Dieser Artikel erschien in der Bayerischen Gemeindezeitung, Ausgabe 17 vom 23.09.2021.
Kommunalverwaltungen sind verpflichtet, ihre IT-Systeme und Verwaltungsvorgänge durch technische und organisatorische Maßnahmen ausreichend abzusichern. Die Bedrohungslage ist ernst zu nehmen. Durch die Digitalisierung steigt verstärkt auch die Zahl professioneller Cyber-Angriffe auch für bayerische Kommunen. Durch die Komplexität und die sich stetig ändernde Gefahrenlage lohnt sich ein strukturierter und nachhaltiger Aufbau des kommunalen Informationsverbundes zu erarbeiten. Hierzu dient die Implementierung eines Informationssicherheits-Managementsystems (ISMS), um Schutzstrategien zu entwickeln und entsprechende Maßnahmen der Verfügbarkeit, Vertraulichkeit und der Integrität von IT-Systemen und Daten umzusetzen.
Was viele nicht wissen: Der Freistaat Bayern unterstützt Kommunen dabei mit einem Zuschuss. Die Förderrichtlinie unterstützt insbesondere kleine und mittelgroße Gebietskörperschaften finanziell, um möglichst schnell das Schutzniveau in der Breite anzuheben. Alle detaillieren Informationen über Fristen, Formulare und Rechtsgrundlagen finden Sie im Internet bei der Regierung von Mittelfranken unter dem Schlagwort: ISMS.
Hierzu gibt es unterschiedliche Managementsysteme und Verfahren in der Informationssicherheit, um ein bestimmtes Niveau zu erreichen zu können, die hier kurz erläutert werden.
CISIS12 (vormals ISIS12)
Diese Vorgehensweise wird vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben. Der Name steht für Compliance-Informations-Sicherheitsmangement-System in 12 Schritten). Das Modell wurde zur Einführung eines Informationssicherheits-Management-Systems entwickelt.
Neu ist u.a. die Integration eines Risikomanagementprozesses und das Thema Compliance, um gesetzliche, vertragliche oder sonstige Vorgaben zu berücksichtigen. CISIS12 richtet sich an Unternehmen und Behörden. Die Förderung wird mit 50 Prozent (maximal 15.000 Euro) der zuwendungsfähigen Ausgaben gefördert.
IT-Grundschutz Basisabsicherung kommunales Profil 1
Dieses Profil basiert auf dem BSI-Standard 200-2 „IT-Grundschutz-Methodik“ [BSI-200-2] und definiert die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind, um sich nach hiesiger Einschätzung nicht der groben Fahrlässigkeit schuldig zu machen. Das Profil erleichtert den Einstieg in die Informationssicherheit und hilft, die gröbsten Schwachstellen aufzudecken, die es zu beseitigen gilt, um möglichst schnell das Sicherheitsniveau in der Breite anzuheben. Um ein dem Stand der Technik angemessenes Sicherheitsniveau zu erreichen, müssen darauf aufbauend in einem weiteren Schritt jedoch zusätzliche Anforderungen erfüllt werden.
Ein IT-Grundschutz-Profil ist eine Schablone für einen ausgewählten Informationsverbund oder Geschäftsprozess, mit dem die IT-Grundschutz-Umsetzung für diesen Bereich konkretisiert wird. Über ein IT-Grundschutz-Profil werden die Schritte des Informationssicherheitsprozesses für einen definierten Anwendungsbereich so aufbereitet, dass es als Rahmen für Sicherheitskonzepte adaptiert werden kann und um eine Komplexreduktion erreichen zu können.
Der Zuschuss der Förderung beträgt bis zu 60 Prozent der zuwendungsfähigen Ausgaben, höchstens 20.000 Euro.
IT-Grundschutz Kernabsicherung 2
Fokus liegt in der Absicherung von Fachprozessen und Fachverfahren der Kommunen oder von den Kommunen obliegenden Aufgaben nach IT-Grundschutz sowie deren Zertifizierung oder abschließende Prüfung der Implementierung durch einen zugelassenen Auditor.
Voraussetzung für die Gewährung einer Zuwendung ist die vollständige Implementierung eines ISMS, das den Zielsetzungen des IT-Planungsrates entspricht oder die Umsetzung einer Vor- oder Zwischenstufe eines solchen ISMS, die mit einem Testat oder Zertifikat nachgewiesen ist.
Fazit
CISIS12 und BSI-Grundschutz kommunales Profil bieten den Einstieg in eine strukturiertes und managebares Informationssicherheitsystem. Weitere verfolgen das Ziel einer umfassenden und tiefergehenden Absicherung, das aber mehr Kosten und Ressourcen beansprucht. Die Vorgehensweisen sind untereinander kompatibel und jederzeit in ein höheres Sicherheitsniveau skalierbar. Dies kann bei einer zukünftigen Betrachtungsweise, beispielsweise bei höheren Anforderungen im kommunalen Sektor von Vorteil sein.
Was sind zuwendungsfähige Ausgaben? 2
Zuwendungsfähig sind die innerhalb des Bewilligungszeitraums anfallenden Ausgaben für
- die Beratung und Begleitung bei der Implementierung durch fachkundige IT-Dienstleister,
- Schulungen für Mitarbeiter durch zertifizierte Anbieter,
- die Erst-Zertifizierung eines ISMS oder der Umsetzung einer Vorstufe und Zwischenstufe eines solchen ISMS beziehungsweise die abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.
1 IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung, Arbeitsgruppe „Modernisierung IT-Grundschutz“ mit Unterstützung durch Deutscher Städtetag, Deutscher Landkreistag, Deutscher Städte- und Gemeindebund
2 Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften (ISMS-Förderrichtlinie–ISMSR). Zur Richtlinie
Hinweis
Lassen Sie sich von einem zertifizierten und kommunal erfahrenen IT-Dienstleister beraten, welches System Ihren Bedarf abdeckt. Nachweise für die Fachkunde hat der Berater zu erbringen. Bei den meisten Kommunen lohnt sich schon der Basis-Einstieg in die Informationssicherheit. Zudem schaffen Sie die Voraussetzung für eine sichere und nachhaltige Digitalisierung Ihrer verwaltungstechnischen Prozesse und Fachverfahren. Sichern Sie sich die Förderzusage, da die Haushaltsmittel begrenzt sind und das Förderprogramm unter Umständen überzeichnet ist.