Auch wer nicht weiß, was in „BSI IT-Grundschutz 200-x: NET.1.1.A2“ steht, kommt in Sachen Informationssicherheit weiter. Theorie kann man nachlesen, weit wichtiger ist die praktische Umsetzung der nötigen Maßnahmen, um wirklich Informationssicherheit zu „produzieren“. Kommunen brauchen Beratung und Unterstützung, alleine weil die Zeit knapp wird und oft Personal fehlt.
Das hat auch das relativ neue Landesamt für Sicherheit in der Informationstechnik (LSI) in Nürnberg erkannt und ein Siegel „Kommunale IT-Sicherheit“ geschaffen. Im Rahmen einer Selbstauskunft wird mit einem Fragebogen der Ist-Zustand erhoben. Darauf aufbauend wird auch Beratung durch das LSI angeboten. Und wer alles mit „ja“ oder mit „ja, geplant“ beantwortet, bekommt das Siegel.
Ob allein der Fragebogen Sicherheit „produziert“, darf man sicher bezweifeln, aber das Siegel des LSI schafft doch Sicherheit, wie der Anforderungskatalog zu werten ist. Wir setzen weiterhin ISIS12 als ISMS um – und wenn es etwas kleiner sein soll, dann ISA+, eine Untermenge daraus –, um Aufwand und Investition für die Zukunft zu schützen. Schließlich werden die Anforderungen steigen und nicht sinken.
Das dann mit dem Fragebogen des LSI abzuklopfen, ist nur sinnvoll und bringt der Gemeinde zudem das Siegel ein. Viel wichtiger ist aber die gelebte IT Sicherheit. Das Siegel schützt nicht, sondern bescheinigt nur, dass man mit gutem (oder mit schlechtem?) Gewissen alle Fragen bejaht hat. Dem LSI gebührt Dank und Anerkennung dafür, dass nun klargestellt ist, was Kommunen zu leisten haben, um Art. 11 Abs. 1 BayEGovG zum 1. Januar 2020 zu erfüllen.
Ihr Ludwig Atzberger,
insidas GmbH & Co. KG
