Weiden:
Nach ISIS12 zertifiziert


[19.12.2018] Als erste kreisfreie Stadt in Bayern ist Weiden in der Oberpfalz nach dem Regelwerk ISIS12 zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS) qualifiziert. Der Zertifizierung gingen umfangreiche Vorarbeiten voraus.

Stadt Weiden ist stolz auf ihre ISIS12-Zertifizierung. Die moderne Verwaltung hat heute umfangreiche und komplexe Aufgaben, deren Bewältigung ohne elektronische Kommunikationsmedien und Informationstechnologie nicht mehr denkbar ist. Damit verbunden war und ist aber immer auch die Frage nach einem angemessenen Schutz der Bürgerdaten.
Die Stadt Weiden in der Oberpfalz hat sich dieser Herausforderung gestellt. Hier misst man der Informationssicherheit einen hohen Stellenwert bei. Das Bayerische E-Government-Gesetz (BayEGovG) und die seit Mai dieses Jahres geltende Datenschutz-Grundverordnung (DSGVO) bestärkten die Kommune in dieser Hinsicht.
Weiden ist nun die erste kreisfreie Stadt in Bayern, die von der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) nach dem ISIS12-Regelwerk für Informationssicherheit zertifiziert ist. Nach eineinhalb Jahren Arbeit konnte Anfang Juni 2018 durch eine Auditorin von DQS die Überprüfung erfolgen. Der Zertifizierung vorausgegangen waren Monate intensiver Arbeit. Dabei stand dem Kern-Team, bestehend aus dem IT-Leiter, dem Informa­tionssicherheitsbeauftragten (ISB) sowie der Datenschutzbeauftragten der Stadt Weiden, mit BSP-Security ein kompetenter externer Berater zur Seite. Wann immer es nötig war, wurde das Kern-Team zudem um Kollegen aus den Fachabteilungen der Stadtverwaltung ergänzt, etwa aus der Hochbauabteilung oder dem Gebäude-Management. Insgesamt waren 18 Personen in den ISIS12-Zertifizierungsprozess involviert, und es fanden allein 22 Meetings mit dem externen Berater statt.

Leitlinie zur Informationssicherheit

Den Startschuss für die Zertifizierung bildete die Unterzeichnung der Leitlinie zur Informationssicherheit durch Weidens Oberbürgermeister Kurt Seggewiß. Die Leitlinie macht deutlich, welch hohen Stellenwert die Leitungsebene des Rathauses der Informationssicherheit beimisst.
Für die Einführung eines nach ISIS12 zertifizierten Informations-Sicherheits-Management-Systems (ISMS) haben sich die Verantwortlichen der Stadt Weiden nach Angaben von Peter Teichmann, IT-Leiter der Stadtverwaltung, bewusst entschieden – obwohl die Kommune bereits über einen hohen technischen Sicherheitsstandard verfügte. „Mit der erfolgreichen Zertifizierung haben wir nicht nur einen Nachweis für unsere Bürger, dass wir mit großer Sorgfalt mit den Daten umgehen, sondern können auch belegen, dass wir den aktuellen gesetzlichen Anforderungen und Bestimmungen gerecht werden“, erklärt Teichmann.
ISIS12 stellt ein Modell zur Einführung eines ISMS in zwölf Schritten dar, das der IT-Planungsrat und die kommunalen Spitzenverbände offiziell für den Einsatz in der kommunalen Sicherheit empfohlen haben. Dabei geht es nicht allein um Sicherheit in der Informationstechnik, sondern auch um bauliche Maßnahmen und organisatorische Abläufe in der Verwaltung. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein – er hat inzwischen die technischen Gegebenheiten als beliebtestes Angriffsziel überholt. Die eigenen Mitarbeiter stellen somit eine wertvolle Ressource zum Schutz sensibler Informationen dar.

