Die gesetzlichen Erfordernisse sind längst klar: Laut BayEGovG müssen bis 1. Januar 2020 alle bayerischen Kommunen ein Informations­sicherheits­konzept erstellen. Was sich im Gesetz so einfach liest, stellt die Kommunal­verwaltungen bei der Umsetzung vor gewaltige Probleme. Es gilt, rechtliche Vorschriften aus Fach­gesetzen, Bundes- und Länder­gesetzen, kommunalen Vorschriften und nicht zuletzt der EU-DSGVO in Maßnahmen zu gießen, welche die geforderte Informations­sicherheit gewährleisten.

Und für den Fall der Fälle, zum Beispiel bei einem Cyberangriff durch einen Erpressungstrojaner, sollten Kommunen gewappnet sein. Nicht nur technisch, beispielsweise durch entsprechende Backups, sondern auch organisatorisch: mit den vorgeschriebenen Meldungen innerhalb von 72 Stunden an die zuständigen Landesämter, mit Beschreibung der bereits eingeleiteten Maßnahmen. All dies ist eine Mammutaufgabe für Kommunen. Und von den 1376 Rathäuser in Bayern trifft es vor allem die mittleren und kleinen, also die Mehrzahl.

LSI-Siegel „Kommunale IT-Sicherheit“

Das Bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) hat jetzt die enorme Herausforderung gerade kleiner bayerischer Kommunen erkannt – immerhin gut ein halbes Jahr vor dem gesetzlichen Einführungs­termin eines Informations­sicherheits­konzeptes. Das Angebot des LSI ist das Siegel „Kommunale IT-Sicherheit“. Im Informationsblatt Nr. 5 des LSI wird erklärt:

„Das Siegel ‚Kommunale IT- Sicherheit‘ ist selbst kein ISMS (Informationssicherheits-Managementsystem) und ersetzt keinen der gängigen ISMS-Standards. Es kann als eine Art Vorstufe zu einer Zertifizierung auf Basis einer Selbstauskunft betrachtet werden.“

Weiter heißt es in der LSI- Information:

„Voraussetzung ist, dass die Kommune ein Informationssicherheitskonzept z.B. auf Grundlage des BSI IT-Grundschutz, ISIS12, ISA+, VdS 10.000 oder der Arbeitshilfe der Innovationsstiftung Bayerische Kommune erstellt.“

Wenn man beim LSI als Voraussetzung für das Siegel „Kommunale IT-Sicherheit“ beispielsweise ein Informationssicherheitskonzept nach ISA+ oder nach der Arbeitshilfe der Innovationsstiftung verlangt, fragt man sich, welchen Sinn dann das Siegel hat. Denn wenn ein Informationssicherheitskonzept in einer Kommune beispielsweise nach ISA+ bis 1. Januar 2020 vorliegt, sind die Anforderungen nach Art. 11 Abs. 1 BayEGovG sowieso erfüllt. Anderseits: Hat eine Kommune ihre Hausaufgaben gemacht, sollte die Erlangung dieses Siegels kein Problem darstellen. Jede Gemeinde kann es dann als „Werbung“ auf ihre Webseite stellen.

Beratung und Umsetzungsunterstützung

Die sogenannte Selbstauskunft beruht auf einem Fragebogen. Dieser ist auf Anfrage per E-Mail zu erhalten. Der Fragebogen prüft laut Infoblatt 47 Maßnahmen zur Einführung eines Informationssicherheitskonzepts nach BayEGovG durch das LSI. Folgende Prüfaspekte werden genannt: ISB, Leitlinie, Personal und Organisation, Backup und Recovery, Datenschutz, Schutz vor Schadprogrammen, Verschlüsselung, Cloud- und Outsourcing, Software- Hardware- und Patch-Management, Server sowie Netzwerk.

Betrachtet man die genannten Aspekte des Fragebogens, der bisher aus unbekannten Gründen nicht öffentlich zugänglich ist, so ist eine rechtliche, organisatorische und technische Unterstützung durch externe Beratung einschließlich einer Umsetzungsunterstützung entsprechender Maßnahmen die einzig realistische Maßnahme für kleine Kommunen. Fachwissen und Mitarbeiterkapazitäten reichen dort bei weitem nicht aus, um all die damit verknüpften Aufgaben zu stemmen. Klar, dass dies die Haushalte der Kommunen belastet. Umso wichtiger sind interkommunale Zusammenarbeit, effiziente Kommunikation und Umsetzungs-Know-how externer Berater. Auch das LSI selbst bietet in seinem Infoblatt Beratungsleistungen zu technischen und organisatorischen Maßnahmen an.

Fazit

Das Siegel „Kommunale IT-Sicherheit“ ersetzt kein Informationssicherheitskonzept oder Informationsmanagementsystem – dieses ist vielmehr die Voraussetzung dafür.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more
    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    In die Cloud, aber richtig?

    In die Cloud, aber richtig?

    In der aktuellen Corona-Krise mit Home Office, Online-Meetings uvm. ist der Zugriff auf Daten oder Software über das Internet verbreiteter denn je. Immer mehr Privatpersonen und Unternehmen nutzen im täglichen Leben Angebote und Dienste aus der Cloud, eine Zukunft...

    read more