IT-Grundschutz

Informationssicherheit managen

| Autor / Redakteur: Gordon Magerkurth* / Regina Willmeroth

Um Sicherheitslücken in den Verwaltungsprozessen der Öffentlichen Verwaltung zu vermeiden, fordern die gesetzlichen Verordnungen und die Datenschutzbeauftragten der Länder immer häufiger die Implementierung eines Informationssicherheits-Managementsystems (ISMS)
Um Sicherheitslücken in den Verwaltungsprozessen der Öffentlichen Verwaltung zu vermeiden, fordern die gesetzlichen Verordnungen und die Datenschutzbeauftragten der Länder immer häufiger die Implementierung eines Informationssicherheits-Managementsystems (ISMS) (Bild: valerybrozhinsky/ Fotolia.com)

Verwaltungsprozesse werden immer mehr digitalisiert. Dementsprechend wächst auch die Zahl der IT-Systeme und deren Nutzerkreis. Damit hängen die Arbeitsfähigkeit jeder Verwaltung und somit die Daseinsvorsorge von der Sicherheit und der Verfügbarkeit der dazu notwendigen Daten und der IT-Infrastruktur ab.

Die grundlegende Versorgung der Bevölkerung mit wesentlichen Gütern und Dienstleistungen ist die Hauptaufgabe einer Öffentlichen Verwaltung. Durch den verstärkten Einsatz von modernen IT-Techniken und elektronischen Medien für Verwaltungsprozesse ist die Verfügbarkeit dieser IT-Systeme ausschlaggebend. Die entsprechenden finanziellen und personellen Ressourcen fehlen jedoch in den meisten Fällen.

Bereits in einigen Bundesländern fordern die gesetzlichen Verordnungen und die Datenschutzbeauftragten der Länder daher die Implementierung eines Informationssicherheits-Managementsystems (ISMS) sowie die Einführung einer IT-Notfallplanung. Diese Forderungen werden sich zunehmend häufen.

Aus diesem Grund müssen sich die Öffentlichen Verwaltungen mit der Einführung von Informationssicherheit auseinandersetzen. Doch in welcher Ausprägung? Muss die gesamte Organisation betrachtet werden oder nur ein bestimmtes Fachverfahren? Um ein angemessenes und ausreichendes Schutzniveau der Organisation zu erreichen, hat sich die IT-Grundschutz-Methode des Bundesamts für Sicherheit in der Informationstechnik (BSI) bewährt.

Soll- und Ist-Zustand

Im ersten Schritt sollten die Organisationen bei der Implementierung die Kriterien definieren, nach welchen die Organisation Sicherheit bemisst sowie die Eingruppierung der zu betrachtenden Verfahren festlegen. Aus dieser Eingruppierung und der Vererbung der sich abzuleitenden Schutzbedarfe definiert sich der Soll-Zustand der Informationssicherheit. Mit dem Ziel, Risikomanagement zu betreiben und offene Gefährdungen zu identifizieren, wird im zweiten Schritt der Ist-Zustand der Informationssicherheit der Organisation ermittelt. Aus dem Vergleich zwischen Soll- und Ist-Zustand können dann offene Gefährdungen identifiziert werden. Mit diesem Wissen lassen sich bestehende Risiken managen.

Die IT-Grundschutz-Methode ist ein erprobtes Mittel, dennoch ist sie ohne ein leitendes Werkzeug nur aufwendig anwendbar. Nach wie vor gibt es in der Öffentlichen Verwaltung viele Organisationen, die versuchen, im ersten Schritt die Einführung eines ISMS händisch durchzuführen und auf Office-Vorlagen zurückgreifen.

Allerdings bedürfen die Office-Vorlagen im Arbeitsalltag aufwendiger Pflege und müssen aktuell gehalten werden; eine zeitfressende Aufgabe. Zur Dokumentation des Ist-Zustandes werden somit Interviews mit den Verantwortlichen durchgeführt. Oft verbringt der Beauftragte einen Großteil seiner Arbeitszeit damit, Informationen zu erfragen und Aufklärungsarbeit zu leisten. Hinzu kommt, dass die eingeholten Informationen aufgrund sich stetig ändernder IT-Landschaften schnell veralten. Das führt zu falschen Rückschlüssen hinsichtlich offener oder geschlossener Gefährdungen.

Ein weiterer Nachteil bei Office-Anwendungen ist, dass diese ­häufig keine signifikante Unterstützung bei der Implementierung eines ­Informationssicherheitskonzeptes bieten und dadurch eine intensive Beratung durch externe Dienstleister erfordern. All das verzögert die Projektumsetzung.

Unterstützende Werkzeuge

Auf diese Weise wird die Implementierung eines ganzheitlichen ISMS unnötig verkompliziert vor allem, weil der Markt zahlreiche unterstützende Werkzeuge bietet. Gerade softwaregestützte Lösungen haben sich für den Einsatz bewährt. Diese Lösungen weisen eine hohe Beratungsintelligenz auf, lassen sich intuitiv bedienen und bieten zahlreiche unterstützende Funktionen. So können zum Beispiel bereits vorhandene Informationsquellen sowie Systeme in der Organisation eingebunden und ­Daten daraus automatisch in die Softwarelösung importiert werden. Dort wo es notwendig ist, lassen sich Arbeitspakete generieren, welche dezentral abgearbeitet werden können, um im Anschluss die Ergebnisse in die Softwarelösung zu importieren sowie für eine weitere Verarbeitung bereitzustellen. Der Informationssicherheitsbeauftragte kann den Prozess so leichter managen und Risiken wie ­Chancen für seine Organisation identifizieren.

* Gordon Magerkurth, Leiter Partnermanagement bei CONTECHNET Ltd.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44817663 / Standards & Technologie)