18Dez2017 PC

Erste Gruppenzertifizierung für interkommunales ISIS12 Projekt

v. l. n. r.: Michael Scheffler (IS-Beauftragter der Gemeinde Rohr), Alexandra Keller (Geschäftsleitende Beamtin der Gemeinde Rohr), Felix Fröhlich (Erster Bürgermeister), Alfons Marx (Auditor, DQS GmbH), Ralf Turban (ISIS12 Berater, Mein-Datenschutzberater), Sandra Wiesbeck (Bayerischer IT-Sicherheitscluster e.V.)

In einem interkommunalen Projekt haben fünf Kommunen in Mittelfranken und der Oberpfalz – Rohr, Büchenbach, Greding, Pyrbaum und Höchstadt an der Aisch –  die erste Gruppenzertifizierung durch die DQS erhalten.

Herr Ralf Turban, der Berater der Kommunen verweist darauf, dass die Zertifizierung keine Pflicht ist, aber das Zertifikat eine Haftungsumkehr bewirkt und außerdem der Öffentlichkeitsarbeit dient. Außerdem sorgen jährliche Audits dafür, dass die IT-Sicherheit stets auf dem aktuellen Stand ist. Einen weiteren Vorteil sieht Turban darin, dass sich Kommunen, die ISIS12 eingeführt haben, untereinander vernetzen und in einen Erfahrungsaustausch treten können. Die fünf Gemeinden Mittelfrankens und der Oberpfalz haben das getan: Auf Initiative von ISIS12-Berater Ralf Turban ist dort ein aktives Netzwerk entstanden.

In einem Interview mit dem Bayerischen IT-Sicherheitscluster e.V. spricht Alexandra Keller, geschäftsleitende Beamtin und Kämmerin der Gemeinde Rohr, über ihre Erfahrungen mit ISIS12.

 

Warum haben Sie sich für ISIS12 entschieden?

Für die Einführung eines Informationssicherheitssystems war generell ausschlaggebend, dass dies verpflichtend entsprechend der verbindlichen Vorgaben der „IT-Sicherheitsleitlinie für die öffentliche Verwaltung“ des IT-Planungsrates auch von kommunalen Verwaltungen bis Ende 2018 gefordert wird. Mit ISIS12 ist anhand eines strategisch sinnvoll abzuwickelnden 12-Schritte-Plans gerade für kleinere Verwaltungen die Umsetzung eines Informationssicherheitssystems mit vertretbarem Aufwand möglich. Die Fördermöglichkeiten waren ein weiteres Entscheidungskriterium.

Wie schätzen Sie das Sicherheitsniveau Ihrer Verwaltung im Vergleich zu vorher ein?

Deutlich höher. Die MitarbeiterInnen sind deutlich aufgeschlossener und sensibilisierter für Datenschutz- und Sicherheitsrechtliche Belange als vorher.

Welche Schritte empfanden Sie als besonders kritisch? Welche am leichtesten?

Besonders kritisch bzw. schwierig und zeitlich aufwändig: Schritt 4: IT-Dokumentationsstruktur festlegen

Am leichtesten: Schritt 6 (Identifizierung kritischer Anwendungen)

Wie beurteilen Sie den Aufwand für ISIS12?

Der Aufwand ist aufgrund der Tatsache, dass die Implementierung eines Informationssicherheitssystems zusätzlich zur täglichen Arbeit zu erarbeiten war, als relativ hoch einzuschätzen. Durch den Programmeinsatz von ISI12 wurde allerdings die Struktur in der Herangehensweise und Umsetzung erleichtert.

Wie war die Betreuung? Fühlten Sie sich vom Berater sowie vom Projektträger ausreichend unterstützt?

Gerade die Unterstützung durch unseren Berater Herrn Turban war wertvoll und unabdingbar. Er war dann letztendlich auch das Bindeglied zum IT-Sicherheitscluster.

Wie beurteilen Sie die Zertifizierung? Ist sie gewinnbringend oder eher ein unnötiger Aufwand?

Wir fanden die Zertifizierung gewinnbringend, weil nochmals andere Betrachtungen und Anregungen seitens der Auditoren in „unser System“ einfließen konnten. Tatsächlich haben wir den Aufwand aber doch ein bisschen unterschätzt…

Werden Sie das Zertifikat und Ihre Leistung mit ISIS12 öffentlichkeitswirksam nutzen?

