Dokumentation ist Aufwand und Risikoradar
Von Eduard Heilmayr, Delphin Consult
Es ist ein mühsamer Weg. Der Informationssicherheitsbeauftragte Kilian Bauer weiß ein Lied davon zu singen: Er muss die Informationssicherheit im Landkreis Neu-Ulm gesetzeskonform gestalten und kontrollieren. Bauer setzt dazu das Informationsmanagementsystem ISIS12 ein. Im Gespräch berichtet er über seine Erfahrungen.
Sicherheitsgesetze rechtssicher umsetzen
Öffentliche Verwaltungen, Kommunen und Landkreise kämpfen mit der Umsetzung der EU-Datenschutzgrundverordnung und der länderspezifischen Sicherheitsgesetze. Und das nicht erst seit dem 25. Mai 2018, dem Inkrafttreten der EU-DSGVO. Wirksame Unterstützung versprechen Informationssicherheitsmanagementsysteme (ISMS) wie ISIS12. Deren Einführung und Umsetzung in Kommunen unterstützen Bayern und jüngst auch das Saarland durch Fördermittel. Die gesetzlichen Anforderungen rechtssicher, bedien- und bürgerfreundlich umzusetzen, bleibt trotzdem eine herausfordernde Aufgabe und eine Menge Arbeit für die Mitarbeiterinnen und Mitarbeiter in den Abteilungen der Verwaltungen.
Kilian Bauer, Informationssicherheitsbeauftragter im Landratsamt Neu-Ulm, trägt an verantwortlicher Stelle wesentlich dazu bei, die Anforderungen der Informationssicherheit bei der Umsetzung im Landkreis Neu-Ulm zu steuern und die Einhaltung zu kontrollieren. Der Landkreis Neu-Ulm ist eine wirtschaftsstarke Region mit internationalen Firmen wie Bosch / Rexroth in Elchingen oder der Wieland-Werke-AG in Vöhringen. Am Verwaltungsnetz des Landratsamtes sind unter anderem 16 Städte und Gemeinden angebunden sowie der Eigenbetrieb des Abfall-Wirtschaftsbetriebes Weißenhorn. Insgesamt betreut die IT-Abteilung des Landratsamtes Neu-Ulm zirka 500 PC-Arbeitsplätze mit entsprechender IT-Infrastruktur.
Kilian Bauer ist Informationssicherheitsbeauftragter des Landratsamtes Neu-Ulm. Diese Funktion ist als Stabstelle direkt dem Landrat unterstellt. Er betreut in dieser Aufgabe das Landratsamt samt seinen Außenstellen sowie den Bereich des Abfallwirtschaftsbetriebes. Der ausgebildete Kaufmann für Bürokommunikation und IHK-Wirtschaftsfachwirt ist seit 2014 zertifizierter Datenschutzbeauftragter (TÜV-Süd), seit 2016 Informationssicherheitsberater und im gleichen Jahr erwarb Kilian Bauer noch das Zertifikat für das Informationssicherheitsmanagementsystem ISIS12.
Kilian Bauer, Landratsamt Neu-Ulm, Stabstelle Informationssicherheit, Kantstraße 8, 89231 Neu-Ulm, Telefon 0731 7040-1065
Restriktiv gestaltete IT-Landschaft
Bauer übernahm seine Verantwortung Anfang Oktober 2017 für das Landratsamt Neu-Ulm samt seinen Außenstellen und dem Eigenbetrieb. Er berichtet direkt an den Landrat des Landkreises Neu-Ulm. Im ersten Schritt seiner Tätigkeit besuchte Bauer die Fachabteilungen, um den Status quo und die Gegebenheiten vor Ort zu erkunden. Sein erstes Fazit: „Die IT-Landschaft war relativ restriktiv gestaltet.“ Es gab klare IT-Regeln, um möglichst viele, durch Mitarbeiterinnen und Mitarbeiter verursachte Fehler auszuschalten. So wurden beispielsweise alle USB-Ports gesperrt.
Dadurch wird die Nutzung externer USB-Speicher unterbunden, „die dann verloren gehen könnten“. Bauer: „Es ist der Ansatz der Sicherheit „by Default und by Design“. Dabei gibt man klare technische Regeln und Einschränkungen vor, um das Sicherheitsrisiko zu minimieren. Dies hat sowohl Vor- als auch Nachteile, ist sich Bauer bewusst. Klarer Vorteil: das Risikopotenzial in Bezug auf die Informationssicherheit wird gesenkt. Der Nachteil sei, so Bauer, dass die Mitarbeiter in ihrer Arbeit eingeschränkt sein können.
