Informationssicherheitskonzept nach BSI-IT-Grundschutz

Fundament für sichere Kommunal-IT

Flexibel, aber strukturiert

Ein funktionierendes Informationssicherheitskonzept (IS-Konzept) bildet die Grundlage für den Schutz der kommunalen IT-Systeme, Daten und Prozesse. Es beschreibt, wie die in der Sicherheitsleitlinie einer Kommune definierten Schutzziele konkret und nachvollziehbar umgesetzt, überprüft und dokumentiert werden.

Informationssicherheitskonzepte sind lebendige Dokumente. Sie müssen regelmäßig an neue Rahmenbedingungen und gesetzliche Anforderungen angepasst werden. Auch Prioritäten und Sicherheitsmaßnahmen ändern sich im Laufe der Zeit. Deshalb ist es wichtig:

Maßnahmen zügig umzusetzen
alle Beteiligten auf dem aktuellen Stand zu halten
laufende Pflege und Kontrolle in die Sicherheitsprozesse zu integrieren

Ihr Ansprechpartner für Informationssicherheit

Wir begleiten Kommunen bei der Einführung eines ISMS – je nach Bedarf mit Beratung, Tools oder konkreten Umsetzungshilfen.

Herr Kretschmer

Referent Informationssicherheit, Telekommunikation

kretschmer(at)sakd.de

03594 7752-56

Bestellung eines*r Beauftragten für Informationssicherheit (BfIS)

Das Sächsische Informationssicherheitsgesetz (SächsISichG) verlangt seit dem 31. August 2019, dass in jeder nicht-staatlichen Stelle eine *Beauftragter für Informationssicherheit* sowie eine Vertretung ernannt werden sollen (§ 20 SächsISichG). Nach Ablauf der Übergangsfrist am 31. Dezember 2020 gilt dies als verbindliche Anforderung.

Das im Gesetz verwendete „Soll“ ist im verwaltungsrechtlichen Sinne zu verstehen – es besteht in der Regel eine Pflicht zur Umsetzung, von der nur in gut begründeten Ausnahmefällen abgewichen werden kann.

Die Bestellung erfolgt durch ein formelles Bestellungsschreiben, welches die Zuständigkeiten und Aufgaben des/der Beauftragten klar definiert. Dieses Schreiben ist der betroffenen Person in geeigneter Form zu übergeben.

Für die Ausführung der Aufgaben müssen ausreichende zeitliche Ressourcen bereitgestellt werden:

Zur reinen Koordinierung mit externen Dienstleistern empfiehlt z. B. der Sächsische Rechnungshof bei Kommunen mit 5.000–10.000 Einwohner*innen einen Umfang von 0,1 VZÄ (Vollzeitäquivalent) in der Verwaltung vorzusehen.
Für eine umfassendere Aufgabenwahrnehmung, insbesondere unter Einsatz eigenen Personals, ist von einem deutlich höheren Aufwand, vor allem in der Aufbauphase, auszugehen.
Der konkrete Bedarf hängt von verschiedenen Faktoren ab:

Einflussfaktoren	Beispiele
Umfang und Tiefe der Aufgabenstellung	z. B. Leitung eines ISMS-Teams
Größe der Organisation	z. B. Einwohnerzahl, Ämterstruktur
Art der kommunalen Dienstleistungen	z. B. Bürgerservice, Schul-IT
Reifegrad der IT-Sicherheitsmaßnahmen	z. B. Stand der Umsetzung des BSI-Grundschutzes
Technische Umsetzung	z. B. Eigenbetrieb vs. externes Rechenzentrum (Cloud, Outsourcing)

Der tatsächliche Personalbedarf sollte im Rahmen einer standardisierten Personalbedarfsermittlung (PBE) evaluiert werden. Dazu empfiehlt sich das Organisationshandbuch des Bundesministeriums des Innern und für Heimat (BMI), das auch für Länder und Kommunen geeignet ist.

Die Belegschaft und andere relevante Akteure sind transparent über die Bestellung zu informieren. Geeignete Formen sind:

Einordnung im Rahmen einer Belegschaftsversammlung mit Übergabe des Bestellungsschreibens
Alternativ: interne Kommunikation per Rundschreiben oder Intranet

Muster für das Bestellungsschreiben

Ein praxisnahes Muster-Bestellungsschreiben steht zur Verfügung. Es orientiert sich an einer Vorlage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und gliedert sich in folgende Abschnitte:

Überschrift
Bestellung
Organisatorisches
- Einordnung in die Organisation
- Unabhängigkeit und unbefangenes Arbeiten
- Ressourcen
- Allgemeine Aufgabe
- Informationsverbund (Geltungsbereich)
Detaillierte Aufgaben
Befugnisse
Unterschriften

Hinweise zur Nutzung des Musters

Das Muster ist an die konkrete Organisation und Person anzupassen. Platzhalter sind entsprechend gekennzeichnet.
In manchen Bereichen gibt es Wahlmöglichkeiten (z. B. Angaben in Klammern oder geschlechtsabhängige Begriffe) – diese sind bei der Übernahme zu prüfen.
Die Aufzählungen zu Aufgaben, Befugnissen und Informationsverbund sind als Beispiele zu verstehen und bei Bedarf zu ergänzen oder zu kürzen.
Auch bei Kürzungen darf die Rolle und Eingliederung des/der BfIS klar erkennbar bleiben.
Informationen, die sich häufig ändern (z. B. Vertreterpersonen), sollten nicht im Bestellungsschreiben selbst, sondern separat dokumentiert werden, um die Gültigkeit des Schreibens zu erhalten.