Auf jeden Fall werden wir damit werben (z. B. entsprechender Pressebericht, Homepageeintrag, Einstellen des Zertifikat-Logos auf die Homepage, evtl. auch auf den Briefkopf)

Was bedeutet das Informationssicherheitsmanagement und das Zertifikat für die Bürger Ihrer Gemeinde?

Kann noch nicht abgeschätzt werden, da derzeit noch nicht veröffentlicht. Vermutet wird, dass es hoch angerechnet wird, dass sich die doch kleine Heimatgemeinde als eine der ersten in Bayern auf den ISIS-Weg gemacht hat. Ob uns BürgerInnen auf den Prüfstand stellen, bleibt abzuwarten…

Wie ist es Ihrer Ansicht nach allgemein um die Informationssicherheit in der öffentlichen Verwaltung bestellt?

Hier hängt es meines Erachtens ganz stark davon ab, mit welcher Behörde man es zu tun hat und wie hoch die Behördenleitung das Thema aufhängt. Ich persönlich bin der Meinung, dass es Nachholbedarf gibt – das haben wir schließlich jetzt selbst erlebt.

Welche Tipps haben Sie für andere kommunale Einrichtungen hinsichtlich ISIS12 und Informationssicherheit?

Ein ISIS kann nur erfolgreich eingeführt werden, wenn die Behördenleitung voll und ganz dahintersteht und ihrem ISB-Team die Ressourcen (Arbeitszeit, Technik etc.) zur Verfügung stellt, dieses umzusetzen. Hier spielt die Anerkennung durch die Führungsebene eine ganz große Rolle und die unbedingte Kommunikation den MitarbeiterInnen gegenüber, dies zu unterstützen. Außerdem sollte ein kompetenter Berater mit ins Boot geholt werden, der einen bei der Umsetzung begleitet. Der Aufwand darf nicht unterschätzt werden.

Würden Sie anderen Kommunen die Implementierung von ISIS12 weiterempfehlen?

Ja, unbedingt.

Sie haben sich bei der Implementierung von ISIS12 mit anderen Kommunen zusammengeschlossen. Wie kam es dazu?

Zum einen arbeiten wird mit anderen Kommunen des Landkreises Roth im Rahmen einer kommunalen Allianz auf verschiedenen Ebenen zusammen. Nachdem Herr Turban auch diese Kommunen betreut, wurde seinerseits vorgeschlagen, hier Synergieeffekte zu nutzen. Nachdem nicht alle bei der Umsetzung gleichschnell vorankamen, wurden seitens Herrn Turban auch noch andere Kommunen im Umkreis mit dazu genommen.

Wie verlief die interkommunale Zusammenarbeit in dieser Sache? Haben Sie davon profitiert?

Zum ersten Informationstermin über den Ablauf der Zertifizierung traf man sich gemeinsam und konnte Erfahrungen austauschen. Die Kosten für die Zertifizierung konnten dadurch reduziert werden. Die Erfahrungen anderer Kommunen können jetzt im Revisionsjahr herangezogen werden.

Gehen Sie und Ihre Mitarbeiter nach der Einführung von ISIS12 anders mit dem Thema IT-Sicherheit um?

Wie bereits unter Nr. 2 ausgeführt, ist die Sensibilisierung der MitarbeiterInnen deutlich angestiegen. Bereits jetzt ist im Verwaltungsablauf zu verzeichnen, dass bewusst darauf geachtet wird z. B. Telefonate mit Personenbezug bei geschlossenen Türen zu führen, ebenso wie die Abwicklung des Parteiverkehrs. Vormals herumliegende Akten werden nun konsequent vom Schreibtisch entfernt, die Bildschirme sind mit Kennwortschutz und Bildschirmschoner versehen. Zu vernichtende Schriftstücke werden nicht einfach in den Papierkorb geworfen, sondern geschreddert. Schlüssel werden nun generell im kennwortgeschützten Schlüsselkasten aufbewahrt. Aus räumlich nicht optimalen Gegebenheiten wurde das Beste „rausgeholt“, z. B. verschlossener Server- und Verteilerschrank u. ä.

zurück zu News