close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Cybersicherheitsstrategie Rheinland-Pfalz – Was macht - Bitkom

EinbettenHerunterladen
Cybersicherheitsstrategie
Rheinland-Pfalz – Was macht
das CERT-rlp?
Matthias Bongarth, Geschäftsführer
Landesbetrieb Daten und Information (LDI)
VSW-/BITKOM-Sicherheitstag, 24.11.2011
Agenda
•
•
•
•
•
•
•
•
Vorstellung LDI
Das Konzept „CERT“
Definition „IT-Sicherheitsvorfall“
Zielgruppen des CERT-rlp
Dienstleistungen im Überblick
Aktuelle Vorfälle
Praxis: Intrusion Detection System im LDI
Kontaktinformation
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 2
Wir stellen uns vor
DER zentrale IT-Dienstleister des
Landes Rheinland-Pfalz!
•
•
•
•
Gründung: 1. Jan. 2003 per Landesgesetz
Jahresumsatz: ca. 50 Mio. € (2010)
Anzahl Mitarbeiter: ca. 200
Standorte: Mainz, Bad Ems
Folie 3
Wir stellen uns vor: Unser Portfolio
Unsere Kernkompetenzen
Beschaffung /
Vergabe
Consulting /
Analyse /
Konzeption
Applikationen
Projekt- u.
Prozessmanagement
Rechenzentrum
Green-IT
Dienstleistungen /
Services
Sicherheit
rlp-Netz
Hochverfügbarkeit
Folie 4
Wir stellen uns vor
Der LDI erbringt Dienstleistungen beim Betrieb und
bei der Betreuung moderner Rechenzentrumsund Netzwerkinfrastruktur, innerhalb von
Hochsicherheits- und Hochverfügbarkeitslösungen.
Mit mehr als 1000 Serversystemen stellt er für die
Landesverwaltung und die kommunalen Behörden
in Rheinland-Pfalz
•
•
•
•
Backbone
Ethernet Connect (EC)
Anbindung der Kaskadenstandorte
an den Backbone mit EC
Anschlüsse mit EC in geringeren
Bandbreiten
24.11.2100
Kommunikationsdienste
Rechenzentrumsleistungen
Anwendungen
IT-Sicherheits-Leistungen
und weitere IT-Services hochverfügbar rund um
die Uhr zur Verfügung.
Die Konzeption des CERT-rlp wurde vom LDI in
enger Zusammenarbeit mit der Zentralstelle für IT
und Multimedia (ITZ) erstellt.
Der Betrieb der Kopfstelle des CERT-rlp erfolgt im
LDI im Auftrag der ITZ.
VSW-/BITKOM Sicherheitstag
Folie 5
Sicherheit auf höchstem Niveau
Ganzheitlicher Ansatz auf höchstem Niveau im LDI – Business Continuity!
Absicherung
Geschäftsprozess
Applikationen
für Polizei, Justiz,
Ressorts etc.
Rechenzentrum
24 h Betrieb
Virtualisierung
rlp-Netz
sicher, verschlüsselt
und hochperformant
LDI
Gebäude
Infrastruktur
ISO 27001 TÜV-geprüfte Sicherheit und Zertifikat durch das
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Folie 6
Bedrohungsszenarien
• Cyberware
• Cybercrime Computer = Tatmittel oder Gegenstand der
deliktischen Handlung
• Viren
• Würmer sich selbst replizierender Code; Netzwerke
„wandern“
• Trojanische Pferde in ein Programm eingeschleuster
Schadcode
• Information Warfare
• Botnet
• Denial of Service
• Zero-Day-Exploit
Überlastung von
Infrastruktursystemen
Arbeitsunfähigkeit
Folie 7
Wir stellen uns vor: Maßnahmen - RZ
Sicherheit und Effizienz auf höchstem Niveau = Ausweich RZ
Länderübergreifendes Sicherheitskonzept = neue Qualität der Ausfallsicherheit
•
Redundante Notstromversorgung
(USV/Diesel, Klimatisierung,
Brandschutz)
•
Inertgas-Löschanlage
•
Zentrale Backup- und Archivierungssysteme
•
Zentraler Storage / SAN
•
Ständige Hochverfügbarkeit im Netzwerkbereich durch RZ-Kopplung
(Storage Area Network – Speichernetzwerk)
(Verbindung über Ringleitungen)
•
Anwendungen können redundant und hochverfügbar betrieben werden
Folie 8
Wir stellen uns vor: rlp-Netz
Umsetzung der Sicherheitspolicy im rlp-Netz 2010 – nächste Generation
Sicherheit: Verschlüsselung und
Trennung in logische Teilnetze
Eth over LWL
• Verschlüsselung auf der
LWL-Ring
Leitungsebene bis zur
Eth over LWL
Endstelle
Ministerien
• 3-stufige Firewall
• Dienste- und
Verbindungskontrolle
MM
• Anbindungen durch
Backup
unterschiedliche
LDI
Hauseinführungen
Schutz der E-Mails:
• Virenschutz
• Antispam-Technik
