Dingolfing ist in IT-Sicherheit 12 Schritte voraus
Von David Schahinian
Öffentliche Verwaltungen müssen zahlreiche IT-Sicherheitsvorgaben erfüllen und diese zielgerichtet umsetzen. Knappe Kassen und eine erhöhte Sensibilität in Sachen Datensicherheit und Datenschutz machen die Aufgabe nicht einfacher. Mit ISIS12 steht ein Informationssicherheitsmanagementsystem zur Verfügung, das die wichtigsten Vorgaben in zwölf kompakte Schritte zusammenfasst. Damit wird es für Kommunen einfacher umsetzbar und leichter finanzierbar. Die niederbayerische Stadt Dingolfing wurde nun als erste deutsche Kommune nach diesem Vorgehensmodell zertifiziert.
ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitsclusters entwickelt. Ein großer Vorteil des Systems ist, dass es zahlreiche Anforderungen sowohl der IT-Grundschutzkataloge als auch der ISO/IEC 27001 umfasst und diese auf ein praktikables und verständliches Maß herunterbricht. Bisherige Systeme waren vor allem für große Unternehmen konzipiert worden, aber nicht für kleinere öffentliche Verwaltungen wie jene in Dingolfing – der Ort hat knapp 19.000 Einwohner. Ein späterer Ausbau der Schutzmaßnahmen ist nicht ausgeschlossen: „Das Verfahren kann als mögliche Vorstufe zur ISO/IEC 27001- beziehungsweise BSI IT-Grundschutz-Zertifizierung verwendet werden“, schreibt das Bundesministerium für Wirtschaft und Energie.
Bürger sehen genauer hin
Wie das in der Praxis aussehen kann, hat die bayerische Kleinstadt nun erstmals gezeigt. „Während des Audits zeigten sich die transparenten und nachvollziehbaren Strukturen und Abläufe“, lobte Sabine Roeb-Vollmer, Auditorin bei der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) GmbH. Das Unternehmen ist Exklusivpartner für die ISIS12-Zertifizierung. Die ISIS12-Dokumentation Dingolfings sei „pragmatisch und gleichzeitig aussagekräftig“, so Roeb-Vollmer weiter.
In den Gesprächen vor Ort sei deutlich erkennbar gewesen, dass „die Leitungsebene des Rathauses der Informationssicherheit einen hohen Stellenwert beimisst“ – zu Recht: Nach einer Vielzahl an öffentlichkeitswirksamen Skandalen in puncto Datensicherheit ist davon auszugehen, dass nach den Kunden privatwirtschaftlicher Unternehmen auch die Bürger ihrer Kommune künftig noch genauer auf die Finger schauen werden.
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Geprüft und für gut befunden
Die Städte und Gemeinden bekommen den Druck ohnehin auch von anderer Seite zu spüren: Die gesetzlichen Vorgaben werden zunehmend strenger, die Komplexität technischer Systeme ebenfalls. Die Zertifizierung bedeutet im Übrigen nicht, dass die Stadt nicht schon vorher Maßnahmen zur IT-Sicherheit umgesetzt hätte. Man habe sich trotzdem für die Implementierung von ISIS12 entschieden, sagt Alexander Schmidlkofer, IT-Leiter der Dingolfinger Stadtverwaltung.
Die Prozesse wurden umfangreich dokumentiert, und können nun auch vertrauensbildend nach außen wirken: Mit der erfolgreichen Zertifizierung habe die Stadt gegenüber ihren Bürgern einen Nachweis, dass sie sorgfältig mit den ihr anvertrauten Daten umgeht. Das Zertifikat hat eine Gültigkeit von drei Jahren. Auch von staatlicher Stelle hat das System seinen Segen erhalten: ISIS12 wird sowohl vom IT-Planungsrat als auch von der Initiative Cybersicherheit des Bayerischen Staatsministeriums des Innern offiziell für den Einsatz in Kommunen empfohlen.
David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.
Nachfolger erhalten Hilfestellung
Als Vorteile von ISIS12 für Kommunen, insbesondere im Vergleich zum BSI-Grundschutz auf Basis von ISO/IEC 27001, stellt der Cluster unter anderem das stark geführte Konzept mit konkreten Handlungsempfehlungen heraus: Das Erstzertifizierungsaudit dauert in der Regel lediglich zwei Personentage, zudem steht ein ISIS12-Softwaretool zur Verfügung. Die Einführung erfolgt anhand eines ISIS12-Handbuchs und eines ISIS12–Katalogs, die für kommunale Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen kostenlos erhältlich sind.
Ehre also, wem Ehre gebührt: Auf der CeBIT in Hannover wurde der Dingolfinger Stadtverwaltung als erster deutscher Kommune das ISIS12-Zertifikat überreicht. Sie hatte übrigens noch eine weitere Pilotfunktion inne: als wichtiger Tippgeber und Sparringspartner für eine „Handreichung ISIS12 für Kommunen – Städte“, die kontinuierlich weiterentwickelt werden soll. Das Kompendium dient als Hilfestellung für öffentliche Einrichtungen, die ISIS12 ebenfalls implementieren wollen, und ist beim Bayerischen IT-Sicherheitscluster erhältlich.
