Das Bayerische E-Government-Gesetz misst der Informationssicherheit künftig einen noch höheren Stellenwert bei. Artikel 8 fordert von Kommunen, unabhängig von deren Größe und Organisation, die Sicherheit ihrer IT-Systeme durch angemessene Maßnahmen zu gewährleisten und dafür erforderliche Sicherheitskonzepte zu erstellen. Zwar gibt es bereits bekannte Standards zur Informationssicherheit wie die ISO27001, den BSI IT-Grundschutz, ISIS12 oder VDS3473. Diese bauen jedoch nicht zwingend auf den spezifischen Belangen von Behörden auf und arbeiten zudem mit umfangreichen Handbüchern und Katalogen, sodass gerade kleinere Einrichtungen mit begrenzten Kapazitäten schnell überfordert sein können.
Arbeitshilfe der Innovationsstiftung
Zur Unterstützung der Kommunen hat die Innovationsstiftung Bayerische Kommune eine Arbeitshilfe speziell für Kommunen zur Verbesserung der Informationssicherheit erstellt – in erster Linie für solche kommunalen Einrichtungen, die nicht über ausreichende Kapazitäten zur Einführung und Anwendung anderer Standards verfügen. Die Arbeitshilfe benennt Mindestanforderungen, die sich aus gesetzlichen Vorgaben ableiten lassen, und dient außerdem als Leitfaden, wie ein systematischer Ansatz zur dauerhaften Gewährleistung der Informationssicherheit etabliert, umgesetzt und im Behördenalltag praktiziert werden kann.
Die neue Arbeitshilfe stellt per se noch kein Konzept für die jeweilige Kommune dar. "Das Informationssicherheitskonzept gibt es nicht. Tatsächlich unterscheiden sich die konkreten Konzepte vergleichbarer Einrichtungen deutlich voneinander", betont Sascha Kuhrau, Sicherheitsberater im kommunalen Bereich, der das Projekt der Innovationsstiftung Bayerische Kommune federführend betreut hat. "Informationssicherheit betrifft immer die gesamte Organisation einer Behörde und bedeutet Arbeit", so Kuhrau. In der Tat ist die Arbeitshilfe so konzipiert, dass erst nach Durchlaufen der vier Schritte "Bestandsaufnahme", "Bewertung", "Umsetzung“ und "Betrieb" ein Informationssicherheitskonzept in der Behörde eingeführt wird. Im Anschluss ist eine regelmäßige Überprüfung und Anpassung des Konzepts an sich verändernde Rahmenbedingungen erforderlich. Inhaltlich werden dabei die Bereiche Datenschutz, Gebäudesicherheit und Zugang zu IT-Systemen, Berechtigungskonzepte und Protokollierung, Notfallmanagement, Richtlinien und Dienstanweisungen sowie Schulungen und Sensibilisierung bei den Mitarbeitern abgedeckt. Behörden, die bei der Ein- und Durchführung des Informationssicherheitskonzepts Unterstützung von Experten benötigen oder wünschen, werden auf notwendige Anforderungen an professionelle externe Dienstleister hingewiesen.
Webinare und Fortsetzung
Vorrangig richtet sich die Arbeitshilfe an den für Informationssicherheit zuständigen Projektleiter sowie im Rahmen eines Management Summarys an die Behördenleitung, die den gesamten Prozess von der Bestandsaufnahme bis hin zum dauerhaften Betrieb unter organisatorischen Aspekten begleiten sollte. Für die verschiedenen Zielgruppen, die sich mit Informationssicherheit auseinandersetzen müssen, bietet die Innovationsstiftung Bayerische Kommune im März unterschiedliche Webinare an. Die Webinare sind kostenfrei, richten sich an unterschiedliche Zielgruppen und dauern jeweils etwa 45 Minuten. Anmeldung und weitere Informationen finden Sie unter www.akdb.de/webinare:
3. März 2017: Führungskräfte, zum Beispiel Oberbürgermeister, Bürgermeister, Landräte und Geschäftsleiter
7. März 2017: IT-Leiter, IT-Spezialisten sowie weitere am Thema Informationssicherheirt beteiligte Mitarbeiter
23. März 2017: Verwaltungsmitarbeiter, die unter anderem für IT-Aufgaben verantwortlich sind.
Ebenso wird die Thematik auf den diesjährigen Techniktagen der AKDB behandelt. Sämtliche Projekte der 2010 von den Bayerischen Kommunalen Spitzenverbänden und der AKDB errichteten Innovationsstiftung stehen bayerischen Kommunen kostenfrei zur Verfügung und können über www.bay-innovationsstiftung.de abgerufen werden.
