DQS im Dialog
DQS Website Abonnieren

Informationssicherheit in Kommunen

Kleinere und mittelständische Unternehmen (KMU) sowie Kommunen und öffentliche Verwaltungen können sich der Verpflichtung nicht mehr entziehen, einen adäquaten Schutz ihrer Daten und Informationen sicherzustellen. Mit einem Informationssicherheitskonzept nach dem Regelwerk ISIS12 kann dieser Anspruch bei Schutzzielen der Informationssicherheit erfüllt werden. Voraussetzung: Die bestehenden Organisationsstrukturen sollten über einen gewissen Grad an Komplexität nicht hinausgehen. Im Interview für den kommunalen Bereich: Der Bürgermeister der saarländischen Gemeinde Marpingen, Volker Weber.
Interview (c) Adobe Stock Informationssicherheit in Kommunen mit ISIS12

ISIS12 liegt seit 2020 in der überarbeiteten Version 2.02 vor. Nach der Überarbeitung orientiert sich das Regelwerk weniger am BSI IT-Grundschutz, sondern mehr an ISO 27001 sowie an Ergänzungen des Regelwerkgebers, des bayersichen IT-Sicherheitsclusters e.V.

Insgesamt wird so die Migration von ISIS12 auf die ISO-Norm erleichtert. Dies greift, wenn Kommunen und KMU feststellen, dass sich der eigene Sicherheitsbedarf erhöht hat. Auch zur Umsetzung der Datenschutz- Grundverordnung (DS-GVO) liegt mittlerweile ein Zusatzmodul vor.

Informationssicherheit in der kommunalen Verwaltung: Die Gemeinde Marpingen hat – als erste Kommune im Saarland – ein Informationssicherheitskonzept nach ISIS12 implementiert und dafür nach entsprechenden Audits im Frühjahr 2020 ein Zertifikat der DQS GmbH erhalten. DQS im Dialog hat mit Bürgermeister Volker Weber gesprochen.

Interview: Informationssicherheit in Kommunen

Zu allererst, Herr Bürgermeister: Welche Pflichten hinsichtlich Informationssicherheit hat eine saarländische Kommune überhaupt einzuhalten?

Bürgermeister Volker Weber: Unser oberstes Ziel ist es, die bei unserer Kommunalverwaltung gespeicherten privaten und brisanten Daten unserer Bürgerinnen und Bürger, der in unserer Gemeinde angesiedelten Unternehmen und Organisationen zu schützen. Die konkreten Pflichten wie wir dies zu tun haben ergeben sich aus dem saarländischen Informationssicherheitsgesetz und natürlich der Datenschutz-Grundverordnung.

Was sind die Besonderheiten einer Kommune bei Informationssicherheit – verglichen mit einem Unternehmen der freien Wirtschaft?

Ich glaube es gibt bei den Themen Informationssicherheit und Datenschutz drei wesentliche Unterschiede zwischen Unternehmen und kommunalen Verwaltungsbehörden. Daten, die in unserer Verwaltung abgespeichert und verarbeitet werden, haben BürgerInnen uns nicht unbedingt freiwillig gegeben. Es handelt sich zum Teil um Informationen, die uns die BürgerInnen zwingend übermitteln müssen, damit wir unsere staatlichen Aufgaben erfüllen können. Gerade bei solchen Daten müssen sich BürgerInnen zu einhundert Prozent darauf verlassen können, dass sie sicher geschützt sind.

Informationssicherheit in Kommunen: Bürgermeister Volker Weber, Marpingen, im Interview
Volker Weber, Bürgermeister der Gemeinde Marpingen im Saarland

Ein weiterer Unterschied: Als staatliche Behörde sind wir natürlich auskunftspflichtig und müssen auch hier einen Ausgleich zwischen Transparenz und Informationssicherheit finden.

Ein wichtiger Unterschied ist zudem das Geld, das für Datensicherheit bereitsteht. Hier muss eine Haushaltsnotlagekommune länger und intensiver nachdenken, wie sie ihre Mittel verwendet, als ein prosperierendes Unternehmen.

