Suchen

Kompetenzzentrum für Landesverwaltung und Kommunen Saarland zentralisiert IT-Sicherheit

Redakteur: Manfred Klein

Das Saarland hat zum Schutz seiner IT die Gründung eines Kompetenz­teams IT-Sicherheit beschlossen. Es soll in den Landes­verwaltungen eine einheitliche Strategie etablieren, den Kommunen des Landes beratend zu Seite stehen und die Zusammenarbeit im wichtigen Bereich der IT-Sicherheit mit anderen Bundesländern und dem Bund verbessern.

Firmen zum Thema

Das Kompetenzteam IT-Sicherheit des Saarlandes mit seinem Leiter, Thorsten Sokoll (2. v. r.)
Das Kompetenzteam IT-Sicherheit des Saarlandes mit seinem Leiter, Thorsten Sokoll (2. v. r.)
(Foto: Finanzministerium Saarland)

Die Bedeutung der IT-Sicherheit für eine moderne Industriegesellschaft beschreibt die Beauftragte für Informationstechnologie, Staatssekretärin Cornelia Rogall-Grothe, so: „Durch die rasante technische Weiterentwicklung wird das Internet und seine Infrastruktur für den Wirtschaftsstandort Deutschland sowie für die politische und wirtschaftliche Organisation zunehmend zu einem neuralgischen Punkt. Die Vorteile funktionsfähiger IT-Systeme können nur dann genutzt werden, wenn IT-Sicherheit umfassend organisiert wird. Die Bundesregierung sieht da­rin eine wichtige Aufgabe.“

Entsprechend zahlreich sind denn auch die Projekte und Initiativen, die den Schutz wichtiger IT-Infrastrukturen in Wirtschaft und Verwaltung garantieren sollen.

Doch trotz aller Maßnahmen fehlt es innerhalb der Öffentlichen Verwaltungen noch häufig an übergreifenden Konzepten und an einer einheitlichen Sicherheitsstrategie – ein Umstand, der nicht nur Kosten verursacht, sondern häufig genug die Sicherheitsstrukturen der Verwaltungen schwächt.

Auf der Ebene der Kommunen sind die Mängel häufig noch gravierender. Verfügen kleine Gemeinden doch häufig weder über die personellen Ressourcen noch über das technische Know-how, um ihre IT hinreichend zu schützen. Das Saarland will dies mit der Gründung des Kompetenzteams IT-Sicherheit ändern.

Das Kompetenzteam „Informa­tionssicherheit“ besteht aus Vertretern der Ressorts und des Landes­rechenzentrums unter Leitung von Thorsten Sokoll (IT-Innovationszentrum). Die künftigen Aufgaben sind:

» die Erstellung von Konzepten zur einheitlichen Handhabung der Informationssicherheit in der Landesverwaltung,

» die Beratung der Ressorts,

» die Erstellung von Expertisen,

» der Aufbau einer Wissensbasis zur Informationssicherheit sowie

» die Beratung kommunaler IT-Stellen und der IT-Stellen anderer Bundesländer bei gemeinsamen Projekten und Kooperationen.

Bereits in der ersten Sitzung verständigten sich die Mitglieder des Kompetenzteams darauf, dass die Themen im Bereich der Informa­tionssicherheit und die Maßnahmen zum Schutz der entsprechenden Grundwerte (Vertraulichkeit, Verfügbarkeit und Integrität) möglichst ressortübergreifend und kooperativ behandelt werden müssen.

Als Beispiele für diese beschlossene Vorgehensweise nennt der Landes-CIO, Dr. Hanno Thewes, folgende Punkte:

» Beschreibung und Umsetzung von IT-Sicherheitsstandards (BSI-Grundschutz, ISO 27001).

» Sicherheit beim elektronischen Nachrichten- und Dokumentenaustausch (Signatur, Verschlüsselung).

» Sicherheit bei mobilen Endgeräten (Smartphones, Tabletcomputer, Notebooks).

» Gesicherter Übergang vom Internet ins Landesdatennetz und umgekehrt.

