Informationen und Daten – sowie deren Schutz – gewinnen mit fortschreitender Digitalisierung der öffentlichen Verwaltung an Bedeutung. Externe Bedrohungen, etwa durch Cyberangriffe und Schäden durch Feuer bzw. Wasser, oder interne Faktoren wie ein lückenhaftes Wissensmanagement, können Ursachen dafür sein, warum Informationen nicht mehr zur Verfügung stehen.
Gerade Kommunen stehen in diesem Zusammenhang aufgrund ihrer besonderen Strukturen und ihrem direkten Kontakt zu Bürgerinnen und Bürgern vor vielfältigen Aufgaben.
Die Einführung eines Informationssicherheitssystems ermöglicht Kommunen, mit herausfordernden Sicherheitsfragen und -situationen souveräner umzugehen.
Geschäftsprozesse in der öffentlichen Verwaltung werden immer stärker auch online abgebildet. Das hat zur Folge, dass die Informationstechnik (IT) weiter ausgebaut und die technischen Systeme (z. B. Geräte, Anlagen, Server oder Datenbanken) komplexer werden. Bei nahezu all ihren Tätigkeiten sind Behördenmitarbeitende daher in zunehmendem Maße auf eine funktionierende IT angewiesen.
Deshalb müssen die IT-Sicherheitsmechanismen fortlaufend an Veränderungen und eine erhöhte technische Komplexität angepasst werden. Nur so kann gewährleistet werden, dass Verwaltungen auch im digitalen Zeitalter arbeitsfähig bleiben.
Die Informationssicherheit bezieht sich dabei nicht nur auf digitale Daten oder die IT-Infrastruktur. Daten – verstanden als rohe, unverarbeitete Zahlen und Fakten – werden in einer verarbeiteten, organisierten und kontextualisierten Form zu Informationen. In ihrer Interpretation erhalten Informationen eine Bedeutung und Relevanz, auf deren Grundlage Entscheidungen getroffen werden.
Daher umfasst Informationssicherheit auch den Schutz von Informationen jeglicher Art und Herkunft. Ebenfalls dazu gehören IT-Sicherheit bzw. Cybersicherheit sowie Fragen des Datenschutzes.
Obwohl die Informationssicherheit eng mit den Themen Cybersicherheit und IT-Sicherheit verzahnt ist, gilt es, diese begrifflichen Abgrenzungen zu berücksichtigen.
Die Verfügbarkeit, Vertraulichkeit und Integrität von Daten und Informationen.
Zum besseren Verständnis des Themas Informationssicherheit hat die PD ein Glossar# SHA-256: af710c094db39c29a09c0103377effd56ab785e20874e13d032b3e096dab5134 mit den wichtigsten Begriffen erstellt.
Das Bundesamt für Sicherheit in der Informationstechnik hat in den vergangenen Jahren eine Methodik zum Aufbau eines effektiven Informationssicherheitsmanagements (ISM) entwickelt. Diese wird regelmäßig überarbeitet und basiert auf der ISO-/IEC 2700x-Reihe, die als internationale Norm für die Einführung von Informationssicherheitssystemen dient.
Das IT-Grundschutzkompendium des BSI unterstützt als zentrales Dokument Nutzende, etwa Informationssicherheitsbeauftragte dabei, das Sicherheitsniveau zu erhöhen. Das BSI unterscheidet im Standard 200-2 drei unterschiedliche Vorgehensweisen mit im Ergebnis jeweils unterschiedlichen Sicherheitsniveaus: die Basis-Absicherung, die Kern-Absicherung und die Standard-Absicherung.
Viele Kommunen erkennen bereits die Chancen und Vorteile, die mit dem Einsatz eines Informationssicherheitsmanagementsystems (ISMS) verbunden sind. So kann etwa die Umsetzung von Maßnahmen, die die Informationssicherheit gewährleisten, das Vertrauen von Bürgerinnen und Bürgern in die öffentliche Verwaltung stärken.
