ISIS12® – das Informationssicherheitsmanagementsystem in kommunaler Zusammenarbeit

PrintMailRate-it

​veröffentlicht am 4. April 2016

 

Die Anforderungen an Informations- und IT-Sicherheit steigen zunehmend. Zeigen doch die Angriffe auf die Stadt Rheine1 und die Gemeinde Dettelbach2, dass die Gefahr real existiert und keine Erfindung der Berater- und IT-Branche ist. Wie können sich  aber Kommunen ein wirksames Informationssicherheitsmanageme nt (ISMS) leisten? Ein Beitrag zur Lösung scheint die interkommunale Zusammenarbeit (IKZ) zu sein.

 

​Für viele kleine und mittlere Kommunen ist die Einführung eines Informationssicherheitsmanagementsystems nur effizient und der dauerhafte Betrieb nur effektiv, wenn sie sich in einem Modell der interkommunalen Zusammenarbeit zusammenschließen.
  

Grundlegende Entscheidung

Dabei wird jede Kommune zunächst einmal für sich eine grundlegende Entscheidung treffen müssen, um zu erkennen, welcher Weg einzuschlagen ist. Diese Grundsatzentscheidung hängt an zwei Fragen:
   
Entscheidungsmatrix

Ist man organisatorisch in der Lage, ein ISMS dauerhaft zu betreiben? Unter einem Betrieb ist zu verstehen, dass man ebenso in der Lage ist, ein ISMS so zu betreiben, dass man auch einen Nutzen (= dauerhaftes Halten des gestiegenen Sicherheitsniveaus) hat. Strebt man ein „eigenständiges”, auf die Kommune eindeutig identifizierbares Zertifikat an oder steht der schriftliche Nachweis über ein wirksames ISMS eher im Hintergrund? In der Verbindung dieser beiden Fragen lässt sich sehr schnell erkennen, welcher grundlegende Weg eingeschlagen werden sollte.

  1. In diesem Falle sollte die Kommune sowohl im Projektaufbau, als auch im laufenden Betrieb die Eigenständigkeit anstreben.
  2. In diesem Falle strebt die Kommune einen eigenständigen Nachweis an, kann sich aber den Weg dorthin und den dauerhaften Betrieb in einer interkommunalen Zusammenarbeit dennoch vorstellen.
  3. Die dritte Variante ist die Grundlage für eine vollständige Umsetzung des ISMS in interkommunaler Zusammenarbeit. Dabei wird sowohl der Aufbau, also auch der spätere Betrieb in gemeinsamer Umsetzung denkbar. Erstmalig ist auch ein Informationsverbund, also die Einbeziehung mehrerer Kommunen in faktisch „einem” ISMS möglich.

      

Zwischenfazit:

Von 1 bis 3 steigen unserer Ansicht nach die Effizienz im Projekt und die Effektivität im dauerhaften Betrieb. Dies betrifft auch in erhöhtem Maße den Einsatz von externen Beratertagen. Innerhalb 2 und 3 lassen sich ganz andere Zusammenarbeitsmodelle realisieren.
 

Zusammenarbeit ja, aber mit wem und wie?

Stellt sich nun die Frage, wie eine Zusammenarbeit insgesamt aussehen kann. Aber werfen wir einen Blick in die Zukunft. Informationssicherheit stellt man nicht nur über Richtlinien und Sensibilisierung her. Irgendwann müssen auch organisatorische und technische Maßnahmen ergriffen werden, die ggf. tief in die IT-Infrastruktur der jeweiligen Kommune eingreifen (Stichwort: Ausfallstandorte, Virtualisierungstechnik, vieles mehr).
  
Wie muss man sich also diese Zusammenarbeit nach den ersten zwölf Schritten vorstellen? Die Kommunen werden spätestens nach der Herleitung von Sicherheitsmaßnahmen vor der Frage stehen, wie diese effizient und effektiv umgesetzt werden sollen. Mit den Überlegungen zu den Maßnahmen stellen sich somit auch strategische Fragen, wie sich die IT insgesamt im eigenen Hoheitsbereich entwickeln soll.
 

Die drei Modelle der Zusammenarbeit

Wir erkennen derzeit drei Modelle:
  • Das Modell „Gebietskörperschaft”
  • Das Modell „Bündnis der Regionen”
  • Das Modell „Technologiebündnis”

   
Das Modell „Gebietskörperschaft”
  
Dieses Modell ist das Naheliegendste, da Kreise, kreisangehörige Gemeinden, große Kreisstädte und kreisfreie Städte schon immer in der einen oder anderen Form Zusammenarbeit organisiert haben. Langjährige Erfahrungen prägen die Bereitschaft zur IKZ.
  
Das Modell „Bündnis der Regionen”
  
Dieses Modell geht über die geografischen Grenzen der gewohnten Strukturen der Gebietskörperschaften hinaus und bezieht sinnvolle Regionen in die Überlegungen mit ein.
 
Das Modell „Technologiebündnis”
  
Losgelöst von regionalen Strukturen lassen sich auch Modelle ableiten, die eher aus der Technologie heraus getrieben sind. So dominieren eingesetzte Fachverfahren, verwendete IT-Infrastrukturkomponenten und Dienstleisterstrukturen die Bildung einer IKZ.
 

Wie kann Sie Rödl & Partner ganz konkret unterstützen?

Als lizenzierter und zertifizierter ISIS12®-Dienstleister können wir Sie bei
  • dem Aufbau einer interkommunalen Zusammenarbeit,
  • der konkreten Projektorganisation und Zeitplanung zur Umsetzung,
  • der Schulung und Sensibilisierung im Umfeld eines ISMS,
  • der Beantragung von Fördermitteln sowie
  • der eigentlichen Umsetzung


unterstützen.

 

___________________________________________________ 
1
https://www1.wdr.de/mediathek/video/sendungen/lokalzeit-muensterland/video-hacker-legen-stadtverwaltung-rheine-lahm-100.html

2 http://www.heise.de/security/meldung/Erpressungstrojaner-Stadtverwaltung-kauft-sich-mit-1-3-Bitcoin-frei-3128957.html

 

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu