Die gesetzlichen Erfordernisse sind längst klar: Laut BayEGovG müssen bis 1. Januar 2020 alle bayerischen Kommunen ein Informationssicherheitskonzept erstellen. Was sich im Gesetz so einfach liest, stellt die Kommunalverwaltungen bei der Umsetzung vor gewaltige Probleme. Es gilt, rechtliche Vorschriften aus Fachgesetzen, Bundes- und Ländergesetzen, kommunalen Vorschriften und nicht zuletzt der EU-DSGVO in Maßnahmen zu gießen, welche die geforderte Informationssicherheit gewährleisten.
Und für den Fall der Fälle, zum Beispiel bei einem Cyberangriff durch einen Erpressungstrojaner, sollten Kommunen gewappnet sein. Nicht nur technisch, beispielsweise durch entsprechende Backups, sondern auch organisatorisch: mit den vorgeschriebenen Meldungen innerhalb von 72 Stunden an die zuständigen Landesämter, mit Beschreibung der bereits eingeleiteten Maßnahmen. All dies ist eine Mammutaufgabe für Kommunen. Und von den 1376 Rathäuser in Bayern trifft es vor allem die mittleren und kleinen, also die Mehrzahl.
LSI-Siegel „Kommunale IT-Sicherheit“
Das Bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) hat jetzt die enorme Herausforderung gerade kleiner bayerischer Kommunen erkannt – immerhin gut ein halbes Jahr vor dem gesetzlichen Einführungstermin eines Informationssicherheitskonzeptes. Das Angebot des LSI ist das Siegel „Kommunale IT-Sicherheit“. Im Informationsblatt Nr. 5 des LSI wird erklärt:
„Das Siegel ‚Kommunale IT- Sicherheit‘ ist selbst kein ISMS (Informationssicherheits-Managementsystem) und ersetzt keinen der gängigen ISMS-Standards. Es kann als eine Art Vorstufe zu einer Zertifizierung auf Basis einer Selbstauskunft betrachtet werden.“
Weiter heißt es in der LSI- Information:
„Voraussetzung ist, dass die Kommune ein Informationssicherheitskonzept z.B. auf Grundlage des BSI IT-Grundschutz, ISIS12, ISA+, VdS 10.000 oder der Arbeitshilfe der Innovationsstiftung Bayerische Kommune erstellt.“
Wenn man beim LSI als Voraussetzung für das Siegel „Kommunale IT-Sicherheit“ beispielsweise ein Informationssicherheitskonzept nach ISA+ oder nach der Arbeitshilfe der Innovationsstiftung verlangt, fragt man sich, welchen Sinn dann das Siegel hat. Denn wenn ein Informationssicherheitskonzept in einer Kommune beispielsweise nach ISA+ bis 1. Januar 2020 vorliegt, sind die Anforderungen nach Art. 11 Abs. 1 BayEGovG sowieso erfüllt. Anderseits: Hat eine Kommune ihre Hausaufgaben gemacht, sollte die Erlangung dieses Siegels kein Problem darstellen. Jede Gemeinde kann es dann als „Werbung“ auf ihre Webseite stellen.
Beratung und Umsetzungsunterstützung
Die sogenannte Selbstauskunft beruht auf einem Fragebogen. Dieser ist auf Anfrage per E-Mail zu erhalten. Der Fragebogen prüft laut Infoblatt 47 Maßnahmen zur Einführung eines Informationssicherheitskonzepts nach BayEGovG durch das LSI. Folgende Prüfaspekte werden genannt: ISB, Leitlinie, Personal und Organisation, Backup und Recovery, Datenschutz, Schutz vor Schadprogrammen, Verschlüsselung, Cloud- und Outsourcing, Software- Hardware- und Patch-Management, Server sowie Netzwerk.
Betrachtet man die genannten Aspekte des Fragebogens, der bisher aus unbekannten Gründen nicht öffentlich zugänglich ist, so ist eine rechtliche, organisatorische und technische Unterstützung durch externe Beratung einschließlich einer Umsetzungsunterstützung entsprechender Maßnahmen die einzig realistische Maßnahme für kleine Kommunen. Fachwissen und Mitarbeiterkapazitäten reichen dort bei weitem nicht aus, um all die damit verknüpften Aufgaben zu stemmen. Klar, dass dies die Haushalte der Kommunen belastet. Umso wichtiger sind interkommunale Zusammenarbeit, effiziente Kommunikation und Umsetzungs-Know-how externer Berater. Auch das LSI selbst bietet in seinem Infoblatt Beratungsleistungen zu technischen und organisatorischen Maßnahmen an.
Fazit
Das Siegel „Kommunale IT-Sicherheit“ ersetzt kein Informationssicherheitskonzept oder Informationsmanagementsystem – dieses ist vielmehr die Voraussetzung dafür.