IT-Sicherheit:
Gut gewappnet


[21.9.2015] Für Behörden empfiehlt sich ein hohes Sicherheitsniveau gemäß BSI-Grundschutz oder ISO-27001-Standard. IT-Security muss als kontinuierlicher Management-Prozess mit den Hauptkomponenten Analyse, Planung, Umsetzung und Revision betrachtet werden.

Sicher dank BSI-Grundschutz. Nicht nur der ständig wachsende IT-Einfluss auf die Verwaltungsprozesse erfordert neue Sicherheitsmaßnahmen. Auch die Gefahren der wachsenden Cyber-Kriminalität oder gesetzliche Anforderungen und Richtlinien zwingen dazu, angemessene Standards einzuführen. Neben potenziellen Angriffen von außen, ergeben sich weitere Sicherheitsrisiken unter anderem aus dem digitalisierten Datenaustausch mit Bürgern sowie Unternehmen. Wie aktuelle prominente Beispiele – etwa der Angriff auf das IT-System des Bundestags – zeigen, werden sich Einrichtungen des Themas manchmal erst bewusst, wenn sie von Sicherheitsvorfällen direkt betroffen sind. Spätestens dann müssen sie feststellen, dass der Schutz der IT-Systeme besser organisiert werden muss.

Diszipliniertes Vorgehen nach Plan

Besonderes Augenmerk sollte auf der Verarbeitung personenbezogener Daten sowie der Gefahr von Datenverlusten und -missbrauch liegen. Hier kommt zusätzlich das Bundesdatenschutzgesetz, perspektivisch die EU-Datenschutzgrundverordnung zur Anwendung. Um die speziellen Anforderungen aus dem IT-Sicherheitsgesetz zu erfüllen, sind Zertifizierungen nach dem Grundschutz, DIN ISO 27001 des Bundesamts für Sicherheit in der Informationstechnik (BSI) notwendig. Noch ist die genaue Definition der so genannten Betreiber kritischer Infrastrukturen im Detail nicht getroffen. Trotzdem lässt sich aus der übergeordneten Festlegung in öffentliche Einrichtungen, Energieversorger und Gesundheitswesen eine erste Indikation treffen. Selbst dann, wenn eine direkte Zertifizierung nicht notwendig erscheint, ist für eine hohe IT-Sicherheit ein Vorgehen nach den genannten Sicherheitsstandards sinnvoll. Um geeignete und vor allem sinnvolle Maßnahmen zur Verbesserung der IT-Sicherheit ergreifen zu können, sind zunächst die Schutzziele in den Teilbereichen Verfügbarkeit, Authentizität, Vertraulichkeit sowie Integrität zu bestimmen. Die eingesetzten IT-Systeme und Dienste müssen daraufhin analysiert, der Schutzbedarf festgestellt sowie notwendige Maßnahmen abgeleitet werden. Der erreichte Stand ist zu dokumentieren und kontinuierlich fortzuschreiben. Dieser Prozess der Analyse, Planung, Umsetzung und Revision lässt sich als Informationssicherheits-Management-System (ISMS) beschreiben. Um dieses Kontinuum in Gang zu setzen, bedarf es eines Projekts zur Einführung von IT-Sicherheitsstandards und einer disziplinierten Dokumentation. Generell gilt: Wer gut dokumentiert, ist auch beim Thema IT-Sicherheit auf dem richtigen Weg. Nur so lässt sich aus zuvor erhobenen und dokumentierten Richtlinien und Konfigurationsdaten eine IT-Sicherheitsrichtlinie und ein Sicherheitskonzept erstellen.

Umsetzung nach Standards ist ratsam

Bei der Erarbeitung und schrittweisen Einführung der IT-Sicherheitsrichtlinie gemäß BSI- oder ISO-Vorgaben müssen bestehende Prozesse geprüft und eingebunden werden. Zum Handwerkszeug gehört es, vorhandene Dokumente wie Rechte-Rollen-Konzepte oder Handbücher zu sichten. Analysierte Komponenten müssen sich im Dokumentationswerkzeug erfassen lassen. Neben den notwendigen Maßnahmen für das erforderliche Sicherheitsniveau, muss der gesamte Verbund der eingesetzten IT-Systeme elektronisch modelliert werden. Damit ist die Basis für die Dokumentation der Betriebsumgebung und die Modellierung von IT-Service-Management-Daten geschaffen. Durch die elektronische Verfügbarkeit des Informationssicherheits-Management-Systems können verantwortliche Mitarbeiter – vom Administrator bis zum IT-Sicherheitsverantwortlichen – den aktuellen Stand ihres Informationsverbunds ständig überwachen. Sie können auf veränderte Rahmenbedingungen, unerwartete Sicherheitsvorfälle oder auf bisher unbekannte Gefährdungen schnell und flexibel reagieren. Unabhängig von der Notwendigkeit einer Zertifizierung ist eine hohe Informationssicherheit für Einrichtungen des öffentlichen Dienstes nach den Standards ISO-27001 oder BSI-Grundschutz anzuraten. Die IT-Sicherheit ist als fortlaufender Prozess zu betrachten, der sowohl durch geeignete Werkzeuge als auch organisatorisch gemanagt werden muss. Eine seriöse Betrachtung des Gesamtaufwands ist nur nach einer erfolgten Erstanalyse möglich. Sinnvoll ist diese, wenn die Balance zwischen sicherheitsrelevanten Vorgaben und reibungslosen Verwaltungsprozessen im täglichen IT-Betrieb gewahrt bleibt. Der Anwender gestaltet diesen Prozess also mit.

Andras Liefeith ist Leiter Marketing und Partner-Management bei der procilon IT-Solutions GmbH, Leipzig.

http://www.procilon.de
Dieser Beitrag ist in der September-Ausgabe von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, procilon, ISMS, Datenschutz

Bildquelle: creativ collection Verlag/PEAK Agentur für Kommunikation

Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Kontaktnachverfolgung: Nachbesserungsbedarf bei Luca
[10.5.2021] Mehrere Länder wollen die Luca-App einsetzen – daher nahmen die Datenschutzaufsichtsbehörden die Anwendung unter die Lupe. Das Fazit: eine grundsätzlich tragfähige Konzeption, die weiterer Schutzmaßnahmen bedarf. Die Behörden raten, auch Alternativen zu berücksichtigen. mehr...
Nordrhein-Westfalen: Cybersicherheitsstrategie vorgestellt
[23.4.2021] Nordrhein-Westfalen hat eine neue Cybersicherheitsstrategie. Vorgesehen sind mehr Cyber-Cops, Warnungen vor Cyber-Attacken durch den Verfassungsschutz und eine Online-Plattform der im Innenministerium angesiedelten Koordinierungsstelle Cyber-Sicherheit. mehr...
Bayern: Leitfaden zum IT-Outsourcing
[31.3.2021] Einen Leitfaden mit Hilfestellungen zum datenschutzgerechten Outsourcing kommunaler IT hat jetzt der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht. mehr...
Interview: Unter digitalem Verschluss Interview
[25.3.2021] Früher waren sensible Akten unter Verschluss. Heute werden digitale Informationen mithilfe von Zugriffsrechten geschützt. Andreas Ahmann, Experte für Informationsmanagement, spricht über die Vorteile digitaler Rechtekonzepte für mobiles Arbeiten. mehr...
Andreas Ahmann
Initiative Sicherer Bürgerdialog: Webinar zu E-Mail-Verschlüsselung
[11.3.2021] Mit einem kostenlosen Webinar-Tag richtet sich die Initiative Sicherer Bürgerdialog von Net at Work und D-TRUST am 18. März an IT-Verantwortliche in den öffentlichen Verwaltungen. Thematisiert wird die sichere Kommunikation zwischen Bürgern und Behörden. mehr...
Die neue Initiative sensibilisiert für die E-Mail-Verschlüsselung in Behörden.
Suchen...

 Anzeige



 Anzeige

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 5/2021
Kommune21, Ausgabe 4/2021
Kommune21, Ausgabe 3/2021
Kommune21, Ausgabe 2/2021

procilon IT-Logistics GmbH
04425 Taucha bei Leipzig
procilon IT-Logistics GmbH
Aktuelle Meldungen