Kategorie B: OpenVAS Integration der Stadtverwaltung Neustadt

Der öffentliche Bereich tickt anders als andere IT-Betriebe. Nicht nur sicher sollen die bereitgestellten IT-Services sein, auch noch nachweislich sicher.

Zum Auffinden bekannter Schwachstellen gibt es den Open Source Schwachstellenscanner OpenVAS, die kommerzielle Variante wird über die Firma Greenbone vertrieben. Mit dem Schwachstellenscanner können alle Systeme im Netzwerk nach bekannten Schwachstellen geprüft werden. Zu jedem Scan wird von OpenVAS ein Bericht erstellt in dem neben den gefundenen Schwachstellen auch Tipps zur Behebung gegeben werden.

Wir sehen uns hier als Beispiel die Stadtverwaltung Neustadt an, wo der dortige Abteilungsleiter Herr Jochen Dehm eine Integration von i-doit und OpenVAS durchgeführt hat. Ein wesentlicher Aspekt bei der Koppelung der Tools war die Sicherstellung eines Prozesses der dafür sorgt, dass alle Systeme regelmäßig gescannt und die Ergebnisse der einzelnen Audits in i-doit dokumentiert werden.

Es scheint offensichtlich, dass die Dokumentation als Grundlage aller Integrationen aktuell sein muss – aber diese Selbstverständlichkeit ist kein Thema mehr. Der Automatismus funktioniert nur, wenn die internen Prozesse funktionieren, dokumentiert wird auch, ob sie funktionieren oder nicht. Nach dem Auftreten einer wesentlichen Schwachstelle ist es dadurch offensichtlich, wann diese nachhaltig beseitigt wurde – in i-doit wird alles durchgehend dokumentiert und damit nachvollziehbar gemacht.

Wir von i-doit meinen: Ein schöner Beweis dafür, dass IT-Sicherheit mit Dokumentation beginnt und das Sicherheitsniveau maßgeblich von stringenten Prozessen abhängt. Solche Integrationen im öffentlichen Bereich nutzen schlussendlich uns allen.

Newsletter

You did IT!