Downloads & Links

Verantwortung bleibt bei der Leitung

Wichtig

Auch nach der Bestellung eines BfIS liegt die Gesamtverantwortung für die Informationssicherheit weiterhin bei der Leitung der Organisation (§ 4 Absatz 3 SächsISichG).

Externe Dienstleister

Wird ein externer Dienstleister mit der Aufgabe betraut, ist zusätzlich ein Dienstleistungsvertrag abzuschließen. Dieser sollte Anforderungen und Erwartungen eindeutig festhalten. Textbausteine zur inhaltlichen Ausgestaltung sind verfügbar.

Mehr zu extern Beauftragten

Fragen oder Rückmeldungen zum Muster?

Herr Kretschmer steht Ihnen als Ansprechpartner für Informationssicherheit zur Verfügung.

Herr Kretschmer

Referent Informationssicherheit, Telekommunikation

kretschmer(at)sakd.de

03594 7752-56

Wir begleiten Sie auf dem Weg zur sicheren Kommune!

Kontaktieren Sie uns bei Fragen oder Unterstützungsbedarf

grafische Unterstützung des Begriffs "Geodaten"

Bitte füllen Sie das Formular vollständig aus.
Alle mit gekennzeichneten Felder sind notwendig, damit wir Ihre Anfrage bearbeiten können.
Andere Felder erleichtern uns, mit Ihnen in Kontakt zu treten, um gegebenenfalls Rückfragen schnell zu klären.

Vorname

Bitte geben Sie Ihren Vornamen ein.

Nachname

Bitte geben Sie Ihren Nachnamen ein.

Firma

Bitte geben Sie Ihre Firma ein.

E-Mail

Bitte geben Sie eine gültige E-Mail-Adresse ein.

Nachricht

Bitte geben Sie Ihre Nachricht ein.

Ja, ich bin mit der Verarbeitung meiner Daten zum Zweck der Kontaktaufnahme einverstanden. Ich habe die Datenschutzerklärung gelesen und akzeptiere sie. Hier kann ich meine Einwilligung widerrufen.

Bitte stimmen Sie unserem Datenschutz zu.

Unterstützung durch die SAKD

FAQ

Ein IS-Konzept beschreibt, wie eine Kommune ihre IT-Systeme und Daten technisch sowie organisatorisch schützt. Es leitet sich aus der Sicherheitsleitlinie ab und enthält konkrete Maßnahmen zur Umsetzung, Überprüfung und Dokumentation der Informationssicherheit.

Die SAKD stellt Muster, Werkzeuge und Empfehlungen zur Verfügung und begleitet sächsische Kommunen bei der Erstellung und Umsetzung ihres IS-Konzept – ob intern umgesetzt oder mit externen Dienstleistern.

Das Konzept besteht aus mehreren Bausteinen, z. B.:

Organisatorische Regelungen (Verantwortlichkeiten, Zuständigkeiten)
Strukturierten Übersichten zu:
- Infrastrukturobjekten (z. B. Server, Netzwerke, Anwendungen)
- relevanten Anforderungen und Gefährdungen
- geplanten und umgesetzten Sicherheitsmaßnahmen

Diese Elemente stehen in vielfältigen, zum Teil komplexen Beziehungen zueinander und müssen regelmäßig gepflegt werden.

Zur besseren Übersicht und Pflege der komplexen Inhalte (z. B. Gefährdungen, Maßnahmen, Objekte) empfiehlt sich der Einsatz einer IT-Grundschutz-Software, wie sie das BSI auf seiner Webseite auflistet. Eine reine Dokumentation mit Office-Programmen ist oft unübersichtlich und fehleranfällig.

Die Dokumentation eines ISK mit klassischen Office-Dokumenten ist zeitintensiv und fehleranfällig – besonders bei kommunalen Strukturen mit vielen Beteiligten. Daher empfiehlt sich der Einsatz spezialisierter Softwaretools zum IT-Grundschutz, wie sie das BSI auf seiner Webseite auflistet.

Das Konzept ist ein fortlaufender Prozess – es muss regelmäßig aktualisiert und an veränderte Bedingungen und Sicherheitsanforderungen angepasst werden. Wichtig ist auch, dass begonnene Maßnahmen zeitnah abgeschlossen und alle Beteiligten auf dem aktuellen Stand gehalten werden.

Unsere Empfehlung: