IT-Sicherheit in Staat und Verwaltung Netzwerksicherheit bei der Stadt Köln

Autor / Redakteur: Dr. Goetz Guettich / Peter Schmitz

Das BSI hat neun Sektoren und Branchen Kritischer Infrastrukturen (KRITIS) definiert. In der letzten Folge unserer Serie über IT-Sicherheit in unterschiedlichen Branchen hatten wir uns mit der Ernährungsindustrie befasst. Nun betrachten wir den Sektor „Staat und Verwaltung“. Zu diesem Zweck haben wir mit Udo Zaudig, dem IT-Sicherheitsverantwortlichen vom Amt für Informationsverarbeitung der Stadt Köln gesprochen.

Anbieter zum Thema

Bei der Stadt Köln existiert im Bereich IT-Sicherheit eine enge Zusammenarbeit mit anderen Kommunen, und zwar über den Verband der Kommunalen IT-Dienstleister (KDN).
Bei der Stadt Köln existiert im Bereich IT-Sicherheit eine enge Zusammenarbeit mit anderen Kommunen, und zwar über den Verband der Kommunalen IT-Dienstleister (KDN).
(Bild: gemeinfrei / Pixabay )

Gerade in Krisenzeiten ist eine funktionierende Verwaltung unerlässlich. Staat und Verwaltung sind damit auch einer der wichtigsten Sektoren der vom BSI eingeteilten kritischen Infrastrukturen (KRITIS). Der Sektor Staat und Verwaltung umfasst dabei die ganze Bandbreite staatlicher Einrichtungen sowohl auf Bundes- als auch auf Landes- und Kommunalebene.

Das Netz der Stadt Köln besteht aus einer eigenen, selbst betreuten Infrastruktur, die auch von der Stadt gebaut wurde. Köln arbeitet also im Kern mit einem eigenen Netz und ist auch der Eigentümer der Leitungen. Für manche externe Zugänge und Dienste, für die sich das Verlegen einer eigenen Leitung nicht lohnt, beziehungsweise für die es nicht wirtschaftlich ist, wurde die Anbindung über NetCologne-Zugänge realisiert. Das derzeit existierende Netz besteht in der aktuellen Form seit dem Ende der 80er Jahre, als Client-Server-Systeme die vorher verwendeten Großrechner abgelöst haben.

Insgesamt gibt es in Köln über 17.000, über die Stadt verteilte, IT-Arbeitsplätze. Die Ausfallsicherheit wird über zwei gespiegelte Rechenzentren gewährleistet, die sich auf beiden Rheinseiten befinden und die von der Stadt Köln betrieben werden. Der Betrieb liegt beim „Amt für Informationsverarbeitung“ mit insgesamt etwa 400 Personen.

Hohe Zahl der Verwaltungsverfahren

Die Besonderheit der IT in einer Kommune liegt darin, dass eine Stadtverwaltung den kompletten Lebensbereich der Bürger betreut. Deswegen gibt es in Kommunen eine sehr große Zahl an Verfahren, die die Stadt Köln als Dienstleister für Bürger, Politik und Wirtschaft zur Verfügung stellen muss.

Vielfältige Aufgabenbereiche

Zu den Aufgaben, die über die IT-Infrastruktur abgewickelt werden, gehören unter anderem der Sozialbereich, die Ordnungsverwaltung, der Personalbereich, die Kämmerei und die Kassenverwaltung. Weitere Aufgaben liegen im Straßenverkehrsbereich und bei den Office-Tätigkeiten.

Maßnahmen zur Realisierung eines hohen Sicherheitsniveaus

Die Serverfarm der Stadt Köln.
Die Serverfarm der Stadt Köln.
(© Stadt Köln)

IT-Security hat in Köln eine lange Tradition. Bereits 1994 wurde eine eigene Abteilung geründet, die sich mit dem Thema Informationssicherheit beschäftigt. Die Grundlage für die Sicherheitsmaßnahmen der Stadt sind die Grundschutzvorgaben des BSI. Köln ist seit 2014 BSI-zertifiziert. Dieses Jahr kam eine neue Zertifizierung für den gesamten IT-Betrieb hinzu. Das fängt beim Einsatz von Sicherheitsprodukten an und geht bis zur Absicherung verschiedener Netzbereiche.

