Anforderungen an die IT-Sicherheit bei Länderbehörden und Kommunen – Die Ansage der Rechnungshöfe

Die Rechnungshöfe des Bundes und der Länder haben ein zum Informationssicherheitsmanagement veröffentlicht.

Grundsatzpapier Rechnungshöfe – Externer Link

In diesem Dokument werden detaillierte Anforderungen nicht nur für die Bundesverwaltung, sondern auch für die Landesverwaltungen und die Kommunen beschrieben.

Die Rechnungshöfe des Bundes und der Länder gehen davon aus, dass die Ausübung der verfassungsrechtlich garantierten Aufgaben der judikativen, legislativen und exekutiven Staatsgewalten nur möglich ist, wenn der Betrieb der Informationssysteme des Staats sicher und zuverlässig sind. Interessant ist dabei der Hinweis der Rechnungshöfe in der Präambel des Dokuments, dass die Informationssysteme in den Staatsgewalten zu Kritischen Infrastrukturen für das Gemeinwesen geworden sind. Hier stellt sich die Frage, warum sich dies nicht in so deutlichem Maße im IT-Sicherheitsgesetz wiederspiegelt. Nach der Gesetzesbegründung des IT-Sicherheitsgesetzes wird allein darauf abgestellt, dass die Bundesverwaltungen die Vorgaben nach den Änderungen des BSI-Gesetzes einhält. Die Landesverwaltungen und die Kommunen sind nicht Adressaten des IT-Sicherheitsgesetzes. Erst die NIS-Richtlinie, die 2018 auf europäischer Basis neue Vorgaben für die IT-Sicherheit geben soll, wird hier für alle Behörden definieren. Hier ist offensichtlich die Erkenntnis der Rechnungshöfe des Bundes und der Länder deutlich weiter als die des Gesetzgebers.

Auch in anderen Bereichen formulieren die Rechnungshöfe klare Anforderungen. Sie erwarten in den Behörden ein Informationssicherheitsmanagement (ISM) und ein Informationssicherheitsmanagementsystem (), damit die Staatsgewalten in ihren Handlungen handlungsfähig bleiben.

Dabei soll sich die öffentliche Verwaltung zum einen an den IT-Grundschutz-Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den Empfehlungen der DIN ISO/IEC2700x-Reihe orientieren.

Die Rechnungshöfe gehen davon aus, dass eine hundertprozentige Informationssicherheit nicht erreichbar ist. Sie erwarten aber, dass die vorhandenen Restrisiken ermittelt werden und Auswirkungen beschrieben und bewertet werden. Eine angemessen Aufbauorganisation und Ressourcenausstattung sehen die Rechnungshöfe als notwendige und zwingende Voraussetzung für ein ISMS.

In dem Grundsatzpapier wird auch zum Teil der Ansatz im IT-Grundschutz des BSI als nicht mehr zeitgemäß kritisiert. Das BSI geht nach wie vor von einer reinen dienststellenbezogenen Ausrichtung eines Informationssicherheitsmanagements aus. Dies halten die Rechnungshöfe für falsch. Die Verantwortlichkeiten in der IT sollen sich vor dem Hintergrund der fortschreitenden Zentralisierung nicht mehr primär an Organisationsgrenzen orientieren, sondern sollen auf Dienste bezogen festgelegt werden.

Erwartet wird zukünftig von den Behörden, dass auf Leitungsebene eine Leitlinie zur Informationssicherheit erstellt und unterstützt wird. Es sollen für die Behörden Sicherheitskonzepte, Notfallvorsorgekonzepte und System-Sicherheitsrichtlinien erstellt werden. die Leitungsebene soll regelmäßig Berichte über den Status Quo der Informationssicherheit erhalten. Dies ist bei den meisten Behörden in den Kommunen und Ländern noch nicht so konsequent eingerichtet. Gerade die Berichte über den Status der Informationssicherheit führen stellenweise ein Schattendasein. Hier muss sich die Leitungsebene den neuen Verantwortlichkeiten und den zunehmenden Risiken für die IT-Infrastruktur der Behörden stellen.

Fragenkatalog der Rechnungshöfe zum Informationssicherheitsmanagement

Die Arbeitsgruppe Informationssicherheitsmanagement des Arbeitskreises Organisation und IT der Rechnungshöfe des Bundes und der Länder hat einen Fragenkatalog der Rechnungshöfe zum Informationssicherheitsmanagement mit Stand März 2015 entwickelt. In dem Grundsatzpapier der Rechnungshöfe wird deutlich gemacht, dass anhand dieser Checkliste zukünftig geprüft wird, ob Bund, Länder und Kommunen gemeinsame Mindeststandards einhalten.

