Kommunale Umsetzungsstrategien (ISIS12, Konzept Innovationsstiftung etc.)

Jetzt bewerten!

Newsletter Februar 2019:

Erfahrungen in der Praxis, Herausforderungen, Empfehlungen


Quo vadis, kommunale Informationssicherheit?

 

Die Datenschutz-Grundverordnung (kurz DSGVO) hat es notwendig gemacht, Anpassungen in nationalen Gesetzen vorzunehmen. Neben der Überarbeitung des Bayerischen Datenschutzgesetzes (kurz BayDSG) war von diesen Anpassungen auch das zum 30.12.2015 in Kraft getretene Gesetz über die elektronische Verwaltung in Bayern (Bayerisches E-Government-Gesetz − kurz BayEGovG) betroffen. Mit dem Gesetz zum weiteren Nachvollzug der Datenschutz-Grundverordnung im Landesrecht vom 18. Mai 2018 wurde Art. 11 Abs. 1 Satz 2 BayEGovG wie folgt gefasst:

 

„Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und Art. 32 des Bayerischen Datenschutzgesetzes und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.“

 

Diese Anpassung wurde notwendig, da die früheren Bezüge zu technischen und organisatorischen Maßnahmen zum alten Art. 7 BayDSG entfielen. Im Zuge dieser Anpassung wurde ebenfalls die Frist für die Einführung der Informationssicherheitskonzepte auf den 1. Januar 2020 verlängert.

 

Um Missverständnissen aus der Vergangenheit vorzubeugen:

Zu diesem Termin soll das Informationssicherheitskonzept (kurz ISK) eingeführt sein und nicht mit der Einführung erst begonnen werden. Somit ist die ursprüngliche Frist zur Einführung eines ISK vom 1.1.2018 in zwei Schritten auf den Beginn 2020 verschoben.

 

War der ursprüngliche Ansatz bereits sehr engagiert, innerhalb von zwei Jahren alle bayerischen kommunalen Einrichtungen mit einem ISK auszustatten, trägt diese Fristverlängerung auch den zeitlichen und personellen Belastungen aus der Umstellung auf die Anforderungen der DSGVO Rechnung und war somit zu begrüßen. Nachdem die meisten kommunalen Einrichtungen mit den Arbeiten zur DSGVO vorangeschritten sind, ist in den letzten Wochen und Monaten die Wiederaufnahme der Tätigkeiten zum Informationssicherheitskonzept in den Kommunen spürbar.

 


Welches Konzept ist das richtige für meine Kommune?

 

Keine kommunale Einrichtung wird sich über ein zu viel an zeitlichen und personellen Ressourcen beklagen können. Einführung und Betrieb eines Informationssicherheitskonzepts bedeuten jedoch die Bindung interner Ressourcen, teilweise nicht nur einmalig, sondern langfristig. Und auch wenn beide Phasen durch externe Unterstützung begleitet bzw. entlastet werden können, sind immer interne Kapazitäten gebunden. Umso wichtiger ist es, einen geeigneten Standard für die eigene Kommune auszuwählen, der ein ausreichendes Maß an Schutz und Sicherheit mit sich bringt, aber dabei die Leistungsfähigkeit der Organisation nicht überfordert.  Im Zuge dessen sollte man jedoch nicht aus den Augen verlieren, dass eigentlich der Schutzbedarf der verarbeiteten Informationen den anzustrebenden Standard vorgibt. Dennoch stehen über die verschiedenen Standards Auswahlmöglichkeiten zur Verfügung, die jeder Kommune die Einhaltung der Anforderungen aus Art. 11 BayEGovG ermöglichen und die auch die unterschiedliche Leistungsfähigkeit der jeweiligen Kommune in den Blick nehmen.