Darüber hinaus gibt es für alle Soft- und Hardwareprodukte einen durchgängigen Inbetriebnahmeprozess. Das bedeutet, die Produkte werden alle einer Sicherheitskontrolle unterzogen. Dabei identifizieren die Verantwortlichen die mit den Lösungen verbundenen Risiken und setzen entsprechende Sicherheitsmaßnahmen, zum Beispiel wie vom BSI empfohlen, um. Es gibt demzufolge keine Programme im Netz, die dem IT-Betrieb nicht bekannt sind.

Anbindung nach Außen

Da Köln für seine Datenübertragungen auf ein eigenes Netz setzt, finden über das Internet nur Kommunikationen mit Externen, im wesentlichen Bürgern und Partnern statt. Externe Partner und Mitarbeiter, die von außen auf das Netz zugreifen müssen, arbeiten über VPNs und Terminal-Server-Anbindungen. Diese werden über eine Multi-Faktor-Authentifizierung abgesichert und stehen auch nur für bestimmte Partner zur Verfügung. Für die Bürger bietet die Stadt Web-Dienstleistungen an.

Die Absicherung sämtlicher Datenübertragungen läuft über Firewalls und Virenschutzlösungen. Außerdem untersuchen IDS/IPS-Produkte den Datenverkehr ständig auf Abnormalitäten. Auch hier werden BSI-Vorgaben konsequent umgesetzt.

Herr Zaudig wies in dem Interview aber auf folgendes hin: „Sicherheit ist einem kontinuierlichen Verbesserungsprozess unterworfen. Wir beobachten den Betrieb und wenden bei Bedarf auch eigene Maßnahmen an, die geeignet erscheinen, um die Risiken zu minimieren. Hundertprozentige Sicherheit und ein wirklich sicheres Netz kann es aber niemals geben.“

Die Kommunikation mit anderen Behörden läuft, anders als die innerhalb Kölns, die ja wie erwähnt über eigene Netze abgewickelt wird, über die "Netze des Bundes" (NdB). Dabei handelt es sich um gemeinsame Netze von Bund, Ländern und Kommunen.

Die Mitarbeiter nutzen in der täglichen Arbeit die internen Verfahren und die internen Kommunikationsmöglichkeiten. So wird beispielsweise das Mail-System intern gehostet und es gibt keine privaten Mail-Konten im Netz, sondern nur Mail-Accounts aus dem eigenen Verwaltungssystem.

Zusammenarbeit mit Anderen

Der Kühlungsgang des Rechenzentrums der Stadt Köln.
Der Kühlungsgang des Rechenzentrums der Stadt Köln.
(© Stadt Köln)

Bei der Stadt Köln existiert eine enge Zusammenarbeit mit anderen Kommunen, und zwar über den Verband der Kommunalen IT-Dienstleister (KDN). Auf dieser Ebene finden regelmäßige Sicherheitstreffen statt, auf denen die Aktionen abgestimmt werden. Außerdem tauschen sich die Verantwortlichen dort aus.

Im Kölner Raum existiert zusätzlich noch die Arbeitsgruppe „Cybercrime und Cyberwar – kritische Infrastrukturen Köln“, die die kritischen Infrastrukturen zusammenfasst, die in der Stadt Köln vorhanden sind. Dazu gehören unter anderem Rheinenergie, die Kölner Verkehrsbetriebe (KVB), der Flughafen, die Unikliniken, die Kliniken der Stadt Köln und ähnliches. Auch hier finden regelmäßige Treffen der Sicherheitsverantwortlichen statt und diese stimmen ab, wie man sich gegenseitig über erkannte Risiken informiert. Zudem klären sie auch den Umgang damit. Die Abstimmung mit anderen ist laut Herrn Zaudig ein wichtiger Faktor im Bereich Sicherheit. Die Angreifer arbeiten schließlich auch oft zusammen und deswegen ergibt es Sinn, sich in der Verteidigung genauso zu verhalten.

„Unter dem Strich haben wir mit der Zusammenarbeit sehr gute Erfahrungen gemacht“, erklärt Zaudig. „Es ist exorbitant wichtig, sich abzustimmen, über den Tellerrand zu sehen und Erfahrungen auszutauschen. Erfahrungen und Know-How sind schließlich nicht unendlich vorhanden.“

(ID:46556839)