router sind über Ethernet-Verbindungen (max. 10 Mbit/s), einzelne FDDI, Fast-Ethernet oder gemietete 2Mbit/s-Strecken die Router der Nebenstandorte angebunden Die Verbindungen mit FDDI, Ethernet und Fast-Ethernet im Core-Bereich sind über die landeseigene LWL-Infrastruktur realisiert. Weiterentwicklung des MAN Bis Mitte 2001 wird der Core-Bereich des MAN durch Layer 2/3-Switches unter Verwendung von Gigabit-Ethernet-Strecken ersetzt. Die Bandbreite des MAN wird in Etappen auf 4 Gigabit/s aufgerüstet. Anbindung an das MAN über das Krypto-Gateway MAN 2 unverschlüsselt verschlüsselt LIT-Router Krypto-Gateway Kunden-Router Im LIT wird ein Konzept erarbeitet, in dem mehrere Varianten zur Anbindung mit Verschlüsselung ans MAN vorgestellt werden. Ausgegengen wird von einer Hardwareverschlüsselung. Werden alle Anschlüsse zum MAN realisiert, ist mit ca. 300 Krypto- Gateways zu rechnen. Weiteres Vorgehen Aktivität Zeitplan Test der Produkte nach Kriterienkatalog Oktober 2001 Test im MAN mit lokalen Routern incl. Ausfallsicherung November 2001 Erstellung eines Betriebskonzepts für die Krypto-Gateways ausgehend vom Teststandort November 2001 Preiskalkulation und Anforderungen an den Netzbetrieb November 2001 Vorstellung der ausgewählten Produkte und Auswahlentsch. (Bln Datenschützer, IT-KAB, QC, GL LIT) Dezember 2001 Einsatzplanung Dezember 2001 Auslösung der Beschaffung von Hard- und Software Januar 2002 Beginn des Einsatzes mit der Aufrüstung des MAN ab Februar 2002 2/01 2 8 Lokales Netz Die dem LIT aus den Rahmenverträgen mit dem Land Berlin zur Auswahl stehenden Verschlüsselungsprodukte werden auf Erfüllung folgender Kriterien geprüft: • Hardware Encryption • Firewall Funktionalität • Produkt im LIT-Einsatz bekannt • Skalierbarkeit des Einsatzes • Verwendung von Verschlüsselungsstandards und Protokollen, Sicherheit • Bandbreite bis zu Gigabit • PKI-Tauglichkeit • Möglichkeit der Sprachübertragung • bedarfsgerechte Administration und Verwaltung der Gateways • Remote Client vorhanden • Ausfall, Fehlerbehebung und Wartung • Performance • Kosten-/Nutzenverhältnis BARBARA KLOPSCH LIT Berlin Email: Barbara.Klopsch@lit.verwaltberlin.de u Risikoanalysen, Sicherheitskonzepte und Sicherheitsaudits Das Abgeordnetenhaus von Berlin hat in seiner letzten Sitzung vor der parlamentarischen Sommerpause eine Neufassung des Berliner Datenschutzgesetzes verabschiedet. Danach müssen vor der Einführung von EDV-Verfahren künftig Sicherheits- und Risikoanalysen sowie Vorabkontrollen durchgeführt werden. Es muss gewährleistet sein, dass alle das Berliner Landesnetz nutzenden Behörden und IT-Verfahren über ein ausreichendes und anforderungsgerechtes Sicherheitsniveau verfügen. Behörden bzw. IT-Verfahren mit unzureichenden Sicherheitsmaßnahmen stellen ein è
ç erhebliches Risiko für alle das Berliner Landesnetz nutzenden Einrichtungen dar. Die Beratung und Erstellung von netzbezogenen Risikoanalysen und Sicherheitskonzepten nach der Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird vom Landesbetrieb für Informationstechnik (LIT) angeboten. Die Beratung und Durchführung von netzbezogenen Sicherheitsüberprüfungen werden im Kundenauftrag erbracht. Sie basieren auf den gesicherten Kenntnissen der IT-Infrastruktur in der Berliner Verwaltung und spezialisiertem Sicherheitswissen im LIT. Die durch diese Dienstleistungen erstellten Dokumente bilden die Grundlage und Maßnahmeplattform für die vom IT-Anwender eigenverantwortlich umzusetzende Sicherheitspolitik. Gleichzeitig werden hier Empfehlungen zum Einsatz technischer und organisatorischer Sicherheitsmaßnahmen gegeben. Die Sicherheitskonzepte werden softwaregestützt mit Hilfe des Seconet Grundschutztools (SGT) erstellt. Screenshot Seconet Grundschutztool - Einige Angaben wurde aus Sicherheitsgründen teilweise geschwärzt Wenn tatsächlich einmal ein Problemfall auftritt, kann der LIT weiterhelfen. Nach eingetretenem technischen Sicherheitsverlust werden