Kommune

Fördermittelaudit Kommunalprofil und Basis-Absicherung BSI IT-Grundschutz für bayerische Kommunen

von Sascha Kuhrau
20. Juli 2023

Sie sind eine bayerische Kommune? Haben Fördermittel im Rahmen der Richtlinie zur Förderung von Informationssicherheit des Freistaats Bayern beantragt? Sie stehen jetzt kurz vor dem Abschluss der Einführung eines ISMS auf Basis des sog. Kommunalprofils oder der Basis-Absicherung des BSI IT-Grundschutz? Und Sie brauchen bald als Nachweis zur Beantragung der Ausschüttung der Fördermittel den notwendigen Prüfnachweis für die Fördermittelstelle? Dann sprechen Sie uns frühzeitig an.

Wir freuen uns, dass wir bayerischen Kommunen den notwendigen Auditor bieten und das Fördermittelaudit auf Basis eines belastbaren und nachvollziehbaren Prüfschemas durchführen können. Unterstützt wird das Audit und die Audit-Dokumentation durch unser hausinternes Audit-Tool, das am Ende einen belastbaren und nachvollziehbaren Audit-Bericht erstellt.

Dabei gibt es jedoch eine klassische Audit-Regel zu beachten: Wer berät, auditiert nicht. Wenn Sie also durch uns bei der Einführung Ihres ISMS auf Basis des BSI IT-Grundschutz begleitet wurden, können wir Sie nicht auditieren. Das versteht sich eigentlich von selbst. Gerne stellen wir Ihnen aber in diesem Fall den Kontakt zu qualifizierten Auditoren her. Auswählen müssen Sie dann jedoch selbst 🙂

Mehr Infos hier.

Fördermittel zur Arbeitshilfe für bayerische Kommunen

von Sascha Kuhrau
8. April 2022
1 Kommentar

Im Zuge der Neufassung der ISMS-Fördermittelrichtlinie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 können bayerische Kommunen nun endlich auch für die Einführung eines Informationssicherheitskonzepts auf Basis der sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune Fördermittel erhalten.

Voraussetzungen für Fördermittel zur Arbeitshilfe Informationssicherheit

Maximal bis zu 150 Arbeitsplätzen
Bisher noch kein Siegel “Kommunale IT-Sicherheit” des LSI
Das Projekt darf noch nicht vertraglich fixiert sein

Was wird konkret gefördert?

Die Beratung und Begleitung bei der Implementierung durch fachkundige IT-Dienstleister.
Schulungen für Mitarbeiter durch zertifizierte Anbieter.

Wie hoch sind die Fördermittel zur Arbeitshilfe Informationssicherheit?

Bis zu 50 % der zuwendungsfähigen Ausgaben für die Umsetzung der Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten der Innovationsstiftung Bayerische Kommune, höchstens 5 000 Euro.

Wie beantrage ich als bayerische Kommune die Fördermittel zur Arbeitshilfe Informationssicherheit?

Anträge auf Gewährung einer Förderung sind schriftlich oder elektronisch an die Regierung von Oberfranken als Bewilligungsstelle zu richten. Das Antragsformular und alle weiteren Informationen sind zu finden unter https://www.regierung.oberfranken.bayern.de/aufgaben/192169/192172/leistung/leistung_35004/index.html

Weitere Informationen und Links zum Informationssicherheitskonzept Arbeitshilfe

Fördermittelrichtlinie vom 07.03.2022
Version 4 der Arbeitshilfe (Download bei der Innovationsstiftung Bayerische Kommune)
Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik (LSI) Bayern

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

von Sascha Kuhrau
18. September 202119. September 2021
1 Kommentar

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen — jetzt mit LSI Siegel

von Sascha Kuhrau
7. Oktober 2019

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. “Arbeitshilfe”.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die “Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG” entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren “Quick Check Datenschutz + Datensicherheit”. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die “Arbeitshilfe” universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik — kurz LSI — in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels “Kommunale IT-Sicherheit”. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie “Bürgermeister” mit “Geschäftsführer” und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel “Kommunale IT-Sicherheit” kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