MPLS
Internet
MM
Eth over LWL
zentraler Übergang
Eth over LWL
Glasfaser
MM
MM
Eth over LWL
SFV
EthCon
MPLS
1)Dense
MPLS
Logische Teilnetze
„Verwaltung/
Justiz/Polizei“
Switch
Logische
Teilnetze
„Landesbetriebe“
DSL und SDSL
Wavelength Division Multiplex /Dichte Wellenlängen-Multiplex
Folie 9
Logisches Teilnetz
„Hochschulen“
Eth over LWL
Eth over LWL
MPLS
MPLS
Neu - Internetübergang:
Redundante Wegeführung über getrennte
DWDM-Systeme1) auf
unterschiedliche
POPs des Lieferanten
rlp-Netz over Internet
(roI)
öffentliche
Plattform
Maßnahmen - Penetrationstest
IT-Sicherheit Penetrationstest 2010
• Tests von extern über das Internet
• Interne Tests
• Interne Tests Polizeisysteme
• Wiederholung alle zwei Jahre
Insgesamt gutes Sicherheitsniveau!
Eindringen von extern nicht möglich!
Im Vergleich gutes Ergebnis !
Sicherheit ist unser Geschäft !
Folie 10
Maßnahmen – Endpoint Security
Endpoint Securitiy
• Schutz der Schnittstellen eines PCs (z.B. USB – Port)
• Einschränken der Nutzung von angeschlossenen
Geräten (z.B. USB – Massenspeicher)
Maßnahmen:
• DA Endpoint Security
• BIOS Härtung
• Endpoint Security Software auf den Arbeitsplatzrechnern
Datenklau
früher
Datenklau
heute
Folie 11
Länderübergreifende Zusammenarbeit /
Kooperationen
Kooperationen mit öffentlichen und privaten Einrichtungen
•
Hessische Zentrale für Datenverarbeitung
Gemeinsames länderübergreifendes, hochsicheres
Ausweich-Rechenzentrum
• bremen online services (bos) / Dataport
Komponenten der eGovernment-Plattform
rlp-Middleware
• Polizei: Betrieb
Interne Kommunikationsplattform der Polizeien des Bundes und
der Länder zum Austausch dienstrelevanter Informationen
• Polizei: Betrieb POLIS und SAVIS
Rheinland-Pfalz
Polizeiliches Informations- und Fahndungssystem
• Deutscher CERT-Verbund
Mitglied seit dem 28.06.2011 - http://www.cert-verbund.de/
• Behörden-CERT-Verbund
Initiative des BSI im Rahme LÜKEX - http://www.luekex.de/
Folie 12
+
Saarland
IT-Sicherheits-Zertifizierung
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz durch das BSI
Unsere zertifizierte
eGovernment-Plattform
für
Bürger, Wirtschaft
und Verwaltung
zur
Umsetzung der
EU-Dienstleistungsrichtlinie!
Kommunikation
• Service-Portal:
Zugriff auf Fachverfahren
• Virtuelle Poststelle:
sicherer, nachvollziehbarer,
rechtssicherer E-Mail-Verkehr
• OSCI-Intermediär:
sichere Übertragung digitaler Daten
• Warum: Fokus des Landes auf IT-Sicherheit
• Zielsetzung: manipulationsfreie Kommunikation zwischen Bürger, Wirtschaft
und Verwaltung über DIE eGovernment-Plattform
• Zertifizierung nach internationalen Standards
Folie 13
IT-Sicherheitsstrategie Landesregierung
CERT-rlp*
Gemeinsame zentrale
Informationsplattform
zur IT-Sicherheit
Ausbau der zentralen
Sicherheitsarchitektur in der
Landesverwaltung
*CERT-rlp: Computer Emergency Response Team Rheinland-Pfalz
Folie 14
Sicherheit auf höchstem Niveau
IT-Sicherheitsprozess:
geplante, organisierte und gesteuerte Vorgehensweise
Organisatorische und personelle Rahmenbedingungen (z.B. Schulungen)
Gebäude-Infrastruktur
Strat. Leitlinien
zu IT-Sicherheit und Datenschutz
IT-Sicherheitsrichtlinien
BSI-Zertifizierung
rlp-MW
ISO 27001
IT-Grundschutz
rlp-Netz
Kommunikation
Mensch
Rechenzentrum
Betrieb
Kritischer
Erfolgsfaktor
QS u. Prozessmanagement:
Aktuelles Projekt:
Prozessoptimierung
auf Basis von ITIL
Anwendungen /
Daten
IT-Sicherheitskonzepte / Notfallplanung
Ausweich RZ
Standards
ITIL (z.B. Security-Management – SLAs)
CERT-rlp
IT-Grundschutz / CERT-rlp
Folie 15
Das Konzept „CERT“
Computer Emergency Response Team
Reaktion
Prävention
Nachhaltigkeit
Warn- und
Informationsdienst
Penetrations-/
Sicherheitstest
IT-Sicherheitsschulungen
Entwicklung von
Securitytools
Sicherheitsberatung
Erkennung von
Angriffen
(IPS/IDS,
Honeypots, etc.)