Wie sind Sie als „Oberste Leitung“ (OL) bei der Einführung des Informationssicherheitskonzepts vorgegangen? Wie war Ihr Plan?

Bei Gesprächen mit Amtskollegen wurde mir sehr schnell bewusst, dass ein Informationssicherheits-Managementsystem (ISMS) in vielen Kommunen als Neuland erachtet wird. Nachdem mein Team und ich uns umfassend informiert haben, wollten wir es im Rathaus schnell und vollumfänglich einführen.

Informationssicherheit in Kommunen: Vielerorts Neuland.

Zur Finanzierung gab es mehrere Abstimmungsgespräche mit dem saarländischen Innenministerium, das eine Förderung ermöglicht hat. Mit der Hilfe einer externen Beratungsfirma waren wir schlussendlich die erste Kommune im Saarland, die ein ISMS einführen konnte.

ISIS12 – Informationssicherheit in Kommunen und KMU

Das sind die Vorteile von ISIS12:

  • bedarfsgerechter, pragmatischer Einstieg in die Informationssicherheit
  • überschaubarer Aufwand und Kosten, ggf. finanzielle Förderung
  • stärkeres Sicherheitsbewusstsein Ihrer Mitarbeiter und Führungskräfte
  • größeres Vertrauen in der Öffentlichkeit
  • zertifiziertes Informationssicherheitsniveau als anerkannter Nachweis

Kontaktieren Sie uns – unverbindlich und kostenfrei.

Anfrage jetzt absenden

Welche Aufgaben und Verpflichtungen haben Sie selbst als OL im Rahmen der Informationssicherheit?

Die Daten der Kommune und Ihrer BürgerInnen müssen bestmöglich geschützt sein. Meine Hauptaufgabe ist es, dass unser Informationssicherheitsmanagement funktioniert, dass es gut umgesetzt wird und eine hohe Akzeptanz hat. Ich denke das geht am besten, indem man den Mitarbeiterinnen und Mitarbeitern ein klares Regelwerk mit an die Hand gibt, und sie durch regelmäßige Schulung und Information sensibilisiert und für das Thema gewinnt. Ein ISMS kann nur gelingen, wenn alle MitarbeiterInnen die Bedeutung der Informationssicherheit voll verinnerlicht haben. Natürlich muss ein ISMS auch auf die politische Agenda gehoben und das Projekt ausreichend finanziert werden. Auch das ist mein Job.

Die Gemeinde Marpingen verfügt als erste Kommune im Saarland über ein Zertifikat für ein Informationssicherheitsmanagement nach ISIS12.
Erste Gemeinde im Saarland mit einem Zertifikat für Informationssicherheit nach ISIS12: Marpingen (Rechtenachweis: Becker&Bredel/Gemeinde Marpingen)

Wenn Sie kein ISMS durch die Förderung eingeführt hätten, wie wären dann die Informationen bei Ihrer Kommune geschützt gewesen?

Natürlich haben wir uns mit einem entsprechenden Informationssicherheitskonzept schon viel früher mit dem Schutz der Daten unserer BürgerInnen beschäftigt und Wert auf ordentlichen Datenschutz gelegt. Mit den neuen gesetzlichen Vorgaben haben sich allerdings die Standards geändert und wir mussten nachrüsten, gerade beim Thema Dokumentation. Die finanzielle Förderung hat es uns sehr erleichtert, ein ISMS umzusetzen und kam genau zum richtigen Zeitpunkt.

Wer musste – außerhalb der Gemeindeverwaltung – mit ins Boot geholt werden?

Mit einem externen Beratungsunternehmen aus der Region haben wir einen kompetenten Partner gefunden, der uns beim Aufbau und der Etablierung des ISMS begleitet hat. Aus meiner Sicht ist es wichtig, dass man sich hier externe Hilfe holt, um auch einen neutralen, kritischen Blick von außen zu bekommen.

