Grundsätzlich gilt: Datenschutz und Informationssicherheit gehen Hand in Hand. Der Datenschutz betrifft vorrangig den Schutz personenbezogener Daten sowie das organisatorische Umfeld. Die Informationssicherheit dagegen betrachtet hauptsächlich die technische Umsetzung bei Hard- und Software inkl. der (auch präventiv) zu berücksichtigenden Schutzmaßnahmen. Dies speziell im Bereich der IT-Sicherheit (IT = Informationstechnik). Zwischen diesen gibt es sinnvolle und auch wichtige Schnittmengen und Wechselwirkungen.
Art. 11 des Bayerischen E-Government-Gesetz (BayEGovG) verpflichtet die Gemeinden:
Die Sicherheit der informationstechnischen Systeme der Behörden …. ist im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und Art. 32 des Bayerischen Datenschutzgesetzes (BayDSG) und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.
Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) sieht einen Informationssicherheitsbeauftragten als unbedingt erforderlich und empfiehlt hierzu entsprechende Maßnahmen.
Seit 01.01.2016 besteht aufgrund des Bayerischen E-Government-Gesetzes (BayEGovG) eine Verpflichtung für die Gemeinde sowie deren Einrichtungen und Eigenbetriebe zum Führen eines Informationssicherheitskonzeptes.
Zunächst wurde eine Einführungsfrist bis 01.01.2018 gewährt, die dann noch einmal bis zum 01.01.2020 verlängert wurde. Aufgrund der Unaufschiebbarkeit haben das Landratsamt Rosenheim und ca. 20 Landkreisgemeinden bereits im Jahr 2018 eine Zweckvereinbarung abgeschlossen, nach der ein/e gemeinsame/r Informationssicherheitsbeauftragte/r bestellt wird. Diese Aufgabe wurde dann an eine/n Beschäftigte/n beim Landkreis übertragen. Die dafür entstehenden Kosten teilen sich die beteiligten Kommunen auf. Oberaudorf hat jährlich einen Beitrag von ca. 2.800 Euro an den Landkreis zu leisten.
Leider hat sich herausgestellt, dass das Personal des Landkreises aufgrund der umfangreichen Anforderungen im Bereich der Informationssicherheit nicht in der Lage ist, die Aufgaben des Sicherheitsbeauftragen für die angeschlossenen Gemeinden umfassend zu erfüllen. Bisher wurden die erforderlichen Dokumente und Handlungsanweisungen weitgehend nicht erstellt sowie dringend notwendigen Sicherheitsuntersuchungen nicht durchgeführt. Das Landratsamt hat nicht die Kapazitäten, die Umsetzung, Begleitung und Prüfung aller geforderten Schritte und Maßnahmen, zeitlich, inhaltlich und rechtssicher darzustellen.
Die Gemeinde bekommt letztendlich keinen Gegenwert aus der Zweckvereinbarung. Es ist eher zu befürchten, dass Mängel im Informationssicherheitsbereich nicht ausreichend abgedeckt sind.
Soll die Aufgabe des Informationssicherheitsbeauftragen gewissenhaft wahrgenommen werden, benötigt er neben dem vielschichtigen Fachwissen vor allen Dingen auch im IT-Bereich ein ausreichendes Zeitkontingent. Der Informationssicherheitsbeauftragte ist eine Kontrollinstanz, der seine Aufgaben unabhängig von der IT-Organisation erfüllt. Deswegen ist bei der Besetzung der Stelle darauf zu achten, dass kein Interessenkonflikt vorliegt. Das bedeutet im Umkehrschluss, dass der Informationssicherheitsbeauftragte nicht gleichzeitig Leiter der IT-Abteilung
oder Systemadministrator sein darf. Andernfalls kommt er in die Situation, seine eigene Arbeit kontrollieren zu müssen. Ebenso scheiden auch Personen aus, die Personalverantwortung für den IT-Bereich tragen (Bürgermeister, Geschäftsleiter).
