Sicherheit wird bei Behörden besonders groß geschrieben. Oberste Priorität hat für den IT-Dienstleister EDS und seinen Kunden – eine öffentliche Verwaltung in Deutschland – daher, dass die ergriffenen Sicherheitsmaßnahmen funktionieren und transparent sind. „Jeder unserer Handgriffe, ganz gleich, ob wir Benutzer anlegen, ändern oder löschen, eine Software einspielen oder einen Server neu starten, muss eindeutig nachvollziehbar sein – also einer externen und internen Revision standhalten“, erklärt Joachim Konicke, Spezialist für IT-Infrastructure bei EDS in Ludwigsburg.
Das von EDS übernommene Outsourcing-Projekt umfasst etwa 160 Standorte, an denen 230 Windows-2003-Server, rund 10.000 Arbeitsplätze mit Windows XP und Hunderte verschiedener Fachanwendungen – mit zum Teil hochsensiblen Daten – permanent überwacht werden müssen. EDS verantwortet dabei das Security-Management, das Backup Monitoring sowie das Patchlevel-Management für die Bürokommunikations-Landschaft des Kunden. Zudem stellt der Dienstleister die Call-Center- beziehungsweise Service-Center-Dienste mit entsprechend abgestuftem First- und Second-Level-Support für die Endbenutzer.
Grundsätzlich wird bei der gesamten Systemüberwachung unterschieden zwischen Änderungen, die vom Kunden in Auftrag gegeben werden – etwa einen Benutzer anzulegen -, und Störungen. Bei letzteren kann es sich um Programmabstürze, Hardwarefehler oder Angriffe von außen oder innen handeln. Jede Aktion eines Operators muss vom System als Eintrag (Log) in der Datenbank – dem Logbuch – festgehalten werden. „Die Logfiles dürfen nicht manipulierbar sein, um die Nachvollziehbarkeit, die Auswertung sowie die Beweissicherheit zu gewährleisten“, so Konicke. Nicht nur der Kunde fordert das strenge Controlling. Es existiert auch eine interne Revision, die den Administratoren sehr genau auf die Finger schaut. Konicke: „Wir haben EDS intern eine unabhängige Kontrollstelle eingerichtet, die unseren Betrieb überprüft.“ Ferner wurden hinreichende Prozesse der Protokollierung und eines Change-Managements implementiert.
Die vertragliche Basis für alle Dienstleistungen ist in einer umfangreichen Leistungsbeschreibung festgehalten, die eine Art ISO-9000-Regelung für die öffentlich Verwaltung darstellt. Hierin sind unter anderem die zu überwachenden Objekte und Arbeiten auf inhaltlicher Ebene beschrieben: Virenschutz, Management der Microsoft-Exchange-Server und Office-Anwendungen, Restart- und Backup-Services, System-Management, Update-Service und Outlook Web Access sind Teile des Leistungskatalogs. Darüber hinaus werden die rund 200 fachbereichsspezifischen Anwendungen gehostet.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…