Arbeitshilfe der Innovationsstiftung und Bayerisches Siegel “Kommunale IT-Sicherheit”

von Sascha Kuhrau
24. Juni 2019

Bayerisches Siegel “Kommunale IT-Sicherheit”

Das Bayerische Landesamt für Sicherheit in der Informationstechnik (kurz LSI) bietet seit Mai 2019 ein Prüfsiegel für den Umsetzungsstand der Informationssicherheit in bayerischen Kommunen an. Auf Basis einer Selbst-Auskunft kann die Kommune damit eine Mindestabsicherung in der Informationssicherheit nachweisen. Das Siegel ist unabhängig vom verwendeten ISMS-Standard. Das Siegel hat eine Gültigkeitsdauer von 2 Jahren. Eine Verlängerung kann beantragt werden. Dazu muss die Kommune jedoch die aktive Beschäftigung mit dem Thema Informationssicherheit und den Betrieb des Informationssicherheitskonzepts nachweisen. Wie bei “echten” Zertifizierungen kann ein erstmalig erteiltes Siegel also auch wieder entzogen werden.

Kann mit dem Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune das Siegel erreicht werden?

Das Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune (Autor: Sascha Kuhrau) ist selbstverständlich für den Erhalt des Siegels gerüstet. Jede Kommune, die ihr Informationssicherheitskonzept auf Basis der Arbeitshilfe eingeführt hat, kann bei entsprechend korrekter Umsetzung die Voraussetzungen für den Erhalt des LSI Siegels erfüllen.

Als Autor der Arbeitshilfe und Leiter zahlreicher kommunaler Informationssicherheitsprojekte sowie kommunaler externer Informationssicherheitsbeauftragter unterstützen wir von a.s.k. Datenschutz Sascha Kuhrau Sie gerne bei der Einführung und dem Betrieb eines kommunalen Informationssicherheitskonzepts und dem Erhalt des LSI Siegels.

Wo finde ich Informationen zum Bayerischen Siegel “Kommunale IT-Sicherheit”?

Das LSI stellt auf seiner Webseite ausführliche Informationen bereit (externer Link).

Was hat es mit der “Arbeitshilfe” auf sich und wo kann ich diese beziehen?

Die Arbeitshilfe ist eine aus dem IT-Grundschutz des BSI abgeleitete Systematik, um kleine kommunale Einrichtungen (aber auch kleine Firmen) bei der Einführung und dem Betrieb eines Informationssicherheitskonzepts zu unterstützen und zu begleiten. Sie wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände für die Innovationsstiftung Bayerische Kommune durch die a.s.k. Datenschutz Beratung Sascha Kuhrau entwickelt. Die Arbeitshilfe steht interessierten Organisationen kostenfrei zur Verfügung. Weitere Informationen finden Sie auf der Webseite der Innovationsstiftung (externer Link).

Im Laufe des Jahres 2019 wird die Arbeitshilfe in einer Version 3.o erscheinen, in der konkrete Anpassungen für das LSI Siegel enthalten sind.

Bisher gab es lediglich für die “großen” ISMS wie ISO 27001, BSI IT-Grundschutz oder ISIS12 die Möglichkeit im Rahmen einer Zertifizierung einen Nachweis über eine korrekte Umsetzung des ISMS zu erhalten. Mittels des LSI Siegels kann nun auch die Arbeitshilfe mit einer solchen Art Nachweis aufwarten.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Informationssicherheit im Fokus: Gemeinde Haar ist ISIS12-zertifiziert

von Sascha Kuhrau
12. Juni 2019

Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. ISIS12 ist ein Standard für ein Informationssicherheitsmanagementsystem (kurz ISMS) und bildet in 12 anschaulichen Schritten auf Basis des bekannten IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Informationssicherheitskonzept ab. ISIS12 wurde explizit für kleine und mittlere Unternehmen (KMU) und kommunale Einrichtungen entwickelt, für die aufgrund personeller Anforderungen der “große” IT-Grundschutz nicht durchführbar ist.