 

Informationssicherheitsmanagementsysteme wie die weltweit gültige ISO 27001 (in Deutschland meist auf Basis des BSI IT-Grundschutz) oder der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI) sind „state of the art“. In größeren Einrichtungen werden diese auch das anzustrebende Ziel darstellen müssen, auch wenn ein Zwischenschritt über kleine Standards der Informationssicherheit stattfindet. Viele Jahre gab es unterhalb des BSI IT-Grundschutz keinen etablierten Standard. Diese Lücke hat vor einigen Jahren der Standard „Informationssicherheitsmanagementsystem in zwölf Schritten“ (kurz ISIS12) des Bayerischen IT-Sicherheitsclusters e.V. in Regensburg geschlossen. Ursprünglich für kleine und mittlere Unternehmen (KMU) konzipiert, gibt es eine kommunale Adaption unterstützt durch Handreichungen und Mustervorlagen für kommunale Einrichtungen. Stand 21.2.2019 wurden 51 ISIS12 Zertifizierungen nach ISIS12 bereits erreicht, davon die Mehrheit im kommunalen Bereich in Bayern. Dabei nutzt ISIS12 alle Vorteile des BSI IT-Grundschutzes, nur deutlich abgespeckt und übersichtlicher.

 

ISO 27001, BSI IT-Grundschutz und ISIS12 können jedoch gerade kleinere Einrichtungen an die Grenzen der Leistungsfähigkeit bringen. Hier springen andere Möglichkeiten wie die das Konzept der sog. „Arbeitshilfe“ der Innovationsstiftung Bayerische Kommune oder VdS 3473 in die Bresche. Mit nochmals reduziertem Aufwand und Umfang wird die Einführung eines ISK erleichtert. Beachtenswert ist dabei, dass ein Minus an Aufwand bei der Einführung des ISK durchaus ein Plus an Aufwand im späteren Betrieb mit sich bringen kann. Hier unterstützen die größeren Standards ab ISIS12 deutlich mehr und sind auf langfristige Arbeitserleichterung im Betrieb des ISK ausgelegt. Vermeintliche Zeitvorteile können mit der Zeit im Betrieb wieder aufgezehrt werden und unterm Strich sogar mehr Ressourcen in Anspruch nehmen, als wäre gleich einer der größeren Standards eingeführt worden. Dies ist nicht zwingend so, sollte aber bei der Auswahl durchaus Berücksichtigung finden.

 



Empfehlungen und Tipps aus der Praxis

 

Pragmatisch betrachtet gilt es, sich als kommunale Organisation auf die Reise zu machen, sofern Sie beim Thema ISK nicht schon auf dem Weg sind. Der 1.1.2020 ist nicht mehr allzu weit entfernt und die Uhr läuft weiter. Gegen Ende des Jahres kommt für den einen oder anderen der Fertigstellungstermin dann so überraschend wie all die Jahre zuvor Weihnachten.

 

Dabei ist durchaus anzudenken, erst mal mit einem der kleineren Standards zu beginnen. Der Upgrade-Pfad nach oben steht immer offen. Alle im Rahmen eines ISK identifizierten und bearbeiteten Schwachstellen können in den anderen Standards weiterbearbeitet und nachgehalten werden. Die großen Standards (>= ISIS12) spielen hier eine Trumpfkarte aus, da diese nämlich zu identifizierten Schwachstellen bereits umfangreiche Maßnahmenkataloge zur Beseitigung der Schwachstellen mitliefern. Hier ist bei den kleinen Standards einiges mehr an Knowhow und Ideen gefragt.

 

Wenn der von Ihnen gewählte Standard eine gewisse Bearbeitungsreihenfolge vorsieht, sollten Sie diese möglichst einhalten. Widerstehen Sie der Versuchung, mögliche unbequem erscheinende Schritte aus den Phasen Grundlagen, Aufbauorganisation und Dokumentation zu überspringen. Dies wird Sie im weiteren Verlauf der ISK Einführung wieder einholen und hat durchaus auch schon zu Projektabbrüchen geführt. Gerade in IT-Grundschutz-gestützten Systematiken wie dem IT-Grundschutz selbst oder ISIS12 ist man schnell versucht, in den erst später vorgesehenen Schritt der Maßnahmenempfehlungen einzuspringen. Ohne Vorarbeiten ist der Frust schnell vorprogrammiert, sieht man sich auf einmal mit mehreren tausend Schutzmaßnahmen statt einiger hundert konfrontiert. Die vorgegebene Bearbeitung der Sicherheitsprozesse wurden nicht ohne Grund gewählt, halten Sie diese bitte ein.

