Home
Intern
veröffentlicht am 4. April 2016
Die Anforderungen an Informations- und IT-Sicherheit steigen zunehmend. Zeigen doch die Angriffe auf die Stadt Rheine1 und die Gemeinde Dettelbach2, dass die Gefahr real existiert und keine Erfindung der Berater- und IT-Branche ist. Wie können sich aber Kommunen ein wirksames Informationssicherheitsmanageme nt (ISMS) leisten? Ein Beitrag zur Lösung scheint die interkommunale Zusammenarbeit (IKZ) zu sein.
Für viele kleine und mittlere Kommunen ist die Einführung eines Informationssicherheitsmanagementsystems nur effizient und der dauerhafte Betrieb nur effektiv, wenn sie sich in einem Modell der interkommunalen Zusammenarbeit zusammenschließen.
Ist man organisatorisch in der Lage, ein ISMS dauerhaft zu betreiben? Unter einem Betrieb ist zu verstehen, dass man ebenso in der Lage ist, ein ISMS so zu betreiben, dass man auch einen Nutzen (= dauerhaftes Halten des gestiegenen Sicherheitsniveaus) hat. Strebt man ein „eigenständiges”, auf die Kommune eindeutig identifizierbares Zertifikat an oder steht der schriftliche Nachweis über ein wirksames ISMS eher im Hintergrund? In der Verbindung dieser beiden Fragen lässt sich sehr schnell erkennen, welcher grundlegende Weg eingeschlagen werden sollte.
Von 1 bis 3 steigen unserer Ansicht nach die Effizienz im Projekt und die Effektivität im dauerhaften Betrieb. Dies betrifft auch in erhöhtem Maße den Einsatz von externen Beratertagen. Innerhalb 2 und 3 lassen sich ganz andere Zusammenarbeitsmodelle realisieren.
Stellt sich nun die Frage, wie eine Zusammenarbeit insgesamt aussehen kann. Aber werfen wir einen Blick in die Zukunft. Informationssicherheit stellt man nicht nur über Richtlinien und Sensibilisierung her. Irgendwann müssen auch organisatorische und technische Maßnahmen ergriffen werden, die ggf. tief in die IT-Infrastruktur der jeweiligen Kommune eingreifen (Stichwort: Ausfallstandorte, Virtualisierungstechnik, vieles mehr). Wie muss man sich also diese Zusammenarbeit nach den ersten zwölf Schritten vorstellen? Die Kommunen werden spätestens nach der Herleitung von Sicherheitsmaßnahmen vor der Frage stehen, wie diese effizient und effektiv umgesetzt werden sollen. Mit den Überlegungen zu den Maßnahmen stellen sich somit auch strategische Fragen, wie sich die IT insgesamt im eigenen Hoheitsbereich entwickeln soll.
Das Modell „Gebietskörperschaft” Dieses Modell ist das Naheliegendste, da Kreise, kreisangehörige Gemeinden, große Kreisstädte und kreisfreie Städte schon immer in der einen oder anderen Form Zusammenarbeit organisiert haben. Langjährige Erfahrungen prägen die Bereitschaft zur IKZ. Das Modell „Bündnis der Regionen” Dieses Modell geht über die geografischen Grenzen der gewohnten Strukturen der Gebietskörperschaften hinaus und bezieht sinnvolle Regionen in die Überlegungen mit ein. Das Modell „Technologiebündnis” Losgelöst von regionalen Strukturen lassen sich auch Modelle ableiten, die eher aus der Technologie heraus getrieben sind. So dominieren eingesetzte Fachverfahren, verwendete IT-Infrastrukturkomponenten und Dienstleisterstrukturen die Bildung einer IKZ.
unterstützen.
___________________________________________________ 1 https://www1.wdr.de/mediathek/video/sendungen/lokalzeit-muensterland/video-hacker-legen-stadtverwaltung-rheine-lahm-100.html
2 http://www.heise.de/security/meldung/Erpressungstrojaner-Stadtverwaltung-kauft-sich-mit-1-3-Bitcoin-frei-3128957.html
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner
Anfrage senden