Das Gesetz über die elektronische Verwaltung in Bayern schreibt vor: Behörden müssen bis zum 1. Januar 2020 zum Schutz ihrer IT-Systeme Informationssicherheitskonzepte einführen und betreiben. Gängige Standards wie ISIS12 oder VdS 3473 sind aber für Kommunen ohne IT-Fachpersonal oftmals zu aufwändig. Daher hat die Informationsstiftung Bayerische Kommune eine Arbeitshilfe veröffentlicht, die sich gezielt an kleinere und Kleinstkommunen richtet und diesen erlaubt, mit vertretbarem Aufwand ein solches Konzept einzuführen und im Behördenalltag kontinuierlich zu betreiben.
Die Theorie galt es nun, einem Praxischeck zu unterziehen. Die Verwaltungsgemeinschaft Welden, der Markt Postbauer-Heng, der Markt Ergolding, die Stadt Abensberg, die Stadt Zeil am Main sowie die Gemeinde Üchtelhausen wurden dabei von der Innovationsstiftung Bayerische Kommune begleitet. Die Arbeitshilfe ist prinzipiell so konzipiert, dass sie weitestgehend selbstständig von Mitarbeitern der Kommunalverwaltung umgesetzt werden kann.
Es ist nur verständlich, dass Verwaltungen einem neuen Konzept erst einmal abwartend gegenüber stehen. Deshalb gaben Mitarbeiter der Innovationsstiftung eine Einstiegshilfe: In einem Auftaktworkshop vermittelten sie in den sechs Behörden vor Ort die Methodik der Arbeitshilfe, beantworteten grundsätzliche Fragen rund um die Informationssicherheit, gaben Tipps und zeigten einen groben Fahrplan auf. An die Auftaktworkshops, die das Ziel „Hilfe zur Selbsthilfe“ verfolgten, schloss sich eine mehrmonatige Phase der Eigenarbeit an. Erfreulich ist, dass sich in dieser Phase gezeigt hat, dass die Arbeitshilfe für IT-fachfremdes Verwaltungspersonal sehr gut verständlich ist und selbstständig Fortschritte auf breiter Ebene erzielt werden. Bei sehr technischen Fragen, etwa zur Hardwareausstattung oder Netzwerkumgebung, bietet es sich aber punktuell an, auf professionelles Know-how von IT-Dienstleistern zurückzugreifen – was in Kommunen aber ohnehin regelmäßig geschieht. Bei den Abschlussworkshops wurden schließlich letzte Fragen beantwortet, geklärt, ob Defizite eigenständig erkannt werden und ob notwendige Strukturen in den Verwaltungen etabliert wurden, die ein regelmäßiges Nachhalten der Aufgaben sicherstellen.
Festgehalten werden kann: Die Arbeit der letzten Monate hat sich gelohnt! Der Mehrwert der umgesetzten Maßnahmen und Verbesserungen wurde deutlich erkannt. Auch zwei Vertreter des Landesamts für Sicherheit in der Informationstechnik (LSI) aus Nürnberg überzeugten sich beim Abschlussworkshop in Postbauer-Heng vom praxistauglichen Konzept der Innovationsstiftung. Neben IT-Grundschutz, ISIS12 und VdS 3473 informiert das LSI auf seiner Homepage nun auch über die Arbeitshilfe der Innovationsstiftung.
Faktoren für den Erfolg
Der Betrieb eines Informationssicherheitskonzepts – auch mit der Arbeitshilfe – ist eine wiederkehrende Aufgabe. Die Behördenleitung muss also ausreichend Kapazitäten bereitstellen: Konkret bedeutet dies, dass es eines Mitarbeiters bedarf, der sich dieses Themas verbindlich annimmt, Gegebenheiten und Abläufe im Hinblick auf die Informationssicherheit regelmäßig einer Prüfung und Bewertung unterwirft sowie offene Aufgaben konsequent vorantreibt. Ansonsten läuft man Gefahr, dass das Projekt versandet. Essenziell sind auch ein strukturierter Maßnahmenplan, eine lückenlose Dokumentation sowie Vertreterregelungen. Wer zögert, ob und wie das alles zu stemmen ist, für den hat Korinna Pöppl, die zwei der Pilotkommunen begleitet hat, einen Tipp: "Hauptsache, man beginnt überhaupt. Sobald man mitten drin ist, stellt man fest, dass es gar nicht so kompliziert ist!"