In den 24 Monaten der Einführung des Informationssicherheitskonzepts hat die Gemeinde Haar unter anderem Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit durchgeführt. Denn nicht nur das (technische) System an sich muss in alle Richtungen sicher gemacht werden, sondern auch die Menschen, die mit den Daten umgehen, müssen für das Thema sensibilisiert und geschult werden. Das reicht von der Aktivierung der Bildschirmsperre auch bei kürzester Abwesenheit vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten, wie etwa Passwörter offen am Schreibtisch liegen zu lassen.
Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn Datenschutz und Informationssicherheit müssen nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden durchgespielt und behandelt: Was, wenn das Rathaus mit all seinen Servern abbrennt? Selbst dafür gibt es Lösungen.

Federführend waren bei der Einführung von ISIS12 die Informationssicherheitsbeauftragte der Gemeinde Haar Andrea Schmerber und die a.s.k. Datenschutz Beratung unter Leitung von Sascha Kuhrau. Sie waren es auch, die den Auditor Andreas Mann bei der Erstzertifizierung des Zertifizierungsverbundes – Rathaus mit Bürgerhaus und die Kita Casinostraße – durch die Dokumente, Konzepte und die Gebäude begleiteten. Mit Erfolg, denn die Erstzertifizierung hat geklappt.

Jetzt gilt es, das Informationssicherheitskonzept aktuell und am Laufen zu halten. Daher wird jährlich überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnellebig und auch im Personal gibt es von Zeit zu Zeit einen Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert. In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden. Anlass für die Einführung von ISIS12 in der Gemeinde Haar war das Bayerische E‑Government-Gesetz von 2016. Dieses verpflichtet ausnahmslos alle kommunalen Verwaltungseinrichtungen zur Einführung und zum Betrieb eines Informationssicherheitskonzepts. Die Gemeinde Haar, allen voran deren Informationssicherheitsbeauftragte Andrea Schmerber haben sich dieser Herausforderung gestellt und das Ziel erreicht.

Übrigens ist ein Informationssicherheitskonzept (eingeführt und in Betrieb natürlich) auch für das Thema Datenschutz interessant. Betrachtet man Art. 32 DSVGO Sicherheit der Verarbeitung (externer Link) genauer, so findet man darin im Absatz 1 folgende Aussagen:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Und genau das stellt ein funktionierendes Informationssicherheitskonzept sicher. Dabei beschränkt sich der Schutz eines solchen Konzepts nicht nur auf personenbezogene Daten, sondern schließt alle schützenswerten Daten Ihrer Organisation mit ein. Genial, oder?

Sie wollen in Ihrer Organisation ebenfalls ein Informationssicherheitskonzept einführen? BSI IT-Grundschutz und ISO 27001 sind unpassend? Sprechen Sie uns an.

Zur Meldung der Gemeinde Haar (externer Link)

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

von Sascha Kuhrau
14. März 201719. Mai 2022
1 Kommentar

Letzte Woche haben wir diese Frage in unserem Blog zur Informationssicherheit behandelt: “Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?”, diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Und die Antwort ist ganz einfach: Ja, steht so im Gesetz.

Landkreis Wunsiedel im a.s.k. Datenschutz AKDB Sicherheits-Check

von Sascha Kuhrau
7. Mai 2015

Ende 2014 hat sich das Landratsamt Wunsiedel dem AKDB Check 250 von a.s.k. Datenschutz unterzogen. Vor dem Hintergrund stetig zunehmender Datenmengen in Kommunen und den technischen Herausforderungen für Datenschutz und Datensicherheit , aber auch angesichts der Fülle sich ändernder Gesetzeslagen ist es fast unmöglich, in allen Bereichen auf dem Laufenden zu bleiben.

