Embed Size (px)
Citation preview
SolutionSecurity-Aspekte im eGovernment– BluePrint Security
Beat Rohrbach, Präsident Fachbeirat eGov-Schweiz
eGoverment in Action – Spannungsfeld Security
www.egov-schweiz.ch 2
www.egov-schweiz.ch 3
Dieser Weg, wird kein leichter sein….
www.egov-schweiz.ch 4
Die grösste Gefahr für die Datensicherheit droht von Innen!!
eGov-Schweiz stellt sich vor
Urs Stalder, Präsident eGov-Schweiz
Christoph Beer, Geschäftsführer, eGov-Schweiz
Wer sind wir?
eGov-Schweiz ist ein Verein zur Förderung der Innovation im eGovernment. Er bezweckt
• den Aufbau der angewandten Forschung und der Entwicklung im Bereich des eGovernments
• das Zusammenführen von Partnern zu Forschungsgruppen• die Mithilfe beim Start von Projekten sowie bei deren
Umsetzung• die Sensibilisierung aller betroffenen Parteien.
www.egov-schweiz.ch 6
Unsere Mitglieder
• Die Mitglieder von eGov-Schweiz sind Vertreter aus
Forschung und Wirtschaft
• Die Mitglieder sind in der ganzen Schweiz beheimatet,
sowohl deutsch- als auch französischsprachig
www.egov-schweiz.ch 7
Auszug aus der Mitgliederliste
www.egov-schweiz.ch 8
Funktionsmodell eGov-Schweiz
9
Unsere
Zielgruppen
Bürger
Behörden
Politik
Kommunikation
Interaktion
Mitglied
Mitglied
Mitglied
Mitglied
Mitglied
Mitglied
Auszug aus der Projektliste
• Online-Schalter in der Cloud
• BluePrint Security
• Bürgerdossier
• eGov-Schweiz als Testzentrum
• eCH-BPM Prozessaustauschplattform
www.egov-schweiz.ch 10
Kontakt
eGov-Schweiz eGov-Schweiz eGov-Schweiz
Urs Stalder Beat Rohrbach Christoph Beer
Präsident Präsident Fachbeirat GeschäftsführerMobile: +41 79 302 03 69 Mobile: +41 79 333 64 01 Mobile: +41 79 608 18 [email protected] [email protected] [email protected]
BluePrintSecurity
Roger Schuler, Manager IT-/Security-Architecture,
RUAG Defence
eGov Blueprint Security
Oliver Luginbühl
Manager IT & Security Architecture
RUAG Defence, NEO Services
Bern, 28.10.2014
Einleitung
24.02.2015│RUAG Defence│14
Online Transactions
Corporates
Community
Government
Citizen
Online Administration
State
Das Dokument
24.02.2015│RUAG Defence│15
1. Bericht
2. eGov Use Cases
3. Ermittlung Cyberrisiken
4. Sicherheitsanforderungen
5. Empfehlungen
Ziele
24.02.2015│RUAG Defence│16
Beurteilung - Bedrohungen und Risiken
Awareness – Betreiber und Nutzer
Risikoreduktion - Massnahmen und Architektur
Ziel dieses Dokuments ist es, den Leser - politische Behörde, Beschaffer von Services, ICT-
Planer, -Architekten und Projektleiter - für die Cyberrisiken und Sicherheitsanforderungen zu
sensibilisieren.
24.02.2015│RUAG Defence│17
Bedrohungsszenarien
Behörden zu Behörden
Eine Behörde benötigt
von einer anderen
Behörde eine Bewilligung
bzw. Bestätigung.
G2G G2C
Behörden zu Bürger
Ein Bürger benötigt ein von
den Behörden bestätigtes
Dokument.
G2B
Behörden zu Firma
Aufgrund von gesetzlichen
Verpflichtungen oder um
eine bestimmte
Dienstleistung zu beziehen,
muss eine Firma
Informationen an die
Behörden übermitteln.
Beispiel «Government to Government»
24.02.2015│RUAG Defence│18
Beschreibung
• Mittels gefälschten Anträgen werden Bewilligungen für Dienstleistungen eingeholt, welche nur an vertrauenswürdige Antragsteller geleistet werden dürfen.
Angreifer
• Staatliche Akteure
• Terroristische Organisationen
• Organisierte Kriminalität
Ziel
• Manipulation von Vernehmlassungsverfahren
• Erschleichung von eingeschränkten Dienstleistungen
Beispiel «Government to Citizen»
24.02.2015│RUAG Defence│19 24.02.2015│RUAG Defence│19
Beschreibung
• Es werden ganze Datenbestände mit persönlichen Daten von der Server-Infrastruktur der Behörden entwendet.
Angreifer
• Cyberkriminelle
• Staatliche Akteure
• Hacktivisten
Ziel
• Blossstellung der Behörden
• Erpressung der Behörden
• Verkauf der Daten auf dem Schwarzmarkt
Beispiel «Government to Business»Beispiel «Government to Business»
24.02.2015│RUAG Defence│20
Beschreibung
• Durch mangelhafte Prüfung der Identität des Benutzers kann ein Angreifer Informationen im Namen einer fremden Firma einreichen.
Angreifer
• Organisierte Kriminalität
• Konkurrierende Firmen
Ziel
• Unlautere Wettbewerbsvorteilnahme
• Erpressung der Firma
Generische Sicherheitsanforderungen
24.02.2015│RUAG Defence│21
Schutzbedarf
Die Anforderungen sollen
sich an die Sicherheit
einer Anwendung immer
am Schutzbedarf der
darin verarbeiteten
Informationen
orientieren.
Sicherheitsarchitektur
Die Fähigkeit, sehr schnell
auf veränderte Bedingungen
reagieren zu können.
Sicherheitsanforderungen
Sicherheitsstrategie, Prozess
design, Web
Applikationssicherheit,
Infrastruktursicherheit,
Datensicherheit.
24.02.2015│RUAG Defence│22
Empfehlungen
Allgemeine Empfehlungen:
- Prävention und Abwehrbereitschaft
- Erkennung und Reaktion, Einrichtung eines Frühwarn- und Informationsnetzes
- Folgenminderung und Wiederherstellung
- Internationale Zusammenarbeit
- Erhöhung der Widerstandsfähigkeit der Informationssysteme im Cyberraum
PLANERBerücksichtigung der
eGovernment Strategie
Schweiz
PROJEKTLEITERUnterstützung durch
Sicherheitsexperten in
allen Projektphasen
ARCHITEKTENIdentifikation von
Schutzobjekten und
deren Schutzbedarf
Diskussion
