IKT-Katastrophenvorsorge und govCERT - (Computer Emergency Response Team) Roland Ledinger - oiip

IKT-Katastrophenvorsorge und govCERT
            (Computer Emergency Response Team)

                                  Roland Ledinger

Einsatz von IKT in der Verwaltung

Wie sehr sind wir von IKT abhängig?

Historische Entwicklung

Papyrus            Papier
     Pergament

4.000 v.Chr.        105 n.C.   1450   1890   1932          1956   1971   1985   1990
                                                    1935
  3. Jhd. v.Chr.
          105 n. Chr.

Interoperabilität Konvergenz

E-Government Ziel:
vollständige Online-Amtswege

                                                                          @
                                                        ELAK

Formularaufruf        Signatur mit      ePayment     interne          elektronische
ausfüllen (XML)       Bürgerkarte                  Bearbeitung         Zustellung
www.help.gv.at    www.buergerkarte.at              www.elak.gv.at   www.zustellung.gv.at

Daher gestaltet sich
Umfeld der Verwaltung

   Online-Information

   elektronische Formulare

   elektronisches Serviceangebot

   elektronische Back-Office Prozesse

das Potential der BürgerInnen und UnternehmerInnen in Ö

 66,8 % der Haushalte haben einen Computer, 62 %
  nutzen Internet

 98,5 % der Unternehmen haben einen Computer, 68 %
  nutzen Internet

Das Angebot an
elektronischen Verfahren
E-Government Landkarte

 1.140 Online-Formulare der Bundesministerien

 1.968 Online-Formulare der LReg

 1.084 Online-Formulare auf Bezirksebene

 1.987 Online-Formulare auf Gemeindeebene (inkl. Wien –
  knapp 1300 Gemeinden mit 6.6 Mio Einwohner in der Erhebung)

Digitale Information ist
heute vielfach das ORIGINAL


 Elektronische Akt = Original

 Bundesgesetzblatt im RIS = Original

 Elekt. Gesetzwerdungsprozess = Original

 FinanzOnline = Original

 Elektronische Nachrichten = Original

 Signierte Elektronische
  Rechnungen = Original

 HV-SAP Buchung = Original

Kennzahlen aus der Verwaltung
digitale Originale

 ELAKimBUND: ca. 10.000 BenutzerInnen produzieren jährlich
   ca. 1 Mio elektronische Akten und ca. 2 Mio formfreie Dokumente

 FinanzOnline: 3.6 Mio Anträge elektronisch

 E-Recht: 60 Tonnen Papier werden pro Jahr durch elektronische
   Prozesse ersetzt – Gesetzwerdungsprozess und Publikation
   vollkommen elektronisch

 HV-SAP: Mittelvormerkung; Auszahlungs- und
   Annahmeanordnung Zentralstellen ca. 800.000 pro Jahr

 e-Card: 250.000 – 430.000 Abfragen pro Tag in 12.000
   Arztpraxen; 42 Mio Krankenscheine werden dadurch ersetzt

 Help.gv: über 3,6 Mio Abfragen pro Monat

 RIS: ca. 2-3 Mio Abfragen pro Monat, ca. 1,2 Mio Dokumente

IKT Anwendungen der Verwaltung
sind daher schützenswert!

 Maßnahmen müssen daher folgende Bereiche
 abdecken

  
 Prävention - notwendige Vorkehrungen
  
 Einsatz im Anlassfall
  
 Sicherstellung einer Nachhaltigkeit

Auszug
aktueller Maßnahmen

                              Zertifizierung nach
              Sicherheits-     Internationalen
               Handbuch           Standards
                                                CERT und govCERT
 Informations-
  sicherheits-
 Klassifizierung

         Informations-                        IKT-Katastrophen-
           aktivitäten                            vorsorge
       Sicher im Internet;     Vernetzung
          KMUs, usw          EU-Ebene und
                              International

Eine Maßnahmen zur Vorsorge
         GovCERT

Zusammenspiel CERT
und GovCERT
   Kooperationsvertrag zwischen nic.at und BKA als
             Basis der Zusammenarbeit des
        nationalen CERT und des GovCERT

 
 GovCERT nutzt die technischen Ressourcen (HW und
   SW) als auch die technische Qualifikation (Personal)
 
