Die Entwicklung der Informationstechnologie und deren zunehmende Durchdringung aller Lebensbereiche führen zu neuen Anforderungen an die Informationssicherheit. Sensible IT-Systeme mit wachsender Komplexität, Vernetzung und Verwundbarkeit sind zunehmend zielgerichteten, hochprofessionellen Angriffen ausgesetzt, deren Schadenspotenzial dramatisch ansteigt. Vor diesem Hintergrund haben der Deutsche Städtetag, der Deutsche Landkreistag und der Deutsche Städte- und Gemeindebund gemeinsam mit der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister in Deutschland (VITAKO) die Erarbeitung einer Handreichung für die Verwaltungen von Städten, Landkreisen und Gemeinden initiiert.

Die „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ beschreibt den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien sowie Wege zum Aufbau und Betrieb kommunaler Informationssicherheits-Managementsysteme. Sie orientiert sich an den in Deutschland verbreiteten Standards zur Informationssicherheit sowie an den Vorgaben der Leitlinie zur Informationssicherheit des IT-Planungsrates und berücksichtigt besonders die spezifischen Bedingungen in der kommunalen Praxis.

„100 % Sicherheit gibt es nicht! Bestimmten Risiken kann man nicht wirtschaftlich sinnvoll entgegentreten“, so das Fazit. Die Leitungsebene hat laut Handreichung die verbleibenden Risiken in Erfahrung zu bringen, mit geeigneten Mitteln entgegenzusteuern (etwa durch Umstrukturierungen) oder diese unter bestimmten Umständen zu akzeptieren. Je nach Größe, Organisationsstruktur, Sicherheitsbedürfnis bzw. Reifegrad und finanziellen Möglichkeiten werden die Anforderungen an das ISMS unterschiedlich ausfallen.

Größtmögliche Sicherheit sei nicht im Rahmen eines einmal zu durchlaufenden Projektes zu erreichen, heißt es weiter. Steigende Anforderungen an die Informationssicherheit seien mit einem höheren Bedarf an Ressourcen verbunden, was bei der Planung des ISMS zu berücksichtigen ist.

Unabhängig von der Organisation der IT (Betrieb in Eigenre-gie oder durch IT-Dienstleister) kann keine pauschale Empfehlung zum ISMS und dem erreichbaren Sicherheitsniveau gegeben werden. Auch bei der Zusammenarbeit mit IT-Dienstleistern ist die Behörde nicht vom Informationssicherheitsmanagement entbunden, die Verantwortung und die Kontrollpflichten verbleiben beim Auftraggeber. Die übergreifenden Aspekte der Informationssicherheit (z. B. Sicherheitsmanagement, Organisation, Personal etc.) und die Risiken für die Geschäftsprozesse sind auch durch einen IT-Dienstleister nicht oder nur teilweise zu beeinflussen.

Geringere Komplexität

Nichtsdestotrotz reduziert die Übertragung von Aufgaben des IT-Betriebs an einen IT-Dienstleister die Komplexität des Informationsverbundes deutlich und erleichtert die Beherrschung der Informationssicherheit. Den Aufbau eines ISMS können IT-Dienstleister unterstützen, da die notwendigen Kompetenzen hier standardmäßig vorhanden sind und durch vertragliche Regelungen eingefordert werden sollten.

Vor dem Hintergrund der weiter zunehmenden Komplexität der kommunalen IT-Infrastrukturen, der prognostizierbaren weiteren Öffnung der Verwaltung nach außen (Open Data, EGovernment-Services etc.), der wachsenden Intransparenz vielgestaltiger Bedrohungen und schließlich der zunehmenden Aufmerksamkeit der Bürgerinnen und Bürger (und der Medien) sollten Verwaltungen, die ihre IT allein betreiben, intensiv prüfen, ob eine Zusammenarbeit mit einem professionellen kommunalen IT-Dienstleister zu einer Verbesserung der Informationssicherheit beiträgt.

„Generell bedarf es des Bekenntnisses der Behördenleitung zur Informationssicherheit und eines klaren Regelwerkes unter Berücksichtigung der Verantwortlichkeiten“, heißt es in dem Papier. Alle Beschäftigten der Behörde seien in den Sicherheitsprozess einzubeziehen. Bestimmten Gefährdungen wie z. B. dem Social Engineering, könne nur gemeinsam mit organisatorischen Maßnahmen wirksam entgegengewirkt werden.

Die Leitlinie für die Informationssicherheit des IT-Planungsrates fordert Ebenen übergreifende Informationssicherheit für Bund, Länder und Kommunalverwaltungen. Dabei ist die interkommunale Zusammenarbeit zur Umsetzung einheitlicher Sicherheitsmaßnahmen nicht nur unter Berücksichtigung von Wirtschaftlichkeitsaspekten nötig. Die kommunalen Spitzenverbände sind die Interessenvertreter in den Steuerungsgremien von Bund und Ländern. Mit dem IT SiBe-Forum bieten sie zudem eine Austauschplattform für Informationssicherheitsbeauftragte und Praktiker in den Kommunalverwaltungen.

Unter diesem Begriff werden allgemein Angriffstechniken zusammengefasst, die sich auf die gezielte Manipulation von Menschen beziehen, um Zugang zu Computersystemen zu erlangen. Ein Beispiel bildet die Vortäuschung bestimmter Identitäten, um angriffsrelevante Informationen von Mitarbeitern zu erhalten.

DK