IT-Security und Datensicherheit für Behörden eGovernment – aber sicher!

Autor / Redakteur: Arno Lücht / Gerald Viola

Sicherheit wird beim Landkreis Nienburg/Weser groß geschrieben. Daher wurde gemeinsam mit den Experten des Lüneburger Sicherheitsunternehmens Securepoint ein flexibles Konzept entwickelt und umgesetzt, das den immer schneller wachsenden Kommunikationsanforderungen (eGovernment, EU-Dienstleistungsrichtlinie) gerecht wird und gleichzeitig einen optimalen Schutz bietet.

Firmen zum Thema

Kreishaus am Schlossplatz
Kreishaus am Schlossplatz
( Archiv: Vogel Business Media )

Die Geschwindigkeit, mit der neue Trojaner, Viren und andere Sicherheitsgefahren auftauchen, nimmt täglich zu. Auch der Öffentliche Sektor gerät immer stärker in das Schussfeld der Angreifer. Somit müssen die Öffentlichen Verwaltungen zwangsläufig ihre entsprechenden Sicherheitsvorkehrungen verstärken und permanent auf dem aktuellen Stand halten.

Die zum großen Teil hochsensiblen personenbezogenen Daten „schlummern“ nicht mehr auf isolierten Rechnern und Servern innerhalb der Verwaltungen, sondern sind nicht zuletzt aufgrund der erforderlichen eGovernment-Anforderungen innerhalb des internen und externen Netzes in die entsprechenden Prozesse eingebunden. Somit stellt auch die für eine effiziente Verwaltung erforderliche Nutzung des Intranets sowie des Internets die Sicherheitsexperten regelmäßig vor eine Vielzahl neuer Herausforderungen. Access-Control und Firewall gehören mittlerweile zu den Standardschutzeinrichtungen, die selbstverständlich auch im Landkreis Nienburg/Weser implementiert sind.

Spätestens seit Übernahme der IT-Aktivitäten in den eigenen Verantwortungsbereich des Landkreises Nienburg/Weser wird dem Daten- und Zugriffschutz besonderes Augenmerk eingeräumt. Allein aufgrund der Standortbesonderheiten – Verteilung der Verwaltungsorganisationen auf vier miteinander vernetzte Standorte innerhalb der Stadt Nienburg – stellt der Sicherheitsaspekt eine wesentliche strategische Komponente innerhalb der IT dar. Zusätzlich verstärkt wird dieser strategische Aspekt vor dem Hintergrund der Standorte in Hoya und Stolzenau sowie weiterer drei dezentral im Kreis betriebener Zulassungsstellen. Auch das gemeinsam mit der Stadt Nienburg und dem Land Niedersachsen betriebene eigene LWL-Netz erhöht zusätzlich die Anforderungen an die Sicherheit des gesamten Netzes, an dem inzwischen allein rund 500 Arbeitsplätze der Kreisverwaltung angeschlossen sind.

IT-Sicherheit in Eigenverantwortung

In der Vergangenheit hat der Landkreis alle Security-Maßnahmen ausschließlich einem Servicerechenzentrum überlassen, das für die gesamte IT-Welt der Verwaltung zuständig war. Mit dem Aufbau einer eigenen IT-Infrastruktur musste die Aufgabe in den eigenen Verantwortungsbereich übernommen werden. Basierend auf den damaligen strategischen Überlegungen stellen heute neue Anforderungen wie zum Beispiel die Dienstleistungsrichtlinie oder die Integration in die Deutschland-Online-Initiative zusätzliche Herausforderungen für die Mitarbeiter der Systemadministration dar.

Die Berücksichtigung der damaligen Bewertungskriterien innerhalb der Anforderungsanalyse hat in keiner Form ihre zentrale strategische Rolle eingebüßt. „Flexibilität und Skalierbarkeit der damals gesuchten Lösung sind weiterhin wesentliche Aspekte aller Sicherheitsmaßnahmen“, erklärt Christian Drescher, Mitarbeiter der Netzwerk- und Systemadministration. „Mit der ausgewählten neuen Security-Lösung“, fährt er fort, „sollte eine sichere Kommunikation aller Arbeitsplätze miteinander und ein Zugriff einzelner Arbeitsplätze ins Internet ermöglicht werden. Dabei musste gleichzeitig sichergestellt werden, dass alle aktuellen sowie zukünftig zu erwartenden Arbeitsplatzrechner über eine einheitliche Verbindung mit Dritten (anderen Kommunen, dem Land, dem Bund oder mit Bürgern) sicher kommunizieren können.“

„Zudem soll mit der Lösung eine gesicherte Verbindung zu allen nicht ins eigene LWL-Netz integrierten Außenstellen gewährleistet werden“, ergänzt sein Kollege Daniel Lichtsinn.