 GovCERT stellt den Zusammenschluss der öffentlichen
   Verwaltung dar
 
 GovCERT bieten die Vernetzung im internationalen
   Bereich mit anderen öffentlichen Einrichtungen

Zielgruppen GovCERT

 
   Bundesministerien
 
   Landesverwaltungen
 
   Städte- und Gemeindeverwaltungen
 
   Kritische Informationsinfrastrukturen in Österreich

Struktur des GovCERT


 GovCERT als virtueller Zusammenschluss der IT-
  Sicherheitsverantwortlichen der öffentlichen Verwaltung

 Anlaufstelle bzw. Betreuung im Rahmen des Bereiches IKT-
  Strategie des Bundes im Bundeskanzleramtes

 Organisation von Informationsaustausch, des Krisen-
  managements sowie Einrichtung einer Plattform für die
  gesicherte Kommunikation
   – Kontaktstelle zwischen CERT und GovCERT
   – Betreuung notwendiger AGs und Schwerpunktthemen

Struktur des GovCERT

 
 Teilnehmer am GovCERT

   - aktive Informationsbereitstellung von IT-sicherheitsrelevanter
     Kenndaten bzw. Vorfälle
   - Mitwirkung im Rahmen von sicherheitsrelevanten
     Themenaufarbeitung
   - Know How Austausch

   - Krisenmanagement bei IT-sicherheitsrelevanter Vorfälle

Notwendige
gemeinsame Arbeiten

Das auf gegenseitigem Vertrauen basierende freiwillige
Melden von Vorfällen in den Verwaltungs-, Informations-
und Kommunikationsinfrastrukturen (gegenseitige Infor-
mation über Techniken und Verfahren zum Schutz der
Infrastrukturen - Austausch von Erfahrungen zu Risiken,
Vorfällen und Problemen), eine ergänzende aktive Infor-
mationsbeschaffung sowie die Analyse dieser Daten an
einer Stelle, werden zentrale Erfolgsfaktoren für alle
Beteiligten sein

Lessons learned
govCERT
 
 Lessons learned – aus den Erfahrungen von
   realen Virenattacken
   – Notfallplan unbedingt notwendig
   – Notbetrieb nicht nur technisch, sondern auch operativ für das Arbeiten
     von Verwaltungsbediensteten (räumliche Verlagerung der User)
   – 100%iges Assetmanagement (Hardware, Netzwerk, Software, wo was
     in welcher Ausprägung, usw.)
   – 100%ige Benutzerverwaltung inkl. der Organisation (Rollen und Rechte,
     Anwendungszugriffe)
   – Im Zuge der Fehlerbehebung Freispielen des technischen Bereichs
     organisatorischen Aufgaben und Öffentlichkeitsarbeit
   – Patchmanagement umfassend umsetzen (jeder sicherheitsrelevante
     Patch wird eingespielt), wenn die Fachanwendung dies nicht zulässt,
     diese in ein abgesichertes Netz
   – Konzepte für etwaige Notfallsnetze (zB. für VoIP)
   – Segmentierung der Netze überdenken und weitgehend identifizierbare
     Einheiten schaffen
   – Sensibilisierung für Security Policy auf allen Ebenen notwendig

Weitere gemeinsame, ständig zu
koordinierende Tätigkeiten

 
 Freiwillige Feuerwehr als Basis für Unterstützung
 
 Schrittweise Sensibilisierung von Top-Management,
   Politik und Öffentlichkeit
 
 Förderung des internationalen Dialogs – z. B. mit den
   USA, der EU und mit Organisationen aus Nachbarländern
 
 Diskussion ausgewählter Fachthemen
 
 Unterstützung von öffentlich-privaten Partnerschaften
   zum Schutz kritischer Infrastrukturen

Internationale
Einschätzung


 Nach Schätzungen des Weltwirtschaftsforums aus dem
  Jahr 2008 besteht eine Wahrscheinlichkeit von 10 - 20
  %, dass sich in den kommenden zehn Jahren ein
  größerer Ausfall der kritischen Informationsinfrastruktur
  ereignen wird, der für die Weltwirtschaft Kosten von ca.
  250 Mrd. US-Dollar verursachen könnte.

 Der IKT-Sektor spielt für alle gesellschaftlichen Bereiche
  eine wichtige Rolle.

