Techniktage der AKDB

IT-Sicherheit für Bayerns Kommunen

| Autor / Redakteur: Frank Zscheile / Regina Willmeroth

AKDB und LivingData luden zu den Techniktagen
AKDB und LivingData luden zu den Techniktagen (Bild: AKDB)

AKDB und LivingData haben auf ihren gemeinsamen Techniktagen 2017 Konzepte für Informationssicherheit in der kommunalen Verwaltung vorgestellt.

An den 25. November 2016 wird man sich in Straubing wohl noch lange mit Schrecken erinnern. Menschen kamen bei dem verheerenden Brand des altehrwürdigen Rathauses der Stadt zum Glück nicht zu schaden. Auch dass nicht gleich die gesamte IT- und TK-Infrastruktur der Stadt den Flammen zum Opfer fiel, ist zu weiten Teilen glücklichen Umständen zu verdanken.

Es war ein schlimmer Weckruf, der Albert Sturm, den Leiter der Informations- und Kommunikationstechnik der Stadt Straubing, an jenem Herbstnachmittag ereilte und der jeder Kommune verdeutlichen sollte: Notfall- und Informationssicherheitskonzepte sollte man schnell aus der Schublade ziehen können. „Informationssicherheit ist der Brandschutz des 21. Jahrhunderts“, lautete passenderweise auch eine Leitthese der diesjährigen Techniktage von AKDB und LivingData, die an sechs Terminen zwischen April und Juni in sechs bayerischen Bezirken stattfanden. Über 600 IT-LeiterInnen und SystemadministratorInnen bayerischer Kommunalverwaltungen informierten sich auf der Veranstaltungsreihe über aktuelle Themen, die IT-Abteilungen derzeit auf den Nägeln brennen. Da ist zum Beispiel der anstehende Wechsel auf Windows Server 2016. Und eben die für Kommunen bald gesetzlich vorgeschriebene Einführung von Informationssicherheitskonzepten. Basis dafür ist Artikel 8 BayEGovG, der von Kommunen fordert, die Sicherheit ihrer informationstechnischen Systeme durch angemessene technische und organisatorische Maßnahmen zu gewährleisten und bis zum 1. Januar 2018 die dafür erforderlichen Informationssicherheitskonzepte zu erstellen.

Nachholbedarf in Sachen Informationssicherheit

Nur 10 bis 15 Prozent der bayerischen Kommunen beschäftigen sich derzeit mit dem Aufsetzen eines entsprechenden Informationssicherheitskonzepts, so aktuelle Schätzungen. Eine magere Quote, die auch durch eine (nicht repräsentative) Umfrage der AKDB auf ihrer Veranstaltungsreihe abermals bestätigt wurde. Informations­sicherheit umfasst den Schutz analoger und digitaler Informationen und Informationsressourcen vor Zerstörung, Enthüllung, Modifizierung und Missbrauch sowie die Sicherstellung der Wiederherstellbarkeit, wenn sich Zerstörung nicht vermeiden lässt.

Das heißt: Informationssicherheit ist mehr als nur IT-Sicherheit. Auf den Techniktagen wurde beleuchtet, wie sich ausgehend von einem (zu erstellenden) Informations-­Sicherheitskonzept gelebte Informationssicherheitsmanagementsysteme (ISMS) einführen lassen, so dass am Ende die Zertifizierung nach einem der gängigen Sicherheitsstandards wie DIN, ISO oder CERT steht.

Von Größe und Organisationsstruktur einer Kommune hängt ab, für welche Art von Informationssicherheitskonzept sie sich entscheidet. Für größere Verwaltungen empfiehlt sich das ISIS 12-Verfahren. Es stammt aus der freien Wirtschaft und wurde inzwischen auf kommunale Anforderungen angepasst. ISIS 12 beinhaltet eine Untermenge der Forderungen der IT-Grundschutz-Kataloge und der ISO/IEC 27001 und sieht die Einrichtung eines ISMS in 12 Schritten vor.

