Dieser Artikel erschien in der Bayerischen Gemeindezeitung, Ausgabe 17 vom 23.09.2021.

Kommunalverwaltungen sind verpflichtet, ihre IT-Systeme und Verwaltungsvorgänge durch technische und organisatorische Maßnahmen ausreichend abzusichern. Die Bedrohungslage ist ernst zu nehmen. Durch die Digitalisierung steigt verstärkt auch die Zahl professioneller Cyber-Angriffe auch für bayerische Kommunen. Durch die Komplexität und die sich stetig ändernde Gefahrenlage lohnt sich ein strukturierter und nachhaltiger Aufbau des kommunalen Informationsverbundes zu erarbeiten. Hierzu dient die Implementierung eines Informationssicherheits-Managementsystems (ISMS), um Schutzstrategien zu entwickeln und entsprechende Maßnahmen der Verfügbarkeit, Vertraulichkeit und der Integrität von IT-Systemen und Daten umzusetzen.

Was viele nicht wissen: Der Freistaat Bayern unterstützt Kommunen dabei mit einem Zuschuss. Die Förderrichtlinie unterstützt insbesondere kleine und mittelgroße Gebietskörperschaften finanziell, um möglichst schnell das Schutzniveau in der Breite anzuheben. Alle detaillieren Informationen über Fristen, Formulare und Rechtsgrundlagen finden Sie im Internet bei der Regierung von Mittelfranken unter dem Schlagwort: ISMS.

Hierzu gibt es unterschiedliche Managementsysteme und Verfahren in der Informationssicherheit, um ein bestimmtes Niveau zu erreichen zu können, die hier kurz erläutert werden.

CISIS12 (vormals ISIS12)

Diese Vorgehensweise wird vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben. Der Name steht für Compliance-Informations-Sicherheitsmangement-System in 12 Schritten). Das Modell wurde zur Einführung eines Informationssicherheits-Management-Systems entwickelt.

Neu ist u.a. die Integration eines Risikomanagementprozesses und das Thema Compliance, um gesetzliche, vertragliche oder sonstige Vorgaben zu berücksichtigen. CISIS12 richtet sich an Unternehmen und Behörden. Die Förderung wird mit 50 Prozent (maximal 15.000 Euro) der zuwendungsfähigen Ausgaben gefördert.

IT-Grundschutz Basisabsicherung kommunales Profil 1

Dieses Profil basiert auf dem BSI-Standard 200-2 „IT-Grundschutz-Methodik“ [BSI-200-2] und definiert die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind, um sich nach hiesiger Einschätzung nicht der groben Fahrlässigkeit schuldig zu machen. Das Profil erleichtert den Einstieg in die Informationssicherheit und hilft, die gröbsten Schwachstellen aufzudecken, die es zu beseitigen gilt, um möglichst schnell das Sicherheitsniveau in der Breite anzuheben. Um ein dem Stand der Technik angemessenes Sicherheitsniveau zu erreichen, müssen darauf aufbauend in einem weiteren Schritt jedoch zusätzliche Anforderungen erfüllt werden.

Ein IT-Grundschutz-Profil ist eine Schablone für einen ausgewählten Informationsverbund oder Geschäftsprozess, mit dem die IT-Grundschutz-Umsetzung für diesen Bereich konkretisiert wird. Über ein IT-Grundschutz-Profil werden die Schritte des Informationssicherheitsprozesses für einen definierten Anwendungsbereich so aufbereitet, dass es als Rahmen für Sicherheitskonzepte adaptiert werden kann und um eine Komplexreduktion erreichen zu können.

Der Zuschuss der Förderung beträgt bis zu 60 Prozent der zuwendungsfähigen Ausgaben, höchstens 20.000 Euro.

IT-Grundschutz Kernabsicherung 2

Fokus liegt in der Absicherung von Fachprozessen und Fachverfahren der Kommunen oder von den Kommunen obliegenden Aufgaben nach IT-Grundschutz sowie deren Zertifizierung oder abschließende Prüfung der Implementierung durch einen zugelassenen Auditor.

Voraussetzung für die Gewährung einer Zuwendung ist die vollständige Implementierung eines ISMS, das den Zielsetzungen des IT-Planungsrates entspricht oder die Umsetzung einer Vor- oder Zwischenstufe eines solchen ISMS, die mit einem Testat oder Zertifikat nachgewiesen ist.

Fazit

CISIS12 und BSI-Grundschutz kommunales Profil bieten den Einstieg in eine strukturiertes und managebares Informationssicherheitsystem. Weitere verfolgen das Ziel einer umfassenden und tiefergehenden Absicherung, das aber mehr Kosten und Ressourcen beansprucht. Die Vorgehensweisen sind untereinander kompatibel und jederzeit in ein höheres Sicherheitsniveau skalierbar. Dies kann bei einer zukünftigen Betrachtungsweise, beispielsweise bei höheren Anforderungen im kommunalen Sektor von Vorteil sein.

Was sind zuwendungsfähige Ausgaben? 2

Zuwendungsfähig sind die innerhalb des Bewilligungszeitraums anfallenden Ausgaben für

  • die Beratung und Begleitung bei der Implementierung durch fachkundige IT-Dienstleister,
  • Schulungen für Mitarbeiter durch zertifizierte Anbieter,
  • die Erst-Zertifizierung eines ISMS oder der Umsetzung einer Vorstufe und Zwischenstufe eines solchen ISMS beziehungsweise die abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.

1 IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung, Arbeitsgruppe „Modernisierung IT-Grundschutz“ mit Unterstützung durch Deutscher Städtetag, Deutscher Landkreistag, Deutscher Städte- und Gemeindebund

2 Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften (ISMS-Förderrichtlinie–ISMSR). Zur Richtlinie

Hinweis

Lassen Sie sich von einem zertifizierten und kommunal erfahrenen IT-Dienstleister beraten, welches System Ihren Bedarf abdeckt. Nachweise für die Fachkunde hat der Berater zu erbringen. Bei den meisten Kommunen lohnt sich schon der Basis-Einstieg in die Informationssicherheit. Zudem schaffen Sie die Voraussetzung für eine sichere und nachhaltige Digitalisierung Ihrer verwaltungstechnischen Prozesse und Fachverfahren. Sichern Sie sich die Förderzusage, da die Haushaltsmittel begrenzt sind und das Förderprogramm unter Umständen überzeichnet ist.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    In die Cloud, aber richtig?

    In die Cloud, aber richtig?

    In der aktuellen Corona-Krise mit Home Office, Online-Meetings uvm. ist der Zugriff auf Daten oder Software über das Internet verbreiteter denn je. Immer mehr Privatpersonen und Unternehmen nutzen im täglichen Leben Angebote und Dienste aus der Cloud, eine Zukunft...

    read more
    Wie geht man als Arbeitgeber mit Passwörtern richtig um?

    Wie geht man als Arbeitgeber mit Passwörtern richtig um?

    Viele Beschäftigte kennen sie: Hinweise mit dem Inhalt „Ihr Passwort ist älter als 90 Tage. Bitte ändern Sie es umgehend.“ Im Arbeitsalltag werden sie vielfach als Behinderung bei der eigentlichen Arbeit wahrgenommen.  Passwortänderungen, die über Jahre hinweg nur aus...

    read more
    Twitter adé?!

    Twitter adé?!

    Im November 2017 richtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, einen Twitter-Account für seine Behörde ein und twitterte seit dem mit großem Erfolg zu aktuellen Themen aus der Welt des Datenschutzes und der...

    read more
    Das BSI warnt erneut vor Trojaner-Angriffen

    Das BSI warnt erneut vor Trojaner-Angriffen

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnung vor dem Trojaner Emotet erneuert. Laut BSI habe es durch die Schadsoftware in der letzten Septemberwoche erhebliche Schäden in der deutschen Wirtschaft sowie bei Behörden und...

    read more