Produktauswahl,
-bewertung
Vorfallsanalyse
Vorfallsbehandlung
Risikoanalysen
Ziel: strukturiertes Management von IT-Sicherheitsvorfällen
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 16
IT-Sicherheitsvorfall
Das CERT-rlp definiert ihn wie folgt:
„Ein für das CERT-rlp relevanter IT-Sicherheitsvorfall ist
die Information über bereits eingetretene oder mögliche
bevorstehende Beeinträchtigung der Vertraulichkeit,
Verfügbarkeit oder Integrität von IT-Systemen, deren
Kenntnis andere Mitglieder der landesinternen oder externen
Zielgruppe(n) es ermöglicht, sie vor Schaden zu bewahren
oder den Schaden zu reduzieren. IT-Sicherheitsvorfälle in
diesem Sinne sind meldepflichtig an die Kopfstelle des
CERT-rlp.“
Cybercrime generiert immer IT-Sicherheitsvorfälle …
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 17
Zielgruppen des CERT-rlp
Primär:
• IT-SiBe der Ressorts, der Polizei, des LDI
• Permanente AG CERT-rlp
Sekundär:
• IT-SiBe aller rlp-Netz-Teilnehmer
Tertiär:
• Externe CERTs
– Deutscher CERT-Verbund
– Behörden-CERT-Verbund (LÜKEX, UP Bund)
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 18
Dienstleistungen im Überblick
•
•
•
Reaktion
– Betrieb Warn- und Informationsdienst
• 75 RSS-Feeds, 35 Mailing-Listen, 65 Produkte
– Bereitstellung LDI Helpdesk 24/7 (first level)
– Koordination ressortübergreifender IT-Sicherheitsvorfälle
Prävention
– Betrieb Intrusion Detection System (IDS)
• Signaturbasierte Sensoren
• Security Information and Event Management (SIEM)
Nachhaltigkeit
– Betrieb einer Informationsplattform IT-Sicherheit
• Zentrale Kommunikationsplattform, Foren
• Schulungsthemen
• Warn- und Informationsdienst
• Sicherheitsbewertungen
– Vorbereitungen von Audits gem. ISO27001 auf der Basis von IT-Grundschutz
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 19
Maßnahmen – Infoplattform
Kopfstelle des CERT-rlp
Informationsplattform IT-Sicherheit
www.it-sicherheit.rlp.de
CERT-rlp
http://www.cert-rlp.de/
Folie 20
Dienstleistungen im Überblick
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 21
Aktuelle Vorfälle
• Vermehrt IT-Angriffe auf Regierung und
Industrie:
– (Distributed) Denial of Service-Attacken
– Website-Defacements
– Datendiebstahl / -abfluss
– Komplexe, zielgenaue Angriffe (Stuxnet)
• CERT-rlp analysiert, bewertet und spricht
Sicherheitswarnungen aus. Nachfolgend
einige Beispiele aus jüngster Zeit:
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 22
Aktuelle Vorfälle
• Distributed Denial of Service
– Prominent z.B. „Operation Payback“:
• Ziele: Websites von „Wikileaks-Gegnern“
(Schweizer PostFinance, Mastercard, Visa)
• Website-Defacements
www.uhl-csu.de
19.10.2011
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 23
Aktuelle Vorfälle
• Datendiebstahl / -abfluss
– Angriff auf Server der Bundespolizei (Juli 2011)
– Daten von kompromittiertem Webserver
wurden frei im Internet veröffentlicht, darunter
• Telefonnummern, KFZ-Kennzeichen, GPSKoordinaten von Verdächtigen, etc.
