Im Auftrag der Innovationsstiftung Bayerische Kommune wurde eine Arbeitshilfe für Kommunen zur Verbesserung ihrer Informationssicherheit verfasst. Nicht zuletzt die in jüngster Zeit stark zugenommene Bedrohung von Behörden etwa durch Verschlüsselungstrojaner führt die Bedeutung einer angemessenen Informationssicherheit klar vor Augen. Mit Inkrafttreten des Gesetzes über die elektronische Verwaltung in Bayern (BayEGovG) erhält das Thema Informationssicherheit für die Kommunen künftig auch formal einen noch höheren Stellenwert.
Art. 8 BayEGovG fordert von den Kommunen, die Sicherheit ihrer informationstechnischen Systeme durch angemessene technische und organisatorische Maßnahmen zu gewährleisten und bis zum 01.01.2018 die hierfür erforderlichen Informationssicherheitskonzepte zu erstellen. Die nun zur Verfügung stehende Arbeitshilfe benennt Mindestanforderungen, die sich aus den gesetzlichen Vorgaben ableiten lassen, und dient den Kommunen als Wegweiser, wie ein systematischer Ansatz zur dauerhaften Gewährleistung der Informationssicherheit eingeführt und im Behördenalltag auch kontinuierlich betrieben werden kann.
Es gibt mehrere bekannte Standards zur Informationssicherheit wie die ISO27001, den BSI IT-Grundschutz, ISIS12 oder VDS3473. Diese arbeiten mit umfangreichen Handbüchern und Katalogen, sodass gerade kleinere Einrichtungen mit begrenzten zeitlichen, personellen und finanziellen Ressourcen schnell überfordert sein können. Dennoch besteht die Verpflichtung zur Informationssicherheit aus dem BayEGovG unabhängig von der Größe der Einrichtung. Die Arbeitshilfe stellt daher eine praxistaugliche Hilfe zur Selbsthilfe für diejenigen kommunalen Einrichtungen dar, die nicht über ausreichende Kapazitäten zur Einführung und Anwendung von anderen Standards verfügen.
Die Arbeitshilfe ist so konzipiert, dass nach dem Durchlaufen der Schritte Bestandsaufnahme – Bewertung – Umsetzung – Betrieb im Ergebnis ein Informationssicherheitskonzept in der Behörde eingeführt und betrieben wird. Inhaltlich werden dabei Themen wie Datenschutz, Gebäudesicherheit & Zugang zu IT-Systemen, Berechtigungskonzepte & Protokollierung, Notfallmanagement, Richtlinien & Dienstanweisungen sowie Schulungen & Sensibilisierung abgedeckt. Behörden, die bei der Ein- und Durchführung des Informationssicherheitskonzepts auf Unterstützung angewiesen sind, werden zudem auf die notwendigen Anforderungen an externe Dienstleister hingewiesen.
In erster Linie richtet sich das Projekt an den für Informationssicherheit zuständigen Projektleiter sowie im Rahmen eines Management Summarys auch an die für die gesamte Organisation verantwortliche Behördenleitung. Für die verschiedenen Zielgruppen, die sich mit der Thematik Informationssicherheit auseinandersetzen müssen, werden im Frühjahr 2017 Webinar-Angebote geplant. Ebenso wird das Thema auch in Präsenzveranstaltungen behandelt werden.
Die Innovationsstiftung Bayerische Kommune setzte bei diesem Stiftungsprojekt erneut auf die Zusammenarbeit mit dem in kommunalen Fragen erfahrenen IT-Sicherheitsberater Sascha Kuhrau, der im Vorfeld bereits den Quick-Check Datensicherheit und Datenschutz für Kommunen erstellt hatte.
Innovationsstiftung Bayerische Kommune, Pressemitteilung v. 23.12.2016
Redaktionelle Hinweise
Vgl. auch:
