DQS im Dialog
DQS Website Abonnieren

Informationssicherheit in Kommunen

Kleinere und mittelständische Unternehmen (KMU) sowie Kommunen und öffentliche Verwaltungen können sich der Verpflichtung nicht mehr entziehen, einen adäquaten Schutz ihrer Daten und Informationen sicherzustellen. Mit einem Informationssicherheitskonzept nach dem Regelwerk CISIS12® kann dieser Anspruch bei Schutzzielen der Informationssicherheit erfüllt werden. Voraussetzung: Die bestehenden Organisationsstrukturen sollten über einen gewissen Grad an Komplexität nicht hinausgehen. Im Interview für den kommunalen Bereich: Der Bürgermeister der saarländischen Gemeinde Marpingen, Volker Weber.
Interview © Adobe Stock Informationssicherheit in Kommunen mit ISIS12

Informationssicherheit nach CISIS12® (ISIS12 V3)

Mit CISIS12® hat das bayerische IT-Sicherheitsclusters eine Erweiterung der bewährten Methodik ISIS12 entwickelt und veröffentlicht. CISIS12® rückt das Thema Compliance stärker in den Vordergrund und entspricht der Version 3 von ISIS12. Der Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. 

Das in den vergangenen Jahren konsequent weiterentwickelte Regelwerk orientiert sich weniger am BSI IT-Grundschutz, sondern mehr an der international bekannten Norm ISO 27001 für Informationssicherheits-Managementsysteme.

Insgesamt wird so die Migration von CISIS12® (ISIS12 V3) auf die ISO-Norm erleichtert. Dies greift, wenn Kommunen und KMU feststellen, dass sich der eigene Sicherheitsbedarf erhöht hat. Zur Umsetzung der Datenschutz-Grundverordnung enthält die Software ein DSGVO-Modul. Das Regelwerk ist unabhängig zertifizierbar.

Informationssicherheit in der kommunalen Verwaltung: Die Gemeinde Marpingen hat – als erste Kommune im Saarland – ein Informationssicherheitskonzept nach ISIS12 implementiert und dafür nach entsprechenden Audits im Frühjahr 2020 ein Zertifikat der DQS erhalten. DQS im Dialog hat mit Bürgermeister Volker Weber gesprochen.

Interview: Informationssicherheit in Kommunen

Zu allererst, Herr Bürgermeister: Welche Pflichten hinsichtlich Informationssicherheit hat eine saarländische Kommune überhaupt einzuhalten?

Bürgermeister Volker Weber: Unser oberstes Ziel ist es, die bei unserer Kommunalverwaltung gespeicherten privaten und brisanten Daten unserer Bürgerinnen und Bürger, der in unserer Gemeinde angesiedelten Unternehmen und Organisationen zu schützen. Die konkreten Pflichten wie wir dies zu tun haben ergeben sich aus dem saarländischen Informationssicherheitsgesetz und natürlich der Datenschutz-Grundverordnung.

Informationssicherheit in Kommunen: Bürgermeister Volker Weber, Marpingen, im Interview

„Informationssicherheit in Kommunen: Vielerorts immer noch Neuland.“

 

 

 

 

 

 

Volker Weber, Bürgermeister der Gemeinde Marpingen

Was sind die Besonderheiten einer Kommune bei Informationssicherheit – verglichen mit einem Unternehmen der freien Wirtschaft?

Ich glaube es gibt bei den Themen Informationssicherheit und Datenschutz drei wesentliche Unterschiede zwischen Unternehmen und kommunalen Verwaltungsbehörden. Daten, die in unserer Verwaltung abgespeichert und verarbeitet werden, haben BürgerInnen uns nicht unbedingt freiwillig gegeben. Es handelt sich zum Teil um Informationen, die uns die BürgerInnen zwingend übermitteln müssen, damit wir unsere staatlichen Aufgaben erfüllen können. Gerade bei solchen Daten müssen sich BürgerInnen zu einhundert Prozent darauf verlassen können, dass sie sicher geschützt sind.

Ein weiterer Unterschied: Als staatliche Behörde sind wir natürlich auskunftspflichtig und müssen auch hier einen Ausgleich zwischen Transparenz und Informationssicherheit finden.