Modulares Schulungskonzept

Bei der Stadt Weiden wurde daher ein modulares Schulungskonzept erstellt, um durch verschiedene Sensibilisierungsmaßnahmen den Faktor Mensch zu einer Stütze des Informationssicherheitskonzepts werden zu lassen. Unter anderem wurden in 14 Präsenzschulungen annähernd 400 Mitarbeiter geschult, vom Sachbearbeiter bis hin zum Oberbürgermeister. In einem weiteren Schritt wurde die komplette Dokumentationsstruktur überdacht und die dafür erforderlichen Rahmendokumente erstellt oder angepasst. Einen enormen Aufwand stellte dabei die Überführung der vorhandenen Dokumentationen in ein gut strukturiertes IT-Betriebshandbuch dar. Dabei stand alles auf dem Prüfstand, angefangen von den Namenskonventionen bis hin zum komplexen IT-Notfallhandbuch mit den für die Stadt Weiden individuellen und spezifischen Gegebenheiten.
Da Kommunen für eine Vielzahl von Aufgabenbereichen zuständig und verantwortlich sind, wurde ein eigenes EDV-Verfahren zur Software-Verwaltung erstellt. In diesem Verfahren sind alle Informationen für ein effizientes Software-Verzeichnis abgelegt. Neben der Anpassung und Dokumentation der Software und verschiedener Ablaufprozesse waren auch diverse bauliche Maßnahmen nötig, um alle gesetzlichen Vorgaben zu erfüllen – so etwa der Einbau neuer Tiefgaragentore.

Kontinuierliche Weiterentwicklung

Die Zertifizierung versteht die Stadt Weiden nicht als einmalige Sache. Das dem Sicherheitskonzept zugrunde liegende PDCA-Prinzip (PDCA steht für das Englische Plan, Do, Check, Act; Planen, Tun, Überprüfen, Umsetzen) überwacht kontinuierlich die Aktualität und die wirksame Umsetzung der noch offenen Sicherheitsmaßnahmen im Sinne einer Revision. Das ISMS ist nach dem ersten Durchlauf etabliert und wird durch interne und optional externe Audits permanent fortgesetzt und weiterentwickelt.

Reinhold Zangl ist Informationssicherheitsbeauftragter der Stadt Weiden in der Oberpfalz.

http://www.weiden.de
Dieser Beitrag ist in der Ausgabe Dezember 2018 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.  (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, Weiden

Bildquelle: Stadt Weiden i.d.OPf.

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Serie Cyber-Sicherheit: Achtung, Homeoffice! Bericht
[16.1.2023] Auch im heimischen Büro lauern Gefahren durch Cyber-Angriffe. Neben den IT-Verantwortlichen ist jeder Einzelne gefordert, für IT-Sicherheit im Homeoffice zu sorgen. Der Beitrag beschreibt Angriffsphänomene und gibt Tipps für das Verhalten im Verdachtsfall. mehr...
Im Homeoffice für Cyber-Sicherheit sensibilisieren.
Serie Cyber-Sicherheit: Kein Lösegeld zahlen Bericht
[20.12.2022] Nur wer seinen Gegner versteht, kann die richtigen Gegenmaßnahmen einleiten. Im dritten Teil unserer Serie geht es darum, wer die Cyber-Kriminellen sind und welche Methoden sie anwenden. mehr...
Ransomware-Angriff: Daten und Systeme werden verschlüsselt.
Branchenkompass Public Sector 2022: Handlungsbedarf bei IT-Sicherheit
[20.12.2022] Bei der IT-Sicherheit hinkt die öffentliche Verwaltung ihrem Anspruch hinterher. Zwar erkennen Bund, Länder und Kommunen die Wichtigkeit des Themas, den Maßnahmen fehlt es jedoch an Wirksamkeit. Dies ist das Kernergebnis des Branchenkompass Public Sector 2022 von Sopra Steria. mehr...
Cyber-Sicherheit: Hacker in digitaler Quarantäne Bericht
[14.12.2022] Städte, Gemeinden und Kreise werden immer öfter Opfer von Cyber-Angriffen. Veraltete IT-Lösungen machen es den Hackern zum Teil leicht, an sensible Daten zu kommen. Kommen können sich unter anderem mit virtuellen Browsern schützen. mehr...
Der Browser in the Box von Rohde & Schwarz Cybersecurity schützt vor Ransomware-Angriffen.
Innenministerkonferenz: Cyber-Abwehr und KRITIS stärken
[7.12.2022] Der Vorschlag, das Bundesamt für Sicherheit in der Informationstechnik zu einer übergeordneten Zentralstelle auszubauen und so die Cyber-Abwehr zu stärken, war eines der Themen auf der 218. Innenministerkonferenz. 
 mehr...
Die Innenministerkonferenz diskutierte unter anderem darüber, wie die Cyber-Abwehr schlagkräftiger gestaltet werden kann.
Suchen...

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
GISA GmbH
06112 Halle (Saale)
GISA GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
Aktuelle Meldungen