IT-Sicherheitskonzept

Landeskirchenamt erfüllt „IT-Gebote“

| Autor / Redakteur: Samira Liebscher / Julia Mutzbauer

Das Landeskirchenamt der Evangelischen Kirche in Mitteldeutschland befindet sich in Erfurt
Das Landeskirchenamt der Evangelischen Kirche in Mitteldeutschland befindet sich in Erfurt (© Sergii Figurnyi - stock.adobe.com)

Wie setzt man ein gesetzlich gefordertes IT-Sicherheitskonzept um? Das fragten sich die Mitarbeiter des Landeskirchenamts der Evangelischen Kirche in Mitteldeutschland (EKM), nachdem die IT-Sicherheitsverordnung der Evangelischen Kirche in Deutschland (ITSVO-EKD) verabschiedet wurde. Gemäß dieser Verordnung müssen kirchliche Einrichtungen, die personenbezogene Daten erheben, verarbeiten oder nutzen, angemessene technische und organisatorische Maßnahmen durchführen, um Daten zu schützen.

Das Landeskirchenamt der Evangelischen Kirche in Mitteldeutschland (EKM) stand vor der Herausforderung, ein umfassendes IT-Sicherheitskonzept zu erstellen. Aufgrund der verteilten Standorte der betreuten Außenstellen war dies nur durch eine Kombination von softwarebasierten Lösungen möglich. Als oberste kirchliche Verwaltungsbehörde betreut das EKM 17 selbstständige Kreiskirchenämter sowie das Rechnungsprüfungsamt.

Neben klassischen Verwaltungsaufgaben wie Rechts-, Bau- und Personalangelegenheiten unterstützt das Amt die Außenstellen auch bei theologischen Aufgaben wie Gottesdiensten, Religionsunterricht und Diakonie. Als Vertreter der Landeskirche kommuniziert die Behörde darüber hinaus mit Institutionen in Staat, Wirtschaft, Kultur und Gesellschaft. Bei der täglichen Arbeit im Landeskirchenamt der EKM ist die IT inzwischen ein unverzichtbares Instrument geworden, um Kommunikation und Datenverarbeitung so effektiv und sicher wie möglich zu gestalten.

Kirchliche Einrichtungen unterliegen IT-Sicherheitsverordnung

Aufgrund der steigenden Bedeutung von IT-Systemen in kirchlichen Einrichtungen wurde bereits am 29. Mai 2015 die IT-Sicherheitsverordnung der Evangelischen Kirche in Deutschland verabschiedet. Von dieser Verordnung betroffen sind die Evangelische Kirche in Deutschland, ihre Gliedkirchen, gliedkirchliche Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen.

Das Ziel der ITSVO-EKD ist es, die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit erhobener und verarbeiteter Daten durch Informationssicherheit zur bewahren. Technische und organisatorische Maßnahmen (TOM) sollen diese Daten daher vor unberechtigtem Zugriff, unerlaubten Änderungen und vor Verlust schützen. Bei einer hohen Relevanz von IT-Systemen und verarbeiteten Daten für die Öffentlichkeit ergibt sich ein erhöhter Schutzbedarf der jeweiligen Einrichtung und somit neben dem allgemeinen Sicherheitskonzept auch die Notwendigkeit eines Notfallmanagementsystems.

Durch die neue Verordnung musste auch das Landeskirchenamt der EKM ein Sicherheitskonzept erstellen, das die gesetzlichen Forderungen erfüllt. Aber genau hier lag das Problem, denn die erforderlichen technischen und organisatorischen Maßnahmen wurden nicht im Detail beschrieben. An diesem Punkt stand Sven Wenzke, Referent für IT-Sicherheit/Strategie/Projekte des Landeskirchenamts der EKM, vor einer großen Herausforderung.

„Wir mussten die Forderungen schnellstmöglich umsetzen, wussten aber zunächst nicht, womit wir überhaupt beginnen sollten. Viele Prozesse wurden bei uns vorher nicht dokumentiert, und wir hatten weder eine Software als Unterstützung noch ein manuelles Notfallhandbuch im Einsatz“, beschreibt der Referent die Situation. Das Ziel war es daher, ein Tool zu finden, das sowohl zur Umsetzung des geforderten Sicherheitskonzepts als auch zur Abbildung eines IT-Notfallmanagements geeignet war.