Ein wichtiger Unterschied ist zudem das Geld, das für Datensicherheit bereitsteht. Hier muss eine Haushaltsnotlagekommune länger und intensiver nachdenken, wie sie ihre Mittel verwendet, als ein prosperierendes Unternehmen.

Wie sind Sie als „oberste Leitung“ bei der Einführung des Informationssicherheitskonzepts vorgegangen? Wie war Ihr Plan?

Bei Gesprächen mit Amtskollegen wurde mir sehr schnell bewusst, dass ein Informationssicherheits-Managementsystem (ISMS) in vielen Kommunen als Neuland erachtet wird. Nachdem mein Team und ich uns umfassend informiert haben, wollten wir es im Rathaus schnell und vollumfänglich einführen.

Informationssicherheit in Kommunen: Vielerorts Neuland.

Zur Finanzierung gab es mehrere Abstimmungsgespräche mit dem saarländischen Innenministerium, das eine Förderung ermöglicht hat. Mit der Hilfe einer externen Beratungsfirma waren wir schlussendlich die erste Kommune im Saarland, die ein ISMS einführen konnte.

CISIS12® (ISIS12 V3) – Informationssicherheit in Kommunen und KMU

Das sind die Vorteile:

  • bedarfsgerechter, pragmatischer Einstieg in die Informationssicherheit
  • überschaubarer Aufwand und Kosten, ggf. finanzielle Förderung
  • stärkeres Sicherheitsbewusstsein Ihrer Mitarbeiter und Führungskräfte
  • größeres Vertrauen in der Öffentlichkeit
  • zertifiziertes Informationssicherheitsniveau als anerkannter Nachweis

Kontaktieren Sie uns – unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Welche Aufgaben und Verpflichtungen haben Sie als oberste Leitung im Rahmen der Informationssicherheit?

Die Daten der Kommune und Ihrer BürgerInnen müssen bestmöglich geschützt sein. Meine Hauptaufgabe ist es, dass unser Informationssicherheitsmanagement funktioniert, dass es gut umgesetzt wird und eine hohe Akzeptanz hat. Ich denke das geht am besten, indem man den Mitarbeiterinnen und Mitarbeitern ein klares Regelwerk mit an die Hand gibt, und sie durch regelmäßige Schulung und Information sensibilisiert und für das Thema gewinnt. Ein ISMS kann nur gelingen, wenn alle MitarbeiterInnen die Bedeutung der Informationssicherheit voll verinnerlicht haben. Natürlich muss ein Management für Informationssicherheit auch auf die politische Agenda gehoben und das Projekt ausreichend finanziert werden. Auch das ist mein Job.

Die Gemeinde Marpingen verfügt als erste Kommune im Saarland über ein Zertifikat für ein Informationssicherheitsmanagement nach ISIS12.
Erste Gemeinde im Saarland mit einem Zertifikat für Informationssicherheit nach ISIS12: Marpingen (Rechtenachweis: Becker&Bredel/Gemeinde Marpingen)

Wenn Sie kein ISMS durch die Förderung eingeführt hätten, wie wären dann die Informationen bei Ihrer Kommune geschützt gewesen?

Natürlich haben wir uns mit einem entsprechenden Informationssicherheitskonzept schon viel früher mit dem Schutz der Daten unserer BürgerInnen beschäftigt und Wert auf ordentlichen Datenschutz gelegt. Mit den neuen gesetzlichen Vorgaben haben sich allerdings die Standards geändert und wir mussten nachrüsten, gerade beim Thema Dokumentation. Die finanzielle Förderung hat es uns sehr erleichtert, ein ISMS umzusetzen und kam genau zum richtigen Zeitpunkt.

Wer musste – außerhalb der Gemeindeverwaltung – mit ins Boot geholt werden?

Mit einem externen Beratungsunternehmen aus der Region haben wir einen kompetenten Partner gefunden, der uns beim Aufbau und der Etablierung des ISMS begleitet hat. Aus meiner Sicht ist es wichtig, dass man sich hier externe Hilfe holt, um auch einen neutralen, kritischen Blick von außen zu bekommen.

Welche Stolpersteine lagen bei Ihnen im Weg zur Einführung? Welche Anforderungen waren für Sie schwer umzusetzen?

