[19.12.2018] Als erste kreisfreie Stadt in Bayern ist Weiden in der Oberpfalz nach dem Regelwerk ISIS12 zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS) qualifiziert. Der Zertifizierung gingen umfangreiche Vorarbeiten voraus.

Die moderne Verwaltung hat heute umfangreiche und komplexe Aufgaben, deren Bewältigung ohne elektronische Kommunikationsmedien und Informationstechnologie nicht mehr denkbar ist. Damit verbunden war und ist aber immer auch die Frage nach einem angemessenen Schutz der Bürgerdaten.
Die Stadt Weiden in der Oberpfalz hat sich dieser Herausforderung gestellt. Hier misst man der Informationssicherheit einen hohen Stellenwert bei. Das Bayerische E-Government-Gesetz (BayEGovG) und die seit Mai dieses Jahres geltende Datenschutz-Grundverordnung (DSGVO) bestärkten die Kommune in dieser Hinsicht.
Weiden ist nun die erste kreisfreie Stadt in Bayern, die von der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) nach dem ISIS12-Regelwerk für Informationssicherheit zertifiziert ist. Nach eineinhalb Jahren Arbeit konnte Anfang Juni 2018 durch eine Auditorin von DQS die Überprüfung erfolgen. Der Zertifizierung vorausgegangen waren Monate intensiver Arbeit. Dabei stand dem Kern-Team, bestehend aus dem IT-Leiter, dem Informa­tionssicherheitsbeauftragten (ISB) sowie der Datenschutzbeauftragten der Stadt Weiden, mit BSP-Security ein kompetenter externer Berater zur Seite. Wann immer es nötig war, wurde das Kern-Team zudem um Kollegen aus den Fachabteilungen der Stadtverwaltung ergänzt, etwa aus der Hochbauabteilung oder dem Gebäude-Management. Insgesamt waren 18 Personen in den ISIS12-Zertifizierungsprozess involviert, und es fanden allein 22 Meetings mit dem externen Berater statt.

Leitlinie zur Informationssicherheit

Den Startschuss für die Zertifizierung bildete die Unterzeichnung der Leitlinie zur Informationssicherheit durch Weidens Oberbürgermeister Kurt Seggewiß. Die Leitlinie macht deutlich, welch hohen Stellenwert die Leitungsebene des Rathauses der Informationssicherheit beimisst.
Für die Einführung eines nach ISIS12 zertifizierten Informations-Sicherheits-Management-Systems (ISMS) haben sich die Verantwortlichen der Stadt Weiden nach Angaben von Peter Teichmann, IT-Leiter der Stadtverwaltung, bewusst entschieden – obwohl die Kommune bereits über einen hohen technischen Sicherheitsstandard verfügte. „Mit der erfolgreichen Zertifizierung haben wir nicht nur einen Nachweis für unsere Bürger, dass wir mit großer Sorgfalt mit den Daten umgehen, sondern können auch belegen, dass wir den aktuellen gesetzlichen Anforderungen und Bestimmungen gerecht werden“, erklärt Teichmann.
ISIS12 stellt ein Modell zur Einführung eines ISMS in zwölf Schritten dar, das der IT-Planungsrat und die kommunalen Spitzenverbände offiziell für den Einsatz in der kommunalen Sicherheit empfohlen haben. Dabei geht es nicht allein um Sicherheit in der Informationstechnik, sondern auch um bauliche Maßnahmen und organisatorische Abläufe in der Verwaltung. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein – er hat inzwischen die technischen Gegebenheiten als beliebtestes Angriffsziel überholt. Die eigenen Mitarbeiter stellen somit eine wertvolle Ressource zum Schutz sensibler Informationen dar.

Modulares Schulungskonzept

Bei der Stadt Weiden wurde daher ein modulares Schulungskonzept erstellt, um durch verschiedene Sensibilisierungsmaßnahmen den Faktor Mensch zu einer Stütze des Informationssicherheitskonzepts werden zu lassen. Unter anderem wurden in 14 Präsenzschulungen annähernd 400 Mitarbeiter geschult, vom Sachbearbeiter bis hin zum Oberbürgermeister. In einem weiteren Schritt wurde die komplette Dokumentationsstruktur überdacht und die dafür erforderlichen Rahmendokumente erstellt oder angepasst. Einen enormen Aufwand stellte dabei die Überführung der vorhandenen Dokumentationen in ein gut strukturiertes IT-Betriebshandbuch dar. Dabei stand alles auf dem Prüfstand, angefangen von den Namenskonventionen bis hin zum komplexen IT-Notfallhandbuch mit den für die Stadt Weiden individuellen und spezifischen Gegebenheiten.
Da Kommunen für eine Vielzahl von Aufgabenbereichen zuständig und verantwortlich sind, wurde ein eigenes EDV-Verfahren zur Software-Verwaltung erstellt. In diesem Verfahren sind alle Informationen für ein effizientes Software-Verzeichnis abgelegt. Neben der Anpassung und Dokumentation der Software und verschiedener Ablaufprozesse waren auch diverse bauliche Maßnahmen nötig, um alle gesetzlichen Vorgaben zu erfüllen – so etwa der Einbau neuer Tiefgaragentore.

Kontinuierliche Weiterentwicklung

Die Zertifizierung versteht die Stadt Weiden nicht als einmalige Sache. Das dem Sicherheitskonzept zugrunde liegende PDCA-Prinzip (PDCA steht für das Englische Plan, Do, Check, Act; Planen, Tun, Überprüfen, Umsetzen) überwacht kontinuierlich die Aktualität und die wirksame Umsetzung der noch offenen Sicherheitsmaßnahmen im Sinne einer Revision. Das ISMS ist nach dem ersten Durchlauf etabliert und wird durch interne und optional externe Audits permanent fortgesetzt und weiterentwickelt.

Reinhold Zangl ist Informationssicherheitsbeauftragter der Stadt Weiden in der Oberpfalz.

http://www.weiden.de
Dieser Beitrag ist in der Ausgabe Dezember 2018 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.  (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, Weiden

Bildquelle: Stadt Weiden i.d.OPf.