REGIONALAUSGABE Personalmanagement auf neuer Basis - Lecos GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
REGIONALAUSGABE INTEGRIERTE PROZESSE Personalmanagement auf neuer Basis VEREINFACHUNG Wissensmanagement mit einem Wiki NEU ORGANISIERT Praktikumsablauf als Standard NEUE VERANSTALTUNGSREIHE Erstes Kivan Anwendertreffen
ler
Kommuna
rungs-
Konsolidie
tz
Arbeitspla
0,–
ab € zz3gl..U8St0
.
G E S A M TA B S C H L U S S .
Immer mehr Kommunen setzen für ihren Gesamtabschluss
auf die kommunale Konsolidierungslösung Doppik al dente!®.
Einfach anfangen.
Die Software kommt arbeitsfertig zu Ihnen – einschließlich Positi-
onenplan und aller für den Gesamtabschluss benötigten Regeln.
Mit unserem Transformationswerkzeug haben Sie die Jahresab-
schlussdaten der Betriebe schnell importiert.
Einfach abstimmen.
Entlang unserer Belegstruktur werden Sie – auch ohne Spezial-
kenntnisse der Konzernkonsolidierung – sicher durch den ge-
samten Prozess geleitet.
Die Buchungslogik („Melde-Buchhaltung“ und „Delta-Buch-
führung“) folgt dem gewohnten buchhalterischen Denken.
Einfach abschließen.
Die Konsolidierungsrechnung mit all ihren Sonderfällen wird “
F EN
durch das Programm automatisch per Knopfdruck erledigt. H AF
Im Konzernbericht können Sie das Rechenwerk in allen Einzel- SC !
B ST d en
heiten nachvollziehen. S EL el
CH a nm
I zt e
...und es wirklich selbst schaffen. IR
KL j et t e.d
W e– en
S S ar l-d
LU in a
em ik-
www.doppik-al-dente.de C H ie S p
S op
T AB f re
n
.d w
hallo btf! gmbh · Sie kennen unseren Kai A M s te ww
ES Ko
(„Kai kann alles inventarisieren“®) „G
\ EDITORIAL
Interoperabilität
Zugegeben: Manche Begriffe in der Informationstechnik erschließen sich nicht leicht von selbst. In-
teroperabilität gehört dazu. Gemeint ist das Zusammenspiel und Funktionieren von unterschiedli-
chen Systemen, Architekturen und Anwendungen, beispielsweise bei Bürger- und Serviceportalen.
In Bayern, Baden-Württemberg, Hamburg, Nordrhein-Westfalen und anderswo sind elektronische
Portale entstanden, mit denen sich Bürgerinnen und Bürger Zutritt zu digitalen Verwaltungsdienst-
leistungen über das Internet verschaffen können. Seien es Anträge auf Personaldokumente, ein
Wunschkennzeichen fürs Auto oder die Gewerbeanmeldung: Serviceportale sind erste Adressen für
die Online-Interaktion zwischen Bürger und Staat.
Aber müssen sie aus diesem Grund mit einer einzigen Software-Architektur ausgestattet sein?
So sieht es in der Konsequenz das Onlinezugangsgesetz (OZG) des Bundes vor. An dieser Stelle
kommt Interoperabilität ins Spiel: Mit Verweis auf die vielen in Kommunen bestehenden und funk-
tionierenden Portale plädiert Vitako für ihre intelligente und interoperable Vernetzung, wie Sie im
Interview auf Seite 18 lesen können.
Eine weitere komplizierte, wenngleich etwas geläufigere Vokabel ist Cybersicherheit. Ihr haben
wir den Themenschwerpunkt dieses Heftes gewidmet. Die Bedeutung von Cyber- oder Informati-
onssicherheit nimmt auch in Kommunen stetig zu. Aus diesem Grund stellen wir die Cybersicher-
heitsstrategie des Bundes vor, bei deren Umsetzung Kommunen eine besondere Rolle spielen. Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich mit der Gefahrenabwehr
im Cyberraum. Zunehmend rücken dort die Schnittstellen zu „Mobile Devices“, also verbindungs-
fähigen Geräten, via USB, WLAN, Mobilfunk oder Bluetooth in den Fokus, weswegen das BSI
Mindeststandards für Schnittstellen und deren Kontrolle definiert hat. Informationssicherheit geht
immer auch mit Datenschutz einher, und so ist die Datenschutzgrundverordnung der EU und ihre
nationale Umsetzung in Deutschland Thema eines weiteren Beitrages, der den Blick auf die recht-
lichen Rahmenbedingungen lenkt.
Zu einer möglichst breiten Diskussion von Cybersicherheit gehört nicht zuletzt auch das eigene Ver-
halten im Umgang mit IT. Ein behördeninternes E-Learning-Tool, das zu mehr Aufmerksamkeit und
Sensibilität am Arbeitsplatz anregt, sei an dieser Stelle ausdrücklich empfohlen. Apropos Arbeits-
platz: In unserer Serie zur Zukunft der Arbeit geht es diesmal um ideale Arbeitsumgebungen für di-
gitales Arbeiten, bei dem „Arbeitsplatz-Sharing“ bald die Regel (und keine neue Vokabel mehr) ist.
In diesem Sinne wünschen wir eine gute Lektüre
Peter Kühne,
Vorstandsvorsitzender Vitako,
Ralf Resch,
Geschäftsführer Vitako
3
2|2017
\ IMPRESSUM \ INHALT
Herausgeber:
Bundes-Arbeitsgemeinschaft der
Kommunalen IT-Dienstleister e. V.
Markgrafenstr. 22
10117 Berlin
Tel. 030 / 20 63 15 60
E-Mail: redaktion@vitako.de
www.vitako.de
V.i.S.d.P.:
Dr. Ralf Resch
Redaktion Vitako: Dr. Helmut Merschmann
Die Redaktion behält sich vor, eingesandte Berichte auch ohne
vorherige Absprache zu kürzen. Der Inhalt der Beiträge gibt CYBER-SICHERHEIT IN KOMMUNEN
nicht in jedem Fall die Meinung des Herausgebers wieder. Alle
Rechte vorbehalten. Nachdruck oder elektronische Verbreitung
nur mit Zustimmung des Herausgebers. 6 Risiken beherrschen
Realisation:
Die Cyber-Sicherheitsstrategie der Bundesregierung soll die Vor-
Goergen Kommunikation GmbH aussetzungen für eine vertrauensvolle Nutzung digitaler Tech-
Lungengasse 48-50
50676 Köln
nologien schaffen. Vitako-Geschäftsführer Ralf Resch nennt die
www.g-komm.de wichtigsten Punkte und Konsequenzen für die kommunale IT.
- Redaktion:
Michael Wayand, Kai Ortmann
- Grafik: 8 Jetzt aktiv werden!
Necmetin Atlialp, Sandra Seitz-Atlama
Prof. Dr. Jürgen Taeger von der Universität Oldenburg sieht noch
Erscheinungsweise:
4 Ausgaben im Jahr
einige Arbeit auf alle Beteiligten bei der Umsetzung der EU-Da-
tenschutzgrundverordnung und der nationalen Vorschriften
Auflage:
5.000
zukommen.
Lektorat:
Ursula Barthel Grafikdesign, Bremen 10 Saubere Schnittstellen
ub-grafikdesign@t-online.de Schnittstellen sind Einfallstore für Cyber-Angriffe. Das Risiko
Litho u. Druck: vermeiden Mindeststandards, wie Referatsleiter Dominique
Häuser KG, Venloer Straße 1271, 50829 Köln Hader vom Bundesamt für Sicherheit in der Informationstechnik
Bildnachweise: schreibt.
Beitragsservice von ARD, ZDF und Deutschlandradio (S. 25);
BSI (S. 11); Bundesministerium des Innern (S. 31); Landkreis
Friesland (S. 23); Freie und Hansestadt Hamburg (S. 17); Innova- 12 Chance für die Kleinen
tionsstiftung Bayerische Kommune (S. 16); istock.com/: Askold
Romanov (Titel), vladru (Titel), olm 26250 (S. 6), oatawa (S. 8), Daniel Grimm, Bereichsleiter Informationsmanagement bei
kynny (S. 11), xubingruo (S. 12), skymesher (S. 14), fschuetz Vitako, erläutert die Details hinter der Modernisierung des
(S. 16), asiseeit (S. 17), StoykoSabotanov (S. 20), SilviaJansen
(S. 22), OktayOrtakcioglu (S. 24), peshkov (S. 26), Jevtic (S. 28); IT-Grundschutzes durch das BSI und gibt einen Überblick über die
ITZBund (S. 21); KDVZ Citkomm (S. 34); Stadt Köln (S. 27); krz (S.