Softwareübergreifende Datennutzung gefordert

Um sich über die verschiedenen Möglichkeiten und Lösungen auf dem Markt zu informieren, wurden verschiedene Veranstaltungen besucht, unter anderem die des IT-Dienstleisters Q-SOFT GmbH. Bei einem Security-Breakfast in Erfurt zum Thema „Notfallmanagement als Simulation“ war auch ein deutscher Hersteller mit seinen Lösungen zu IT-Notfallplanung und Informationssicherheit vertreten. Nachdem sich die IT-Abteilung des Landeskirchenamts näher über die Suite des Anbieters informiert hatte, erkundigten sich die Verantwortlichen auch nach Lösungen anderer Hersteller. In die engere Auswahl kam unter anderem verinice, ein Open Source-Tool für Informationssicherheits-Managementsysteme (ISMS).

Bei der Suche nach einer geeigneten Lösung musste das Landeskirchenamt der EKM zwei große Herausforderungen beachten: Zum einen bestand die Schwierigkeit darin, dass niemand die benötigte Mandantenfähigkeit bescheinigte, und zum anderen, dass die eingepflegten Daten oft nicht weiterverwendet werden konnten. „Dies waren insbesondere die Gründe, warum wir der Empfehlung der Q-SOFT folgten und uns auch gegen die Software verinice entschieden“, erklärt Sven Wenzke. „Wir hätten zwar das geforderte Sicherheitskonzept erstellen, aber die Daten anschließend nicht weiterverarbeiten können.“ Mit Contechnet hat das Landeskirchenamt einen Hersteller gefunden, der eine komplette Suite aus verschiedenen Modulen anbietet. Diese verwenden eine zentrale Datenbasis; daher kann das Landeskirchenamt mit den unterschiedlichen Lösungen aufeinander aufbauen.

Als Dienstleister pflegt das Landeskirchenamt der EKM die Daten von 17 selbstständigen Kreiskirchenämtern (Mandanten) und des Rechnungsprüfungsamts. Die IT-Abteilung entschied sich daher nach ausführlicher Beratung für eine Unternehmenslizenz. In dieser inbegriffen sind 1.200 IT-Systeme, mit der das Amt die eigenen Systeme sowie die der betreuten Ämter abdecken kann. „Für unser softwarebasiertes Sicherheitskonzept und die IT-Notfallplanung haben wir schätzungsweise eine fünfstellige Summe investiert“, so der Referent.

„Das klingt zunächst nach einer hohen Ausgabe, und auch wir mussten unserem Management erst den Mehrwert dieser Lösungen deutlich machen. Als wir jedoch den genannten Wert in Relation zu den Auswirkungen, Schäden und Kosten setzten, die beispielsweise ein Hackerangriff bei uns verursachen würde, war jene Zahl nur ein Bruchteil der Investition.“ Wie auch der Digitalverband Bitkom in seinem Leitfaden „Kosten eines Cyber-Schadensfalles“ von 2016 aufzeigte, würden sich beispielsweise in einem mittelständischen Unternehmen allein die Kosten für den internen Personalaufwand und die Unterstützung durch externe IT-Forensiker auf 150.000 € belaufen.

Modularer Aufbau erleichtert Arbeitsalltag der IT-Abteilung

Da sich die Mandanten des Landeskirchenamts der EKM an verschiedenen Standorten befinden, war in der Vergangenheit auch ein manuelles Sicherheits- und Notfallmanagement nicht möglich. Aus diesem Grund hatte sich die IT-Abteilung zuvor nicht mit dieser Thematik auseinandergesetzt. Somit war es ein längerer Prozess und bedurfte einiger Workshops, um die Lösungen für den Aufbau und die Pflege einer IT-Notfallplanung sowie die Einführung eines ISMS vollständig in den Arbeitsalltag zu integrieren. Die technische Implementierung, inklusive Abgleich von Datenbanken, Spiegeln von Servern, Backups etc., erfolgte innerhalb von drei Wochen im laufenden Betrieb.