Erforderlich sind bei ISIS 12 intensive Analyse, Dokumentation und Organisation. Bis zu 50 Prozent der Ausgaben, höchstens 15.000 Euro, für Beratungsdienstleistungen, Mitarbeiterschulung und Erstzertifizierung für ISIS 12 werden vom Bayerischen Staatsministerium des Innern gefördert. Die Projektlaufzeit beträgt zwischen 12 bis 18 Monate.

Praktischer und mehr von den konkreten Cyberrisiken ausgehend präsentieren sich die Richtlinien VdS 3473, initiiert vom Gesamtverband der Deutschen Versicherungswirtschaft. Die ISMS-Einrichtung funktioniert hier in sechs Schritten. Die 2015 entworfene Methode folgt dem Pa-reto-Prinzip: 20 Prozent Aufwand, 80 Prozent Ziele (hohes Sicherheitsniveau). Eine Förderung gibt es nicht, der Katalog ist kostenlos, umfasst 38 Seiten und enthält einen Quickcheck. Mit 8 bis 12 Monaten ist die Laufzeit bis zur Fertigstellung eines ISMS bei VDS 3473 deutlich kürzer.

Schließlich bietet auch die Innovationsstiftung Bayerische Kommune eine Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts an, das Ende 2016 vorgestellt wurde. Sie dient als Leitfaden, nach dessen Bearbeitung in Behörden ein Informationssicherheitskonzept mit vergleichsweise geringem Aufwand erstellt, eingeführt und betrieben wird. Die kostenlose Arbeitshilfe umfasst einen Fragenkatalog, Anleitungen und Beschreibungen, eine Förderung gibt es nicht. Die Arbeitshilfe richtet sich in erster Linie an Verwaltungen, die nur über sehr wenige zeitliche und personelle Kapazitäten verfügen, eignet sich aber als erster Einstieg in die Materie auch für etwas größere Kommunen. Jedoch ist auch hier mit einer Projektlaufzeit von mehreren Monaten zu rechnen.

Informationssicherheits-Beauftragter zur Miete

Angesichts zahlreicher aktueller Herausforderungen sehen sich jedoch viele IT-Fachleute in den Kommunen mit der Einführung von Maßnahmen zur Erhöhung der Informationssicherheit überfordert. Anstatt selbst einen Infor­mationssicherheits-Beauftragten (ISB) zu stellen, der ein Sicherheitskonzept nach einem der beschriebenen Modelle anfertigt, können sie jetzt auch auf externe Unterstützung zugreifen.

Über die LivingData können AKDB-Kunden zum Beispiel den Service eines ISB „mieten“. Vor diesem Hintergrund wurde auf den Techniktagen ein erweitertes Outsourcing-Konzept namens Next Generation Outsourcing, kurz NextGo, vorgestellt, in dem das Stellen eines ISB oder die Anfertigung von Betriebs- und Notfallhandbüchern nur zwei von mehreren Modulen sind.

Der Gedanke hinter NextGO: Kommunen geben Teile ihres IT-Betriebes an die AKDB ab, die den Betrieb verantwortlich für sie übernimmt. Das Konzept führt über das klassische Software-as-a-Service hinaus, bei dem die Anwender nur die Software im Rechenzentrum nutzen, Plattform, Middleware und Betriebssystem aber in Eigenregie betreiben. Das neue Outsourcing-Modell setzt auf größtmögliche Flexibilität, das heißt es können nur einige oder aber auch alle Teile der eigenen IT an den Dienstleister überantwortet werden. Ausnahmen sind Programme von Fremdsoftwareanbietern, bei denen die Kommune Vertragspartner dieser Lieferanten bleibt und die AKDB nur die dafür notwendige Betriebsplattform bereitstellt. Die AKDB registriert derzeit verstärktes Interesse an solchen Konzepten.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44802186 / Standards & Technologie)