 

Gerade wenn Sie noch unsicher sind, welchen Standard Sie wählen sollen, ziehen Sie externe Unterstützung heran. Achten Sie bei der Auswahl des externen Ratgebers darauf, dass dieser nicht ausschließlich einen der oben beschriebenen Standards anbietet, sondern mindestens zwei der ISK auf Basis ISIS12, Arbeitshilfe und VdS 3473.

 

Ein Auswahlkriterium für das ISK stellt die gebotene Software-Unterstützung für den Standard dar. Mit Software-Unterstützung sind keine begleitenden Werkzeuge wie Inventarisierungs- oder Ticketsysteme gemeint, sondern die Lösungen, welche eine Bearbeitung und Dokumentation des ISK sicherstellen. Für den IT-Grundschutz gibt es hier seine sehr große Auswahl. Da die meisten Kommunen sich jedoch mit den kleineren Standards beschäftigen werden, können diese nicht genutzt werden. Für das ISK ISIS12 steht das sog. „ISIS12-Tool“ zur Verfügung. Dies ist konkret auf die 12 Schritte des ISK und deren Anforderungen zugeschnitten. Für die Arbeitshilfe der Innovationsstiftung Bayerische Kommune gibt es mittlerweile mehrere Unterstützungsmöglichkeiten und auch für VdS ist neben Excel ein weiteres Tool am Start, das die Möglichkeit der Bearbeitung des Standards für sich in Anspruch nimmt. Da der Dokumentationsumfang und Aufwand auf der fortschreitenden Zeitachse immer mehr zu nimmt, sollten Sie die Einführung eines ISK ohne Software-Unterstützung für Ihren Standard idealerweise nicht in Betracht ziehen.

 

Ein Informationssicherheitskonzept ist keine Schrankware. Ein solches Konzept muss in Ihrer Organisation mit Leben erfüllt werden. Dazu gehören Verfahrensweisen und Regelungen ebenso wie Zuständigkeiten und Verantwortlichkeiten. Ohne eine Person, die für den Betrieb des ISK sorgt, ist die bisher geleistete Arbeit umsonst gewesen und Sie fangen wieder von vorne an. Und es ist keine Übertreibung oder Mär, Informationssicherheit geht alle Mitarbeiter einer Organisation an. 60% aller Datenpannen werden durch Mitarbeiter am Arbeitsplatz oder im direkten Arbeitsumfeld verursacht. Da hilft kein Virenscanner weiter. Alle Mitarbeiter sind gefordert, nicht einzelne Mitarbeiter oder am Ende sogar nur eine Person.

 

Apropos Datenpanne:

Die DSGVO schreibt in den Art. 33 und 34 die Erkennung, Risikobewertung und Meldung von Datenpannen gegenüber der Landesdatenschutzbehörde und den Betroffenen vor. Die Informationssicherheit verzahnt sich hier mit dem Datenschutz. Denn eine Datenpanne bedeutet, eine technische oder organisatorische Schutzmaßnahme hat entweder versagt oder war nicht vorhanden. Diese Sicherheitslücken zu schließen, ist eine Kernaufgabe der Informationssicherheit.

 

Machen Sie sich auf den Weg, auch wenn die gesungenen Worte von Xavier Naidoo hier durchaus zutreffend sind „Dieser Weg wird kein leichter sein“.


Viel Erfolg!

 

Sascha Kuhrau, Inhaber der a.s.k. Datenschutz, zertifizierter Informationssicherheits­beauftragter und zertifizierter ISIS12 Berater (Zusatz Kommunalverwaltung)

Denkhaus / Geiger

Eine prozessorientierte Darstellung

Jahrespreis‎ 49,99 €
Online-Produkt
Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 49,99 €
Online-Produkt
Ehmann

Die 150 wichtigsten Praxisthemen

Jahrespreis‎ 49,99 €
Online-Produkt
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung