1522/AB XXI.GP
Eingelangt am: 19-01-2001
Die Abgeordneten zum Nationalrat Egghart und Kollegen haben am 21. November
2000 unter der Nr. 1506/J an mich eine schriftliche parlamentarische Anfrage
betreffend "Informationssicherheit im Bereich der Exekutive" gerichtet.
Diese Anfrage beantworte ich aufgrund der mir vorliegenden Informationen wie folgt:
Zu Frage 1:
Software
Das EKIS - System läuft auf dem Zentralen Rechnersystem der EDV - Zentrale unter
dem Betriebssystem OS/390. Dieses Betriebssystem für Großrechner wird im
kommerziellen und im ministeriellen Bereich (BMF, BMLV, BKA) eingesetzt und
durch die Fa. IBM vertrieben. Die Wartung dieses Betriebssystems erfolgt durch
Bedienstete des BMI.
Die Datenbanksoftware ist eine Eigenentwicklung durch Mitarbeiter der EDV - Zentrale
und wird durch diese Mitarbeiter auch gewartet.
Als interne Datenbanksoftware ist das Produkt RACF eingesetzt, das sicherstellt, dass
nur jene Mitarbeiter der EDV - Zentrale die Datenstrukturen sehen können, die sie zur
Ausübung ihrer Tätigkeit brauchen
Das EKIS - System läuft auf Hardware der Fa. IBM im CPU - Bereich, bei
Plattenspeicher auf Hardware der Fa. IBM und
Comparex.
Die Wartung wird ausschließlich von sicherheitstechnisch überprüften Technikern,
unter Aufsicht der BMI - eigenen Operatoren und Systemprogrammierer durchgeführt.
Zu Frage 2:
Alle Firmen müssen vor Abschluss eines Liefer - bzw. Wartungsvertrages eine
Sicherheitserklärung unterfertigen, bei der die Techniker auf Verschwiegenheit
nachweislich verpflichtet werden.
Firmen, die zur Erfüllung ihrer Aufgaben eventuell auch Einblick in Datenbereiche
erhalten können, werden von der zuständigen Abteilung im BMI sicherheitstechnisch
überprüft und nur beschäftigt, wenn ein negatives Überprüfungsergebnis vorliegt.
Zu Frage 3:
Nein.
Zu Frage 4:
Es sind Firewall - Systeme installiert, welche gegenüber dem WWW auf höchste
Sicherheitsstufe konfiguriert sind.
Weiters werden Spezialfirmen beauftragt, Angriffe gegen das Firewall - System des
BMI durchzuführen um eventuell Schwachstellen festzustellen. Bei den bisher
durchgeführten Angriffstests (simulierter Hackerangriff) auf das BMI - interne Netz war
ein Eindringen nicht möglich und es wurden keine Schwachstellen festgestellt.
Zu Frage 5:
Im Internet finden von Zeit zu Zeit praktisch gegenüber allen vorhandenen
Firewallsystemen Angriffe bzw. Angriffsversuche statt. Jene gegenüber dem BMI -
Firewall - System waren jedoch nie erfolgreich und somit auch nicht feststellbar.
Zu Frage 6:
Die Systemadministration wird im Benutzerrechte - Bereich durch die Abt. IV/8 des
BMI, die technische Systemadministration durch Bedienstete der EDV - Zentrale des
BMI durchgeführt.
Zu Frage 7:
Die EKIS - Datensicherung im BMI erfolgt durch laufende Protokollierung aller
Anfragen und Änderungsvorgänge (Protokollfile) sowie jeder technischen Ver -
änderung der Datenbanken (Journalfile).
Die tägliche Sicherung der Protokoll - und Journalfile erfolgt auf Magnetbandkassetten
in einem Bandrobotersystem, das getrennt vom
Speichersystem in einem anderen
Objektteil aufgestellt ist. Diese Sicherungen werden dupliziert und in einem brand -
hemmenden und zutrittsgesicherten Datensafe abgelegt.
Einmal monatlich werden alle EKIS - und Systemdaten gesichert und unter polizei -
licher Bedeckung in den Zentralraum des Bundes (ZAS) ausgelagert.
Zu Frage 8:
Datensicherungen werden drei Monate, Protokolldaten werden drei Jahre aufbewahrt.
Zu Frage 9:
Die Datenvernichtung erfolgt in unterschiedlichen Formen, je nach Medium:
Magnetbänder/Kassetten: Die Datenträger werden mittels starken elektromagnetischen
Feldern mit eigenen Löschgeräten gelöscht. Im Fall einer Wiederverwendung
anschließend neu formatiert, oder unter Aufsicht der Abt. IV/8 vernichtet (verbrannt).
Magnetplatten: Nach Ausbau aus einem PC oder Server werden die Platten von
Mitarbeitern der EDV - Zentrale physikalisch zerstört, da sich hier elektromagnetische
Felder als zu schwach erwiesen haben.
Disketten/CD - ROM: Diese Datenträger werden durch Bedienstete der EDV - Zentrale
mittels eigens dafür beschafften Schreddergerät physikalisch zerstört.
Zu Frage 10:
Wenn überhaupt, findet eine Wiederverwendung ausschließlich im Bereich der Gruppe
EDV des BMI statt.
Zu Frage 11:
Der Zugriff auf die gesicherten Daten ist in der Datensicherheitsvorschrift geregelt.
Werden Datensicherungen zur Dateifehlerbehebung oder technischen Wiederher -
stellbarkeit benötigt, so erfolgt die Ausgabe im Vieraugen - Prinzip. Der Zugang zum
Datenarchiv wird systemmäßig durch ein Zutrittskontrollsystem überwacht, durch den
Archivar dokumentiert und von den zuständigen Fachvorgesetzten überprüft.
Weiters wird ein Zugriff auf gesicherte Daten vom Schichtleiter des rund um die Uhr
besetzten Rechenzentrums der EDV - Zentrale des BMI im elektronischen Vorfall -
protokoll zusätzlich dokumentiert.
Zu Frage 12:
Durch die strikte Trennung von Produktionsdaten und Testdaten für Entwicklung
besteht für die Entwicklungsmannschaft keine unkontrollierte Zugriffsmöglichkeit auf
Produktionsdaten.
Jeder Zugriff auf Echtdaten wird auch für interne Mitarbeiter protokolliert. Zusätzlich
müssen diese für jeden Zugriff ein sogenanntes Datenschutzprotokoll ausfüllen in dem
anzugeben ist, aus welchem dienstlichen Grund diese Datenabfrage getätigt wurde.
Diese Angaben werden stichprobenartig von der Datenschutzabteilung IV/8 des BMI
überprüft.