56. Ausgabe, 1. Quartal 2015

IT-Sicherheit – Sicher wie in Abrahams Schoß?

Technischer Leiter der KID wirkte an der Erstellung einer Informationssicherheitsrichtlinie
für Kommunalverwaltungen in einer Arbeitsgruppe mit

Kaum ein anderer Bereich hat in den letzten 10, 20 Jahren eine so rasante und grundlegende Veränderung erfahren wie die Informationsverarbeitung. Natürlich auch in öffentlichen Verwaltungen. Nutzten am Anfang des IT-Zeitalters nur  spezialisierte Mitarbeiter IT-Systeme und empfingen oder sendeten digitale Nachrichten, so hat heute jeder Mitarbeiter einen PC auf dem Tisch. Die immer komplexer werdende Vernetzung der Informationstechnik bringt zugleich immer größere Anforderungen an die Datensicherheit mit sich. Um ihr zu begegnen, gibt es inzwischen für öffentliche Verwaltungen zahlreiche Vorgaben, Empfehlungen oder Zertifizierungsmöglichkeiten. Kommunale Spitzenverbände haben gemeinsam mit der Vitako unlängst eine „Handreichung zur Ausgestaltung der Informationssicherheitslinie in Kommunalverwaltungen“ veröffentlicht. Diese ist von einer Arbeitsgruppe aus kommunalen IT-Praktikern erarbeitet worden. Peter Nehl, Bereichsleiter Technik der KID Magdeburg GmbH, gehörte dieser Gruppe an. Der „Server“ sprach mit ihm.

Warum ist eine solche Handreichung für Kommunen wichtig?

Weil die Abhängigkeit der öffentlichen Verwaltung von IT stetig wächst. Ohne Computer, Netze und Server ist es heute schlichtweg nicht mehr möglich, die Vorgänge in Städten und Gemeinden abzubilden und zu managen. Doch je höher der Digitalisierungsgrad, also je mehr die IT unser Leben durchdringt und je mehr sich Bund, Länder und Kommunen miteinander vernetzen und ebenenübergreifend  ihre Informationen verarbeiten, desto mehr steigt auch das Gefährdungspotential.

Übertreiben Sie da nicht ein bisschen? Wer will schon wissen, wie oft ein Kind in der Kita fehlt, wer welche Grundsteuer zahlt oder wer wie oft ein Knöllchen bekommt?

Es gibt Millionen sensibler personenbezogener Daten, die auf den Servern öffentlicher Verwaltungen gespeichert sind. Der Bürger hat ein Recht darauf, dass diese sicher sind und nicht – von wem auch immer – ausgespäht und missbraucht werden können. Die Bedrohung von Cyberangriffen ist absolut real. Aktuelle Lageberichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) machen immer wieder deutlich, dass die IT-Bedrohungslage auf ‚anhaltend hohem Niveau‘ ist und die aktuelle Gefährdungslage hinsichtlich des Angriffspotenzials für die IT als „kritisch“ eingestuft wird. Auch wenn es noch nicht jeder Bürgermeister wahrhaben will, die Gewährleistung der IT-Sicherheit wird in wenigen Jahren eines der wichtigsten strategischen Themen in öffentlichen Verwaltungen sein.

Übertreiben Sie da nicht ein bisschen? Wer will schon wissen, wie oft ein Kind in der Kita fehlt, wer welche Grundsteuer zahlt oder wer wie oft ein Knöllchen bekommt?

Es gibt Millionen sensibler personenbezogener Daten, die auf den Servern öffentlicher Verwaltungen gespeichert sind. Der Bürger hat ein Recht darauf, dass diese sicher sind und nicht – von wem auch immer – ausgespäht und missbraucht werden können. Die Bedrohung von Cyberangriffen ist absolut real. Aktuelle Lageberichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) machen immer wieder deutlich, dass die IT-Bedrohungslage auf ‚anhaltend hohem Niveau‘ ist und die aktuelle Gefährdungslage hinsichtlich des Angriffspotenzials für die IT als „kritisch“ eingestuft wird. Auch wenn es noch nicht jeder Bürgermeister wahrhaben will, die Gewährleistung der IT-Sicherheit wird in wenigen Jahren eines der wichtigsten strategischen Themen in öffentlichen Verwaltungen sein.

Peter Nehl, Bereichsleiter Technik KID
Peter Nehl, Bereichsleiter Technik KID

Und die Konsequenz daraus?

