Suchen

IT-Sicherheit in der Öffentlichen Verwaltung Mensch und Maschine arbeiten noch nicht Hand in Hand

Autor / Redakteur: Peter Krolle und Wolfgang Nickel / Gerald Viola

Virenscanner, Firewall, Backup und Datenverschlüsselung gehören in der Öffentlichen Verwaltung mittlerweile zu den Standardmaßnahmen zum Eindämmen von IT-Risiken. Praktisch alle Städte und Gemeinden und immerhin 83 Prozent der Landesbehörden in Deutschland haben technische Lösungen installiert, um Schäden durch beispielsweise Datendiebstähle, Spam-Attacken oder Netzausfälle zu minimieren. Theoretisch.

Firmen zum Thema

( Archiv: Vogel Business Media )

Die Praxis zeigt aber, dass ein technischer Schutz nicht ausreicht, da die Schwachstelle der IT-Sicherheit oft die Fahrlässigkeit von Mitarbeitern ist. Deshalb sind genaue IT-Sicherheitsrichtlinien, deren Umsetzung ein IT-Sicherheitsbeauftragter überwacht, sinnvoll.

Und hier hat jede sechste Kommune und Landesbehörde noch Nachholbedarf. Das sind die Ergebnisse der Studie „Branchenkompass 2008 Public Services“ von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut.

Baustelle Nummer eins ist somit nicht die Technik, sondern die Menschen, die sie bedienen. Beispiel Bundeswehr: Dort setzte im Februar der Computerwurm mit dem Namen „Conficker“ die Rechner der deutschen Streitkräfte außer Gefecht. Der Angriff kam nicht über das Internet. Jemand hatte den Server per USB-Stick infiziert.

Derartige IT-Angriffe betreffen zwar in der Regel große Bundesbehörden. Aber nicht nur: Der allzu sorglose Umgang mit schützenswerten Daten kann auch für kommunale Verwaltungen schnell zu einem datenschutzrechtlichen Problem werden.

Das mussten 2008 zahlreiche deutsche Kommunen erfahren. In einer Reihe von Städten und Gemeinden waren die Melderegister über das Internet für Unbefugte mehrere Monate lang einsehbar. Unter anderem standen das Geburtsdatum, der Familienstand sowie die Religionszugehörigkeit für jedermann offen.

Ursache: Die Kommunen hatten eine neue eGovernment-Lösung erhalten und das Standard-Benutzerkonto nicht geändert.

Sicherheitsstandards vor allem auf Bundesebene

Einheitliche Gegenmaßnahmen oder gar ein vorbeugender Schutz sind bisher nur auf Bundesebene Realität. Mit dem Umsetzungsplan Bund (UP Bund) wurde Ende 2007 erstmals eine einheitliche IT-Sicherheitsleitlinie für sämtliche Ressorts verabschiedet. Im UP Bund sind technische, organisatorische und prozessuale Standards für die Bundesverwaltung festgeschrieben, die in allen Behörden der Bundesverwaltung durch angemessene IT-Sicherheitsmaßnahmen realisiert werden.

Zudem sind im Konjunkturpaket der Bundesregierung 500 Millionen Euro für IT-Investitionen reserviert. Mit allein 25 Millionen Euro werden beispielsweise Produkte und Dienstleistungen zur Steigerung der IT-Sicherheit zugekauft. Weitere 15 Millionen fließen in sicherere und stabilere Netze der Bundesbehörden.

Länder und Kommunen ziehen erst allmählich nach

Auf Landesebene sowie in den Städten und Gemeinden setzen sich derartige Standards zum Schutz vor IT-Risiken erst schrittweise durch. Die IT-Grundschutzkataloge des staatlichen Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwenden weniger als die Hälfte der Verwaltungen. Darüber hinaus nutzen nur 45 Prozent der Körperschaften die Möglichkeit, das eigene IT-Sicherheitsmanagement von einem unabhängigen IT-TÜV zertifizieren zu lassen, sei es nach ISO/IEC 27001 oder einem anderen IT-Sicherheitsstandard.

Die Kommunen und Landesbehörden suchen stattdessen vor allem die Zusammenarbeit mit regionalen IT-Spezialisten. So geben 70 Prozent der Befragten an, dass ihre Verwaltung mit einem regionalen Datenzentrum oder einem IT-Zweckverband kooperiert, um die Verwaltungs-IT gegen Hackerangriffe oder Systemausfälle zu schützen.

Nächste Seite: Risikomanagement erfordert mehr Sensibilität

IT-Sicherheit – Puzzlestück im Risikomanagement

Die umgesetzten und geplanten Maßnahmen greifen häufig noch zu kurz. Für einen wirksamen Schutz vor IT-Risiken ist es für Länder und Kommunen entscheidend, IT-Sicherheit nicht isoliert zu betrachten. Es geht vielmehr darum, Risikomanagement in der Öffentlichen Verwaltung als Ganzes zu verbessern und Gegenmaßnahmen für sämtliche Risiken zu treffen, egal ob Finanz- oder IT-Risiken.

Denn je aktiver die Länder sowie die Städte und Gemeinden ihr Risikomanagement insgesamt vorantreiben, desto besser ist die IT-Sicherheitslage, zeigt die Studie. 60 Prozent der Länder und Kommunen mit einem zentralen Risikomanagement setzen beispielsweise die IT-Grundschutzkataloge des BSI um – deutlich mehr als der Durchschnitt aller Befragten in der Öffentlichen Verwaltung.

Der Grund: In den Köpfen der Mitarbeiter dort ist das Bewusstsein, Risiken systematisch zu erkennen und Maßnahmen zu ergreifen, deutlich stärker verankert. Zudem sind in den Verwaltungen mit zentralem Risikomanagement bereits feste Abläufe integriert, wie Mitarbeiter mit einzelnen Risiken umgehen.

Doch bisher verfügen nur 15 Prozent der Landes- und Kommunalverwaltungen über einen integrierten Maßnahmenkatalog für den Umgang mit einzelnen Risiken. Jede fünfte Landesbehörde und Kommune beabsichtigt allerdings die Einführung bis 2011.

Mehr Sensibilität erforderlich

Die Sensibilität im Umgang mit Risiken und damit auch mit der IT-Sicherheit könnte deutlich erhöht werden. Häufig reichen die finanziellen Mittel nicht aus, um ein zentrales Risikomanagement zu installieren. Zudem fehlt es an Personal, um die IT-Sicherheitsabläufe zu organisieren.

Ein Risikobeauftragter, der die Gesamtrisikolage zentral bewertet und überwacht, existiert erst in vier der befragten 100 Kommunal- und Landesverwaltungen. In der Mehrheit der Länder, Städte und Gemeinden kümmern sich der Datenschützer, der IT-Abteilungsleiter, der Sicherheitsbeauftragte oder der Personalleiter um das Risikomanagement.

(ID:2021674)