• Das CERT-rlp erhielt vom CERT-Bund (BSI)
detaillierte und eingestufte Informationen, die
zeitnah für die Zielgruppe in eine
Sicherheitswarnung mündete.
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 24
Aktuelle Vorfälle
• Komplexe, zielgenaue Angriffe
– „Advanced Persistent Threats“ (APT), aktuelle
Beispiele:
•
•
•
•
Stuxnet (SPS Rootkit), Ziel: Industrie-Steuerungen
RSA-Hack: SecureID-System kompromittiert
DigiNotar: Root-CA kompromittiert
Brandaktuell (W32.Duqu): Stuxnet „Nachfolger“
• CERT-rlp ermittelt den Angriffsvektor und
parametriert, wenn möglich, das IDS
entsprechend.
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 25
Intrusion Detection System
Angriff auf ein IT-System
Mittschnitt des
Netzwerkverkehrs
Abgleich des
Angriffsmusters
Ermittlung des Angriffs
Alarmmeldung
Incident Handling
05.12.2011
Intrusion Detection System
SchwachstellenDatenbank
Angriffserkennung mit IDS
• Scanning und Analyse des
Netzwerkverkehrs
• Ereignisse werden bezüglich Ereignistyp,
Quell- und Ziel-IP-Adressen und
Bedeutung der betroffenen Systeme
aggregiert und klassifiziert
• CERT-rlp stellt fest, ob Angriffe oder
Fehlalarme vorliegen
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 27
Angriffserkennung mit IDS
• Es gibt eine Vielzahl von Auffälligkeiten im Netzwerkverkehr
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 28
Angriffserkennung mit IDS
• Hersteller liefert aktuelle Signaturen, z.B.
bereits am 28.10.2011 zu W32.DUQU
• Es wird im Mittel täglich ein Angriffsversuch
gemeldet
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 29
Angriffserkennung mit IDS
Dokumentation der Angriffe
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 30
Trends bei Angriffen
• Es werden fortlaufend Angriffsversuche aus
aller Welt festgestellt
• Jedes IT-System mit Kontakt zum Internet
ist akut gefährdet, falls keine Härtung des
Systems vorliegt
• Bei vielen Sicherheitsvorfällen ist
Fahrlässigkeit von Anwendern und
Administratoren die Ursache
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 31
Personal
•
•
•
•
•
•
•
•
•
•
•
•
Bis zu 70 Prozent aller Angriffe durch „Innentäter“
Mangelhafte Entsorgung vertraulicher Daten
Ungelöschte Festplatten vom Flohmarkt: 34% (BBC, 2009)
Ungelöschte Smartphones im Müll: 43% (BT, 2008) Test mit Realdaten
Software Tests mit Produktivdaten: 71% (CIO Magazin, 2009)
Besprechungen im öffentlichen Raum
Preisabstimmung im Zug zur Produktpräsentation
Vergessen der Umgebung am Telefon: 68% (Cisco, 2008)
Falscher Umgang mit Passwörtern (Feldexperiment London, 2008)
Ein festes PW dienstlich und privat: 48%
Kennen PW von Kollegen: 50%
Geben eigenes PW telefonisch an Support: 58%
Aktuelles Ereignis um Bundestrojaner
•
24.11.2100
Quellen: Fraunhofer, eigene Recherchen
VSW-/BITKOM Sicherheitstag
Folie 32
Information durch CERT-rlp
• Kontinuierliche Sensibilisierung und Schulung der
Mitarbeiter
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 33
Kontaktinformation
Fachgruppe CERT-rlp
LANDESBETRIEB DATEN UND INFORMATION
Valenciaplatz 6
D-55118 Mainz
Telefon +49-6131 605-360
Telefax +49-6131 605-55360
E-Mail: helpdesk@ldi.rlp.de
Internet: http://www.cert-rlp.de/
Verschlüsselte E-Mails: cert@ldi.rlp.de
PGP Fingerprint
953E 53B3 9E51 0BF6 8DBB
C74F E1E9 2ACB C003 C5CB
Alternativ: BSI Chiasmus
24.11.2100
VSW-/BITKOM Sicherheitstag
Folie 34
DER zentrale IT-Dienstleister
des Landes Rheinland-Pfalz!
Vielen Dank für Ihre Aufmerksamkeit!
Matthias Bongarth, Geschäftsführer LDI
Folie 35
Document
Kategorie
Bildung
Seitenansichten
8
Dateigröße
5 503 KB
Tags
1/--Seiten
melden