Als wichtige Erfolgsfaktoren für eine Steigerung der Informations­sicherheit in der Landesverwaltung sollen dabei folgende Punkte besonders beachtet werden:

» Steigerung des Sicherheitsbewusstseins durch sensibilisierende Maßnahmen, wie etwa Informationen im Intranet, Schulungsangebote.

» Regelmäßiger Erfahrungs- und Informationsaustausch aller IT-Sicherheitsbeauftragten der Landesverwaltung.

» Abstimmung auf einen gemeinsamen Umsetzungsplan für Informationssicherheits-Maßnahmen.

Über das weitere Vorgehen bei der Umsetzung des Projektes sprach eGovernment Computing mit Dr. Hanno Thewes.

Dr. Hanno Thewes, ist CIO des Saarlandes
Dr. Hanno Thewes, ist CIO des Saarlandes
(Foto: Finanzministerium Saarland)

Herr Dr. Thewes, wie beurteilen Sie die Bedrohung öffentlicher IT-Infrastrukturen und welche Schutzmaßnahmen halten Sie für unabdingbar?

Thewes: In der Öffentlichen Verwaltung liegen inzwischen immer mehr Daten elektronisch vor und werden elektronisch ausgetauscht. Die Informationstechnologie ist in zunehmendem Maße ein integraler Bestandteil von Verwaltungsverfahren geworden. Gleichzeitig meldet das Bundesamt für Sicherheit in der Informationstechnik aus seinem Cyberabwehrzentrum ein Lagebild, aus dem hervorgeht, dass Zahl und Gefährlichkeit der Angriffe zunehmen.

Diese Gefahr müssen wir sehr ernst nehmen. Neben der Sicherstellung des personenbezogenen Datenschutzes besteht unsere zentrale Aufgabe im Schutz der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität. Das bedeutet, dass Informationen befugten Personen unter verlässlichen technischen Bedingungen vollständig und unverändert zur Verfügung gestellt werden müssen. Diese Infrastrukturen müssen deshalb in besonderer Weise geschützt werden.

Dies wird technisch durch den Aufbau einer sicheren und zukunftsfähigen Infrastruktur ermöglicht. Doch dies alleine reicht nicht aus: Neben den technischen Schutzmaßnahmen sind insbesondere auch organisatorische Aspekte zu betrachten.

Das erklärt die angestrebte Gründung eines Kompetenzteams Informationssicherheit. Die Idee zur Gründung wurde im saarländischen Projekt zur Neuausrichtung der IT entwickelt. Welche Faktoren waren für diese Entwicklung ausschlaggebend?

Thewes: Im Projekt der IT-Neuausrichtung wurde klar, dass wir die Heraus­forderungen, die sich bei der IT-Sicherheit stellen, nur beherrschen können, wenn wir an zentraler Stelle entsprechendes Wissen bündeln und gemeinsam abgestimmte Standards und Richtlinien entwerfen und umzusetzen. Die Komplexität der Aufgabe kann allein in den Ressorts nicht gelöst werden.

Deshalb haben wir beschlossen, neben der Stärkung des zentralen IT-Dienstleisters auch ein ressortübergreifende Kompetenzteam für wichtige zentrale Fragen einzusetzen, in dem Vertreter der Ministerien und der zentralen IT-Stellen zusammen arbeiten. Dort bringen sich Mitarbeiter ein, die über ein besonderes Know-how im Bereich der IT-Sicherheit verfügen.

Damit stellen sie ihre Kompetenz nicht nur ihrer Dienststelle, sondern der gesamten Landesverwaltung zur Verfügung. Damit das Team arbeitsfähig ist, ist seine Größe begrenzt. Das bedeutet, dass nicht jedes Ressort mitwirkt, sondern einzelne Ministerien ihre Themen auch delegieren können.

Neben Informationssicherheit haben wir ressortübergreifende Teams für die Bereiche IT-Kompetenz und IT-Controlling eingesetzt.

Ist die Einrichtung eines solchen Teams wirklich zwingend? Könnten seine Aufgaben – angesichts der Größe des Saarlands – nicht von anderen erledigt werden? Weshalb reicht die Unterstützung durch das BSI nicht aus?