15); Universität Oldenburg (S. 9); Robert Schlesinger (S. 18, 19);
Aufgaben der Facharbeitsgruppe zu diesem Thema.
Stadt Tengen (S. 29); Vitako (S. 7, 13)
Autoren dieser Ausgabe:
14 Schulterschluss im Cyber-War
Sven Ambrosy, Landkreis Friesland Für kleine und mittlere Kommunen ist IT-Sicherheit eine Heraus-
Jürgen Collatz, Beitragsservice von ARD, ZDF und
Deutschlandradio forderung. Für Volker Mengedoht, Abteilungsleiter Technik und
Prof. Dr. Andreas Engel, Stadt Köln Infrastruktur beim krz, lassen sich diese im Verbund am besten
Hans-Georg Göhring, ITZBund
Dr. Lutz Gollan, Freie und Hansestadt Hamburg meistern.
Daniel Grimm, Vitako
Dominique Hader, Bundesamt für Sicherheit
in der Informationstechnik 16 Hilfe zur Selbsthilfe
Stefanie Hecht, Fraunhofer FOKUS
Volker Mengedoht, Kommunales Rechenzentrum
Eine Handreichung zur IT-Sicherheit soll Kommunen die Er-
Minden-Ravensberg/Lippe (krz) stellung entsprechender Konzepte erleichtern. Korinna Pöppl,
Korinna Pöppl, Innovationsstiftung Bayerische Kommune
Dr. Ralf Resch, Vitako Referentin Vorstandsstab bei der Innovationsstiftung Bayerische
Dr. Kay Ruge, Deutscher Landkreistag Kommune, gibt einen ersten Einblick.
Marian Schreier, Stadt Tengen
Prof. Dr. Jürgen Taeger, Universität Oldenburg
Hinweis:
17 Mehr Sensibilität lernen
Vitako aktuell erscheint zusätzlich E-Learning kann Mitarbeiter gut und schnell mit den wichtigsten
mit 3 Regionalausgaben:
Ausgabe krz Lemgo
Aspekten des Themas IT-Sicherheit vertraut machen. Dr. Lutz
Ausgabe Lecos Leipzig Gollan, Behördlicher Datenschutz- und Informationssicherheits-
Ausgabe regio iT
Der Vertrieb erfolgt durch das jeweilige Vitako-Mitglied. beauftragter beim Hamburger Innensenat, stellt eine Lösung vor.
ISSN 2194-1165
18 Neue Gesetze
Wird innerhalb der Zeitschrift auf fremde Links oder externe
Informationsangebote hingewiesen, so macht sich Vitako
Ralf Resch, neuer Geschäftsführer von Vitako, gibt im Interview
diese Inhalte nicht zu eigen und kann für sie keine Haftung einen Einblick in seine ersten Arbeitstage und die Schwerpunkte
übernehmen.
der künftigen Arbeit.
4
2|2017
\ INHALT
INNOVATION UND KOMMUNALVERWALTUNG VERWALTUNG DER ZUKUNFT
20 Fall für zwei 26 Serie: War for talents – Modern genug?
Nur mit einer konsequenten Konsolidierung und Standar- Andreas Engel, Leiter des Amtes für Informationsverar-
disierung wird die Basis für eine moderne und wirtschaft- beitung der Stadt Köln, beschreibt die Anforderungen an
liche IT des Bundes geschaffen, so Hans-Georg Göhring, eine zukunftsgerechte Arbeitsumgebung in der Verwal-
Direktor des ITZBund. tung.
22 Neuer Anlauf 28 Das digitale Dorf
Sven Ambrosy, Landrat des Landkreises Friesland, schreibt Über den ländliche Raum wird in der Diskussion über
über die Bilanz von „Liquid Friesland“ und die Gründe für Digitalisierung selten geredet – dabei bieten sich gerade
die umgestaltete und neu konzeptionierte zweite Auflage hier viele Chancen, wie Marian Schreier, Bürgermeister
des Bürgerbeteiligungsportals. von Tengen im Kreis Konstanz, meint.
24 Einfach schneller! 30 App-Check: Direkter Draht
Mit XAmtshilfe exisitiert ein Kommunikationsstandard Vitako prüft https://holdenoberbuergermeister.de – den
zwischen Gläubigern und Vollstreckungsbehörden, der direkten Draht zum Stadtoberhaupt für Bürger mit wich-
nach Meinung von Jürgen Collatz, Projektleiter beim tigen Anliegen.
Beitragsservice von ARD, ZDF und Deutschlandradio,
deutliche Vorteile bietet. 31 Zukunft statt Stillstand
Am 21. und 22. Juni findet der Zukunftskongresses Staat
und Verwaltung zum fünften Mal statt. Schirmherr ist der
Bundesminister des Innern, Thomas de Maiziére. Vitako
ist erneut besonderer Partner des Kongresses.
RUBRIKEN
32 Vitako fragt …
Dr. Kay Ruge
33 Vitako antwortet …
Thomas Losse-Müller
34 Vitako Panel
35 In eigener Sache
35 Termine
35 Vorschau auf die nächste Ausgabe
5
2|2017
\ CYBER-SICHERHEIT IN KOMMUNEN
Risiken beherrschen
Cyber-Sicherheit braucht die Vernetzung aller Akteure
K
aum etwas hat die Gesellschaft in so kurzer Zeit so stark Angriffe aus dem Netz gelten nunmehr als gesamtstaatliche
verändert wie die Digitalisierung. Viele Prozesse sind Aufgabe, die von Bund, Ländern sowie Kommunen gleicher-
ohne elektronische Unterstützung kaum oder gar nicht maßen zu bewältigen ist. Es ergeben sich vier Handlungsfelder:
mehr denkbar. Im Cyber-Raum bewegen sich sekündlich un-
endlich große Datenmengen. Damit einher geht eine steigen- 1. Selbstbestimmtes Handeln
de Komplexität der Systeme, und gleichzeitig steigt das Miss- Ein sicherer Umgang aller Nutzer mit IT ist eine der wesent-
brauchspotenzial der Informationstechnologie ständig an. Hier lichen Voraussetzungen für wirksame Cyber-Sicherheit. Der
sind Staat und IT-Wirtschaft gefordert. Kompetenzvermittlung gegenüber Bürgern und Wirtschaft
sowie der Sensibilisierung für Gefahren misst die Bundesre-
Bereits 2011 hat die Bundesregierung erstmals eine Cyber-Si- gierung besondere Bedeutung zu. Alle Akteure müssen in der
cherheitsstrategie für Deutschland beschlossen, auf deren Lage sein, die Chancen und Risiken im digitalen Raum zu
Basis der Cyber-Sicherheitsrat als Schaltstelle von Politik und erfassen, zu bewerten und entsprechend zu handeln. Dafür
Wirtschaft sowie das Cyber-Abwehrzentrum entstand: eine müssen allerdings auch die entsprechenden vertrauenswürdi-
Plattform für den strategischen und operativen Austausch zwi- gen Technologien und Rahmenbedingungen vorliegen: sichere
schen Behörden. Seitdem hat sich die Bedrohungslage indes- Identitäten, eine sichere elektronische Kommunikationsinfra-
sen erheblich verändert, sodass Ende 2016 die Aktualisierung struktur und ein einheitliches Gütesiegel für IT-Sicherheit.
des Papiers notwendig wurde.
2. Gemeinsamer Auftrag: Cyber-Sicherheit
Die aktuelle Cyber-Sicherheitsstrategie betont bereits in der Ein hohes Schutzniveau sieht die neue Cyber-Sicherheitsstra-
Einleitung den Vernetzungsgedanken. Demzufolge sind innere tegie nur durch eine enge und vertrauensvolle Zusammenar-
und äußere Sicherheit im Cyber-Raum nicht mehr klar zu tren- beit von Staat und Wirtschaft gewährleistet. Ganz egal, ob es
nen. Die Wahrung der Sicherheit und die Verteidigung gegen gerade um den Schutz kritischer Infrastrukturen oder die Ab-
6
2|2017
\ CYBER-SICHERHEIT IN KOMMUNEN
Der Staat muss die Rahmenbedingungen
schaffen, damit Bürger und Wirtschaft die
Vorteile der Digitalisierung nutzen können.
