IT-SicherheitUmfassende Unterstützung

Als IT-Sicherheitsbehörde des Freistaats Bayern ist das Landesamt für Sicherheit in der Informationstechnik (LSI) unter anderem verantwortlich für den Schutz des Bayerischen Behördennetzes (BYBN) und die Beobachtung der Sicherheitslage. Die IT-Sicherheitsexperten des LSI verfügen somit über einen reichen Erfahrungsschatz bei der Detektion von Angriffen und der Nachverfolgung von möglichen IT-Sicherheitsvorfällen. Ebenso kennt das LSI aus der eigenen praktischen Arbeit und der engen Vernetzung, zum Beispiel im Verwaltungs-CERT-Verbund von Bund und Ländern, die jeweils aktuellen Hauptangriffsvektoren und deren Bedeutung speziell für die Verwaltung.

Anker der IT-Sicherheit

„Unser Landesamt für Sicherheit in der Informationstechnik ist ein Anker der IT-Sicherheit in Bayern. Bürger und Unternehmen müssen darauf vertrauen können, dass ihre Daten bei der Verwaltung gut und sicher aufgehoben sind“, fasst Bayerns Finanz- und Heimatminister Albert Füracker die Aufgabe des Amtes zusammen. Seit der Gründung zählt die Unterstützung und Beratung der 2.056 Kommunen im Freistaat zu einem der wichtigsten Tätigkeitsschwerpunkte des LSI. Der überwiegende Teil der Kommunen hat nur wenige tausend Einwohner und entsprechend kleine Verwaltungen. Die Umsetzung von IT-Sicherheit ist eine wachsende und fachlich komplexe Aufgabe, welche die Kommunen vor immer größere Herausforderungen stellt. Die täglichen Meldungen verdeutlichen, dass die Bedrohung keine Ausnahmen kennt. Kleine Gemeinden dürfen sich nicht darauf verlassen, dass ihre vermeintlich mangelnde Attraktivität sie vor Cyber-Angriffen schützt. Gleichzeitig stellt gerade der Einstieg in das Thema IT-Sicherheit für kleine Organisationen eine hohe Hürde dar.

Vor Ort verfügbar machen

Maßnahmen zur Verbesserung der kommunalen IT-Sicherheit müssen sich an den praktischen Bedürfnissen orientieren und vor Ort verfügbar gemacht werden. An dieser Stelle setzt die IT-Sicherheitsbehörde mit diversen Angeboten an. So geben die IT-Sicherheitsexperten der Behörde eigenes praktisches Wissen beispielsweise über Individualberatungen an die kommunale Ebene weiter. Kommunen erhalten vom LSI zudem aktuelle Informationen zur IT-Sicherheitslage und Warnmeldungen. Diese Angebote werden immer stärker nachgefragt. Im Jahr 2020 häuften sich aufgrund der Pandemielage insbesondere Beratungsanfragen zur sicheren Umsetzung von Telearbeit.
Ein zentraler Baustein für die IT-Sicherheit ist die Sensibilisierung der Mitarbeiter. Deshalb bietet das LSI allen bayerischen Kommunen einen kostenlosen Zugang zu Online-Kursen an, mit denen das Verwaltungspersonal regelmäßig hinsichtlich IT-Awareness geschult werden kann.

Vorstufe zu Zertifizierung

Im Dialog mit den Kommunen ist zudem das Siegel „Kommunale IT-Sicherheit“ entstanden. Dieses wurde auf Grundlage gängiger Informationssicherheits-Management-Systeme (ISMS) entwickelt. Der im Sommer 2019 veröffentlichte Maßnahmenkatalog des Siegels mit 47 Maßnahmen und dazugehörigen Prüffragen ist als eine Art Vorstufe zu einer Zertifizierung auf Basis einer Selbstauskunft zu sehen. Das Siegel gibt gerade kleineren Kommunen Orientierung und Unterstützung bei der gesetzeskonformen Einführung eines Informationssicherheitskonzepts nach Art. 11 Abs. 1 BayEGovG. Dabei berücksichtigt es vor allem Aspekte, die für die IT-Sicherheit kleinerer Kommunen eine übergeordnete Rolle spielen und bildet die zentralen Punkte aus den Bereichen IT-Sicherheitstechnik, interne Organisation und Mitarbeitersensibilisierung ab. 139 bayerische Kommunen haben mittlerweile das LSI-Siegel erhalten, das bis zu zwei Jahre gültig ist. Sollte eine Kommune bereits nach einem ISMS-Standard – etwa nach ISIS12 auf der Grundlage eines Förderprogramms des Bayerischen Innenministeriums – zertifiziert sein, kann im Falle einer Vergleichbarkeit die Zertifizierung anerkannt werden, um das Siegel „Kommunale IT-Sicherheit“ des LSI zu erhalten.

Hilfe bei Notfall-Management

Ein neuer Baustein des LSI-Beratungsangebots für Kommunen sind Hilfestellungen im Bereich Notfall-Management. Denn auch kleine Städte und Gemeinden müssen sich mit der Frage beschäftigen, wie mit einem etwaigen Sicherheitsvorfall konkret umzugehen ist. Im Rahmen einer aktuellen Handreichung gibt das LSI hier praxisnahe Anregungen, unter anderem in Form von Hilfsmitteln, Dokumenten und einem Fragenkatalog. Es wird dabei ein Handlungsrahmen mit Regelungen zum Ausrufen eines Notfalls, Alarmierungsplänen, Notbetrieb, Wiederanlauf und Nacharbeit bei einem IT-Notfall geschaffen. Da­rüber hinaus sind Vorlagen für ein Notfallhandbuch, eine Notfallkarte, einen Vorsorgekalender, eine Notfall-Checkliste und Pressemitteilungen enthalten.
Die Beratungs- und Unterstützungsangebote des LSI wurden in enger Abstimmung mit den Kommunen entwickelt. So sind Konzepte entstanden, die sich an den tatsächlichen Bedürfnissen der kommunalen IT orientieren und gerade kleine Gemeinden zielgerichtet in den wirklich entscheidenden Fragen weiterbringen.