„Die eigenen Verhältnisse mit den Bestimmungen des BSI-Grundschutzkataloges abzugleichen, ist eine Herkulesaufgabe“, so Walter Zimmet, IT-Leiter im Landratsamt. „Unsere IT-Abteilung kontrolliert sich selbstverständlich regelmäßig selbst“, sagt Landrat Karl Döhler. Doch aufgrund der zahlreichen Heraus- und Anforderungen im Datenschutz und in der Datensicherheit hat sich das Landratsamt Wunsiedel zur Durchführung des AKDB Check 250 durch a.s.k. Datenschutz entschieden. „Vom äußeren Blick eines unabhängigen Gutachters versprachen wir uns herauszufinden, wo wir bereits gut aufgestellt sind und wo noch Verbesserungsbedarf beherrscht.“

Im Rahmen eines eintägigen Workshops vor Ort wurden knapp 250 Prüfpunkte zu sicherheits- und datenschutzrelevanten Themen abgearbeitet. Im Nachgang wurden erste Schwachstellen beseitigt, noch bevor der finale Audit-Bericht vorlag. Das Ergebnis: überdurchschnittlich! „Es brachte uns eine gute Bewertung, fordert aber auch, ständig weiter an der Datensicherheit zu arbeiten“, fasst Landrat Karl Döhler das Ergebnis des Audits zusammen.

Haben auch Sie für Ihre Kommune Interesse an den AKDB Checks 250 oder 650? Dann sprechen Sie uns an. Selbstverständlich kann das Prüfschema auch auf nicht-bayerische Kommunen angewendet werden.

Lesen Sie hier den vollständigen Bericht auf Kommune21 oder laden Sie hier die PDF Version herunter

[wpfilebase tag=file path=‘presse/meldung_21206_IT+im+Selbst-Check.pdf’ tpl=download-button /]

Quelle: Kommune21

Thüringer Kommunen patzen beim Datenschutz

von Sascha Kuhrau
26. Mai 2010
1 Kommentar

In seinem aktuellen Tätigkeitsbericht prangert der Thüringer Landesdatenschutzbeauftragte Harald Stauch den Umgang der Kommunen mit dem Thema Datenschutz an. Stichprobenartig wurden 40 Kommunen überprüft — Ergebnisse erschreckend. Und das obwohl die Hürden für eine Beanstandung nach eigenen Angaben recht hoch angesetzt wurden.

Fehlende oder gravierend mangelhafte Datensicherheitskonzepte, keine oder pro forma bestellte Datenschutzbeauftragte, mangelndes Bewußtsein für das heikle Thema Datenschutz — “die Ergebnisse sind mehr als ernüchternd”, so Strauch. Noch dazu, wo die Kontrollen zuvor angekündigt wurden, also entsprechende Vorbereitungszeit vorhanden war. Hinzu kommt, daß sich kleine Gemeinden sogar einen Datenschutzbeauftragten teilen könnten — von dieser Möglichkeit jedoch keinen Gebrauch machen.

Die Sanktionsmöglichkeiten gegenüber den Kommunen sind durch die Datenschutzgesetze bedauerlicherweise (noch) beschränkt. Jedoch macht Strauch von der Möglichkeit Gebrauch, die Datenschutzsünder in seinem Bericht namentlich zu benennen. So kann sich jeder selbst ein Bild davon machen, wie seine Kommune mit den personenbezogenen Daten ihrer Einwohner umgeht (siehe Tätigkeitsbericht).

Strauch mahnt eine Modernisierung des Datenschutzrechts, gerade im Freistaat Thüringen an. Dieses basiere noch auf den Erkenntnissen der 90er Jahre und sei damit in Teilen überholt. Aufgrund der aktuellen Urteile des Bundesverfassungsgerichts sowie der Datenschutzskandale in der jüngeren Vergangenheit verspürt er jedoch Rückenwind. Auch die Bürger werden bei diesem Thema immer sensibler: “Die Bürger spüren, dass sie durch Staat und Wirtschaft zunehmend digital aufbereitet werden”, so sein Kommentar.