Die neue Cyber-Sicherheitsstrategie der
Bundesregierung will genau das erreichen.
Aber diese zentrale Sichtweise sollte nicht
die Rolle der Kommunen vernachlässigen.
wehr von Angriffen auf Unternehmens- durch kommunale IT-Dienstleister. Das gen in der digitalen Welt auch zum Woh-
netze geht. Dabei sind im Sinne eines Bundesamt für Sicherheit in der Infor- le der kommunalen IT möglichst schnell
kooperativen Ansatzes auch neue Wege mationstechnik (BSI) soll zudem unter umgesetzt werden müssen. Aus Sicht
zu beschreiten, um die jeweiligen Kom- Einbeziehung der kommunalen Spitzen- von Vitako sind zwei Aspekte besonders
petenzen zu bündeln und zu nutzen. Das verbände und der Länder ein Lagebild hervorzuheben: Das ist zum einen das
bezieht deutlich stärker als bei anderen der Cyber-Sicherheit erarbeiten. Bei aku- Thema Personalgewinnung, denn der
staatlichen Aufgaben private IT-Sicher- ten Bedrohungslagen kommen verstärkt IT-Fachkräftemangel kann im Sicherheits-
heitsdienstleister mit ein. Computer Emergency Response Teams bereich fatale Folgen haben. Der öffentli-
(CERT) zum Einsatz, deren Rolle im che Dienst braucht dringend eine Attrak-
3. Gesamtstaatliche Strategiepapier hervorgehoben ist. tivitätssteigerung, um im Wettbewerb um
Sicherheitsarchitektur die besten Köpfe noch eine Chance zu ha-
Besonders wichtig ist das gesamtstaat- An dieser Stelle soll – weil es im Stra- ben. Zum anderen zielt die Strategie des
liche Verständnis im Bereich der Cy- tegiepapier unerwähnt bleibt – deutlich Bundes auf möglichst zentralisierte Ein-
ber-Sicherheit. Alle Beteiligten müssen darauf hingewiesen werden, dass nicht richtungen für Cyber-Sicherheit ab. Dabei
effektiv zusammenarbeiten. Andernfalls wenige kommunale IT-Dienstleister hier kommt den Kommunen und ihren Ver-
drohen nicht nur Effizienzverluste, son- der Zeit weit voraus sind, weil sie bereits waltungen vor Ort aufgrund ihrer Nähe
dern sogar schlimmstenfalls unerkannte CERTs im operativen Einsatz haben und zum Bürger mindestens ebenso große Be-
Sicherheitslücken. Die Bundesregierung aktuelle Bedrohungen erkennen und Ab- deutung zu. Bei der Cyber-Sicherheit geht
will vor allem das Nationale Cyber-Ab- wehrmaßnahmen einleiten können. es um schnelle gegenseitige Information,
wehrzentrum weiterentwickeln und damit der Schaden eingegrenzt und zügig
plant zusätzlich die Einrichtung einer 4. Internationale Kooperation Gegenmaßnahmen ergriffen werden kön-
Zentralen Stelle für Informationstechnik Mangels geografischer Barrieren im Cy- nen. Hier haben sich auch koordinierte
im Sicherheitsbereich (ZITiS). Auch die ber-Raum kommt der grenzüberschrei- dezentrale Strategien bewährt, wenn sie
Verteidigungspolitik ist hier in Form ei- tenden Zusammenarbeit naturgemäß intelligent vernetzt werden. Hierin liegt
nes neuen Kommando Cyber- und Infor- besondere Bedeutung zu. Sämtliche die Stärke der kommunalen IT-Dienstleis-
mationsraums einbezogen. Maßnahmen müssen nach Ansicht der ter, zumal sie am schnellsten Vertrauen
Nicht zuletzt sind auch die Kommunen Bundesregierung in regionale, europä- aufbauen können, indem die IT der Ver-
gefragt. Denn sie bieten mit ihren viel- ische und globale Prozesse eingebettet waltungen sicher und reibungslos funkti-
fältigen IT-Systemen durchaus Angriffs- sein. Gefragt sind außerdem ein klarer oniert. Die kommunalen IT-Dienstleister
fläche für Cyber-Attacken und haben Rechtsrahmen, vertrauensbildende Maß- sind hier in „vorderster Linie“ gefordert
insbesondere bei kleinen und mittleren nahmen und eine Stärkung der gesamt- und haben die Herausforderungen ange-
Städten und Gemeinden nicht immer europäischen Sicherheitsstrukturen. nommen.
das entsprechende Fachpersonal direkt
vor Ort. Den kommunalen IT-Dienst- Herausforderungen erkannt
leistern weist die Bundesregierung da- und angenommen
her eine besondere Verantwortung zu. Die fortgeschriebene Cyber-Sicherheits-
Dies betrifft vor allem die Schaffung strategie für Deutschland 2016 enthält
Dr. Ralf Resch
zentraler Strukturen für die Förderung eine ganze Reihe von Einzelmaßnahmen, ist Geschäftsführer
von Cyber-Sicherheit in den Ländern die angesichts der ständigen Veränderun- von Vitako.
7
2|2017
\ CYBER-SICHERHEIT IN KOMMUNEN
Jetzt aktiv werden! gen an Einwilligungserklärungen oder die Transparenzpflich-
ten missachten, kann sie das teuer zu stehen kommen. Denn
der Artikel 83 DS-GVO sieht Bußgelder in Höhe von bis zu
20 Millionen Euro vor. Dieser Bußgeldrahmen soll „wirksam,
E-Government im Spannungsfeld verhältnismäßig und abschreckend“ sein. Auch wenn wegen
zwischen Cyber Security und EU- der mangelnden Bestimmtheit einiger Bußgeldtatbestände
Zweifel an ihrer Wirksamkeit bestehen, so ist der Abschre-
Datenschutzgrundverordnung ckungseffekt doch hoch. Hinzu kommt insbesondere die Tat-
sache, dass gerade zur Abwehr und Detektion von Cyber-An-
griffen gesammelte Daten unter anderem die Onlinekennung
des Nutzers enthalten und somit ebenfalls nach Definition der
In einem Jahr ist es soweit: Die neuen DS-GVO Personenbezug haben. Inwieweit diese Anforderung
Datenschutzvorschriften von EU und Bund sind an den sicheren Betrieb und aus den dazugehörigen Zertifi-
zierungsnormen mit der strafbewerten Forderung nach daten-
verpflichtend anzuwenden. Bis dahin gibt es schutzfreundlicher Technikgestaltung („privacy by design“)
einiges zu tun, um nicht am Ende Schadens der DS-GVO vereinbar sind, wird die Datenschützer in den
kommenden Jahren beschäftigen.
ersatz- und Strafzahlungen zu riskieren.
Ergänzend haften Verantwortliche und Auftragsverarbeiter
gegenüber den von einem Verstoß Betroffenen zivilrechtlich
gesamtschuldnerisch auf Ersatz der durch den Rechtsverstoß
D
urch die E-Goverment-Gesetze der Länder ist das The- entstandenen Schäden (Art. 82 Abs. 1 DS-GVO). Sowohl ge-
ma Digitalisierung nun auf der Agenda von Kommunen gen Rechenzentrumskunden (Kommunen), als auch gegen be-
und kommunalen Gebietskörperschaften gelandet. Ne- teiligte Rechenzentren und Unterauftragnehmer kann Ersatz
ben der Frage der Sicherheit digitalisierter Verwaltungsver- des immateriellen oder materiellen Schadens geltend gemacht
fahren ist auch die Vereinbarkeit von Datenschutz und Cyber werden. Bei diesem Anspruch handelt es sich um eine Ver-
Security ein relevantes Thema. schuldenshaftung wegen unerlaubter Handlung mit Beweis-
lastumkehr. Der für den Datenschutzverstoß Verantwortliche
Die EU-Datenschutzgrundverordnung (DS-GVO) trat bereits kann sich vor rechtlichen Folgen schützen, wenn ihm
24. Mai 2016 in Kraft und ist mit Vorrang vor dem Bundesdaten- der Beweis gelingt, dass er weder vorsätzlich noch
schutzgesetz (BDSG) ab dem 25. Mai 2018 unmittelbar in allen fahrlässig gehandelt hat. Er also „in keinerlei
Mitgliedstaaten anzuwenden. Ein neues Bundesdatenschutzge- Hinsicht für den Umstand, durch den
setz (Art. 1 DSAnpUG) wurde jüngst im Bundestag beschlossen der Schaden eingetreten ist,
und soll im Mai die Zustimmung des Bundesrates erhalten. Das
neue BDSG enthält neue Vorschriften, die in Ergänzung zur DS-
GVO notwendig oder aufgrund von Öffnungsklauseln möglich
wurden – so zum Beispiel Beschäftigtendatenschutz oder Sco-
ring. Danach stehen aber immer noch Anpassungen des Fach-
rechts aus, wie etwa des Sozialdatenschutzes, des Melderechts
oder anderer bereichsspezifischer Datenschutzregelungen, die
dann dem BDSG-neu vorgehen. Auch die Länder müssen ihre
Gesetze noch anpassen.