In den Bereichen technische Umsetzung und Organisation waren wir schon vor Einführung des Informationssicherheitskonzeptes nach ISIS12 recht weit. Im Bereich Dokumentation galt es für uns aufzuholen. Viel leisten mussten wir auch im Bereich der Mitarbeiterschulung und Sensibilisierung.

Wie ist das Sicherheitsempfinden innerhalb der Gemeindeverwaltung heute – nach der Einführung und Zertifizierung von ISIS12?

Man geht deutlich bewusster und präsenter mit dem Thema Informationssicherheit in der Kommune um. Was ebenfalls ganz klar gestiegen ist, ist die Kompetenz der MitarbeiterInnen in der Verwaltung bei den Themen IT-Sicherheit, Informationssicherheit und dem Umgang mit den Rahmenbedingungen, die es zu erfüllen gilt.

„Es ist wichtig, dass man sich externe Hilfe holt, um einen neutralen, kritischen Blick von außen zu bekommen.“

Und was merken die BürgerInnen von der Einführung und Umsetzung Ihres Systems?

Die merken davon wenig – und das müssen sie aus meiner Sicht auch nicht, denn guter Datenschutz und Informationssicherheit läuft idealerweise im Hintergrund ab.

Gibt es Pläne, wie Sie die Informationssicherheit in der Kommune weiterentwickeln werden?

Wir werden in Zusammenarbeit mit unserem Beratungspartner unser Managementsystem für Informationssicherheit der Gemeinde Marpingen verbessern. Die Vorschläge und Anregungen aus dem DQS-Audit werden wir aufnehmen und entwickeln.

Wie unterstützt Informationssicherheit die Digitalisierung der Kommune? Gibt es nun neue digitale Angebote für die BürgerInnen?

Einen Vorteil, den unser Informationssicherheitssystem bringt, ist, dass dadurch ganz klare „Spielregeln“ auch für neue Angebote und Dienste auf dem Platz sind. Die Mindestanforderungen neuer Angebote sind klar definiert.

Welches sind die nächsten Digitalisierungsprojekte?

Mehrere Projekte stehen an. Hervorzuheben ist vor allem die Einführung eines Dokumentenmanagementsystems. Natürlich ist auch mobiles Arbeiten bei uns ein Thema. In den kommenden Jahren wollen wir es auch schaffen, weitere Dienstleistungen nach dem Online-Zugangsgesetz für unsere BürgerInnen digital anzubieten.

Viel Erfolg weiterhin bei Informationssicherheit in der kommunalen Verwaltung, Herr Bürgermeister.

Besten Dank für das Gespräch mit Ihnen.

CISIS12® – Informationssicherheit in 12 Schritten

Mit ISIS12 wurde im Dezember 2012 vom Bayerischen IT-Sicherheitscluster e.V. ein Informationssicherheitskonzept herausgegeben, das besonders auf die Anforderungen von KMU und Kommunen abgestimmt war. Seither wurde das Regelwerk konsequent weiterentwickelt und in der dritten Version als CISIS12® veröffentlicht. Formal macht CISIS12® gegenüber ISIS12 einen noch deutlicheren Schritt auf umfangreichere, etablierte Managementsysteme wie ISO 27001 zu.

Der neue Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. Damit wird deutlich, dass das Thema Compliance inhaltlich im gesamten Prozess stark an Bedeutung gewonnen hat und die oberste Leitung stärker einbezogen wird. Das Regelwerk ist unabhängig auditierbar und zertifizierbar. Für den Einsatz gibt es bezüglich der Organisationsgröße nach oben keine Grenzen. Vielfach ist eine bundeslandspezifische Förderung anfallender Kosten möglich.

Die DQS – der richtige Partner an Ihrer Seite

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Unsere Audits sind eine individuelle Auseinandersetzung mit Ihren Unternehmenszielen und Prozessen. Wir richten den Blick auf Verbesserungspotenzial und regen zum Perspektivenwechsel an. Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden.

Wenn auch Sie Erfahrungen mit einem Informationssicherheitskonzept nach CISIS12® (ISIS12 V3) zum Beispiel für Kommunen sammeln möchten, sprechen Sie uns an. Wir freuen uns über den Kontakt mit Ihnen.