Beim ersten Einpflegen der Daten in die Notfallplanungssoftware stellten die zahlreichen Funktionen und Eingabemöglichkeiten die Verantwortlichen zunächst vor einige Herausforderungen. Durch die klare Vorgehensweise der Softwarelösungen konnte deren Implementierung dann allerdings doch schnell und einfach erfolgen. In INDART Professional wurden IT-Systeme, Prozesse und Daten Schritt für Schritt eingepflegt und miteinander verknüpft sowie Verantwortlichkeiten für den Notfall definiert. Dabei bestand die Möglichkeit, Daten wie z.B. Infrastruktur und Personal automatisch über Schnittstellen und Importer in die Lösungen zu laden. Diese Daten werden zum Teil zyklisch auf Aktualität geprüft.

Bei der Implementierung des ISMS wurde die IT-Abteilung des Landeskirchenamts durch die Softwarelösung INDITOR BSI unterstützt. Bereits im ersten Schritt konnten die Verantwortlichen vom Zusammenspiel der Software-Suite profitieren: Die Strukturanalyse war nämlich schon mit den Daten der Assets aus der Notfallplanungssoftware befüllt und so war eine doppelte Datenpflege nicht notwendig.

Bei der Modellierung wurden die einzelnen Bausteine der BSI-Kataloge den verwendeten Assets zugeordnet. Im Basissicherheitscheck mussten die bereits umgesetzten Sicherheitsmaßnahmen dann mit den Empfehlungen der IT-Grundschutzkataloge abgeglichen werden, um das bislang erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen Im laufenden Betrieb muss das ISMS nun den kontinuierlichen Prozess nach dem Plan-Do-Check-Act-Verfahren durchlaufen; Die Wirksamkeit des ISMS muss also regelmäßig überprüft werden.

Aufgrund spezifischer Anforderungen des Landeskirchenamts der EKM arbeitet die IT-Abteilung allerdings nicht mit den Standardinstallationen. So mussten beispielsweise bei der Individualisierung hinsichtlich automatisierter Verfahren einige Anpassungen mit auf die Agenda nehmen. Auch beim Versand von E-Mails über die Softwares gab es teilweise Barrieren, da die Mails nicht verschlüsselt und ihnen keine Signaturen hinzugefügt werden konnten. Um diese Aspekte den eigenen Anforderungen anzupassen, steht die IT-Abteilung regelmäßig mit dem Support des Herstellers und ihres Dienstleisters in Kontakt.

Um die Arbeit der jeweiligen Verantwortlichen zu vereinfachen, nutzt das Landeskirchenamt der EKM das Webmodul INFORWEB, das in Verbindung mit der Contechnet Suite verwendet werden kann. Dieses Tool bietet der IT-Abteilung insbesondere bei der Zusammenarbeit mit den angebundenen Außenstellen einen großen Mehrwert. Mit der Lösung werden die jeweiligen Amtsleiter in die Arbeit involviert, ohne, dass sie sich direkt in den Softwarelösungen anmelden müssen. Dabei sehen sie nur die Inhalte, für die sie verantwortlich sind. So entfallen zeitaufwändige Schulungen für die eigenen Mitarbeiter sowie für die Amtsleiter der betreuten Außenstellen. Die Datenpflege lässt sich seitens des Landeskirchenamts der EKM zudem einfach an die entsprechenden Stellen delegieren.

Fazit

Mit der Software-Kombination aus ISMS und IT-Notfallplanung erfüllt das Landeskirchenamt der Evangelischen Kirche in Mitteldeutschland die rechtlich geforderten Maßnahmen für ein umfassendes Sicherheitskonzept. Das Software-Bundle eines Anbieters, das auf eine gemeinsame Datenbasis zurückgreift, ermöglicht den Verantwortlichen, die bereits eingepflegten Daten zu nutzen und weiterzuverarbeiten. Da sich das IT-Team des Landeskirchenamts zuvor nicht näher mit den Themen Notfallplanung und Informationssicherheit beschäftigt hatte, war die Implementierung zunächst eine Herausforderung. „Durch den modularen Aufbau der Softwarelösungen konnten wir diese Herausforderung aber Zug um Zug meistern und an unsere Anforderungen anpassen. Gemessen an unseren Erfahrungswerten und unserem jetzigen Wissensstand gehen wir davon aus, dass es aktuell keine vergleichbare Lösung auf dem Markt gibt“, fasst der Referent das Projekt zusammen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46275015 / Standards & Technologie)