Bußgelder drohen
Wichtig ist, dass sich alle Verantwortlichen insbesondere mit
der neuen DS-GVO alsbald vertraut machen. Verstoßen eine
Kommune oder ihr Rechenzentrumsbetreiber gegen die DS-
GVO, indem sie etwa die strengen Erlaubnistatbestände für
die Verarbeitung personenbezogener Daten, die Anforderun-
8
2|2017
\ CYBER-SICHERHEIT IN KOMMUNEN
verantwortlich ist“. Auftragnehmer haften „wenn sie ihren spe- Es ist wegen der Regelungen in Art. 44 ff. DS-GVO nicht nur
ziell den Auftragsverarbeitern auferlegten Pflichten aus dieser zu untersuchen, ob zu jeder Leistungsbeziehung zu einem Auf-
Verordnung nicht nachgekommen sind oder unter Nichtbeach- tragsverarbeiter auch entsprechende DS-GVO-konforme Verträ-
tung der rechtmäßig erteilten Anweisungen des für die Daten- ge vorliegen, sondern auch, ob diese die geforderten techni-
verarbeitung Verantwortlichen oder gegen diese Anweisungen schen und organisatorischen Maßnahmen treffen. Des Weiteren
gehandelt haben“. Faktisch bedeutet dies häufig, dass der wirt- ist zu prüfen, ob Verzeichnisse von Verarbeitungstätigkeiten
schaftlich Stärkste als Gesamtschuldner in Höhe der gesamten vorliegen, ob Vorkehrungen für eine datenschutzfreundliche
Schadenssumme in Anspruch genommen wird. Dieser müss- Technikgestaltung getroffen wurden (Datenschutz durch Tech-
te dann nachweisen, dass der Rechtsverstoß von ihm nicht nikgestaltung; Gewährleistung der Sicherheit; Datenschutz-
schuldhaft herbeigeführt wurde. Gelingt ihm das nicht, kann folgenabschätzung) und ob Daten in Drittstaaten transferiert
er nur noch im Innenverhältnis von den anderen Beteiligten werden, was dann weitere Maßnahmen erfordern würde. Dar-
eine Aufteilung der Haftungssumme verlangen. Welche Aus- über hinaus sollten die kommunalen Rechenzentren erwägen,
wirkungen diese Perspektive auf heutige Outsourcing-Modelle in laufenden und zukünftigen Ausschreibungen entsprechende
hat, ist noch nicht abzusehen. Zertifikate gemäß Art. 28 Abs. 5, 42 DS-GVO einzufordern.
Verträge prüfen Partnerwechsel?
Mit der Geltung der DS-GVO entstehen noch stärker als bis- Erweisen sich Lieferanten von Rechenleistungen als ungeeig-
her reale Risiken für Unternehmen und Kommunen. Unter net, die hohen Anforderungen der DS-GVO zu erfüllen, sind
Compliance-Gesichtspunkten sind kommunale Rechenzentren neue Partner auszuwählen beziehungsweise die Dienstleistun-
gefordert, zeitnah ein Informations- und Dokumentationssys- gen neu auszuschreiben. Weiterhin müssen alle an der Daten-
tem aufzubauen. Dort, wo noch nicht geschehen, müssen sie verarbeitung Beteiligten entsprechende Prozesse etablieren,
mit ihren kommunalen Kunden Auftragsverar- um sicherzustellen, dass sie die Anforderungen der DS-GVO
beitungsverträge abschließen. Die beste- zukünftig jederzeit einhalten. Gemäß § 5 des Gesetzesentwurfs
henden Vereinbarungen sind auf den zum neuen BDSG sind auch künftig behördliche Datenschutz-
Prüfstand zu stellen und auf beauftragte vorgesehen, die an den Maßnahmen zu beteiligen
DS-GVO-Konformität zu sind. Es empfiehlt sich, mit der Bearbeitung aller vorgenannten
prüfen. Aufgaben bereits jetzt zu starten, zumal die Ressourcen, die
sich in den Unternehmen mit Datenschutz beschäftigen, eher
begrenzt sind. Datenschutzbeauftragte üben ihre Tätigkeit
häufig in Teilzeit neben ihren Hauptaufgaben im Tagesgeschäft
aus. Als beratende Aufgabenträger sollten sie drängen, mit den
Anpassungsprozessen jetzt zu beginnen.
Alle verantwortlichen Stellen, die Kommunen und die Rechen-
zentren, müssen sich frühzeitig mit den Anforderungen der
DS-GVO befassen und sich auf die neue Rechtslage einstellen,
um im Mai 2018 die Anforderungen der Datenschutzgrundver-
ordnung, des neuen BDSG und des bis dahin noch anzupassen-
den Fachrechts des Bundes und der Länder vollumfänglich zu
erfüllen.
Prof. Dr. Jürgen Taeger
ist Direktor des Instituts für Rechtswissenschaften
an der Universität Oldenburg und Vorsitzender der
Deutschen Stiftung für Recht und Informatik.
9
2|2017
\ CYBER-SICHERHEIT IN KOMMUNEN
Saubere Schnittstellen Verbindungen von IT-Systemen untereinander und
nach außen sind potenzielle Sicherheitsschwach-
Zur Abwehr von Cyber-Angriffen stellen. Das BSI definiert Mindeststandards zur
braucht es auch einheitliche Normen Bedrohungsabwehr an diesen Schnittstellen.
S
chnittstellen sind durch die zunehmende Vernetzung und sein. Abhängig vom Schutzbedarf und den Nutzungsszena-
die wachsenden Anforderungen an die Interoperabilität rien können noch weitere Vorgaben und Regeln erforderlich
in der Informationstechnik von ganz besonderer Bedeu- sein. Die zentrale Aufgabe der Schnittstellenkontrolle besteht
tung. Fast jeder kennt und nutzt ganz selbstverständlich Dinge anschließend in der Umsetzung dieser Vorgaben und Regeln.
wie USB, LAN, WLAN, Mobilfunk oder Bluetooth, ohne sich Hierzu bedarf es nicht unbedingt einer zusätzlichen Software
weitere Gedanken darüber zu machen. Schnittstellen verbin- oder Hardware. Grundsätzlich lassen sich viele Regelungen
den IT-Systeme miteinander und übertragen unterschiedliche durch entsprechende Konfigurationen der Betriebssysteme,
Arten von Daten. Ob Einzelperson, Organisation, Unterneh- bestehende Sicherheitslösungen oder organisatorische sowie
men oder Behörde: Unter dem Aspekt der Informationssicher- technische Maßnahmen umsetzen. Darüber hinaus bieten spe-
heit stellen Schnittstellen immer ein Risiko dar. Über sie kön- zialisierte Anbieter auch spezielle Produkte und Lösungen an.
nen zum Beispiel ungewollt Daten aus dem eigenen IT-System
abfließen oder – anders gerichtet – auch schädliche Daten in
das eigene IT-System eindringen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Als Beitrag zur sicheren Gestaltung der Digitalisierung hat das
Das BSI als die nationale Cyber-Sicherheitsbehörde ge-
Bundesamt für Sicherheit in der Informationstechnik (BSI) im
staltet Informationssicherheit in der Digitalisierung durch
November 2016 den Mindeststandard für Schnittstellenkont-
Prävention, Detektion und Reaktion für Staat, Wirtschaft
rollen veröffentlicht. Dieser definiert ein konkretes Mindest-
und Gesellschaft. Mindeststandards des BSI fördern siche-
niveau für diesen Aspekt der IT-Sicherheit und liefert damit
res und selbstbestimmtes Handeln in einer digitalisierten
IT-Verantwortlichen, IT-Sicherheitsbeauftragten und IT-Fach-
Umgebung und sind gleichsam ein wichtiges Element zur
kräften ein Instrument zur absichernden Gestaltung des Be-
Schaffung einer leistungsfähigen und nachhaltigen ge-
triebs oder der Nutzung von IT-Systemen.
samtstaatlichen Cyber-Sicherheitsarchitektur. Ihre gesetz-
liche Grundlage findet sich im §8 BSIG als Vorgabe für die
Eine Schnittstellenkontrolle soll sicherstellen, dass Verbindun-
Stellen des Bundes. Darüber hinaus sind Mindeststandards
gen und Übertragungen nur dann möglich sind, wenn sie zu-
auch in der öffentlichen Verwaltung der Länder und Kom-
vor als zulässig deklariert wurden. Am Anfang steht damit die
munen für den Einsatz von Informationstechnik und zur
Überlegung, welche Arten von Daten übertragen werden dür-
Sicherung kritischer Infrastrukturen von grundsätzlicher
fen. Weiterhin ist festzulegen, welche Schnittstellen – zum Bei-
Bedeutung: Ziele, Definitionen und Anforderungen von
spiel USB – und welche verbindungsfähigen Geräte zu nutzen
Mindeststandards lassen sich dazu nutzen, eigene Sicher-
sind. Ebenso ist zu definieren, welche Personen oder Gruppen
heitsanforderungen zu entwickeln, anzupassen oder zu
zur Nutzung einer Schnittstelle berechtigt sein sollen.
