IT-Sicherheitsleitfaden für Kommunen Sicherheit für eGovernment

Redakteur: Manfred Klein

Kommunen tun sich schwer mit dem Schutz ihrer IT im Allgemeinen und dem Datenschutz im Besonderen. Das Land Brandenburg hat daher in Zusammenarbeit mit dem Verein SeSamBB – Security and Safety made in Berlin-Brandenburg e.V. – einen Leitfaden erarbeitet, der Kommunen bei dieser schwierigen Aufgabe unterstützen soll.

Firmen zum Thema

Der Sicherheitsleitfaden soll Kommunen den Datenschutz erleichtern
Der Sicherheitsleitfaden soll Kommunen den Datenschutz erleichtern
( Archiv: Vogel Business Media )

Kommunale Verwaltungen sind von dem einwandfreien Funktionieren der eingesetzten IT und dem angemessenen Schutz der Informationen abhängig. Angesichts der vielfältigen und wachsenden Gefährdungspotenziale und der steigenden Abhängigkeit stellt sich hinsichtlich der Informationssicherheit und des Datenschutzes die Frage, wie, wo und mit welchen Mitteln mehr Sicherheit erreicht werden kann.

Aus diesem Grund wurde vom Land Brandenburg eine „Leitlinie zur Gewährleistung der IT-Sicherheit in der Landesverwaltung Brandenburg (IT-Sicherheitsleitlinie)“ erstellt. Diese Leitlinie soll geeignete Rollen, Maßnahmen und Regeln zur IT-Sicherheit definieren und den Kommunen praxisnahe Vorschläge zu deren Umsetzung unterbreiten.

Nächste Seite: Fehlendes Know-how verhindert IT-Schutz

Wissenslücken

„Denn oft verfügen kommunale Verwaltungen weder über ein Sicherheitskonzept noch wissen sie, welche Lücken in ihrem IT-System existieren“, so die Verfasser des Leitfadens in einer Einschätzung der kommunalen Sicherheitslage. Dabei sei IT-Sicherheit im Grunde gar nicht so schwer zu erreichen. Oft seien die wichtigsten und grundlegendsten Maßnahmen bereits mit einem minimalen Aufwand umzusetzen.

„Nicht nur modernste Technik, sondern auch eine Vielzahl kleinerer, auf den ersten Blick vielleicht unbedeutend erscheinender Maßnahmen bringt jede kommunale Verwaltung in puncto Sicherheit ein gutes Stück nach vorn“, heißt es dazu im Leitfaden.

Dabei sei die Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten beziehungsweise der Informationstechnik ein wichtiges Ziel zur Aufrechterhaltung der Arbeitsprozesse und Abwehr von Schäden für Verwaltung und Bürger. Damit dieses Ziel schnell und effektiv erreicht werde, Gefahren identifiziert und durch geeignete Sicherheitsmaßnahmen abgewendet werden könnten, sei die Erstellung und Umsetzung eines IT-Sicherheitskonzeptes notwendig.

Schon die Vorgabe, ein Sicherheitskonzept erstellen zu müssen, schreckt jedoch viele Verantwortliche in den Kommunen ab.

Dabei stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Vorgehensweise nach IT-Grundschutz eine wirkungsvolle und einfach handhabbare Möglichkeit zur Erstellung eines IT-Sicherheitskonzepts zur Verfügung.

„Der IT-Grundschutz bietet eine einfache und arbeitsökonomische Methode, um alle Informationen einer Institution angemessenen zu schützen. Durch die Kombination von organisatorischen, personellen, infrastrukturellen und technischen Standardsicherheitsmaßnahmen wird ein Sicherheitsniveau erreicht, das für einen normalen Schutzbedarf angemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Als ganzheitliches Konzept für Informationssicherheit hat sich das Vorgehen nach IT-Grundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert. Diese vom BSI seit 1994 eingeführte und weiterentwickelte Methode bietet sowohl eine Vorgehensweise für den Aufbau einer Sicherheitsorganisation als auch eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit“, lobt der IT-Leitfaden das Grundschutzhandbuch.

Nächste Seite: Sicherheitskonzepte werden nicht umgesetzt

Sicherheitskonzepte für Kommunen

Ein weiteres Problem, so die Autoren: „Die Kommunen sind aufgrund zahlreicher Verpflichtungen hinsichtlich der Datenübermittlung an Dritte (Land, Bundes- und EU-Behörden) im Rahmen von eGovernment-Vorhaben mit immer neuen Herausforderungen bezüglich der Sicherheit und Verfügbarkeit ihrer IT-Systeme konfrontiert. Die Nichtverfügbarkeit kommunaler IT-Systeme hat somit unter Umständen Auswirkung auf die Prozesse Dritter.

Kommunale Verwaltungen und auch jeder Bürger seien somit von dem einwandfreien Funktionieren der IT und dem angemessenen Schutz ihrer Informationen abhängig. Maßgaben zur Informationssicherheit seien nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber der parlamentarischen Kontrolle, den Aufsichtsbehörden und den Bürgern. „Die Gewährleistung von Verfügbarkeit, Vertraulichkeit und Integrität von Daten beziehungsweise Informationstechnik ist daher ein wichtiges Ziel zur Aufrechterhaltung der Arbeitsprozesse und Abwehr von Schäden für Verwaltung und Bürger.“

IT-Schutz muss nicht teuer sein

Diese stetig zunehmende Abhängigkeit von zuverlässigen und sicheren IT-Systemen und die Gefahr wirtschaftlicher Schäden erhöhe damit den Handlungsdruck durch aktives IT-Sicherheitsmanagement Schäden zu verhindern und das Restrisiko zu mindern.

Häufig wird die Ansicht vertreten, IT-Sicherheitsmaßnahmen seien zwangsläufig mit hohen Investitionen in Sicherheitstechnik und der Beschäftigung hoch qualifizierten Personals verbunden. Insbesondere kleinere kommunale Verwaltungen scheuen sich daher oft, die Umsetzung der IT-Sicherheitsleitlinie mit der gebotenen Konsequenz in Angriff zu nehmen. Oft werden daher wichtige Punkte unterschlagen oder nicht mit der notwendigen Gewichtung in das Konzept aufgenommen. Kein Wunder, das diese – notwendigerweise unzureichenden Leitlinien – in der Praxis dann oft gar nicht eingesetzt werden.

Nächste Seite: IT-Sicherheit und die Kostenfrage

Fazit

Dabei trifft die Befürchtung, dass IT-Sicherheit mit hohen Kosten verbunden sei, gar nicht zu. „Tatsächlich“, so die Autoren, „sind die wichtigsten Maßnahmen im Bereich IT-Sicherheit bereits mit einem minimalen personellen und finanziellen Aufwand umzusetzen.“

Denn die „Grundlage eines tragfähigen IT-Sicherheitskonzeptes ist die Übernahme der Verantwortung für das sensible Thema durch die Leitung der Organisation.“

Denn nur wenn IT-Sicherheit als Verantwortung der Leitung etabliert werde und Verantwortlichkeiten klar definiert würde, könne ein funktionsfähiges Sicherheitsmanagement dauerhaft in einer Organisation eingeführt werden, so die Autoren des Brandenburger Leitfadens abschließend.

(ID:2047141)