Welche Stolpersteine lagen bei Ihnen im Weg zur Einführung? Welche Punkte der ISIS12-Anforderungen waren für Sie schwer umzusetzen? Und wo waren Sie schon soweit?

In den Bereichen technische Umsetzung und Organisation waren wir schon vor der ISIS12-Richtlinie recht weit. Im Bereich Dokumentation galt es für uns aufzuholen. Viel leisten mussten wir auch im Bereich der Mitarbeiterschulung und Sensibilisierung.

Wie ist das Sicherheitsempfinden innerhalb der Gemeindeverwaltung heute – nach der Einführung und Zertifizierung von ISIS12?

Man geht deutlich bewusster und präsenter mit dem Thema Informationssicherheit um. Was aber sicherlich ganz klar gestiegen ist, ist die Kompetenz der MitarbeiterInnen in der Verwaltung bei den Themen IT-Sicherheit, Informationssicherheit und dem Umgang mit den Rahmenbedingungen, die es zu erfüllen gilt.

„Es ist wichtig, dass man sich externe Hilfe holt, um einen neutralen, kritischen Blick von außen zu bekommen.“

Und was merken die BürgerInnen von der Einführung und Umsetzung Ihres ISMS?

Die merken davon wenig – und das müssen sie aus meiner Sicht auch nicht, denn guter Datenschutz und Informationssicherheit läuft idealerweise im Hintergrund ab.

Gibt es Pläne, wie Sie die Informationssicherheit in der Kommune weiterentwickeln werden?

Wir werden in Zusammenarbeit mit unserem Beratungspartner das ISMS der Gemeinde Marpingen verbessern. Die Vorschläge und Anregungen aus dem Audit werden wir aufnehmen und entwickeln.

Wie unterstützt Informationssicherheit die Digitalisierung der Kommune? Gibt es nun neue digitale Angebote für die BürgerInnen?

Einen Vorteil, den das ISMS bringt, ist, dass dadurch ganz klare „Spielregeln“ auch für neue Angebote und Dienste auf dem Platz sind. Die Mindestanforderungen neuer Angebote sind klar definiert.

Welches sind die nächsten Digitalisierungsprojekte?

Mehrere Projekte stehen an. Hervorzuheben ist vor allem die Einführung eines Dokumentenmanagementsystems. Natürlich ist auch mobiles Arbeiten bei uns ein Thema. In den kommenden Jahren wollen wir es auch schaffen, weitere Dienstleistungen nach dem Online-Zugangsgesetz für unsere BürgerInnen digital anzubieten.

Viel Erfolg weiterhin bei Informationssicherheit in der kommunalen Verwaltung, Herr Bürgermeister.

Besten Dank für das Gespräch mit Ihnen.

ISIS12 – Informationssicherheit in 12 Schritten
ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und im Dezember 2012 vom Bayerischen IT-Sicherheitscluster e.V. erstmals herausgegeben. Seither können Unternehmen und Kommunen ein ISMS gemäß ISIS12 implementieren und von der DQS zertifizieren lassen. Das Zertifikat hat eine Laufzeit von drei Jahren. Das Informationssicherheitskonzept basiert in der Version 2.02 stärker auf ISO 27001 und eigenen Ergänzungen als auf dem IT-Grundschutz-Katalog des BSI (Bundesamt für Sicherheit in der Informationstechnik). Vielfach ist eine bundeslandspezifische Förderung anfallender Kosten möglich.

Die DQS – der richtige Partner an Ihrer Seite

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Unsere Audits sind eine individuelle Auseinandersetzung mit Ihren Unternehmenszielen und Prozessen. Wir richten den Blick auf Verbesserungspotenzial und regen zum Perspektivenwechsel an. Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden.

Wenn auch Sie Erfahrungen mit einem Informationssicherheitskonzept nach ISIS12 z.B. für Kommunen sammeln möchten, sprechen Sie uns an. Wir freuen uns über das Gespräch mit Ihnen.