überprüfen. Auch bei der Erstellung von Leistungsbeschrei-
bungen im Rahmen eigener Vergabeverfahren sind sie
Klare Sicherheitsanforderungen
zur Beschreibung von Sicherheitsanforderungen nutzbar.
Zusätzlich empfehlen sich auch noch weitere Vorgaben, die
IT-Dienstleister und Anbieter von Informationstechnik kön-
eine Nutzung der Schnittstellen zulassen oder einschränken:
nen damit ihre angebotenen Produkte sicherer gestalten
So kann eine Freigabe nur zu ganz bestimmten Zeiten, an be-
oder spezifische Produkte entwickeln und anbieten.
sonderen Orten oder in ausgewählten Netzwerken sinnvoll
10
2|2017\ CYBER-SICHERHEIT IN KOMMUNEN
Einfallstor: Jede Verbindung zwischen verschiedenen Systemen ist für Angriffe nutzbar
Unabhängig von der gewählten Lösung Im Rahmen der Einführung und des Be- die Beteiligung staatlicher Einrichtungen
oder dem Produkt ergeben sich funkti- triebs einer Schnittstellenkontrolle ist zu nicht nur möglich, sondern erwünscht.
onale und nicht-funktionale Anforde- berücksichtigen, dass der Mindeststan- Vorschläge können jederzeit an den Ar-
rungen, die im Mindeststandard des BSI dard definitionsgemäß nur die Festle- beitsbereich Mindeststandards im BSI
für Schnittstellenkontrolle als sicherheit- gung von Mindestmaßnahmen darstellt. gerichtet werden. Mindeststandards bie-
stechnisches Basisniveau definiert wer- In der Praxis ergeben sich bei höherem ten sich auch damit gleichermaßen für
den. Dazu zählen beispielsweise die Schutzbedarf auch weitere Forderun- Nutzer und Betreiber als strategisches
gen, die deutlich darüber hinausgehen Instrument zur Förderung der IT-Sicher-
Identifikation und Authentisierung der können. Ebenso ist zu bedenken, dass heit an.
Benutzer und Administratoren (Wer ein vollständiger Schutz gegen Angriffe
ist mit welcher Rolle tätig?) auch durch die Umsetzung des Mindest- Weitere Informationen:
Identifikation der Geräte und Daten standards nicht erreicht wird. Es ver- https://www.bsi.bund.de/DE/Themen
(Was für ein USB-Stick ist angeschlos- bleiben immer Restrisiken, die sich zum
sen? Welche Arten von Daten befin- Beispiel durch technisch besonders ver-
den sich auf dem USB-Stick?) sierte Angreifer ergeben können.
Offlinefähigkeit (zum Beispiel bei
Nutzung eines Notebooks unterwegs) Mindeststandards als strategisches
sichere Konfiguration der Schnittstel- Instrument
len, Applikationen und Daten (Bei- Die inhaltliche Erstellung von Mindest-
spielsweise Verhinderung der Ausfüh- standards erfolgt unter der fachlichen
rung von Schadsoftware auf einem Federführung der spezialisierten Fach-
angeschlossenen USB-Stick) referate im BSI. Sie ist an einen mehr-
Protokollierung der Informationsflüs- stufigen Prozess zur Qualitätssicherung
se (Wann wurde über welche Schnitt- gekoppelt, der auch die zukünftigen
Dominique Hader
stelle auf welche Daten zugegriffen?) Nutzer und Anbieter von Lösungen in- ist Referatsleiter
Wartung und Pflege (Patch-Manage- tegriert. Bereits in der Bestimmung von Mindeststandards Bund
beim Bundesamt für
ment) Themenfeldern, die im Rahmen neuer Sicherheit in der Informa-
Berücksichtigung des Datenschutzes Mindeststandards aufzubereiten sind, ist tionstechnik (BSI).
11
2|2017\ CYBER-SICHERHEIT IN KOMMUNEN
1001000100001 00100 1 00 101111001 0 000 011 110 11
Chance für die Kleinen
Modernisierung des IT-Grundschutzes
I
m Laufe der nun fast 20 jährigen Ge- noch zu erfassenden Umfang erreicht. steindokumenten, der Gesamtumfang
schichte des IT-Grundschutzes und vor Auch hier will das BSI nachbessern. Die des IT-Grundschutzes bleibt aber mit
dem Hintergrund der fortschreitenden klassische Bausteinstruktur in einem den Umsetzungshinweisen weitestge-
Digitalisierung sind die Anforderungen Schichtenmodell wird durch ein moder- hend erhalten. Es wird sich zeigen, ob
an und der Bedarf für praktikable Ver- neres Prozesshaus abgelöst. Neben dieser die Verlagerung der Informationen aus
fahren in der Informationssicherheit Optimierung schrumpft auch der Umfang den Bausteindokumenten heraus in die
stetig gestiegen. Aus diesen Gründen der einzelnen Bausteine. Umsetzungshinweise hinein überhaupt
und zur Erhöhung der Attraktivität und die gewünschte Komplexitätsreduzie-
Aktualität modernisert das Bundesamt Deren Dokumente haben künftig einen rung mit sich bringt.
für Sicherheit in der Informationstech- Umfang von circa zehn Seiten und ent-
nik (BSI) derzeit den IT-Grundschutz. halten nur noch eine allgemeine Beschrei- Unterschiedliche Abstufung
Wesentliche Neuerungen sind eine ver- bung, Erläuterungen zur spezifischen Neben der Umstrukturierung der
besserte Struktur und die Verschlankung Gefährdungslage, Anforderungen sowie IT-Grundschutzkataloge führt das BSI
der Grundschutzkataloge sowie die er- Referenzen auf weiterführende Infor- mit der Modernisierung auch neue Vor-
höhte Skalierbarkeit der Absicherung. mationen. Im Gegensatz zum bisherigen gehensweisen ein. Zusätzlich zur Stan-
Ebenfalls neu sind insbesondere die Stand sind nicht mehr die zu treffenden dardabsicherung, die im Wesentlichen
sogenannten Grundschutzprofile und Schutzmaßnahmen in aller Ausführlich- dem jetzigen klassischen IT-Grundschutz-
flexiblere optimierte Vorgehensweisen keit erklärt. vorgehen entspricht, sind nun auch Basis-
zur Umsetzung. Die grundsätzliche Or- und Kernabsicherung möglich. Erstere
ganisation in Bausteinen bleibt erhalten. Um den IT-Grundschutz umzusetzen, sieht insbesondere für kleinere und mitt-
Diese beinhalten jeweils Beschreibun- müssen aber freilich auch die zu treffen- lere Institutionen eine Umsetzung essen-
gen zu technischen Komponenten wie den Maßnahmen bekannt sein. Hierfür tieller Anforderungen in der Breite vor. Im
Server, aber auch zu organisatorischen gibt es zu jedem Baustein sogenannte Gegensatz dazu fokussiert die Kernabsi-
Verfahren wie einer Informationssi- Umsetzungshinweise, die sich inhaltlich cherung auf einen kleinen aber sehr wich-
cherheitsleitlinie oder zu besonderen an den Bausteindokumenten orientie- tigen Bereich, um herausragende und
Einsatzformen beispielsweise an einem ren. Diese Hinweise können einen belie- besonders gefährdete Geschäftsprozesse
Heimarbeitsplatz. Das BSI plant im Zuge bigen Umfang aufweisen und enthalten und Ressourcen zu schützen. Mit Einfüh-
der Modernisierung auch eine Verbesse- neben den ausführlichen Maßnahmen- rung der neuen Vorgehensweisen erhofft
rung der Aktualität der Grundschutzka- beschreibungen zusätzlich Referenzen. sich das BSI einen erleichterten Einstieg
taloge durch eine schnellere Bereitstel- Dort finden sich Verweise auf weiterfüh- in den IT-Grundschutz und eine Zeiter-
lung von Inhalten und Bausteinen. rende Literatur wie zum Beispiel klassi- sparnis bei der Umsetzung. Eine weitere
sche IT-Grundschutzbausteine, Studien, Neuerung sind IT-Grundschutzprofile, die
Deutlich schlanker Fachartikel oder Dokumentationen. als Werkzeug für anwenderspezifische
Mit ihren mehr als 4.000 Seiten Be- Empfehlungen zu verstehen sind. Sie er-
schreibungen und Hinweisen haben die Insgesamt bedeutet dies zwar eine Redu- lauben individuelle Anpassungen an die
IT-Grundschutzkataloge einen kaum zierung der Informationen in den Bau- jeweiligen Bedürfnisse einer Institution.