Es gibt ja schon viele Projekte und Maßnahmen, die allzu sorglose Behördenleiter aus ihrer Lethargie reißen und für das Thema IT-Sicherheit sensibilisieren sollen. Seit 2009 steht z.B. die verbindliche IT-Koordinierung von Bund und Ländern im Grundgesetz (Artikel 91c GG). Im Frühjahr wurde der IT-Planungsrat als zentrales Gremium für die Bündelung und verbindliche IT-Koordinierung von Bund und Ländern etabliert. Seitdem wird die Zusammenarbeit von Bund und Ländern in der Informationstechnik und im E-Government politisch gesteuert. Oberstes Ziel ist ein sicherer und reibungsloser Datenverkehr durch Standards und gemeinsame Systeme, ohne dabei die Qualität und Effizienz der elektronischen Verwaltungsdienste aus dem Blick zu verlieren.  

Wegen ihres Rechts auf kommunale Selbstverwaltung können Städte und Gemeinde das Thema gelassen angehen.

Das könnten sie nur theoretisch, es ist aber nicht ratsam. Wer als attraktiver Wohn- und Wirtschaftsstandort wahrgenommen werden will, braucht neben einer modernen Verwaltungsstruktur auch die Gewähr, dass Daten aus dem Rathaus nicht plötzlich in sozialen Netzwerken auftauchen oder auf einem USB-Stick auf dem Spielplatz gefunden werden. Die Komplexität der IT, der hohe Grad der Vernetzung und die Abhängigkeit der Verwaltung von IT-gestützten Verfahren schreien förmlich nach einer Systematisierung und Organisation der Informationssicherheit. Anders gesagt: Jede Kommune braucht ein Informationssicherheits-Managementsystem (ISMS).  Darüber waren wir uns in der Arbeitsgruppe einig. Aber Sie haben natürlich recht: Ohne ein klares Bekenntnis der Behördenleitung zur Informationssicherheit im eigenen Hause wird das nichts werden.

Was ist das für eine Arbeitsgruppe, in der Sie mitgearbeitet haben?

Die kommunalen Spitzenverbände (Deutscher Städtetag, Deutscher Landkreistag, Deutscher Städte- und Gemeindebund und die Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister – VITAKO) haben diese Arbeitsgruppe initiiert und zur Mitarbeit aufgefordert. Alle 23 Mitglieder der Arbeitsgruppe kommen aus Kommunen. Ich hatte die Ehre, für den Städte- und Gemeindebund Sachsen-Anhalt (SGSA) mit dabei zu sein. Das Gremium wusste also sehr genau, wie es in den Kommunen aussieht, welche Möglichkeiten es gibt und welche eben nicht.

Was empfiehlt die Arbeitsgruppe den Kommunen?

Unsere Empfehlungen haben wir in einer Handreichung zusammengefasst, die im Grunde den Einstieg in die Entwicklung und Gestaltung von Informationssicherheitsleitlinien sowie Wege zum Aufbau und Betrieb kommunaler Informationssicherheitsmanagement-Systeme beschreibt. Wir haben großen Wert darauf gelegt, kein ‚Wolkenkuckucksheim‘ aufzubauen, weil es für die meisten Kommunen ohnehin nicht umsetzbar wäre. Unsere Empfehlungen orientieren sich an den in Deutschland verbreiteten Standards zur IT-Sicherheit sowie an den Vorgaben der Leitlinie zur Informationssicherheit des IT-Planungsrats und an den realen Bedingungen in der kommunalen Praxis.  

Die Arbeitsgruppe schreibt in ihrem Papier, dass es 100-prozentige Sicherheit nicht gibt. Wozu dann der ganze Aufwand?

Wozu verschließe ich Haus oder Auto, wenn ja doch eingebrochen werden kann? So kann man das nicht sehen. Jede Sicherheitsmaßnahme erschwert es dunklen Gestalten, zum Ziel zu kommen. Es gilt, die verbleibenden Risiken zu kennen und mit Augenmaß und gerechtfertigtem Aufwand dagegenzusteuern. Es geht nicht um Sicherheit um jeden Preis. Mit dem notwendigen Weitblick lässt sich mit überschaubarem Aufwand sehr viel erreichen. Im Übrigen bemerke ich seit dem NSA-Skandal ganz generell eine wachsende Sensibilität in IT-Sicherheitsfragen. Und das ist ja gut so.

Was ist unter „Informationssicherheits-Managementsystem“ konkret zu verstehen?