Krönung der Verstöße gegen das Datenschutzrecht: einem Mitarbeiter der Stadt Leinefelde-Worbis wurde mit der Begründung gekündigt, er habe sich beim Datenschutzbeauftragten über die Stadt und deren Umgang mit dem Thema Datenschutz beschwert.

Es gibt noch viel zu tun!

Zum Tätigkeitsbericht des Thüringer Landesdatenschutzbeauftragten
Pressemitteilungen 2010 des Thüringer Landesdatenschutzbeauftragten

Datenschutz in Brandenburgs Kommunen kein Fokus-Thema

von Sascha Kuhrau
24. März 2010
1 Kommentar

Aus dem gestern veröffentlichten Tätigkeitsbericht der brandenburgischen Landesbeauftragten für Datenschutz (LDA), Frau Dagmar Hartge geht hervor, daß Brandenburgs 216 Kommunen in punkto Datenschutz Nachholbedarf haben. Im Rahmen einer Umfrage in 2009, die von ca. 80% der Kommunen beantwortet wurde, sollte der Bedarf an Unterstützung in den öffentlichen Einrichtungen im Bereich Datenschutz und IT-Sicherheit ermittelt werden.

80% der Kommunen setzen zwar einen Datenschutzbeauftragten ein. Dieser wendet jedoch in 80% aller Fälle maximal 10% seiner Arbeitszeit für das Thema Datenschutz auf. Ein Aufwand, der von der Landesbeauftragten aufgrund der Erfahrungen im öffentlichen Bereich, als zu gering und nicht ausreichend eingestuft wird. Kritisch wird ebenfalls das Thema IT-Sicherheitsbeauftragter beleuchtet. Dessen Bestellung ist zwar nicht zwingend vorgeschrieben, dennoch besetzen nur 25% der Kommunen diese Position. Dementsprechend mau sieht es mit der Existenz funktionsfähiger IT-Sicherheitskonzepte aus: nur 12% der Kommunen verfügen über ein solches Konzept, bei mehr als 60% liegt überhaupt kein Konzept vor.

Als Gründe werden fehlendes qualifiziertes Personal sowie nicht ausreichende finanzielle und zeitliche Ressourcen angeführt. Ob man diese Begründung akzeptieren mag, warum ein Bundesgesetz im öffentlichen Bereich keine ausreichende Anwendung findet, mag jeder für sich selbst entscheiden.

Brisant am Rande: der Städte- und Gemeindebund Brandenburg e.V. rief die Kommunen dazu auf, die Umfrage in Teilen nicht zu beantworten, da keine rechtliche Grundlage hierfür vorhanden sei. Dem stand / steht jedoch § 26 des Brandenburgischen Datenschutzgesetzes (BbgDSG) entgegen, die Auskunfts- und Unterstützungspflicht. “Im Ergebnis führten die Aktivitäten des Städte- und Gemeindebundes sowohl zu einer erheblichen Verzögerung der Umfrage als auch zu teils inkonsistenten (weil unvollständigen) Antworten der Kommunen”, so die Landesdatenschutzbeauftragte.

Tätigkeitsbericht 2008/2009 LDA Brandenburg

Kommune

Vor­aus­set­zun­gen für För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit

Was wird kon­kret gefördert?

Wie hoch sind die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Wie bean­tra­ge ich als baye­ri­sche Kom­mu­ne die För­der­mit­tel zur Arbeits­hil­fe Informationssicherheit?

Wei­te­re Infor­ma­tio­nen und Links zum Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeitshilfe

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

Wie­so ein Informationssicherheitskonzept?

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Wer benö­tigt ein Informationssicherheitskonzept?

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicherheit”

Kann mit dem Infor­ma­ti­ons­si­cher­heits­kon­zept “Arbeits­hil­fe” der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne das Sie­gel erreicht werden?

Wo fin­de ich Infor­ma­tio­nen zum Baye­ri­schen Sie­gel “Kom­mu­na­le IT-Sicherheit”?

Was hat es mit der “Arbeits­hil­fe” auf sich und wo kann ich die­se beziehen?

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?