ggf. unter Hinzuziehung neutraler externer Spezialisten Ursachen ermittelt und Gegenmaßnahmen empfohlen. Unter technischem Sicherheitsverlust ist z.B. der Ausfall der Verfügbarkeit, ein unbefugter Datenabfluss und die Offenlegung geschützter Daten zu verstehen. u Definitionssache Computer-Sicherheit ist der Schutz der Aktiva einer Gesellschaft/Firma durch Gewährleistung des sicheren, ununterbrochenen Betriebs des Systems und die Sicherung seines Computers, seiner Programme und Daten-Files. Harold J Highland 2/01 2 9 Umfassende Sicherheitskonzepte oft Fehlanzeige in Unternehmen und Behörden CSI-Report belegt dramatische Zunahme von finanziellen Schäden durch Hackerangriffe Ismaning (ots) - Wer einem Unternehmen Schaden zufügen will, tut dies am besten per Computer. Zu diesem ernüchternden Ergebnis kommt das kalifornische Computer Security Institute (CSI) in seinem aktuellen ,Computer Crime and Security“-Report (www.gocsi.com). In der alljährlich durchgeführten Studie wurden 538 fiir die Netzwerk-Sicherheit zuständige Mitarbeiter von US-Unternehmen, Behörden und Universitäten nach ihren Erfahrungen mit Hackerangriffen und Internetkriminalität befragt. Demnach ist die Zahl der Attacken und die daraus resultierenden finanziellen Schäden im Vergleich zum Vorjahr erneut dramatisch angestiegen. Immerhin 70 Prozent der Befragten nannten das Internet als Quelle häufiger Angriffe auf die internen Systeme. Dabei haben die Angreifer oft leichtes Spiel. Die Ursache dafür ist das noch immer mangelnde Bewusstsein der Unternehmensführung. Dies bestätigt auch Andreas Lamm vom Articon- Integralis Strategic Development: „Unsere Erfahrungen im täglichen Umgang mit unseren Kunden zeigen, dass vielfach die IT-Sicherheit nicht gerade zu den vordringlichen Sorgen zählt. Es wird in der Regel nur einmalig in standardisierte Sicherheitssoftware investiert, um Kosten zu sparen und um das eigene Gewissen zu beruhigen. Darüber hinaus regiert das St.-Florians-Prinzip.“ Langfristig rächt sich eine derartige Sorglosigkeit. Mit dem technischen Fortschritt und der zunehmenden Nutzung des Internet als Plattform für è 7
- Seite 1 und 2: Datensicherheit im Netz IT-Nachrich
- Seite 3 und 4: In dieser Ausgabe: Editorial Eine s
- Seite 5 und 6: ç Was bietet der LIT seinen Kunden
- Seite 7: Verschlüsselungskonzept VPN-Tunnel
- Seite 11 und 12: ç Die für die Kommunikation und d
- Seite 13 und 14: Anlaufstelle zum Thema IT-Sicherhei
- Seite 15 und 16: ç „Wir finden es ermutigend, das
- Seite 17 und 18: ç Netz zu schützen. Die vom BMWi
- Seite 19 und 20: ç mit Bundeswirtschaftsminister We
- Seite 21 und 22: Inhalte filtern mit webwasher Das T
- Seite 23 und 24: 2/01 2 23 7
- Seite 25 und 26: silicon.de: IT-Sicherheit scheitert
- Seite 27 und 28: ç Konzepte erste mechanische Versc
- Seite 29 und 30: Berliner Datenschutzgesetz geänder
- Seite 31 und 32: ç Zu 5.: Mit Beginn des Ausbildung
- Seite 33 und 34: Unterzeichnung des Vertrages für e
- Seite 35 und 36: ç Tab. 1: Welche Themen sollten ve
- Seite 37 und 38: ç Als Plattform dienen Windows NT
- Seite 39 und 40: ç Suchmaschinen und Content Manage
- Seite 41 und 42: ç elektrischen und elektronischen
- Seite 43 und 44: ç Kleindienst Solutions realisiert
- Seite 45 und 46: ç Bulmahn dazu heute in Berlin. Na
- Seite 47 und 48: ç Verwalten unter Einschluss der d
- Seite 49 und 50: Online-Beschaffung Kommunen könnte
- Seite 51 und 52: ç Die Themen für notwendige Verä
- Seite 53 und 54: ç In der Regel wird davon ausgegan
- Seite 55 und 56: Beispiele gegenwärtig aktueller In
- Seite 57 und 58: Studie zu den Internet-Auftritten d
ç Zwischen den Verschlüsselungspartnern wird als Verbindung ein sogenannter<br />
‚Tunnel‘ aufgebaut, um über die gegebene Infrastruktur sicher zu kommunizieren.<br />
Einen Tunnel zwischen zwei Krypto-Gateways können viele Anwender nutzen.<br />
Der L<strong>IT</strong> als zentraler <strong>IT</strong>-Strukturbetreiber muss nach dem <strong>IT</strong> KAB-Beschluß die<br />
Kommunikation über das MAN absichern. Dazu ist die Kommunikation beim<br />
Eintritt in das MAN zu verschlüsseln und nach Austritt wieder zu entschlüsseln. Das<br />
erfordert eine site to site-Verschlüsselung mittels Krypto-Gateway.<br />
Bestehende Infrastruktur<br />
Das heutige MAN ist ein Routernetz, welches im Core-Bereich aus 12 in einem<br />
FDDI-Ring (100 Mbit/s max. Bandbreite) verbundenen Routern besteht. An die<br />
Core-Router sind über Ethernet-Verbindungen (max. 10 Mbit/s), einzelne FDDI,<br />
Fast-Ethernet oder gemietete 2Mbit/s-Strecken die Router der Nebenstandorte<br />
angebunden<br />
Die Verbindungen mit FDDI, Ethernet und Fast-Ethernet im Core-Bereich sind<br />
über die landeseigene LWL-Infrastruktur realisiert.<br />
Weiterentwicklung des MAN<br />
Bis Mitte 2001 wird der Core-Bereich des MAN durch Layer 2/3-Switches unter<br />
Verwendung von Gigabit-Ethernet-Strecken ersetzt.<br />
Die Bandbreite des MAN wird in Etappen auf 4 Gigabit/s aufgerüstet.<br />
Anbindung an das MAN über das Krypto-Gateway<br />
MAN<br />
2<br />
unverschlüsselt<br />
verschlüsselt<br />
L<strong>IT</strong>-Router Krypto-Gateway Kunden-Router<br />
Im L<strong>IT</strong> wird ein Konzept erarbeitet, in dem mehrere Varianten zur Anbindung mit<br />
Verschlüsselung ans MAN vorgestellt werden. Ausgegengen wird von einer Hardwareverschlüsselung.<br />
Werden alle Anschlüsse zum MAN realisiert, ist mit ca. 300 Krypto-<br />
Gateways zu rechnen.<br />
Weiteres Vorgehen<br />
Aktivität Zeitplan<br />
Test der Produkte nach Kriterienkatalog Oktober 2001<br />
Test im MAN mit lokalen Routern incl. Ausfallsicherung November 2001<br />
Erstellung eines Betriebskonzepts für die Krypto-Gateways<br />
ausgehend vom Teststandort November 2001<br />
Preiskalkulation und Anforderungen an den Netzbetrieb November 2001<br />
Vorstellung der ausgewählten Produkte und Auswahlentsch.<br />
(Bln Datenschützer, <strong>IT</strong>-KAB, QC, GL L<strong>IT</strong>) Dezember 2001<br />
Einsatzplanung Dezember 2001<br />
Auslösung der Beschaffung von Hard- und Software Januar 2002<br />
Beginn des Einsatzes mit der Aufrüstung des MAN ab Februar 2002<br />
2/01 2 8<br />
Lokales<br />
Netz<br />
Die dem L<strong>IT</strong> aus den Rahmenverträgen<br />
mit dem Land <strong>Berlin</strong> zur Auswahl stehenden<br />
Verschlüsselungsprodukte werden<br />
auf Erfüllung folgender Kriterien<br />
geprüft:<br />
• Hardware Encryption<br />
• Firewall Funktionalität<br />
• Produkt im L<strong>IT</strong>-Einsatz bekannt<br />
• Skalierbarkeit des Einsatzes<br />
• Verwendung von Verschlüsselungsstandards<br />
und Protokollen,<br />
Sicherheit<br />
• Bandbreite bis zu Gigabit<br />
• PKI-Tauglichkeit<br />
• Möglichkeit der Sprachübertragung<br />
• bedarfsgerechte Administration<br />
und Verwaltung der Gateways<br />
• Remote Client vorhanden<br />
• Ausfall, Fehlerbehebung und<br />
Wartung<br />
• Performance<br />
• Kosten-/Nutzenverhältnis<br />
BARBARA KLOPSCH<br />
L<strong>IT</strong> <strong>Berlin</strong><br />
Email: Barbara.Klopsch@lit.verwaltberlin.de<br />
u<br />
Risikoanalysen,<br />
Sicherheitskonzepte<br />
und Sicherheitsaudits<br />
Das Abgeordnetenhaus von<br />
<strong>Berlin</strong> hat in seiner letzten Sitzung<br />
vor der parlamentarischen<br />
Sommerpause eine Neufassung<br />
des <strong>Berlin</strong>er Datenschutzgesetzes verabschiedet.<br />
Danach müssen vor der Einführung<br />
von EDV-Verfahren künftig<br />
Sicherheits- und Risikoanalysen sowie<br />
Vorabkontrollen durchgeführt werden.<br />
Es muss gewährleistet sein, dass alle das<br />
<strong>Berlin</strong>er Landesnetz nutzenden Behörden<br />
und <strong>IT</strong>-Verfahren über ein ausreichendes<br />
und anforderungsgerechtes<br />
Sicherheitsniveau verfügen. Behörden<br />
bzw. <strong>IT</strong>-Verfahren mit unzureichenden<br />
Sicherheitsmaßnahmen stellen ein è