Das ISMS umfasst im Grunde alle Anforderungen zum Umgang mit Informationen an die Behörde, ihre Organisationsstruktur, ihre Geschäftsprozesse, die genutzte Informationstechnik sowie die Bedrohungsszenarien, die allesamt einem ständigen Wandel unterworfen sind. Der erste Schritt besteht in einer Ist-Analyse, und darin, alle Sicherheitsrisiken zu notieren und möglichst abzustellen. Dazu gehören so profane Dinge wie die Zugänglichkeit der Serverräume, die Nutzung mobiler Datenträger und Endgeräte oder die klare Regelung und Protokollierung von Zugriffsrechten auf bestimmte Daten. Hat man die Defizite erkannt, gilt es entsprechend entgegenzusteuern – etwa durch technische und/oder organisatorische Maßnahmen und deren Umsetzungsschritte.

Unter bestimmten Umständen muss man manches auch akzeptieren.

Ohne Zweifel. Je nach Größe, Organisationsstruktur, Sicherheitsbedürfnis und finanziellen Möglichkeiten fallen die Anforderungen an das ISMS unterschiedlich aus. Das wissen wir als kommunale Praktiker natürlich auch. Ebenso wie wir wissen, dass steigende Anforderungen an die Informationssicherheit stets mit einem höheren Bedarf an Ressourcen verbunden sind. Davor darf man die Augen nicht verschließen und muss dies auch planen.

Rom ist ja auch nicht an einem Tag erbaut worden.

Genau. Die Umsetzung eines Informationssicherheits-Managementsystems ist nicht als ein abgeschlossenes Projekt mit festem Terminplan zu sehen. Es ist in erster Linie ein permanenter Prozess – von der Feststellung des aktuellen Sicherheitsniveaus über die daraus resultierenden Festlegungen bis zur schrittweisen Umsetzung, deren Überprüfung und ihrer ständigen Kontrolle und kontinuierlichen Verbesserung.

Viele Gemeinden haben die Organisation ihrer IT privaten und kommunalen Dienstleistern übertragen. Sind damit die Grundstandards in Sachen Sicherheit nicht erfüllt?

Die Verantwortung und die Kontrollpflichten bleiben stets beim Auftraggeber. Kein Behördenleiter kann sich bei einem Sicherheitsvorfall hinter seinem IT-Dienstleister verstecken. Schließlich sind die übergreifenden Aspekte der Informationssicherheit wie Sicherheitsmanagement, Organisation oder Personal, und die Risiken für die Geschäftsprozesse durch einen IT-Dienstleister kaum zu beeinflussen. Andererseits wird natürlich durch die Übertragung von Aufgaben des IT-Betriebes an einen IT-Dienstleister die Komplexität des Informationsverbundes deutlich reduziert und erleichtert am Ende des Tages auch die Beherrschung der Informationssicherheit. Wir als KID sind z.B. seit über zehn Jahren bzgl. eines Informationssicherheits-Mangementsystems durch den TÜV zertifiziert. Wer wie wir die ISO IEC 27001:2013 haben will, muss dies in einem jährlichen Audit stets neu unter Beweis stellen - und da wird einem nichts geschenkt.

Öffentliche Verwaltungen werden sich durch Open Data und E-Government-Services mehr als je zuvor nach außen öffnen und so noch mehr Angriffsfläche bieten. Laufen selbst sicherheitsbeflissene Behörden

Unbestritten ist, dass die Komplexität nicht nur der kommunalen IT-Infrastrukturen weiter zunehmen wird. Umso wichtiger aber ist es ja, auf zeitgemäße Sicherheitsmaßnahmen zu setzen. Unbestritten ist auch, dass Datenschutz und IT-Sicherheit nach Snowden von Bürgern und Medien mehr Aufmerksamkeit erhalten. Ich kann nur allen Verwaltungen, die ihre IT allein betreiben, raten: Prüfen Sie bitte unvoreingenommen und selbstkritisch, inwiefern eine Zusammenarbeit mit einem kommunalen IT-Dienstleister zu einer Verbesserung der Informationssicherheit beiträgt. Diese können durch ihre vorhandenen Kompetenzen und das entsprechende Know-how beim Aufbau und Unterhalt eines ISMS profunde Unterstützung leisten. Ich habe es schon einmal gesagt: 100-prozentige Sicherheit gibt es nichts. Und doch kann jeder eine Menge dazu beitragen, dass sie dem sehr nahe kommt. Bereiche, die vertrauliche Daten enthalten, sind so zu regulieren und zu sichern, dass ein Missbrauch sehr schwer wird. Dabei wird man sich nur in Ausnahmefällen auf private Dienstleister verlassen können; erst recht nicht auf Dienstleister, die verstreut über die ganze Welt ihre Server verteilt haben.