12
2|2017\ CYBER-SICHERHEIT IN KOMMUNEN
Nach 20 Jahren wird eines der zentralen Elemente in der IT-Sicherheit reformiert. Das
Bundesamt für Sicherheit in der Informationstechnik ordnet Strukturen sowie Inhalte neu
und eröffnet damit auch kleinen Organisationseinheiten bessere Absicherungsmöglichkeiten.
Ein Grundschutzprofil ist demnach eine terten Einstieg von Kommunen in den Basisabsicherung“. Dieses Pilotprofil soll
„Schablone“, die den Grundschutzkatalog IT-Grundschutz überhaupt. Aus diesem zunächst denjenigen Kommunalverwal-
auf eine Auswahl anzuwendender Bau- Grund konstituierte sich Ende 2015 eine tungen den Einstieg in den IT-Grundschutz
steine und Maßnahmen für die jeweilige kommunale Arbeitsgruppe „Moderni- ermöglichen, die sich am wenigsten mit
Institution reduziert. Die Profile beziehen sierung IT-Grundschutz“ über das „Fo- Informationssicherheit beschäftigen. Zu-
sich auf typische IT-Szenarien. Neben In- rum der IT-Sicherheitsbeauftragten von künftig erweitert die Arbeitsgruppe das
stitutionen wie zum Beispiel einer Kom- Ländern und Kommunen“. Mit derzeit Portfolio um weitere Profile, zum Beispiel
munalverwaltung oder einem Kranken- mehr als 25 Teilnehmern – überwiegend Kernabsicherungen für einzelne Verwal-
haus können sie auch stark IT-getriebene kommunalen Praktikern, Vertretern der tungsfachverfahren. Durch die Anwen-
Prozesse wie einzelne Verwaltungsver- Spitzenverbände, von Vitako und Vita- dung dieses existierenden Profils und
fahren zum Gegenstand haben. Das BSI ko-Mitgliedsunternehmen – ist sie von Kombination mit weiteren Profilen kann
entwickelt die Grundschutzprofile nicht den kommunalen Spitzenverbänden le- die umsetzende Kommune dann zu einer
selbst und definiert sie auch nicht als Vor- gitimiert worden, an der Modernisierung zertifizierbaren Standardabsicherung ge-
gabe. Vielmehr ist ihre Erstellung in der mitzuwirken. Der Fokus liegt momentan langen.
Regel durch Verbände, Branchenvertre- auf der Erstellung von Grundschutzprofi-
ter oder Fachleute vorgesehen. len für kommunale Einrichtungen.
Eigene Arbeitsgruppe Nach einer anfänglichen Findungsphase Daniel Grimm
In den IT-Grundschutzprofilen sehen arbeitet die AG nun unter Mitwirkung der ist Bereichsleiter
Informationsmanage-
kommunale Spitzenverbände und Vitako SECURiON Rheinland-Pfalz GmbH an ei- ment in der Vitako-
ein großes Potenzial für einen erleich- nem IT-Grundschutzprofil „kommunale Geschäftsstelle.
13
2|2017\ CYBER-SICHERHEIT IN KOMMUNEN
Schulterschluss im Cyber-War
Kommunen und Serviceprovider arbeiten eng zusammen
H
ochkomplex und ständig im Wandel – so lassen sich Überlegungen, neben der Erneuerung der IT-Infrastruktur, der
auch Anforderungen an die IT-Sicherheit beschreiben. Einführung neuer Software-Lösungen und der Erweiterung
Kleine und mittlere Betreiber von IT-Systemen stehen der Servicepalette auch methodisch die Frage nach Sicherheit
in dieser Hinsicht vor einer echten Herausforderung. Gemein- und Datenschutz zu beantworten. Neben der Prüfung inter-
sam geht vieles leichter. Schon die Benennung der Rechtskon- ner Prozesse, dem Sicherheitsbewusstsein der Mitarbeiter und
struktion des Kommunalen Rechenzentrums Minden-Ravens- der Beachtung sicherheitsrelevanter Vorgänge, untersuchte
berg/Lippe als „Zweckverband“ zeigt die Richtung auf: Die das krz die Testversionen von fünf Anwendungen eingehend
Gemeinschaft der Kreise, Städte und Gemeinden in Ostwest- auf Sicherheitsmängel. Als ganzheitliche Aufgabe verstanden,
falen-Lippe als Träger des krz in Lemgo hat sich zusammen- setzten die Lemgoer alle Mängelbeschreibungen nach Vorlie-
geschlossen, um in enger Zusammenarbeit die in der Satzung gen des Assessment-Abschlussberichtes gewissenhaft um. Dies
festgelegten Ziele zweckbestimmt zu verfolgen. Ursprünglich geschah unter Rückgriff auf die erste Sicherheitsrichtlinie aus
eher konzentriert auf die gemeinsame Da- dem Jahr 2001.
tenverarbeitung, rücken jetzt zusätzlich
immer stärker die Themen IT-Sicher- Ziel Zertifizierung
heit und Datenschutz in den Fokus. Das Thema spielte eine wesentliche Rolle, als es um die Weiter-
entwicklung der IT-Sicherheit mit dem Ziel einer Zertifizierung
Bereits im Jahr 2005 lief ein durch das BSI ging. Dafür wurden bereits im Vorfeld nicht un-
erstes Security-Assessment erhebliche finanzielle und technische Ressourcen aufgewendet,
– seinerzeit durchge- gepaart mit einem hohen Einsatz der
führt von der TÜV- Mitarbeiter aus IT-Sicherheit,
IT. Vorausgegan-
gen waren\ CYBER-SICHERHEIT IN KOMMUNEN
IT-Sicherheit zu gewährleisten ist eine Aufgabe, die insbesondere kleine und mittlere
Kommunen nicht immer alleine bewältigen können. Ein ständiger Austausch mit den
Experten des IT-Dienstleisters und dessen eigene Maßnahmen helfen dabei.
Technik und Infrastruktur. Zum Jahresende 2006 erfolgte dann terter Sicherheits-Software-Lösungen und insbesondere über
das Audit zur Erstzertifizierung des IT-Verbundes. Dieses war er- die Fortentwicklung der verbandsweiten Sicherheitsstandards
folgreich, nicht zuletzt durch die umfassenden und gründlichen zu beraten. Schwerpunkte des Jahres 2017 sind die Weiterent-
Vorbereitungen. Im März 2007 folgte die Verleihung des begehr- wicklung und Aktualisierung der Netzsicherheitsrichtlinien,
ten Siegels „ISO 27001 Zertifizierung auf Basis von IT-Grund- die Prüfung und der Test von Software-Produkten zur Netzsi-
schutz“. Regelmäßig erneuert das krz seitdem im vorgeschrie- cherheit, die regelmäßige Information über Bedrohungslagen
benen Zeitraum die Zertifizierung. In der Zwischenzeit prüfen des Cyber-Raums sowie den Umgang damit.
