InterviewPartner für Alltag und Notfall
Herr Hofmann, Sie sind seit Oktober vergangenen Jahres Informationssicherheitsbeauftragter (ISB) der Städte, Märkte und Gemeinden im Landkreis Traunstein. Warum war es den Kommunen wichtig, diese Stelle zu schaffen?
Sicherlich spielte hier die Erfüllung der gesetzlichen Vorschriften eine wichtige Rolle: Ab dem 1. Januar 2019 wird von allen bayerischen Behörden ein Informationssicherheitskonzept gefordert. Nicht zuletzt aus wirtschaftlicher Sicht ist es wenig sinnvoll, wenn sich jede Behörde eigenständig mit der Thematik auseinandersetzt. 26 Verwaltungen hielten dies für einen guten Ansatz für kommunale Zusammenarbeit und schlossen eine Zweckvereinbarung, mit dem Ziel, die eigene Verwaltung durch einen gemeinsamen Informationssicherheitsbeauftragten (ISB) zu entlasten und gleichzeitig die geforderten gesetzlichen Vorgaben zum Schutz der Daten und Akten in den Rathäusern zu erfüllen. Durch die gute Zusammenarbeit der Kommunen im Kreis Traunstein mit dem Landratsamt war es möglich, innerhalb kurzer Zeit eine funktionierende Organisation der Informationssicherheit aufzubauen und den Einstieg in ein Sicherheitsmanagement zu schaffen.
Welche Vorteile bietet es den Kommunen, einen zentralen Ansprechpartner für die IT-Sicherheit zu haben?
Für alle Mitglieder soll ein einheitlicher Sicherheitsstandard eingeführt werden. Viele wiederkehrende Aufgaben werden vom ISB zentral erledigt, zum Beispiel die Erstellung einer Leitlinie, von Mustern, Vordrucken oder Empfehlungen. Das spart Zeit und Kosten. Informationssicherheit ist so für die Kommunen mit vertretbarem Aufwand zu schaffen. Die Mitglieder werden zudem verständlich über aktuelle Bedrohungen informiert. Die aufgezeigten Lösungswege bleiben pragmatisch. Gerne genutzt wird auch die Möglichkeit der neutralen Beratung, etwa bei der Auswahl von Dienstleistern oder bei Ausschreibungen. Der ISB ist kompetenter Ansprechpartner im Alltag wie im Notfall. Ein wichtiger Punkt – die Mitarbeitersensibilisierung – wird ebenfalls zentral gesteuert. Zusätzlich gibt es Projekte, welche die Informationssicherheit der Kommunen mit überschaubarem Aufwand enorm verbessern: zum Beispiel die zentrale und fachgerechte Entsorgung der Datenträger. Auch für die geforderten Sicherheits- und Notfallkonzepte werden die Kommunen vom ISB an die Hand genommen. Gerade aufgrund der Vielfalt an Standards und Software ist dieses Thema für die einzelne Kommune nur schwer zu überblicken.
„Aus wirtschaftlicher Sicht ist es wenig sinnvoll, wenn sich jede Behörde eigenständig mit der Thematik auseinandersetzt.“
Welche Bedingungen haben Sie hinsichtlich der IT-Sicherheit in den Kommunen des Kreises Traunstein vorgefunden?
Der Einstieg in das Informationssicherheitsmanagement wurde von den Kommunen positiv angenommen. Grundsätzlich sind die Strukturen sehr unterschiedlich. Wir haben im Kreis Traunstein Städte mit einer eigenen EDV-Abteilung und über 200 PC-Arbeitsplätzen und kleine Kommunen mit circa acht PCs. Die IT in den Kommunen ist rasant gewachsen, das Thema Sicherheit aber erst in den vergangenen Jahren in den Vordergrund gerückt. Ein erster Schritt ist es nun, die Dokumentation auf den aktuellen Stand zu heben. Diese Arbeit ist natürlich nicht immer angenehm. Vieles ist aber bereits vorhanden – die Strukturen sind meist gewachsen und müssen jetzt geordnet werden. Größere Sicherheitslücken werden identifiziert und bereits während der Erstellung der Sicherheitskonzepte behoben. Die Zusammenarbeit mit den Dienstleistern der Kommunen ist dabei meist positiv. Natürlich gibt es hier auch Ausnahmen, stellt der ISB doch eine neue Art der Qualitätskontrolle dar. Bisher mussten sich die Dienstleister häufig nicht in die Karten schauen lassen. Gerade deshalb wird auch die Möglichkeit der unabhängigen Beratung von den Kommunen sehr gerne genutzt.