 Die Unternehmen sind sowohl im Hinblick auf ihre
  direkten Umsätze als auch auf die Effizienz ihrer
  internen Abläufe vom IKT-Sektor abhängig.

 Die IKT sind ein wichtiger Baustein der Innovation und
  für fast 40 % des Produktivitätsanstiegs verantwortlich.

Strukturen eines CERT können
Informations- und Kommunikationsbasis
             bereitstellen –

      generelle Maßnahmen für
   Katastrophenvorsorge sind aber
         ebenfalls notwendig

Notwendigkeit der
Katastrophenvorsorge

  
 Hoher Automationsgrad in Geschäftsprozessen
     –   quantitativ
     –   qualitativ
  
 Komplexität der IT-Verfahren
  
 Rückkehr zu manuellen Verfahren ist praktisch
    unmöglich
     – oft kein Papier mehr
     – das „Original“ ist elektronisch
  
 Bedeutung der Funktionsfähigkeit der IKT für die
    Verwaltung
  
 Möglichkeit eines Ausfalles der IT ist trotz aller
    Sicherheitsvorkehrungen nicht auszuschließen

Verwaltung ohne IKT
Conclusio

 
 Beurteilung der Anwendung und treffen von
   entsprechenden Vorsorge-Maßnahmen
    – technische Absicherung je nach Verfügbarkeitsanforderung
    – Service Level Agreement (bei externem Betrieb mit vertraglicher
      Pönale als Anreizsystem)
    – Notprogramm definieren und entsprechende organisatorischen
      Maßnahmen setzen

Katastrophenvorsorge
Kategorisierung

 
 Trennung von
    – operativ zu betreibenden IKT-Anwendungen
    – Datenarchivierung
 
 Vier Vorsorgekategorien
    –   unkritisch                   – keine Vorsorge
    –   Offline Sicherung            – gegen Datenverlust
    –   Redundante Infrastruktur     – Ausfall Komponente
    –   Redundanter Standort         – geogr. begrenztes Event
 
 Zusätzliche Kategorie „K-Fall Sicher“
    – Zumindest Notbetrieb in Zero-Risk Umgebung

K-Fall Kategorien

                                         1
 
 Für die Anwendung               Keine Vorsorge
                                      unkritisch

    – Bestimmung der
      Kategorien                         2
                                       Offline
                                     Sicherung                 2K
 
 Einstufung „K-Fall“
    – z.B. bei 3 K                       3
                                    Redundante
                                                               3K
        
 örtlich begrenztes        Infrastruktur

          Ereignis, RZ nicht
          mehr zugängig                  4
                                    Redundanter
                                      Standort                 4K

                               Betriebsverfügbarkeit   Katastrophenvorsorge

Einstufung der Anwendung
auf Bundesebene

 
 Für jede IT Anwendung
   – Kategorie (default: 1 – keine Vorsorge)
   – maximale Ausfallzeit für Wahrnehmung der Geschäftsprozesse
     (default: 24 h)
       
 K-Fall (Notbetrieb in Zero-Risk Umgebung), wenn
         Anwendung in dieser Zeit nicht herstellbar
   – Periode der Datenaktualisierung in Zero-Risk Umgebung
     (default: 24 h)
   – Erstellung eines Notfallplans

Zentrales Ausweichsystem (ZAS)
Aufgabenstellung

 Katastrophenvorsorge für IT-Anwendungen

 Sichere Lagerung von Daten in einer Zero-Risk Umgebung

 Nutzung von RZ-Stellfläche in einer Zero-Risk Umgebung
  für besonders sensible IT-Anwendungen (Server Housing)

 Abdeckung von Lastspitzen bzw. Bereitstellung von
  Testumgebung

 Ab 2011 in Betrieb:
  elektronisches Staatsarchiv
  der Republik Österreich
  (Digitale Langzeit-
  archivierung)

Vielen Dank
             für Ihre Aufmerksamkeit.

  „IKT ist heute zu einem fixen Bestandteil unseres
täglichen Lebens geworden, daher müssen wir dafür
sorgen, dass wir die richtigen Vorkehrungen treffen,
    um im Anlassfall auch eine Zeit lang ohne IKT
               auskommen zu können.“