Als Nachweis, dass die Informationssicherheit einer Gemeindebehörde für die Beschäftigten und Bürger sichergestellt ist, müssen bestimmte Standards erfüllt werden, die schließlich zertifiziert werden. Beim ISB kommt es zudem auf umfangreiches technisches Fachwissen im EDV-Bereich an. Ebenso ist auf technische und rechtliche Neuerungen zu reagieren. Die Bedeutung einer sicheren EDV-Umgebung ist für die Funktionsfähigkeit von Verwaltungen essenziell. Städte, aber auch kleinere Gemeinden werden immer häufiger Opfer von Cyberkriminellen und Hackern. Bei "erfolgreichen" Angriffen und der damit einhergehenden möglichen Offenlegung, bzw. dem Verlust sensibler Daten, ist natürlich auch die Außendarstellung einer Kommune und der Vertrauensverlust der Bürger ein absolut ernstzunehmendes Thema. Gerade im Wiederholungsfall ist dieser Eindruck schwer wieder zu korrigieren.
Diese notwendigen Voraussetzungen kann die Gemeindeverwaltung selbst nicht wirtschaftlich leisten. Es müsste zusätzliches Fachpersonal generiert werden. Man ist schließlich zu dem Ergebnis gekommen, die Aufgaben des Informationssicherheitsbeauftragen an einen externen Dienstleister vertraglich abzugeben. Dadurch werden die umfangreichen Aufgaben der IT-Sicherheit professionell abgewickelt und die erforderlichen Nachweise können rechtssicher erbracht werden.
Aufgaben und Inhalte
• Abstimmung der Informationssicherheitsziele mit der Geschäftsleitung
• Erstellung eines ganzheitlichen, strukturierten und schlüsselfertigen
ISMS Konzepts (beinhaltet LSI/BSI IT –Grundschutz)
• Erstellung der Leitlinie zur Informationssicherheit
• Sicherstellung der Bekanntgabe der Leitlinie zur Informationssicherheit innerhalb der Gemeinde
• Erstellung, Anpassung und Führung des Informationssicherheitskonzeptes der
Gemeinde
• Beratung der Leitungsebene in allen Fragen zur Informationssicherheit
• Berichterstattung an Leitungsebene von Vorkommnissen, welche die
Informationssicherheit betreffen
• Regelmäßig Berichterstattung über den Stand der Informationssicherheit
• Sicherstellung des notwendigen Informationsflusses für das Informationssicher-
heitsmanagement (Berichtswesen, Dokumentation)
• Sicherstellen der Umsetzung von Informationssicherheitsmaßnahmen inklusive
der Zugriffsregelungen sowie aussagekräftige und nachvollziehbare
Dokumentationen
• Initiierung und Kontrolle der Informationssicherheitsmaßnahmen
• Durchführung von Sicherheitslückenchecks nach Bedarf
• Erstellung von IT- Identitäts- Berechtigungskonzepten
• Informationssicherheits- Flatrate
• Reaktions- Antwortzeit innerhalb von zwei Werktagen zu den üblichen Geschäftszeiten
• Fester Ansprechpartner für die Gemeindeverwaltung
• Koordinierung zielgruppenorientierter Sensibilisierungs- u. Schulungsmaßnahmen
zum Thema Informationssicherheit (E-Learning)
• Einbindung aller Bediensteten der Gemeinde in den Informationssicherheits-
prozess sowie in die Notfallvorsorge
• Leitung und Analyse zur Nachbearbeitung von Informationssicherheitsvorfällen
• Zusammenarbeit mit anderen Beauftragten aus dem Gebiet der (Informations-)
Sicherheit (z.B. Datenschutzbeauftragten)
Anwendungsbereich Gemeinde Oberaudorf
- Rathausverwaltung
- Bauhof
- Wertstoffhof
- Friedhöfe
- Tourist-Info
- Kläranlage
- Sachaufwandsträger für eine Grundschule mit Mittagsbetreuung
- Museum
- Bücherei
- Kindertagesstätte mit Kindergarten und Kinderkrippe
Die Geschäftsleitung, die Personalverwaltung und die IT-Abteilung haben nach umfangreicher Recherche und Erkundigungen bei anderen Behörden zwei geeignete Unternehmen ermittelt, die den gestellten Anforderungen der Informationssicherheit gerecht werden. Beide Unternehmen haben sich ausführlich mit hausinternen Präsentationen vorgestellt.
Nach eingehenden Beratungen hat sich herausgestellt, dass die die Firma CyberTecc GmbH (Neustadt) das wirtschaftlich günstigste Angebot abgegeben hat und die von uns gestellten Forderungen in Relation zum Kostenfaktor am nachhaltigsten erfüllen kann. Bei der Entscheidung wurden mehrere Referenzen geprüft. Die Gemeinde Kiefersfelden kommt zum gleichen Ergebnis.