Beispielhaft sind nachfolgend einige Fragen aufgelistet, die die Rechnungshöfe zukünftig an Behörden stellen werden:

–        Gibt es eine behördenspezifische Leitlinie zur Informationssicherheit? Wurde diese Leitlinie allen Mitarbeitern bekannt gegeben?

–        Orientiert sich die Etablierung des Informationssicherheitsmanagements am IT-Grundschutz des BSI oder an der ISO 27001?

–        Wird die Informationssicherheit ständig überprüft und in alle Prozesse integriert?

–        Werden bei Lieferanten/Diensterbringern auch die Sicherheitsanforderungen berücksichtigt?

–        Hat die Behördenleitung einen IT-Sicherheitsbeauftragten benannt? Ist dieser ausreichend qualifiziert und erhält dieser auch ausreichende Fortbildungen?

–        Wurde für die Behörde ein Sicherheitskonzept erstellt? Existieren durchgängig Sicherheitsdokumentationen für einzelne IT-Verfahren?

–        Hat das Management einen Überblick über die geschäftskritischen Informationen, die Fachaufgaben und die Geschäftsprozesse?

–        Werden regelmäßig Sicherheitsrevisionen von qualifizierten und unabhängigen Personen durchgeführt?

–        Ist der Umsetzungsgrad der Sicherheitsmaßnahmen dokumentiert?

Aus dem Fragenkatalog ergibt sich unter anderem auch, dass bereits bei der Vergabe von IT-Leistungen Anforderung an das Informationssicherheitsmanagement berücksichtigt werden müssen. Auch erwarten die Rechnungshöfe, dass bei der Abwehr von IT-Angriffen Sicherheitsvorfälle nach einem standardisierten Verfahren dokumentiert werden. Es wird davon ausgegangen, dass auch die Leitungsebene die entsprechenden Sicherheitsvorfälle kennt und die daraus abzuleitenden Maßnahmen überwacht.

Interessant ist unter anderem auch die Frage, ob zur Abwehr von IT-Angriffen die Behörde sich regelmäßig bei verschiedenen Quellen über neu bekannt gewordene Schwachstellen informiert. Hier sollte zum einen in der Behörde klar definiert werden, welche Quellen genutzt werden sollen, zum anderen ist klarzustellen, wie eine entsprechende Überwachung und Umsetzung auch als Maßnahme zur Förderung der IT-Sicherheit ausreichend dokumentiert ist.

Konzepte und Dokumentationen

Unter der Überschrift „Detailfragen zur Informationssicherheit für eine vertiefte Prüfung in Ergänzung zu den anderen Fragestellungen“ werden dann im Grundsatzpapier der Rechnungshöfe verschiedene Konzepte und Dokumentationen gefordert. Auch hier eine nachfolgend beispielhafte Aufzählung:

–        Behördenweites Notfallvorsorge-Konzept

–        Dokumentation eines Patch- und Änderungsmanagements

–        Notfallhandbuch

–        Alarmpläne und Wiederanlaufpläne

–        Datensicherungs-Konzept

–        Krypto-Konzept

–        Dokumentation und standardisiertes Vorgehen beim Löschen und Vernichten von Daten

–        Lizenzmanagement

–        Dokumentation des Schutzbedarfes der IT-Systeme und der IT-Anwendungen

–        Nachvollziehbare Dokumentation der IT-Verkabelung und Versorgungsleitungen

–        Berechtigungsdokumentation

–        Brandschutz-Konzept

–        Rollen- und Benutzer-Konzepte

–        Bestandsübersicht über mobile Endgeräte und den darauf enthaltenen Daten

 

Fazit

Das Grundsatzpapier zum Informationssicherheitsmanagement der Rechnungshöfe des Bundes und der Länder ist eine komprimierte Zusammenstellung der Anforderungen an eine wirksame IT-Sicherheit und einen wirksamen Schutz der IT-Infrastruktur. Die Behörden aus Bund und Länder sowie die Kommunen können sich darauf einstellen, zukünftig mit den Fragen aus dem Grundsatzpapier in Prüfungen konfrontiert zu werden.

Nach unserer Einschätzung ist dies Dokument aber auch für Unternehmen ein guter Prüfungskatalog, um intern den eigenen Stand der IT-Sicherheit zu klären.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*