jährliche Audits, ob und an welcher Stelle sich neuer Regelungs-
bedarf ergibt. Der Neubau eines zweiten Rechenzentrums, die Systematische Unterstützung
redundante Netzstruktur, die Ausweitung der Dienstleistungen Zentrale Beschlussgremien, einheitliche Zertifizierung für das
– bislang entsprachen alle neuen Maßnahmen stets den Anfor- Verbandsgebiet – das sind wichtige Bausteine zur Sicherheit in
derungen des BSI. Zeiten des Cyber-Wars. Aber die lokale Umsetzung von Daten-
schutz und organisiertem Schutz der IT-Struktur sind ebenfalls
Ständiger Austausch zu beachten. Dazu existiert für die Verwaltungen ein breites
Inzwischen haben Trägerkommunen und Rechenzentrum eine Angebot von Unterstützungsmaßnahmen, das von der Über-
Kommunikationsplattform entwickelt, um Sicherheitsfragen zu- nahme der Funktion des Datenschutzbeauftragten über die
verlässig und rasch zu bearbeiten. Denn eins ist klar: Ohne die Stellung des IT-Sicherheitsbeauftragten bis hin zur Erstellung
Beteiligung aller Verantwortlichen – ob in der Kommune oder von kompletten Konzepten reicht.
am Sitz des Dienstleisters – gibt es keine einheitliche Reakti-
on auf die Herausforderungen im Datenschutz, beispielsweise Der Einstieg in eine systematische lokale Realisierung von
bei der Abwehr von Angriffen auf das Verbandsgebiet aus dem IT-Sicherheit und Datenschutz gelingt am besten mit einem
Cyber-Raum. Als eine der wichtigsten Maßnahmen ist in der re- Basischeck. Er dient als Grundlage für die Wahrnehmung der
gelmäßigen Fortschreibung der Sicherheitsrichtlinie deshalb die Datenschutzaufgaben durch die örtliche Stelle und die Arbeit
Etablierung des „Security Board zur Behandlung kritischer Si- des entsprechenden Beauftragten. Eine analytische Bestands-
cherheitshinweise“ hervorzuheben. Hier arbeiten die IT-Verant- aufnahme ermittelt zum Beispiel die nach dem Datenschutz-
wortlichen der Träger und die Mitarbeiter des Rechenzentrums gesetz NRW erforderlichen technischen und organisatorischen
aus den Bereichen IT-Sicherheit und Technik zusammen, um Maßnahmen, es folgen deren Umsetzung und die Dokumenta-
innerhalb kürzester Zeit im Falle von Sicherheitsvorfällen ge- tion in einem Sicherheitskonzept. Die einzelnen Aktivitäten bei
meinsam verbindliche Entscheidungen zu treffen. Das hat sich dieser Ist-Aufnahme erfolgen in enger Zusammenarbeit mit der
bewährt, denn es kann sich um Maßnahmen handeln, die in die beauftragenden Kommune. Absolute Vertraulichkeit ist vertrag-
Prozesse der betroffenen Verwaltungen eingreifen. lich gewährleistet. Das Zusammenspiel von örtlichen Maßnah-
men, zentralen Sicherheitsmaßnahmen und der Einbindung
Transparenz im Handeln spielt bei Datenschutz und IT-Sicher- in den bundesweiten Informationsaustausch der kommunalen
heit überhaupt die größte Rolle. Neben den beschlussfassen- IT-Dienstleister stellt sicher, dass alles erdenklich Mögliche un-
den Gremien ist die Einrichtung eines beratenden Gremiums ternommen wird, um im Cyber-War Schaden von den Kommu-
für den Verwaltungsrat zu erwähnen. Bestehend aus neun nen abzuwenden. Dabei geht es nicht um Formalien. Im Mittel-
IT-Verantwortlichen der Verwaltungen und drei Mitgliedern des punkt steht das Vertrauen der Bürgerinnen und Bürger in den
Managements in Lemgo bereitet diese Gruppe in technischen Schutz ihrer persönlichen Daten bei ihrer
und sicherheitsrelevanten Punkten die Entscheidungen der Verwaltung.
Gremien vor. Hier ist es gelungen, eine Gesprächsplattform zu
etablieren, die maßgeblich zu den Beschlüssen der Gewährs-
träger beiträgt. Über diese formelle Gruppe hinaus gibt es seit
zweieinhalb Jahren eine Arbeitsgruppe Netzsicherheit, die in
regelmäßigen Abständen zu sicherheitsrelevanten Themen zu-
Volker Mengedoht
sammentrifft, um auf der Arbeitsebene über den Einsatz erwei- ist Abteilungsleiter Technik und Infrastruktur des krz.
15
2|2017\ CYBER-SICHERHEIT IN KOMMUNEN
büchern und Katalogen. Das kann gerade kleinere Einrichtun-
gen mit begrenzten Kapazitäten schnell überfordern.
Arbeitshilfe
Aus diesen Gründen hat nun die Innovationsstiftung Bayerische
Kommune eine Arbeitshilfe speziell für Städte und Gemeinden
zur Verbesserung der Informationssicherheit verfasst. Es han-
delt sich dabei um eine Anleitung zur Selbsthilfe. Sie benennt
zum einen aus den gesetzlichen Vorgaben abgeleitete Mindest-
anforderungen. Zum anderen dient sie als Leitfaden, wie sich
ein systematischer Ansatz zur dauerhaften Gewährleistung der
Die Innovationsstiftung Bayerische Kom- IT-Sicherheit umsetzen, etablieren und im Alltag kontinuierlich
praktizieren lässt. Sie stellt per se noch kein Konzept für die
mune u
nterstützt Städte und Gemeinden
jeweilige Kommune dar. Denn das eine, richtige Informations-
dabei, ihrer Verpflichtung zur Sicherung der sicherheitskonzept gibt es nicht. Tatsächlich unterscheiden
IT-Systeme aus dem B
ayerischen E-Govern- sich die konkreten Pläne vergleichbarer Einrichtungen deut-
lich voneinander. Daher ist die Arbeitshilfe so konzipiert, dass
ment-Gesetz ohne übertriebenen Aufwand erst nach Durchlaufen der vier Schritte „Bestandsaufnahme“,
nachzukommen. „Bewertung“, „Umsetzung“ und „Betrieb“ ein Informations-
sicherheitskonzept in der Behörde eingeführt wird. Im An-
schluss ist eine regelmäßige Überprüfung und Anpassung des
Konzepts an sich verändernde Rahmenbedingungen erforder-
lich. Inhaltlich deckt ein solches Sicherheitskonzept die Bere-
iche Datenschutz, Gebäudesicherheit und Zugang, Berechti-
Hilfe zur gungsverwaltung und Protokollierung, Notfallmanagement,
Richtlinien und Dienstanweisungen sowie Schulungen ab.
Auch ein Hinweis über notwendige Anforderungen an seriöse
Selbsthilfe externe Dienstleister fehlt nicht.
Webinare und Fortsetzung
E
gal, ob Cyber-Angriff, Wasserschaden im Serverraum oder In erster Linie richtet sich die Arbeitshilfe an den für Infor-
unzureichend ausgeprägtes Gefahrenbewusstsein der Mit- mationssicherheit zuständigen Projektleiter sowie an die Be-
arbeiter – die Sicherheit sensibler Informationen ist auf hördenleitung. Letztere sollte den gesamten Prozess unter
vielfältige Weise gefährdet. Gerade IT-Systeme sind besonders organisatorischen Aspekten begleiten. Für die verschiedenen
empfindlich, da inzwischen fast alle Abläufe digitalisiert und Zielgruppen, die sich mit Informationssicherheit auseinander-
viele Systeme miteinander verbunden sind. Mit Inkrafttreten setzen müssen, hat die Innovationsstiftung Bayerische Kom-
des Gesetzes über die elektronische Verwaltung in Bayern mune im März unterschiedliche Webinare angeboten. Eben-
(BayEGovG) erhält Informationssicherheit für die Kommunen so wird die Thematik auf den diesjährigen Techniktagen der
künftig auch formal einen noch höheren Stellenwert. Artikel AKDB behandelt.
8 BayEGovG fordert von den Kommunen, die Sicherheit ihrer
IT-Systeme durch angemessene technische und organisa- Weitere Informationen:
torische Maßnahmen zu gewährleisten und bis zum 1. Januar www.bay-innovationsstiftung.de
2018 entsprechende Konzepte zu erstellen. Zwar gibt es bereits
bekannte Standards zur Informationssicherheit. Diese bauen
Korinna Pöppl
jedoch nicht zwingend auf den spezifischen Belangen von ist Referentin Vorstandsstab bei der Innovations
Behörden auf und arbeiten zudem mit umfangreichen Hand- stiftung Bayerische Kommune.
