Informationssicherheit im Fokus: Gemeinde Haar ist ISIS12-zertifiziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISIS12-Zer­ti­fi­zie­rung erreicht. ISIS12 ist ein Stan­dard für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) und bil­det in 12 anschau­li­chen Schrit­ten auf Basis des bekann­ten IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ein Infor­ma­ti­ons­si­cher­heits­kon­zept ab. ISIS12 wur­de expli­zit für klei­ne und mitt­le­re Unter­neh­men (KMU) und kom­mu­na­le Ein­rich­tun­gen ent­wi­ckelt, für die auf­grund per­so­nel­ler Anfor­de­run­gen der “gro­ße” IT-Grund­schutz nicht durch­führ­bar ist.

In den 24 Mona­ten der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­kon­zepts hat die Gemein­de Haar unter ande­rem Schu­lun­gen und Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen in Sachen Infor­ma­ti­ons­si­cher­heit durch­ge­führt. Denn nicht nur das (tech­ni­sche) Sys­tem an sich muss in alle Rich­tun­gen sicher gemacht wer­den, son­dern auch die Men­schen, die mit den Daten umge­hen, müs­sen für das The­ma sen­si­bi­li­siert und geschult wer­den. Das reicht von der Akti­vie­rung der Bild­schirm­sper­re auch bei kür­zes­ter Abwe­sen­heit vom Arbeits­platz bis hin zur unacht­sa­men Frei­ga­be von Daten, wie etwa Pass­wör­ter offen am Schreib­tisch lie­gen zu lassen.
Zeit­gleich wur­den Pro­zes­se im Haus ver­bes­sert und Kon­zep­te erar­bei­tet, die IT-Struk­tur unter die Lupe genom­men und ein Not­fall­ma­nage­ment auf die Bei­ne gestellt. Denn Daten­schutz und Infor­ma­ti­ons­si­cher­heit müs­sen nicht nur im All­tag funk­tio­nie­ren – auch ech­te Not­fall-Sze­na­ri­en wur­den durch­ge­spielt und behan­delt: Was, wenn das Rat­haus mit all sei­nen Ser­vern abbrennt? Selbst dafür gibt es Lösungen.

Feder­füh­rend waren bei der Ein­füh­rung von ISIS12 die Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te der Gemein­de Haar Andrea Schmer­ber und die a.s.k. Daten­schutz Bera­tung unter Lei­tung von Sascha Kuhr­au. Sie waren es auch, die den Audi­tor Andre­as Mann bei der Erst­zer­ti­fi­zie­rung des Zer­ti­fi­zie­rungs­ver­bun­des – Rat­haus mit Bür­ger­haus und die Kita Casi­no­st­ra­ße – durch die Doku­men­te, Kon­zep­te und die Gebäu­de beglei­te­ten. Mit Erfolg, denn die Erst­zer­ti­fi­zie­rung hat geklappt.

Jetzt gilt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept aktu­ell und am Lau­fen zu hal­ten. Daher wird jähr­lich über­prüft, ob die Infor­ma­ti­ons­si­cher­heits­richt­li­ni­en ein­ge­hal­ten wer­den – denn die Tech­nik ist schnel­le­big und auch im Per­so­nal gibt es von Zeit zu Zeit einen Wech­sel. Außer­dem wer­den nach und nach immer mehr der gemeind­li­chen Ein­rich­tun­gen in den Zer­ti­fi­zie­rungs­ver­bund inte­griert. In der Öffent­lich­keit wird der zeit­in­ten­si­ve und arbeits­auf­wen­di­ge Pro­zess kaum wahr­ge­nom­men – und den­noch ist er für jede ein­zel­ne Bür­ge­rin und jeden ein­zel­nen Bür­ger von hoher Wich­tig­keit. Denn es sind ihre Daten, die damit geschützt wer­den. Anlass für die Ein­füh­rung von ISIS12 in der Gemein­de Haar war das Baye­ri­sche E‑Go­vern­ment-Gesetz von 2016. Die­ses ver­pflich­tet aus­nahms­los alle kom­mu­na­len Ver­wal­tungs­ein­rich­tun­gen zur Ein­füh­rung und zum Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Die Gemein­de Haar, allen vor­an deren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te Andrea Schmer­ber haben sich die­ser Her­aus­for­de­rung gestellt und das Ziel erreicht.

Übri­gens ist ein Infor­ma­ti­ons­si­cher­heits­kon­zept (ein­ge­führt und in Betrieb natür­lich) auch für das The­ma Daten­schutz inter­es­sant. Betrach­tet man Art. 32 DSVGO Sicher­heit der Ver­ar­bei­tung (exter­ner Link) genau­er, so fin­det man dar­in im Absatz 1 fol­gen­de Aussagen:

Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
- die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
- die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
- die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
- ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Und genau das stellt ein funk­tio­nie­ren­des Infor­ma­ti­ons­si­cher­heits­kon­zept sicher. Dabei beschränkt sich der Schutz eines sol­chen Kon­zepts nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern schließt alle schüt­zens­wer­ten Daten Ihrer Orga­ni­sa­ti­on mit ein. Geni­al, oder?

Sie wol­len in Ihrer Orga­ni­sa­ti­on eben­falls ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? BSI IT-Grund­schutz und ISO 27001 sind unpas­send? Spre­chen Sie uns an.

Zur Mel­dung der Gemein­de Haar (exter­ner Link)