Erfahrungen mit ISIS12®, dem ISMS für Kommunen

​veröffentlicht am 8. Juli 2016

Sie erhalten in diesem Artikel ein kleines Update im Hinblick auf Erfahrungen rund um ISIS12®. Zwischenfazit: Es gibt noch viel zu klären. Es gibt noch mehr umzusetzen. Locky & Co. hat uns gezeigt, dass wir sehr verwundbar sind. Die Vermutung liegt nahe, dass es angriffstechnisch noch kritischer wird. Der Bedarf an Auseinandersetzung mit IT-Sicherheit ist mehr als gegeben.

Die Anforderungen an Informations- und IT-Sicherheit steigen zunehmend. Einerseits fordern die Bürger, Kunden, Mitarbeiter und Partner der Kommunen einen sicheren und vertrauensvollen Umgang mit deren sensiblen Daten und Informationen. Andererseits steigt mit zunehmender Bedrohung auch der Handlungsdruck, der seitens des Gesetzgebers durch Gesetze und Verordnungen auf die Kommunen einwirkt. Mit ISIS12® steht den Kommunen sowie den Eigen- und Beteiligungsgesellschaften ein Rahmenwerk zur Verfügung, mit dem sie mit vertretbarem Aufwand das Sicherheitsniveau im Bereich Information und IT deutlich erhöhen können.
   
Was ISIS12® konkret ist, finden Sie hier.
 

Förderanträge sind zum Teil gestellt – Beauftragungen zur Unterstützung stehen noch aus.

Aus den Gesprächen mit vielen Vertretern kommunaler Gebietskörperschaften wissen wir, dass Förderanträge gestellt wurden, die eigentliche Einbindung externer Berater aber noch aussteht. Die Kommunen wollen sich unabhängig vom eigentlichen Ausschreibungsprozess die Fördermittel sichern.
 

Interkommunale Zusammenarbeit ist zwar logisch – Die Gemeinden beurteilen eine lokale Umsetzung oftmals als hürdenreich.

Die Gemeinden und Kreise stehen dem Grunde nach einer IKZ positiv gegenüber. Das Konstrukt erscheint insgesamt als nachvollziehbar und im Sinne einer wirksamen und wirtschaftlichen Aufgabenerfüllung sinnvoll. Oft beurteilen die Kommunalvertreter jedoch lokale Hürden als zu hoch, um einer IKZ eine Chance zu geben. Zudem befürchten viele, dass sie durch die gegenseitige Abhängigkeit nicht mehr Herr des eigenen Prozesses sind.

 
Die ersten Überlegungen zu ISIS12® schweißen mehr zusammen

Gerade erste Auftaktsitzungen und Sensibilisierungsworkshops zeigen auf operativer IT-Leiterebene, dass die Zukunft nur gemeinsam zu bewältigen ist. Im Gegensatz zur Erfahrung sehen die an operativer Front stehenden IT-Verantwortlichen einer zukünftigen Zusammenarbeit in einem IKZ-Modell positiv entgegen. Das ist auch nachvollziehbar. Wissen sie doch genau, wo der einzelne Schuh drückt.
  

Finanzielle Mittel stehen für Maßnahmen zur Steigerung der Sicherheit kaum zur Verfügung

Die Schwächen sind oftmals bekannt. Die Problematik liegt gerade in kleineren Gemeinden eher an den zur Verfügung stehenden Mitteln. Sowohl für investive Maßnahmen wie auch für den laufenden Betrieb (Personalaufwand) sind die Spielräume begrenzt.
 

Kleinere Kommunen fühlen sich durch ISIS12® überfordert

Überall ist zu spüren, dass gerade kleine Gemeinden sich hinsichtlich der Anforderungen aus einem ISMS (Informationssicherheitsmanagementsystem) und auch auf Basis von ISIS12® überfordert fühlen. Wir empfehlen: Starten Sie mit einem wirksamen Datenschutzmanagement. Nutzen Sie den Datenschutz-Assistenten hierfür. Er lässt sich auch ideal in eine Umfeld interkommunaler Zusammenarbeit einbauen.
 

Erste Lernkurven aus z. B. dem Datenschutz liegen kaum vor

In solchen Gemeinden, in denen ein Datenschutzbeauftragter benannt wurde, liegen trotzdem kaum Erfahrungen zu IT-sicherheitstechnischen Sachverhalten vor. Dies ist verständlich, da der Sachverhalt „Datenschutz” in der Vergangenheit eher juristisch und weniger technisch geprägt war. Es ist zu erkennen, dass die Rolle des Informationssicherheitsbeauftragten und des Datenschutzbeauftragten zusammenwachsen und weitaus technischer ausgerichtet sein werden.

  
Locky & Co. zeigen, dass die Technik nicht alles kann

IT-technische Sicherheitsmaßnahmen sind wichtig und nötig. Die Gefahren aus dem „Netz” werden aber zunehmend komplexer und „mutieren” schneller, sodass technische Gegenmaßnahmen nicht sofort greifen. Hier trägt der Mensch eine erhebliche Verantwortung. Die im Schritt 2 des ISIS12®-Rahmens geforderte Sensibilisierung der Mitarbeiter ist zwingend erforderlich, um die teilweise temporär wirkungslosen technischen Sicherheitsmaßnahmen abzufedern. Die Sicherheitswelt spricht heute von der Resilienz von Organisationen und hier gehören Menschen und verlässliche Prozesse (z. B. bei einem Notfall) mit dazu.
 

Die Auditoren der DQS informieren nun auch im Rahmen der ersten Zertifizierung einer Kommune nach ISIS12®

Im Anschluss an die erfolgreiche Zertifizierung der Kommune Dingolfing informiert nun auch die DQS als Audit-Gesellschaft über die Erfahrungen und über sich. Mehr dazu unter http://www.dqs.de/index.php?id=569. Wie kann Rödl & Partner Sie ganz konkret unterstützen? Als IT- und Unternehmensberater, Wirtschaftsprüfer, Steuerberater und Rechtsanwälte mit langjähriger Erfahrung im öffentlichen Sektor und in IT-Services können wir Sie rund um die IT- und Cyber-Sicherheit beraten und prüfen. Nutzen Sie unsere Leistungen auch in der kommunalen Rechnungsprüfung:
 

Als lizenzierter und zertifizierter ISIS12®-Dienstleister können wir Sie bei

• der Entscheidungsfindung hin zum strategischen Vorgehen zu einem Informationssicherheitsmanagementsystem nach ISIS12®,
• dem Aufbau einer interkommunalen Zusammenarbeit,
• der konkreten Projektorganisation und Zeitplanung zur Umsetzung,
• der Schulung und Sensibilisierung im Umfeld eines ISMS,
• der Beantragung von Fördermitteln sowie
• der eigentlichen Umsetzung

  
tatkräftig unterstützen.