Thewes: Das BSI ist zwar in der Lage sehr früh und hochkompetent über Sicherheitslücken zu informieren. Dies war jüngst bei Problemen mit dem Internetexplorer der Fall. Allerdings müssen die entsprechenden Maßnahmen vor Ort ja auch umgesetzt werden.

Das Kompetenzteam benötigt deshalb neben dem Spezial­wissen zur Informationssicherheit fundierte Kenntnisse der technischen und organisatorischen Spezifika innerhalb der saarländischen Verwaltung und der hier betriebenen Infrastruktur. Nur dann kann man wirkungsvoll gegensteuern. Als das Problem mit dem Internetexplorer bekannt wurde, konnte der Leiter des Kompetenzteams, Thorsten Sokoll vom IT-Innovationszentrum des Saarlandes, schnell und konkret helfen, da er eng mit Kollegen beim BSI und in anderen Ländern vernetzt ist.

Das Saarland will also nicht selbst alle Themen der Informationssicherheit bearbeiten. Hierzu wird die Zusammenarbeit mit dem Bund, dem BSI, anderen Bundesländern und der kommunalen Ebene durch gegenseitigen Informationsaustausch sowie konkrete Projekte gefördert.

Wie soll die Zusammenarbeit mit dem Bund und den anderen Ländern organisiert werden?

Thewes: Die Bildung des nationalen Cybersicherheits-Rates im Jahr 2011 war ein bedeutender Schritt, um das Thema ins Bewusstsein der politischen Entscheidungsträger zu rücken. Gleichzeitig wurde durch die Innenministerkonferenz eine Länderarbeitsgruppe „Cybersicherheit“ eingerichtet. Damit ist gewährleistet, dass Bund und Länder sich sehr stark in diesem Thema vernetzen.

Eine zentrale Rolle spielt der IT-Planungsrat. Er hat gerade erst bekräftigt, dass das Projekt „Erarbeitung der Leitlinie Informationssicherheit“ höchste politische Prioritä­t hat. Im Bereich der Informations­sicherheit ist man also konkret dabei, einheitliche Standards zwischen Bund und Ländern zu vereinbaren. Es gibt hier Strukturen für eine effektive Kooperation.

Als eine wichtige Aufgabe des Kompetenzteams wird die Erstellung von Konzepten zur einheitlichen Handhabung der Informations­sicherheit in der Landesverwaltung genannt. V­erlangt ein wirklich professioneller Schutz der IT nicht zwingend Veränderungen in der IT-Struktur des Saarlandes selbst? Welche Rückwirkungen erwarten Sie hier für das Projekt „IT-Neuausrichtung“?

Thewes: Konzepte können nur die Richtung vorgeben. Wir müssen den Weg natürlich auch gehen. Deshalb bauen wir unsere IT-Infrastrukturen nach definierten Sicherheitsanforderungen aus.

So haben wir gerade ein landesweites Datennetz ausgeschrieben, das erstmals Landesdienststellen und Kommunen in einem einheitlichen Netz zusammenführt. Das Thema Sicherheit war dabei ein Hauptkriterium.

Gleichzeitig sind wir dabei, dezentrale IT-Systeme schrittweise zentral beim IT-Dienstleistungszentrum – also in einer sicheren Umgebung – zu bündeln. Für das Back-up wollen wir mit Rheinland-Pfalz kooperieren. Wir verändern also in der Tat Strukturen, um Sicherheit zu gewährleisten. Somit ist das Projekt IT-Neuausrichtung auch ein IT-Sicherheits-Projekt.

Ein weiterer Schwerpunkt der Arbeit soll die Beratung kommunaler IT-Stellen sein. An welche Art der Unterstützung ist dabei gedacht?

Thewes: Das Kompetenzteam steht den kommunalen Stellen in Projekten beratend zur Verfügung. Wir kooperieren in allen IT-Fragen sehr eng und erfolgreich mit dem kommunalen Zweckverband eGo-Saar.

Ein wichtiger Schritt im Rahmen der Informationssicherheit ist die Sensibilisierung und Schulung der Mitarbeiter. Neben einer Fortbildungsmöglichkeit für Landesbedienstete wird zukünftig auch ein Fortbildungsangebot für kommunale Mitarbeiter zum Thema IT-Sicherheit angeboten werden.

(ID:36535380)