Auf der Wunschliste der Nienburger ganz oben stand zudem eine möglichst einfach zu bedienende und somit auch einfach zu beherrschende Lösung.

Gerade vor dem Hintergrund der aktuellen Herausforderungen aus dem eGovernment-Umfeld erweisen sich die damaligen Überlegungen heute als tragfähige Bewertungskriterien.

Hohe Verfügbarkeit gepaart mit einfacher Bedienbarkeit basierend auf einer standardisierten Lösung rundete das Anforderungsprofil ab.

Selbstverständlich wurden die Auswirkungen des Implementierungsprozesses in die interne Bewertung einbezogen. Das Tagesgeschäft durfte in keiner Weise durch den Implementierungsprozess negativ beeinflusst werden. Auch während der Umstellungsphase musste die technische Unterstützung der Sachbearbeitung durch den Aufbau vernetzter Arbeitsplätze sukzessiv weiter optimiert werden. Ein Stillstand geschweige denn Rückschritte im prozessualen Umfeld der Sachbearbeitung durfte in der sechsmonatigen Einführungsphase nicht hingenommen werden.

UTM-Appliances – Herzstück des Sicherheitskonzeptes

Aufgrund der Bewertung der angebotenen Leistungsprofile kristallisierte sich die Lösung des Lüneburger Security-Unternehmens Securepoint als besonders geeignet heraus. Die Entscheidung aufgrund des objektiven Bewertungskataloges wurde durch zusätzlich positive Referenzen sowie eigene Erfahrungen mit dem Hause Securepoint untermauert. „Somit stellten sich die UTM-Appliances der Lüneburger für uns als optimal heraus“, kommentiert Drescher den Auswahlprozess und weist auf die Komplexität der zur Verfügung stehenden Funktionen hin:

  • Firewall,
  • AntiVirus,
  • Intrusion Prevention,
  • Application Level Gateways,
  • VPN-Gateway,
  • Content Filter,
  • Spam-Filter,
  • Authentifizierungsmechanismen,
  • Zertifikatsserver.

Die hausweite IT-Netzinfrastruktur wird zwischenzeitlich durch die von den Lüneburgern zur Verfügung gestellten Module überwacht – unabhängig davon, ob es sich um interne oder externe Netzübergänge handelt. Die eingesetzten Komponenten untersuchen, melden und verhindern alle relevanten Netzangriffe und sichern den reibungslosen internen und externen Informationsfluss. Auf der Basis eines leicht zu kontrollierenden Regelwerks können die Systemadministratoren flexibel und schnell auf die sich verändernden Umweltfaktoren reagieren und möglichen negativen Folgen vorgreifen. Unterstützt werden sie durch die zur Verfügung stehende Remote-Administrationsfunktion. „Selbstverständlich erlauben wir den Zugriff der Spezialisten nur in abgestimmten Ausnahmesituationen“, schränkt Lichtsinn ein. „Besonders positiv“, hebt er gleichzeitig hervor, „ist das Pattern- und Softwareupdate, das unsere Appliances immer auf dem neusten Stand hält“.

Sicherheitskonzept – Basis für erfolgreichen Einsatzes

Strategische Überlegungen zum Sicherheitskonzept bildeten bereits gemeinsam mit grundlegenden Aspekten des Einführungskonzeptes das Fundament des Auswahl-/Anforderungskataloges. Daher konnten die Kooperationspartner unmittelbar nach Vertragsunterzeichnung mit der Detaillierung des Sicherheitskonzeptes beginnen.

Auf der Basis der allgemeinverbindlichen Anforderungen berücksichtigte das gemeinsame Projektteam die spezifischen Anforderungen des Landkreises und entwickelte daraus die optimale Einführungs- und Migrationsstrategie. Der Erfolg der strategischen Überlegungen konnte bereits nach sechs Monaten verifiziert werden. Innerhalb dieses Zeitrahmens wurden die Grundstrukturen des heutigen Netzwerkes aufgebaut und durch den Einsatz von vier UTM-Appliances geschützt.

Jedoch zeichneten sich innerhalb dieser ersten Netzausbaustufe die Kommunikationswege bei weitem nicht in der heute vorhandenen Integrationstiefe ab. Erst mit dem Aufbau des gemeinsam mit der Stadt Nienburg und dem Land Niedersachsen realisierten Stadtnetzes ergaben sich die komplexen Kommunikationsstrukturen zwischen alle beteiligten Standorten. Die zunächst dezentral eingesetzten UTM-Appliances wurden in dieser zweiten Umstellungsphase zentralisiert.