Welche Aspekte beinhaltet das Sicherheits- und Notfallkonzept?
Das Sicherheitskonzept ist das zentrale Dokument im Sicherheitsprozess einer Behörde. Es muss sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden. Vor der Fertigstellung erfolgt für jede Kommune eine individuelle Risikoanalyse. Das Konzept ist aber nur wirksam, wenn die darin vorgesehenen Maßnahmen zeitnah in die Praxis überführt werden. Dies muss geplant und kontrolliert werden. Die Auswahl der notwendigen Maßnahmen muss mit Augenmaß geschehen. So erhöht etwa die zusätzliche Auslagerung der Datensicherung in ein Bankschließfach oder eine Außenstelle der Kommune die Sicherheit bei geringerem Aufwand enorm. Langfristiges Ziel ist es, dass alle Kommunen im Kreis Traunstein im Desaster-Fall mithilfe des Sicherheits- und Notfallkonzepts in spätestens ein bis zwei Arbeitstagen wieder online sind.
Als ISB ist es auch Ihre Aufgabe, Gefahren bei der Einführung von E-Government-Lösungen zu erkennen – wie gehen Sie hier vor?
Neue Anforderungen an die kommunale IT werden zentral vom ISB geprüft. Anschließend erhalten die Kommunen eine verständliche Empfehlung oder einen Leitfaden für das weitere Vorgehen im Landkreis. Auch die Möglichkeit der Zentralisierung sollte bei E-Government-Lösungen bedacht werden. Vor der Einführung müssen außerdem die Mitarbeiter hinsichtlich der neuen Gefahren sensibilisiert werden. Umfassende Themen werden zuvor in einer Arbeitsgruppe ISB besprochen.
Was ist in den Kommunen des Kreises Traunstein hinsichtlich der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu beachten?
Die EU-DSGVO bringt eine Vielzahl von Änderungen im Datenschutzrecht mit sich. Der Dokumentationsaufwand wird sich wesentlich erhöhen. Meine Vision ist, ähnlich dem ISB einen zentralen Datenschutzbeauftragten einzusetzen. Aus meiner Sicht ist es nämlich auch hier nicht wirtschaftlich, wenn sich in jeder Kommune ein eigener Datenschutzbeauftragter mit der gleichen Thematik auseinandersetzt.
Dieser Beitrag ist in der Ausgabe Mai 2018 von Kommune21 im Schwerpunkt Datenschutz erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.
Fraunhofer IGD / ekom21: Cybergefährdungslagen visualisieren
[21.11.2024] Neue interaktive Visualisierungen von IT-Gefährdungslagen sollen in einem Forschungsprojekt des Fraunhofer-Instituts für Graphische Datenverarbeitung IGD und des IT-Dienstleisters ekom21 entstehen. Das vom Land Hessen geförderte Vorhaben berücksichtigt auch die Bedürfnisse kleinerer Institutionen wie Kommunen. mehr...
Märkischer Kreis: Neue IT-Projekte im Fokus
[20.11.2024] Grünes Licht für die Haushaltsansätze im Bereich Digitalisierung und IT gab der Ausschuss für Digitalisierung und E-Government des Märkischen Kreises. Geplant sind Investitionen in IT-Sicherheit, Netzwerkinfrastruktur und den weiteren Ausbau digitaler Services. mehr...
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
ITEBO: OpenR@thaus-Vorfall aufgearbeitet
[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...
Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen
[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...