16
2|2017\ CYBER-SICHERHEIT IN KOMMUNEN
Die IT-Sicherheit in Behörden ist zu-
nehmend vom qualifizierten Umgang
der Beschäftigten mit den digitalen
Werkzeugen abhängig. Um diesen
zu schulen, lässt sich zum Beispiel
ein behördeninternes E-Learning-
Programm wie BITS nutzen.
Mehr Erkenntnisprozess: Die Mitarbeiter müssen IT-Sicherheit verinnerlichen – und
Sensibilität lernen
das geht nur durch ständiges Üben
I
T-Sicherheit ist Führungsaufgabe, wie bereits der BSI-Grund- „E-Mail“ über „Viren“ bis hin zur neuesten Lerneinheit „Cloud“.
schutz feststellt: „Sensibilisierung für Informationssicherheit Sie stellen in einfacher Sprache die grundlegenden Techniken
und entsprechende Schulungen der Mitarbeiter sowie aller und die von ihnen ausgehenden Gefahren für die Behörde und
Führungskräfte sind daher eine Grundvoraussetzung für Infor- die Beschäftigten dar. Im Anschluss geben die Kapitel Hand-
mationssicherheit.“ Um die Kenntnisse der Gefahren für die lungsempfehlungen und Tipps, um diesen – auch im privaten
IT-Sicherheit und den richtigen Umgang mit ihnen zu vermit- Umfeld – angemessen zu begegnen. Den Abschluss jeder Lek-
teln, verlangt es aktive Angebote der Behördenleitung. Unwis- tion bildet ein „Wissens-Check“, der das Gelernte abfragt. Inte-
senheit und mangelnde Sensibilität sind ein Haupteinfallstor griert ist zudem eine leicht aktivierbare Gewinnspielfunktion,
für IT-Angriffe. Die Leitungsebene muss ein eigenes Interesse die – verbunden mit den Wissens-Checks – die Nutzungsbereit-
daran haben, durch Information und Befähigung der Beschäf- schaft deutlich erhöhen kann.
tigten diese Lücke zu schließen. Verschiedenste Angebote sind
hierfür am Markt verfügbar, oft fehlt es aber an Zeit und Geld, Einzigartig an BITS ist auch die Lizenz: BITS steht unter der
das passende Paket zu schnüren oder eine Sensibilisierungs- Creative Commons BY-SA. Diese erlaubt beliebige Anpassun-
kampagne durchzuführen. gen des gesamten Programms. Die Herausgeber, die Kommu-
nal Agentur NRW und der Autor, begrüßen diese ausdrücklich.
Bewährtes Werkzeug So finden neben Ergänzungen zu örtlichen Besonderheiten
Seit dem Jahr 2006 steht allen Verwaltungen – unter offe- auch das Corporate Design der Verwaltung, zum Beispiel über
ner Lizenz – das „Behörden-IT-Sicherheitstraining BITS“ als ein eigenes Logo, Berücksichtigung.
schlanke und effiziente E-Learning-Lösung kostenfrei zur Ver-
fügung. Es wird jährlich aktualisiert, ist einfach in das Intranet BITS ist sowohl online zu testen als auch als ZIP-Paket mit ei-
der Behörde zu integrieren und bietet vollständige Flexibilität ner ausführlichen Anleitung kostenfrei und ohne Anmeldung
für die Anpassung an lokale Besonderheiten. Behörden aller herunterzuladen. Für Administratoren steht das BITS-Portal
Größen und Ebenen nutzen BITS bereits erfolgreich. Neben di- bereit.
versen Kommunalverwaltungen führen Landesverwaltungen,
Bundesbehörden, öffentliche Versicherungsträger und Wissen- Weitere Informationen:
schaftseinrichtungen das Werkzeug, dass seit Januar 2017 in www.bits-training.de
www.bits-portal.eu
der Version 4 vorliegt.
Offene Lizenz Dr. Lutz Gollan
ist Behördlicher Datenschutz- und Informations
BITS setzt auf Selbstschulung der Beschäftigten im Intranet. sicherheitsbeauftragter der Behörde für Inneres und
Dazu gibt es inzwischen neun Lektionen. Diese reichen von Sport in der Freien und Hansestadt Hamburg.
17
2|2017\ REGIONAL
I Integrierte Prozesse II Vereinfachung III N
eue Veranstaltungsreihe IV Neu organisiert
Neue Software im Lecos nutzt ein Wiki für Erfolgreiches Kivan- Standardisierung des
INHALT Personalmanagement das Wissensmanagement Anwendertreffen Praktikumsablaufes
Stadt Leipzig führt
neues Personalma-
nagementsystem ein
Seit Januar 2017 erfolgt die Personalabrech-
nung bei der Stadt Leipzig mit einer neuen
Software. Weitere Prozesse sollen folgen.
testet und zum Beginn des Jahres 2017 eingeführt. Das System
bewältigt bereits jetzt über 11.500 monatliche Abrechnungsfälle
der Stadt Leipzig und ihrer Eigenbetriebe.
Zur Fehlerminimierung und Einarbeitung in das neue System er-
folgte im vierten Quartal 2016 die Datenpflege in den bisherigen
M
it dem Ziel die Mehrfachdatenhaltung zu beseiti- Systemen und dazu parallel kontrollierend im neuen Personal-
gen sowie die Kommunikation und Abstimmung managementsystem LOGA. Dieser Testbetrieb zeigte Wirkung,
verschiedener Fachbereiche zu vereinfachen und zu da so die Auszahlungen bereits mit der ersten Echtabrechnung
beschleunigen, beauftragte die Stadt Leipzig die Lecos GmbH weitestgehend fehlerfrei erfolgen konnten. Die vergleichsweise
mit der Einführung eines integrierten Personalmanagement- rasche Realisierung eines Projektes dieses Umfangs kam durch
systems (iPMS). die engagierte Mitarbeit der Projektgruppe der Stadt Leipzig
zustande. Ebenso hat sich die frühzeitige transparente Einbe-
Einheitliche Lösung gesucht ziehung des Gesamtpersonalrates bewährt.
Die bisherigen Systeme für die Lohnabrechnung, die Personal- Darüber hinaus profitierte das Projekt von den Erfahrungen der
und Stellenwirtschaft sowie die Reisekostenabrechnung bestan- Lecos, die das Produkt schon bei weiteren Kunden sowie für das
den unabhängig voneinander und erforderten damit einen hohen eigene Personalmanagement im Einsatz hat.
Datentransfer zwischen den Fachbereichen, verbunden mit
Medienbrüchen und redundanter Datenhaltung. Im Hinblick auf Nächste Schritte
die fortschreitende Digitalisierung sowie die Vereinheitlichung Für das Jahr 2017 sind naturgemäß noch eine Reihe von An-
und Beschleunigung von Serviceprozessen wurde eine Zusam- passungen offen – es gilt unter anderem Auswertungen einzu-
menfassung der bisherigen Systeme und Prozesse notwendig. richten, die Abrechnungsprozesse zu automatisieren und damit
Um eine einheitliche Softwarelösung zu finden, die einen mög- das System zu stabilisieren. Weiterhin steht die Umstellung der
lichst großen Teil der Leistungsanforderungen abdeckt, erfolgte Client-Oberfläche in Richtung Web-Client an. Das Jahr 2017
in den Jahren 2013 und 2014 die entsprechende Ausschreibung. dient zudem der Optimierung von Abläufen, der Endeinrichtung
Den Zuschlag erhielt aufgrund des besten Gesamtpaketes die der Systemparameter sowie der Sicherstellung eines konstant
Firma P&I Personal & Informatik AG mit dem Programm LOGA. zuverlässigen Systems.
Mit der neuen Personalmanagementsoftware verfolgt die
Erfolgreiche Projektarbeit Stadtverwaltung gemeinsam mit der Lecos GmbH das Ziel, in
Seit 2015 arbeitet die Lecos GmbH in enger Zusammenarbeit den Folgejahren in weiteren Ausbaustufen die internen Service-
mit der Projektgruppe der Stadt Leipzig an der Einführung prozesse durch Portallösungen, insbesondere Selbstservice und
dieses Systems. Dabei wurden die Module Personalabrechnung, elektronische Workflows, wie beispielsweise die Beantragung
Personalwirtschaft, Stellenplanung und Reisekostenabrechnung und Abrechnung von Dienstreisen, zu verbessern.
sowie die Buchungsschnittstelle mit SAP bereits erfolgreich ge- Gerald Saalfeld
I
2|2017Sie können auch lesen
