Sicherheitsleitlinie

Musterleitlinie zur Herstellung und Gewährleistung der Informationssicherheit in sächsischen Kommunalverwaltungen

Die überwiegende Mehrzahl aller Verwaltungsprozesse in Kommunalverwaltungen wird heute elektronisch unterstützt. Damit hängt die Arbeitsfähigkeit jeder Verwaltung essentiell von der Sicherheit und Verfügbarkeit der dazu notwendigen Daten und IT-Infrastrukturen ab.

Umfragen der SAKD zur IT-Infrastruktur sächsischer Kommunalverwaltungen ergaben, dass nur in ca. 30 % aller Verwaltungen IT-Sicherheitskonzepte vorliegen und nur ca. 20 % der Verwaltungen einen namentlich benannten IT-Sicherheitsbeauftragten haben. Diese Situation wird der Bedeutung der Informationssicherheit für das Funktionieren einer modernen Verwaltung nicht gerecht. Sie wird noch verschärft bei ebenenübergreifend wirkenden Verwaltungsverfahren. Hier muss allen Beteiligten bewusst sein, dass das Sicherheitsniveau eines Verfahrens insgesamt nur so stark ist wie das Niveau des schwächsten Gliedes in der Kette.

Das Sächsische Datenschutzgesetz verlangt in § 9 technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes. Diese umfassen auch Anforderungen an die IT-Sicherheit.

Ziel des Datenschutzes ist der Schutz personenbezogener Daten und deren gesetzeskonforme Verwendung. Die Anforderungen zur IT-Sicherheit gehen darüber hinaus. Hier ist die gesamte Infrastruktur unter dem Aspekt zu betrachten, alle Daten zugriffssicher verfügbar zu haben und im Katastrophenfall wiederherstellen zu können.

Die Praxis zeigt, dass besonders in kleinen Verwaltungen die Belange des Datenschutzes und der IT-Sicherheit häufig durch denselben Mitarbeiter vertreten werden. Diese Personalunion stellt nicht die optimale Lösung dar, da Interessenskonflikte zwischen beiden Aufgabengebieten insbesondere dann nicht auszuschließen sind, wenn die Ressourcen für die Erledigung beider Aufgaben knapp bemessen sind.

So unterscheiden sich auch die wünschenswerten Qualifikationen der jeweilig Beauftragten: Der Beauftragte für Informationssicherheit sollte über Kenntnisse der IT- und sonstigen Infrastruktur in der Verwaltung verfügen. Er muss sicherstellen, dass Daten gegen unberechtigten Zugriff, Manipulation und gegen externe Einflüsse hinreichend geschützt sind, ansonsten bedarfsgerecht zur Verfügung stehen und dass Vorsorge zur Wiederherstellung im "Ernstfall" getroffen ist (technische und organisatorische Betrachtungsweise). Der Beauftragte für Datenschutz hingegen muss hinsichtlich der datenschutz- und fachgesetzlichen Anforderungen bei der Erhebung und Verarbeitung personenbezogener Daten bei einzelnen Verfahren fachkundig sein (rechtliche und fachliche Betrachtungsweise).

Um das Anliegen zu unterstützen, in kommunalen Verwaltungen ein angemessenes Niveau von Informationssicherheit herzustellen und kontinuierlich auszubauen, hat die SAKD eine Musterleitlinie entwickelt.

Diese Musterleitlinie zur Gewährleistung der Informationssicherheit für sächsische Kommunalverwaltungen fordert nach dem Grundsatz "IT-Sicherheit ist Leitungssache" das Bekenntnis der Behördenleitung zur Informationssicherheit als strategisches Prinzip der Verwaltungsorganisation. Sie wendet sich vordergründig an kreisangehörige Stadt- und Gemeindeverwaltungen mit und ohne Anschluss an das Kommunale Datennetz.

Sie orientiert sich soweit möglich an der "Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung" vom 7. September 2011 und ist leicht an die Gegebenheiten jeder Kommunalverwaltung anpassbar (z. B. hinsichtlich der Erweiterung des Geltungsbereichs auf Eigen- oder Zweckbetriebe oder kommunale Gesellschaften).

Die enthaltenen Grundsatzaussagen zur Informationssicherheit sind in weiteren Detaildokumenten wie Sicherheitskonzepten, Checklisten, Dienstanweisungen, Strukturplänen bis hin zu Betriebshandbüchern konkret zu untersetzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Methoden entwickelt und standardisiert, mit denen IT-Sicherheit hergestellt und gewährleistet werden kann. Die Vorgehensweise ist im anerkannten BSI-Standard 100-2 beschrieben. Neben der Methodik stellt das BSI auch für alle praktisch vorkommenden IT-Infrastrukturelemente entsprechende Gefährdungs- und Maßnahmenkataloge bereit und hält diese aktuell.

Wir halten die BSI-Methodik für die systematischste Herangehensweise an die Lösung der Sicherheitsproblematik. Uns ist aber bewusst, dass diese Methodik wegen der formalen Herangehensweise und der umfangreichen Maßnahmenkataloge von vielen Verwaltungen als sehr komplex und damit als große Hürde bei der Etablierung eines Informationssicherheitsprozesses angesehen wird. Deshalb haben wir in dieser Musterleitlinie auf jeden Bezug zur Methodik des BSI verzichtet.

Grundsätzlich steht es den Verwaltungen frei, weitere Detaildokumente nach BSI-Standard zu erstellen oder sie nach anderen Maßgaben zu entwickeln. Die Orientierung an den BSI-Grundschutzkatalogen als gutem Praxisleitfaden ist in jedem Fall ratsam. Noch wichtiger ist aber, dass der Herstellung eines angemessenen Niveaus der Informationssicherheit überhaupt das erforderliche Augenmerk gewidmet wird. Dazu soll die hier vorgestellte Musterleitlinie den notwendigen Anstoß geben.

Wir empfehlen den Kommunalverwaltungen, ihre Leitlinie als Dienstvereinbarung gem. § 81 Abs. 2 Nr. 10 SächsPersVG in Kraft zu setzen.

Das Dokument kann vom Downloadbereich der SAKD-Webseite heruntergeladen werden.
Es steht im Word-Format für beliebige Anpassungen zur Verfügung: (http://www.sakd.de/fileadmin/standardisierung/Musterleitlinie.doc)

Bei Fragen zum Thema wenden Sie sich bitte an die SAKD. Gern unterstützen wir Sie auch bei der Umsetzung konkreter Sicherheitsanforderungen in Ihrer Verwaltung im Rahmen einer kostenfreien IT-Serviceberatung. Ansprechpartner bei der SAKD dafür ist Herr Nikol (Tel. 03594 7752-46, E-Mail: nikol(at)sakd.de).