Ein Faktum, dass Bauer bei seiner ersten Bestandsaufnahme feststellte, war das Fehlen einer ganzheitlichen oder allumfassenden schriftlichen Dokumentation: Betriebshandbuch, Notfallkonzept und Wiederaufnahmepläne fehlten beispielsweise.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Vernetzungsgedanken fördern und gestalten
Um seine Aufgaben wahrnehmen zu können, hat Bauer im nächsten Schritt ein Team mit den entscheidenden Funktionsträgern der Schlüsselabteilungen zusammengestellt. Dieses Team besteht aus dem IT-Leiter, einem Mitglied der Behördenleitung, dem Teamleiter der Organisation, dem Datenschutzbeauftragten, einem Mitglied des Personalrats und dem Informationssicherheitsbeauftragten. Diese Gruppe trifft sich nun einmal im Monat, spricht konkrete Themen an und leitet weitere Schritte ein.
Als eine seiner zentralen Aufgaben sieht Bauer „den Vernetzungsgedanken untereinander, insbesondere zwischen den Abteilungen, zu fördern und zu gestalten.“ Bauer ist damit das Bindeglied zwischen der Behördenleitung und den Fachabteilungen.
Beratung und eigenes Know-how
In seiner Arbeit hat Bauer einen sehr persönlichen Anspruch. Es sei viel Know-how und Information in den Abteilungen vorhanden, sagt er. Es fehle aber an der Außendarstellung des eigenen Wissens, der Notwendigkeiten und der Erfolge. Dies wolle er fördern, intern zwischen den Abteilungen und Leitungsebenen und genauso gegenüber Außenstehenden. Sein Motto: „Tue Gutes und rede darüber“.
Unterstützung durch externe Beratung wird anlassbezogen in Anspruch genommen, berichtet Bauer weiter. Dies sei sinnvoll, weil externe Beratung eine andere, neutrale Sichtweise einbringt. Wichtig sei dabei allerdings, dass Schwachstellen von der internen Organisation aufgedeckt werden, so Bauer. Berater bieten seiner Erfahrung nach einen roten Faden zum Vorgehen, bestenfalls mit entsprechender Struktur – aber nicht mehr, „die Kronjuwelen der Informationen sind versteckt und müssen entdeckt werden.“ Etwaige Schwachstellen haben interne Mitarbeiter viel mehr im Blickfeld als externe Berater, weiß Bauer. Gerade in diesem Punkt sollten Mitarbeiterinnen und Mitarbeiter „wesentlich selbstbewusster auftreten, auch gegenüber Beratern.“
Sicherheitsmanagement: Das ISIS12-Vorgehensmodell im Überblick (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Prozessschritte per ISMS gestalten
Für Bauer war es klar, dass er zur Schaffung des notwendigen Informationssicherheitsstandards ein entsprechendes ISMS einsetzen muss. Es sollte die einzelnen Prozessschritte strukturiert vorgeben, nachvollziehbar bei der Umsetzung helfen und durch entsprechende Kontrollfragen die inhaltliche Qualität der Prozessschritte und der Dokumentation sicherstellen. Weitere Entscheidungskriterien bei der Auswahl waren auch, dass sich Ablaufprozesse und Workflows im ISMS betrachten lassen, Mehrwert und Nutzen für die interne Organisation deutlich sichtbar sind und nicht zuletzt Qualität-Management-Elemente enthalten sind, die sich für zukünftige Digitalisierungsaufgaben in der Verwaltung mit benutzen lassen.
Letztlich entschied sich das Landratsamt Neu-Ulm für die Einführung des Informationsmanagement ISIS12 vom Bayerischen IT-Sicherheitscluster e.V. Insgesamt zeigt sich Bauer überzeugt, sei ISIS12 das passende Werkzeug dafür. Unter anderem wegen der enthaltenen Maßnahmenplanung zur Risikoidentifikation, der Förderfähigkeit durch den Freistaat Bayern und seinen persönlichen Erfahrungen als zertifizierter ISIS12-Berater mit entsprechender beruflicher Praxis.
ISIS12 im praktischen Einsatz
Im praktischen Einsatz bewertet Bauer ISIS12 überwiegend positiv. „Es bietet einen guten roten Faden, um ein Sicherheitskonzept zu implementieren.“ Als eine große Stärke von ISIS12 beschreibt Bauer den „Top-down-Ansatz“ bei der Vorgehensweise innerhalb der Organisation. Dies bedeutet, dass die Leitungsebene zuerst mit ins Boot geholt werden muss, erklärt Bauer. „Das ist in ISIS12 sehr gut gelöst“.
Schwieriger und damit kritischer im praktischen Einsatz sieht Bauer das ISMS ab Schritt 4 von insgesamt 12 Schritten. „ISIS12 fordert dann einen sehr hohen Dokumentationsaufwand, der viel Manpower benötigt“, berichtet Bauer. Dies träfe insbesondere bei der Analyse kritischer Applikationen und der IT-Struktur zu (Schritt 6 und 7). Danach findet die Modellierung und Umsetzung der Maßnahmen auf Grundlage des BSI-Grundschutzes statt, die sich ohne sinnvolle Gruppierung auf zirka 520 Maßnahmen belaufen kann.
Die Konsequenz dieser umfangreichen Dokumentationsanforderungen sei, dass Fragen auftauchen, die man vorher nicht im Blickfeld hatte. „Dies kann ein Vorteil sein, gleichzeitig ist es ein schmaler Grat, um mit vernünftigem Aufwand praktikable Lösungen zu finden“. Hier helfe nur der gesunde Menschenverstand, weiß Bauer. Gerade in diesem Punkt fehlen ihm in ISIS12 weitere praktische Hilfsmittel und Werkzeuge, wie Checklisten, Vorgehensvorschläge und Konzeptionsanleitungen.
Einen guten Überblick zu ISIS12 hat Andreas Reisser (Sysgrade GmbH und Bayerischer II-Sicherheitscluster e.V.) beim IT-Talk der Kommunen auf der Kommunale 2015 in Nürnberg gegeben. Die Folien dazu gibt es online im MittelstandsWiki. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Um den Dokumentationsaufwand zwischen den Behörden zu reduzieren, böte sich eine Vernetzung des ISMS an. „Dann bräuchten wir das Rad nicht immer neu erfinden.“ Leider, so Bauer weiter, ist ISIS12 nicht Mehr-Benutzer- und Mandanten-fähig. Für eine kleinere Behörde oder Kommune mag dieser Umstand nicht so sehr ins Gewicht fallen. „Für die Größe unserer Organisationseinheit ist es ein Problem, dass das ISIS12-Tool eine Insellösung ist“, so Bauer.
Man könne zwar mehrere Lizenzen verwenden, aber der Informationsaustausch basiere lediglich auf einer Import-/Exportfunktion. „Wir haben zwar ISIS12 auf einem Webserver installiert, aber das System hat beispielsweise kein Dokumentenmanagementsystem integriert, das Mitarbeiterinnen und Mitarbeitern den Austausch und die Bearbeitung der automatisch aktualisierten Daten ermöglicht“, so seine Kritik. Auch sei man für die Erstellung von Berichten und Statistiken nach wie vor auf Standardanwendungen, wie Word und Excel, angewiesen.
Fazit: Primär für kleinere Kommunen
Das ISIS12-Tool ist, so Bauer, in erster Linie für den Mittelstand und kleinere Kommunen gedacht. Für größere Organisationen gäbe es unter anderem Lösungen wie DocSetMinder von GRC Partner GmbH oder IRIS von ibi systems GmbH. Bauer: „Diese bilden neben ISIS12 auch andere Standards ab“.
Bauers Fazit ist insgesamt trotzdem positiv: „Natürlich muss man dabei bedenken, dass das ISIS12-System im Vergleich zu anderen Systemen sehr preiswert ist und es für kleinere Kommunen und Behörden als Leitfaden sicher sehr sinnvoll eingesetzt ist“. Und es sei ein sehr guter Einstieg für kleinere Verwaltungsorganisationen und Kommunen zu mehr Datenschutz und Informationssicherheit.
Eduard Heilmayr war acht Jahre lang Chefredakteur bei „Markt & Technik“, anschließend dort im Verlagsmanagement tätig. 1992 gründete er die AWi Aktuelles Wissen Verlagsgesellschaft mbH in München, die IT-Fachmagazine wie „LANline“, „Windows NT“, „Unix Open“, „Inside OS/2“ und „Electronic Embedded Systeme“ publizierte. Nach dem Verkauf des Verlags gründete er 2004 Delphin Consult. Neben meist mehrjährigen Projektarbeiten für renommierte Medienunternehmen wie Heise oder techconsult publiziert Heilmayr für rund 4000 Leser regelmäßig den redaktionellen Newsletter „Kommunale ITK“, der im MittelstandsWiki eine eigene Rubrik hat.