Mitarbeitende einer Organisation wiederum werden durch solche Maßnahmen sensibilisiert. Ihre erhöhte Aufmerksamkeit kann dazu beitragen, dass mögliche Gefährdungen wie Cyberangriffe rechtzeitig erkannt und abgewehrt werden können.
Darüber hinaus kann ein kompetentes und gut aufgestelltes Team für Informationssicherheit dafür sorgen, dass Sicherheitsrisiken systematisch identifiziert, bewertet und reduziert werden.
Schließlich unterstützt die Informationssicherheit die Einhaltung relevanter Datenschutz- und Sicherheitsvorschriften, was besonders für Organisationen mit strengen regulatorischen Anforderungen wichtig ist. Also etwa Organisationen und Einrichtungen, die als „Kritische Infrastrukturen“ (KRITIS) eingestuft sind und von wesentlicher Bedeutung für das staatliche Gemeinwesen sind (z. B. Wasser, Gesundheit, Staat und Verwaltung, Energie, IT, Verkehr usw.).
Viele kommunale Einrichtungen bieten Bürgerinnen und Bürgern ungehinderten Zugang zu ihren Räumen. Für die Gewährleistung der Informationssicherheit ist dies eine Herausforderung. Denn bei unzureichenden Sicherheitsvorkehrungen besteht die Gefahr, dass Unbefugte Zugang zu schützenswerten Daten bekommen.
Darüber hinaus ist die Implementierung eines solchen Systems mit einem großen Ressourceneinsatz verbunden. Neben den oftmals hohen Anfangsinvestitionen müssen verantwortliche Akteure viel Zeit für die Umsetzung der Maßnahmen aufwenden.
Dies kann insbesondere kleinere Organisationen überfordern. Wenn Mitarbeitende nicht von Anbeginn an mitgenommen und in den Prozess eingebunden werden, kann es außerdem zu Widerständen bei der Umsetzung von Maßnahmen kommen.
Maßnahmen zur Umsetzung von Informationssicherheit in Kommunen zielen darauf ab, kritische Bereiche abzusichern und dadurch die Resilienz zu erhöhen. Ein wichtiger Aspekt ist dabei die Sensibilisierung der Mitarbeitenden, denn nicht nur Cyberangriffe stellen ein Risiko dar, sondern auch ungeschultes Personal. Dabei geht es sowohl darum, Führungskräfte und Mitarbeitende fachlich zu befähigen als auch bei ihnen ein Bewusstsein für potenzielle Risiken zu schaffen – mit dem Ziel, diese zu verringern.
Schon mit einfachen ersten Maßnahmen kann sich eine Kommune sicherer aufstellen und tendenziell gewährleisten, dass Daten und Informationen vertraulich, verfügbar und integer sind.
Dazu zählen etwa die Vergabe von sicheren Passwörtern, die Regelung von Zutritten zu Räumen und Gebäuden oder die organisationsinterne Bekanntgabe einer Telefonnummer für einen IT-Notfall.
Darüber hinaus lernen Mitarbeitende und Führungskräfte durch Cybersicherheitsübungen, welche Gefahren von Hackerangriffen ausgehen und welche Auswirkungen ein unsachgemäßer Umgang mit Daten und Informationen haben kann.
Speziell für kommunale Schulträger gibt die PD auf der Plattform Schul-IT-Navigator Empfehlungen zum Thema Informationssicherheit in Schulen und stellt dafür zahlreiche Musterkonzepte und Umsetzungshilfen zur Verfügung.
Das Thema Cybersicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik und betrifft alle föderalen Ebenen. Es muss daher strategisch angegangen und vernetzt gedacht werden.
Auf der „Aktuell im Fokus“-Seite zur Cybersicherheit finden sich hierzu weitergehende Informationen, unter anderem im Cybersicherheitspapier der PD# SHA-256: 73be021cf3843b2e94fad7080a67e3215636f5932a76cb733131b2703aea92b4 „Vernetzung und Standardisierung stärken – für eine wirksame Prävention und Abwehr von Cybersicherheitsvorfällen“
Uta Fiedler Managerin
+49 172 261 45 01 Im Fleethof, Stadthausbrücke 3 20355 Hamburg