E-Government in Behörden: Wie das ISIS12® Modell für Informationssicherheit sorgt

veröffentlicht am 8. Oktober 2018

​Auch Behörden und öffentliche Einrichtungen müssen sich um die Digitalisierung ihrer IT- und Informationssysteme kümmern. So wird zum Beispiel im Bayerischen E-Government-Gesetz (BayEGovG) gefordert, dass ein „Nachweisbares, dauerhaft geplantes Vorgehen zur Informationssicherheit” als Konzept vorliegt. Gerade im öffentlichen Sektor stellen die Anforderungen eines „Information Security Management System” (ISMS) nach ISO/IEC 27001 oder IT-Grundschutz eine große Hürde dar. Hier bestehen die Schwierigkeiten insbesondere bei der hohen Komplexität der Anforderungen, die meist von kleinen IT-Abteilungen neben dem täglichen Geschäft gestemmt werden sollen. Viele der Anforderungen dieser Konzepte, wie beispielsweise die weitreichende Risikoanalyse und die Umsetzung von konkreten Maßnahmen, stellen den öffentlichen Sektor vor unlösbare Aufgaben. Aus diesem Grund wurde das ISIS12® Modell entwickelt. Rödl & Partner ist zertifizierter Berater für die Einführung des ISIS12® Modells und kann auf Projektexpertise in einigen Ämtern, Städten, Kommunen und Gemeinden zurückgreifen.

Was ist das ISIS12® Modell?

Das ISIS12® Modell muss als klassischer Top-Down-Ansatz betrachtet werden. Das bedeutet, das Management trägt die Verantwortung für die Informationssicherheit, veranlasst den dafür notwendigen Sicherheitsprozess und stellt hierfür die erforderlichen Ressourcen zur Verfügung. Ohne dieses Fundament sind die weiteren Schritte nicht erfolgreich umzusetzen. In 12 festgelegten Clustern gilt es sich „Step by Step” dem vollständigen ISMS zu nähern.

So dient der erste Schritt der Erstellung einer Leitlinie zur Informationssicherheit, die von der Verwaltungsspitze als zentrales Strategiepapier erlassen wird. Hierbei werden die Informationssicherheitsziele sowie die daraus abgeleitete Strategie fixiert. Außerdem sollte in diesem Rahmen der Geltungsbereich (Eigenbetriebe, Außenstellen, kommunale Einrichtungen etc.) je Verwaltung festgelegt werden.

Der zweite Schritt der Initialisierungsphase betrifft die Mitarbeiter und Führungskräfte der Verwaltung. Die Erfordernisse des Projekts müssen auf allen Organisationsebenen hinreichend kommuniziert und die Mitarbeiter laufend sensibilisiert werden. Neben der belastbaren Verteilung der Leitlinie für Informationssicherheit stellen wir uns vor, dass ggf. Datenschutzschulungen oder andere Seminarleistungen mit dem Kern der Informationssicherheitsanforderungen angereichert bzw. solche Seminarleistungen entwickelt werden.

In den weiteren Schritten werden unter anderem kritische Anwendungen (also Software und Programme, die auf den Servern und Clients betrieben werden) analysiert und hinsichtlich ihrer Vertraulichkeit, Integrität und Mindestausfalltoleranz bewertet. Die letzten Schritte des ISIS12® Modells beschäftigen sich mit der „Fehlerbehebung”. Wobei damit gemeint ist, dass die aufgedeckten Lücken des IST-Zustands mit einem SOLL-Zustand gespiegelt werden. Das erkennbare Delta wird mit Maßnahme geschlossen. Dabei ist der zuständige ISIS12®-Berater stets in engem Austausch mit der jeweiligen Stelle.

Immer mehr Länder und Kreise setzten auf die Einführung von ISIS12®

Hinsichtlich des IT-Sicherheitsmanagementsystems können zwar die wenigsten der 294 deutschen Landkreise konkrete Umsetzungen melden. Es ist jedoch spürbar, dass sich die Landratsämter und die jeweiligen IT- und/oder Sicherheitsbeauftragten sowie die Datenschutzbeauftragten intensiv mit der Thematik beschäftigen. Auch die Länder bemühen sich, diese Entwicklung mit entsprechenden Fördergeldern zu beschleunigen. Das Bayerische Innenministerium fördert Kommunen, die ISIS12® einführen, mit bis zu 50 Prozent der Kosten. Auch die Saarländische Landesregierung will ihre Kommunen bei der Einführung eines ISMS finanziell unterstützen. Das Finanzministerium spricht von einem Fonds, der entsprechende Gelder bereithält. Man wolle die 52 Städte und Gemeinden des Landes so auf ein vergleichbares und vor allem zertifiziertes Sicherheitsniveau hieven.

Wie geht es weiter?

Rödl & Partner baute in den letzten Monaten seine Expertise im Rahmen der Begleitung bzw. Beratung bei der Einführung von ISMS weiter aus. Aktuell arbeiten wir mit mehreren Landkreisen erfolgreich am ISIS12® Modell. Dabei stellen wir vor allem fest, dass die mediale Aufmerksamkeit bei Themen wie „Datenschutz” oder „Informationssicherheit” zu einer breiten Akzeptanz geführt hat. Auch die Mitarbeiter – sei es nun in einer größeren Stadt oder die dörflich geprägte Kleingemeinde – erkennen in der breiten Masse den Mehrwehrt von ISIS12®. Auch stellen wir fest, dass – vor allem seit der unmittelbaren Anwendung der Datenschutzgrundverordnung (DSGVO) – bereits einige wichtige Themen in „Eigenregie” umgesetzt wurden. Der Schutz von personenbezogenen Daten genießt einen hohen Stellenwert und ist damit die beste Voraussetzung zur professionellen Einführung eines ISMS.