Auch die damit verbundenen Umbau- und Neukonfigurationsmaßnahmen wurden mit laufendem Projektfortschritt weitgehend autonom in der Kreisverwaltung durchgeführt. Die Früchte des Know-how-Transfer der ersten Projektstufe konnten dabei geerntet werden. Außerdem standen bei neuen Herausforderungen die Mitarbeiter von Securepoint schnell und kompetent zur Verfügung.

Die positiven Erfahrungen der Kreisverwaltung spiegeln sich auch in einem weiteren aktuellen IT-Projekt wieder. Durch die Ausgliederung der Wirtschaftsförderung aus der Verwaltung wurde eine neue IT-autarke GmbH ins Leben gerufen. Somit konnte das neu zu schaffende Netz nicht in die bestehende Infrastruktur integriert werden. Mithilfe einer kleinen Securepoint Piranja – einer UTM-Appliance für kleine Netze – wird das neue autonome Netz gesichert. Gleichzeitig dient die Piranja, ähnlich wie ihre großen Verwandten in der Kreisverwaltung zum Aufbau und zur Kontrolle gesicherter VPN-Verbindungen in die „weite Welt“.

Durchgängiges Konzept und klare Infrastruktur

Seit der Einführungsphase haben sich die Anforderungen an das Sicherheitskonzept selbstverständlich weiterentwickelt. Dennoch bilden die wesentlichen Komponenten aus der Zeit der Einführungsphase weiterhin seine Eckpfeiler. Die Veränderungen – im Wesentlichen in Form von Ergänzungen und Detaillierungen – beruhen auch auf dem gestiegenen Know-how der Nienburger Systemadministratoren im Umgang mit den UTM-Appliances. Besonders positiv wirkt sich das zu Projektstart festgelegte Infrastrukturmodell auf die Aufgaben der Netzwerkadministration aus. Mit den wachsenden Ansprüchen von der Vernetzung der ursprünglich autarken Standorte über die Integration und Optimierung der Verwaltungsprozesse bis hin zum Ausbau der eGovernmentprozesse ließen sich die gestiegenen Anforderungen relativ einfach umsetzen.

Dabei unterstützten die eingesetzten und skalierbaren UTM-Appliances die Arbeit der Systemadministratoren. Sie entwickelten sich mit den fachlichen Anforderungen an das Netz und lieferten in den jeweiligen Ausbaustufen eine auf die aktuellen Bedürfnisse zugeschnittene Lösung. Die klar gegliederte und transparente Security-Infrastruktur mit ihrem durchgängigen Konzept, das alle Anbindungen – Intranet, Internet, externe Kommunikationspartner – enthält, machte und macht sich besonders bezahlt.

„Zu den wesentlichen Vorteilen des heutigen Security-Systems zählen insbesondere die umfangreichen Schutzmechanismen, die schnelle Installation und die einfache Bedienung. Zusätzlich unterstützen uns die individuell konfigurierbaren Reports des Log-Servers, der die Meldungen der UTMs zentral erfasst und analysiert, bei unseren täglichen Arbeiten“, erklärt Drescher.

Obwohl „alles reibungslos läuft“ durchliefen zwei Mitarbeiter der Systemadministration das Securepoint- Ausbildungsprogramm. Die dabei erfolgreich durchgeführte Zertifizierung erhebt neben den Mitarbeitern sogar den Landkreis in den Status eines autorisierten Securepoint-Partners.

Ausruhen auf „alten Lorbeeren“ – Fehlanzeige

Die Entwicklungen der eGovernmentprozesse, die Anforderungen der EU-Dienstleistungsrichtlinie sowie die DOI (Deutschland-Online-Initiative) stellen einen zusätzlichen Teil der neuen Herausforderungen an die Security-Infrastruktur dar. Aktuell müssen die IT-Mitarbeiter des Landkreises ihr eigenes Netz für die Kommunen des Landkreises noch weiter öffnen. Dabei realisieren sie gleichzeitig einen zentralen Kommunikationsknoten, der als Informationsdrehscheibe innerhalb des Kreises anzusehen ist.

Weiterhin bauen sie über diese Drehscheibe Schnittstellen in das landesweite Datennetz auf, um auf diesem Weg die interkommunale Zusammenarbeit zu fördern. Selbstverständlich darf auch die Kommunikation mit dem Land und mit dem Bund keineswegs vernachlässigt werden. Trotz der diversen eGovernment-Ansätze steckt die elektronische Kommunikation mit den Bürgen erst in den Kinderschuhen.

„Aufgrund der bisherigen Erfahrungen sowie der Skalierbarkeit der derzeitigen Lösung sind wir den neuen Anforderungen gewachsen“, erklären die Mitarbeiter der Systemadministration einvernehmlich.

Artikelfiles und Artikellinks

(ID:2019055)