Auch Kommunen sind häufig Opfer von Cyberangriffen. Als Folge wird die IT-Infrastruktur der jeweiligen Verwaltungen lahm gelegt – entsprechende Beispiele gab es hier im Blog ja häufiger. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Leitfaden "Informationssicherheit für Landrätinnen und Landräte" erstellt, über den sich die Verantwortlichen in den Kommunen informieren können.
Anzeige
Die Landräte sind verantwortlich für das zielgerichtete und ordnungsgemäße Funktionieren der jeweiligen Kreisverwaltung. Damit sind sie auch für die Gewährleistung der Informationssicherheit nach innen und außen zuständig. Folgerichtig muss die Verwaltungsspitze auch den IT-Sicherheitsprozess initiieren, steuern und kontrollieren. Dazu gehören strategische Leitaussagen zur Informationssicherheit, konzeptionelle Vorgaben und auch organisatorische Rahmenbedingungen sowie ausreichende Ressourcen, um Informationssicherheit innerhalb aller Geschäftsprozesse erreichen zu können.
Als Handreichung gibt es jetzt einen Handlungsleitfaden, erstellt vom Deutschen Landkreistag in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Leitfaden lässt sich als 6 seitiges PDF-Dokument aus dem Internet herunterladen. Ich bin über Twitter auf den betreffenden Handlungsleitfaden gestoßen.
Das Dokument enthält zunächst eine kurze Einleitung zur Funktion der Verwaltungsspitze in der Informationssicherheit. Daran schließen sich die konkreten, einzuleitenden Schritte zur Sicherstellung der Informationssicherheit an. Zur vertiefenden Information wurden im Anschluss Erläuterungen zu einem Managementsystem für Informationssicherheit, den möglichen Arten der Absicherung nach IT-Grundschutz sowie zu den im Kapitel zuvor genannten IT-Grundschutz-Profilen zusammengestellt.
Vielleicht ist das für den einen oder anderen Blog-Leser oder -Leserin aus diesem Adressatenkreis von Interesse.
2015
Sechs PDF-Seiten geballte Kriegserklärung. Die Cyberhalunken von Fancy Bear und Co. zittern schon jetzt. Nach der nicht abwehrbereiten Bundeswehr und kaputtem Pflegewesen der nächste Treppenwitz: IT-Sicherheit.
Wenn es doch nur eine "geballte Kriegserklärung" wäre. Mal gelesen? Nur organisatorischer Kram:
1.) Landräte sind verantwortlich.
2.) Delegieren Sie die Verantwortlichkeit möglichst schnell an einen Beauftragten weg.
3.) Schulen Sie alle regelmäßig, Dokumentieren Sie, führen Sie Prozesse ein um beides zu verwalten.
4.) Lassen Sie das Ganze zertifizieren und testen.
Insgesamt 0,5 Seiten in dem Dokument sind mit konkreten Maßnahmen verbunden, Zusammenfassung: Machen Sie irgendwas aus dem IT-Grundschutzkonzept, Standardschutz reicht.
TL;DR: Der Landrat soll irgendwas machen um seinen Kopf aus der Schlinge zu ziehen, das protokollieren und die Arbeit anderen überlassen. Papierschubsen halt.
Da ist insgesamt nichts gegen einzuwenden, nur halt muss man dann auch jemanden Kompetenten haben und alle müssen an einem Strick ziehen. Die Kompetenz muss dann auch Weisungen geben können. Daran dürfte das meiner Meinung nach scheitern, "das haben wir immer so gemacht" ist ein starkes Argument in Deutschland. Und da wir bereits in einer misslichen Lage sind, wage ich die These aufzustellen dass wir entweder nie Kompetenzen hatten oder diese bislang nicht Weisungsbefugt waren (und deshalb resigniert hat oder abgewandert ist).
Und mit "Standardschutz reicht" bin ich als Bürger auch nicht einverstanden – warum sollten Kommunen nicht verantwortungsvoller mit meinen Daten und deren Sicherheit umgehen müssen als 08/15 Firmen? Ich bin ja schließlich gezwungen, dort alle Daten abzuliefern, bei Firmen habe ich wenigstens die Wahl, mit wem ich einen Vertrag abschließe.
"Der Landrat soll irgendwas machen um seinen Kopf aus der Schlinge zu ziehen, das protokollieren und die Arbeit anderen überlassen. Papierschubsen halt."
Das ist schon richtig so. Kann ja nicht die Aufgabe des Landrats sein, sich um IT zu kümmern. Natürlich muss er das an andere delegieren und dann logischerweise genau dies protokollieren.
Ehrlich gesagt finde ich viel erschreckender, dass das anscheinend jeder Landrat selbst machen muss. Ich hätte eigentlich erwartet, dass es zumindest pro Bundesland eine zuständige IT gibt. Dann würde es auch einheitliche Standards geben, so kocht da anscheinend jeder Landkreis sein eigens Süppchen. Das gleiche Chaos wie an den Schulen, wo auch jeder macht was er will.
Moin,
das Land könnte es von oben vorgeben :)
HH und NRW (Glaube auch BaWü) geben das von oben an vor und alle unten müssen das übernehmen, soweit ich das verstanden habe :D
Niedersachsen hingegeben sagt ab und zu könnte müsste und gibt keine Regelungen/Handhabungen vor :3
Es könnte so einfach sein :D
Wer noch mehr Spaß damit haben möchte, der muss sich in die Digitalisierung der Behörden reinlesen mit dem Efa-Prinzip. Bis Ende 2022 werden dann 575 Dienstleistungen digitalisiert *zwinker*
MfG,
Blackii