Sicherheit der IT-Systeme in den Behörden – Anforderungen, Umsetzungsmaßnahmen und Unterstützungsangebote

Jetzt bewerten!

Newsletter September 2019: Die Gewährleistung der Sicherheit der informationstechnischen Systeme der Behörden ist und bleibt eine Herausforderung.



I. Überblick über die Gefährdungslage


So schätzt das Bundesamt für Sicherheit in der Informationstechnik die Gefährdungslage in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2018 als „weiterhin hoch“ ein und geht gleichzeitig davon aus, dass die Angriffe und Gefährdungen in einer zunehmend digitalisierten und vernetzten Welt weiter zunehmen werden (Bundesamt für Sicherheit in der Informationstechnik [Hrsg.], Die Lage der IT-Sicherheit in Deutschland 2018, September 2018, S. 91 f.).


Dies deckt sich auch mit den im April 2019 veröffentlichten Ergebnissen der sog. Cyber-Sicherheitsumfrage, an der 1.039 Unternehmen und weitere Institutionen (auch aus der öffentlichen Verwaltung) teilgenommen haben.


88 % der Befragungsteilnehmer sind der Auffassung, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergehe und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen.


Daneben haben unter den befragten Organisationen 43 % der großen Unternehmen angegeben, 2018 von Cyber-Sicherheits-Vorfällen betroffen gewesen zu sein. Bei den kleinen und mittelständischen Unternehmen lag der Wert bei 26 % (Allianz für Cyber-Sicherheit [Hrsg.], Ergebnisse der Cyber-Sicherheits-Umfrage 2018, S. 7, S. 11):

 

Grafik Cybersicherheit 

Quelle: Allianz für Cyber-Sicherheit (Hrsg.), Ergebnisse der Cyber-Sicherheits-Umfrage 2018, S. 11.

 
Dabei ist zu berücksichtigen, dass in der Regel nur ein Teil der Angriffe auch erkannt wird; die Anzahl der tatsächlichen Angriffe dürfte daher höher sein. In der Hälfte der Fälle waren die Angreifer erfolgreich, d. h. sie konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, deren Funktionsweise beeinflussen oder Internet-Auftritte von Firmen manipulieren. 87 % der erfolgreichen Angriffe führten dabei zu Betriebsstörungen oder -ausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme (bei 65% der Betroffenen) sowie Reputationsschäden (bei 22 % der Betroffenen) – (Allianz für Cyber-Sicherheit [Hrsg.], Ergebnisse der Cyber-Sicherheits-Umfrage 2018, S. 11, 13).


 

II. Sicherheit informationstechnischer Systeme als Behördenaufgabe


Aufgrund dieser Gefährdungslage und weil die Sicherheit in der Informationstechnik eine unerlässliche Voraussetzung für gelingendes E-Government ist, enthält das Bayerische E-Government-Gesetz (BayEGovG) auch diesbezügliche Pflichten für die Behörden. Art. 11 Abs. 1 BayEGovG (bis 30.11.2017 waren diese Pflichten in Art. 8 Abs. 1 BayEGovG geregelt) verpflichtet die Behörden (u.a. staatliche Behörden, Landratsämter und Gemeinden) dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Zur Umsetzung dieser Verpflichtung müssen die Behörden angemessene technische und organisatorische Maßnahmen treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen; der Gesetzgeber sieht hierfür eine Umsetzungsfrist bis 1.1.2020 vor (Art. 19 Abs. 2 Satz 2 Nr. 3 BayEGovG).

 

Art. 11 Abs. 1 Satz 1 BayEGovG verpflichtet die Behörden dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Gewährleistung der Informationssicherheit wird damit zugleich als öffentliche Aufgabe definiert.


Im Rahmen der Prüfung der Verhältnismäßigkeit sind insbesondere

  • Art und Ausmaß des Risikos,
  • die Wahrscheinlichkeit des Risikoeintritts und
  • die Kosten der Risikovermeidung


gegeneinander abzuwägen.


Unter dem Gesichtspunkt der Wirtschaftlichkeit kann auch die Leistungsfähigkeit der jeweiligen Behörde berücksichtigt werden, da diese nach wie vor in der Lage sein muss, ihre übrigen öffentlichen Aufgaben zu erfüllen.

 

III. Umzusetzende Maßnahmen – Informationssicherheitskonzepte


Die von den Behörden konkret umzusetzenden Maßnahmen ergeben sich aus Art. 11 Abs. 1 Satz 2 BayEGovG. Diese Vorschrift verpflichtet die Behörden dazu, angemessene technische und organisatorische Maßnahmen i. S. v. Art. 32 Datenschutz-Grundverordnung und Art. 32 BayDSG zu treffen und die hierzu erforderlichen Informationssicherheitskonzepte zu erstellen.


Die entsprechenden Verpflichtungen treten am 1.1.2020 in Kraft.


Die hiernach zu treffenden Maßnahmen müssen insbesondere geeignet sein, um

  • Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),

  • die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),

  • zu verhindern, dass

    • Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
    • personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
    • automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
    • bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),

  • zu gewährleisten, dass,

    • Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
    • die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
    • überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
    • nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
    • eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
    • alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
    • gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
    • personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).


Notwendig ist ein systematisches Vorgehen, das unter Berücksichtigung vorhandener Schwachstellen und Risiken gewährleistet, dass die Aufgabe nach Art. 11 Abs. 1 Satz 1 BayEGovG erfüllt wird. Informationssicherheitskonzepte sind daher nicht nur zu „erstellen“ (wie der Wortlaut ggf. vermuten ließe), sondern müssen auch angewendet, regelmäßig überprüft und bei Bedarf fortgeschrieben werden (Denkhaus/Geiger, Praxishandbuch zum Bayerischen E-Government-Gesetz, Hüthig Jehle Rehm Verlag, 2017, S. 155 ff. m.w.N.).


Um die Kommunen bei der Erstellung dieses Informationssicherheitskonzepts zu unterstützen, hat die Innovationsstiftung Bayerische Kommune eine entsprechende Arbeitshilfe herausgegeben. Die Arbeitshilfe kann über die Internetseite der Innovationsstiftung kostenlos heruntergeladen werden (www.bay-innovationsstiftung.de/ → Projekte).


 

IV. Informationssicherheits-Managementsysteme


Neben der Erstellung (und Fortschreibung) eines Informationssicherheitskonzepts können die Verpflichtungen aus Art. 11 Abs. 1 BayEGovG auch durch Implementierung eines Informationssicherheits-Managementsystems (ISMS) erfüllen.


Die nachfolgende Abbildung stellt die wesentlichen ISMS mit ihren jeweiligen Merkmalen kurz im Überblick dar:


Quelle: Deutscher Landkreistag (Hrsg.), Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen, März 2017, S. 9, mit eigenen Ergänzungen.

 

In der Praxis kommt dabei häufig das InformationsSIcherheitsmanagementSystems in 12 Schritten (ISIS12) zum Einsatz. Das Vorgehensmodell von ISIS12 ist daher nachfolgend kurz dargestellt:

 

Grafik IT-Sicherheitscluster e.V. 

Quelle: Bayerischer IT-Sicherheitscluster e.V.


 

V. Unterstützungsangebote des Freistaats Bayern


Das Staatsministeriums des Innern, für Sport und Integration unterstützt die Kommunen finanziell bei der Einführung eines ISMS, das die Mindestanforderungen an ein ISMS gemäß der jeweiligen Beschlusslage des IT-Planungsrates abdeckt sowie dessen Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor (Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften vom 11.12.2018, AllMBl. S. 1229).


Förderfähig ist die Einführung des IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ISO/IEC 2700X. Die Förderung bezieht sich auch auf die Implementierung von ISIS12 als vom IT-Planungsrat als ausreichend anerkannte Basis, die aber auch für ein eventuell später gewünschtes Aufstocken zu BSI-Grundschutz oder ISO/IEC 2700X genutzt werden kann.


Der Zuschuss beträgt bis zu 50 % der zuwendungsfähigen Ausgaben, höchstens 15.000 €.

 

Das im Dezember 2017 ins Leben gerufene Landesamt für Sicherheit in der Informationstechnik (LSI) hat u.a. die Aufgabe, die Kommunen in Fragen der IT-Sicherheit zu beraten und aktiv zu unterstützen. Das LSI berät die Kommunen derzeit insbesondere zu folgenden Themen:

  • Schutz der IT-Infrastruktur
  • Organisation der IT-Sicherheit
  • Sicherheitsrichtlinien
  • Managementsystemen für Informationssicherheit (ISMS)
  • Audits und Zertifizierung
  • Awareness-Kampagnen
  • Penetrationstests
  • Aktuelle Bedrohungslage (mit Warndienst für Behördennetzteilnehmer)

Mit dem Siegel „Kommunale IT-Sicherheit“ bietet das LSI daneben gerade auch kleineren bayerischen Städten, Märkten und Gemeinden die Möglichkeit:

  • Die gesetzeskonforme Einführung eines Informationssicherheitskonzeptes zu belegen und nachzuweisen, dass das Informationssicherheitskonzept die wichtigsten Aspekte hinsichtlich der Grundwerte der Informationssicherheit adressiert - nach aktuellem Stand der Technik und Rechtslage.

  • Bürgern gegenüber den sicheren IKT-Einsatz darzustellen und über die Gültigkeitsdauer von zwei Jahren das Siegel zu verwenden.

 

Das Siegel ist auf die Bedürfnisse von kleineren Städten und Gemeinden ausgerichtet und ist unabhängig von einem ISMS-Standard. Das Siegel kann als Vorstufe zu einer Zertifizierung betrachtet werden.


Auch größeren Kommunen steht es grundsätzlich frei, das Siegel des LSI zu beantragen. Je größer die Kommune, desto mehr wird jedoch das Informationssicherheitskonzept der Organisationsgröße, der komplexeren Netzarchitektur und arbeitsteiligeren Prozessen Rechnung tragen müssen.

 

Klaus Geiger, Referent für Organisation, Verwaltungsmodernisierung und digitale Verwaltung beim Bayerischen Landkreistag, München

Denkhaus / Geiger

Eine prozessorientierte Darstellung

Jahrespreis‎ 49,99 €
Online-Produkt
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung