So schätzt das Bundesamt für Sicherheit in der Informationstechnik die Gefährdungslage in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2018 als „weiterhin hoch“ ein und geht gleichzeitig davon aus, dass die Angriffe und Gefährdungen in einer zunehmend digitalisierten und vernetzten Welt weiter zunehmen werden (Bundesamt für Sicherheit in der Informationstechnik [Hrsg.], Die Lage der IT-Sicherheit in Deutschland 2018, September 2018, S. 91 f.).
Dies deckt sich auch mit den im April 2019 veröffentlichten Ergebnissen der sog. Cyber-Sicherheitsumfrage, an der 1.039 Unternehmen und weitere Institutionen (auch aus der öffentlichen Verwaltung) teilgenommen haben.
88 % der Befragungsteilnehmer sind der Auffassung, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergehe und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen.
Daneben haben unter den befragten Organisationen 43 % der großen Unternehmen angegeben, 2018 von Cyber-Sicherheits-Vorfällen betroffen gewesen zu sein. Bei den kleinen und mittelständischen Unternehmen lag der Wert bei 26 % (Allianz für Cyber-Sicherheit [Hrsg.], Ergebnisse der Cyber-Sicherheits-Umfrage 2018, S. 7, S. 11):
Quelle: Allianz für Cyber-Sicherheit (Hrsg.), Ergebnisse der Cyber-Sicherheits-Umfrage 2018, S. 11.
Dabei ist zu berücksichtigen, dass in der Regel nur ein Teil der Angriffe auch erkannt wird; die Anzahl der tatsächlichen Angriffe dürfte daher höher sein. In der Hälfte der Fälle waren die Angreifer erfolgreich, d. h. sie konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, deren Funktionsweise beeinflussen oder Internet-Auftritte von Firmen manipulieren. 87 % der erfolgreichen Angriffe führten dabei zu Betriebsstörungen oder -ausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme (bei 65% der Betroffenen) sowie Reputationsschäden (bei 22 % der Betroffenen) – (Allianz für Cyber-Sicherheit [Hrsg.], Ergebnisse der Cyber-Sicherheits-Umfrage 2018, S. 11, 13).
Aufgrund dieser Gefährdungslage und weil die Sicherheit in der Informationstechnik eine unerlässliche Voraussetzung für gelingendes E-Government ist, enthält das Bayerische E-Government-Gesetz (BayEGovG) auch diesbezügliche Pflichten für die Behörden. Art. 11 Abs. 1 BayEGovG (bis 30.11.2017 waren diese Pflichten in Art. 8 Abs. 1 BayEGovG geregelt) verpflichtet die Behörden (u.a. staatliche Behörden, Landratsämter und Gemeinden) dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Zur Umsetzung dieser Verpflichtung müssen die Behörden angemessene technische und organisatorische Maßnahmen treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen; der Gesetzgeber sieht hierfür eine Umsetzungsfrist bis 1.1.2020 vor (Art. 19 Abs. 2 Satz 2 Nr. 3 BayEGovG).
Art. 11 Abs. 1 Satz 1 BayEGovG verpflichtet die Behörden dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Gewährleistung der Informationssicherheit wird damit zugleich als öffentliche Aufgabe definiert.
Im Rahmen der Prüfung der Verhältnismäßigkeit sind insbesondere
gegeneinander abzuwägen.
Unter dem Gesichtspunkt der Wirtschaftlichkeit kann auch die Leistungsfähigkeit der jeweiligen Behörde berücksichtigt werden, da diese nach wie vor in der Lage sein muss, ihre übrigen öffentlichen Aufgaben zu erfüllen.
Die von den Behörden konkret umzusetzenden Maßnahmen ergeben sich aus Art. 11 Abs. 1 Satz 2 BayEGovG. Diese Vorschrift verpflichtet die Behörden dazu, angemessene technische und organisatorische Maßnahmen i. S. v. Art. 32 Datenschutz-Grundverordnung und Art. 32 BayDSG zu treffen und die hierzu erforderlichen Informationssicherheitskonzepte zu erstellen.
Die entsprechenden Verpflichtungen treten am 1.1.2020 in Kraft.
Die hiernach zu treffenden Maßnahmen müssen insbesondere geeignet sein, um
Notwendig ist ein systematisches Vorgehen, das unter Berücksichtigung vorhandener Schwachstellen und Risiken gewährleistet, dass die Aufgabe nach Art. 11 Abs. 1 Satz 1 BayEGovG erfüllt wird. Informationssicherheitskonzepte sind daher nicht nur zu „erstellen“ (wie der Wortlaut ggf. vermuten ließe), sondern müssen auch angewendet, regelmäßig überprüft und bei Bedarf fortgeschrieben werden (Denkhaus/Geiger, Praxishandbuch zum Bayerischen E-Government-Gesetz, Hüthig Jehle Rehm Verlag, 2017, S. 155 ff. m.w.N.).
Um die Kommunen bei der Erstellung dieses Informationssicherheitskonzepts zu unterstützen, hat die Innovationsstiftung Bayerische Kommune eine entsprechende Arbeitshilfe herausgegeben. Die Arbeitshilfe kann über die Internetseite der Innovationsstiftung kostenlos heruntergeladen werden (www.bay-innovationsstiftung.de/ → Projekte).
Neben der Erstellung (und Fortschreibung) eines Informationssicherheitskonzepts können die Verpflichtungen aus Art. 11 Abs. 1 BayEGovG auch durch Implementierung eines Informationssicherheits-Managementsystems (ISMS) erfüllen.
Die nachfolgende Abbildung stellt die wesentlichen ISMS mit ihren jeweiligen Merkmalen kurz im Überblick dar:
Kriterien |
VdS 10000 (vormals VdS 3473) |
ISIS12 |
ISO 27000 Reihe |
BSI IT-Grundschutz |
Herausgeber |
VdS Schaden-verhütung GmbH |
Netzwerk Informations-sicherheit für den Mittelstand |
International Standards Organisation |
Bundesamt für Sicherheit in der Informations-technik |
Zielgruppe |
Kleine und mittlere Unternehmen |
Kleine und mittlere Unternehmen |
Organisationen jeder Größen-ordnungen |
Organisationen jeder Größen-ordnungen und öffentliche Verwaltung |
Dokumentation |
ca. 40 Seiten |
ca. 170 Seiten |
ca. 400 Seiten |
ca. 5.000 Seiten |
Detaillierung |
Minimal verweisend |
Mittel |
Minimalistisch abstrakt |
Maximal detailliert (Überarbeitung 2017 Bausteine und Umsetzungs-hinweise) |
Aufbau |
Selektierte Bausteine und Maßnahmen |
Selektierte Bausteine und Maßnahmen |
Maßnahmen-empfehlungen |
Umfassende Bausteine, Gefährdungen und Maßnahmen |
Umfang des Maßnahmen-kataloges |
ca. 18 Kapitel plus Anhang, ca. 100 Maßnahmen |
ca. 400 Maßnahmen |
ca. 150 Maßnahmen |
ca. 1.100 Maßnahmen |
Risikoanalyse |
Verweise auf andere Regelwerke |
indirekt |
grundsätzlich |
enthalten (ergänzend für höheren Schutzbedarf) |
Umsetzung |
Verweise auf andere Regelwerke; konkret formulierte Maßnahmen Um-setzen |
konkret formulierte Maßnahmen umsetzen |
allgemeingültig formulierte Maßnahmen umsetzen |
Auswahl konkret formulierte Maßnahmen umsetzen |
Mögliche Zertifizierung |
VdS-Zertifizierung |
DQS-Zertifizierung |
ISO-Zertifizierung |
ISO-Zertifizierung nach IT-Grundschutz |
Bezug der Standards für Kommunen |
Kostenlos |
Kostenlos |
ca. 300 EUR (ISO 27001+27002) |
Kostenlos |
Quelle: Deutscher Landkreistag (Hrsg.), Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen, März 2017, S. 9, mit eigenen Ergänzungen.
In der Praxis kommt dabei häufig das InformationsSIcherheitsmanagementSystems in 12 Schritten (ISIS12) zum Einsatz. Das Vorgehensmodell von ISIS12 ist daher nachfolgend kurz dargestellt:
Quelle: Bayerischer IT-Sicherheitscluster e.V.
Das Staatsministeriums des Innern, für Sport und Integration unterstützt die Kommunen finanziell bei der Einführung eines ISMS, das die Mindestanforderungen an ein ISMS gemäß der jeweiligen Beschlusslage des IT-Planungsrates abdeckt sowie dessen Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor (Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften vom 11.12.2018, AllMBl. S. 1229).
Förderfähig ist die Einführung des IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ISO/IEC 2700X. Die Förderung bezieht sich auch auf die Implementierung von ISIS12 als vom IT-Planungsrat als ausreichend anerkannte Basis, die aber auch für ein eventuell später gewünschtes Aufstocken zu BSI-Grundschutz oder ISO/IEC 2700X genutzt werden kann.
Der Zuschuss beträgt bis zu 50 % der zuwendungsfähigen Ausgaben, höchstens 15.000 €.
Das im Dezember 2017 ins Leben gerufene Landesamt für Sicherheit in der Informationstechnik (LSI) hat u.a. die Aufgabe, die Kommunen in Fragen der IT-Sicherheit zu beraten und aktiv zu unterstützen. Das LSI berät die Kommunen derzeit insbesondere zu folgenden Themen:
Mit dem Siegel „Kommunale IT-Sicherheit“ bietet das LSI daneben gerade auch kleineren bayerischen Städten, Märkten und Gemeinden die Möglichkeit:
Das Siegel ist auf die Bedürfnisse von kleineren Städten und Gemeinden ausgerichtet und ist unabhängig von einem ISMS-Standard. Das Siegel kann als Vorstufe zu einer Zertifizierung betrachtet werden.
Auch größeren Kommunen steht es grundsätzlich frei, das Siegel des LSI zu beantragen. Je größer die Kommune, desto mehr wird jedoch das Informationssicherheitskonzept der Organisationsgröße, der komplexeren Netzarchitektur und arbeitsteiligeren Prozessen Rechnung tragen müssen.
Klaus Geiger, Referent für Organisation, Verwaltungsmodernisierung und digitale Verwaltung beim Bayerischen Landkreistag, München
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
Kontaktformular