Startseite Kundenbereich Suche

Sicherheit in einer vernetzten Welt

Interview mit Alexander Poslad, Projektleiter Informationssicherheit für Kommunen der LivingData

„Die größte Bedrohung für die eigene IT sehen bayerische Kommunen in Cyber-Angriffen“, sagt Alexander Poslad. „In den letzten Monaten haben sogenannte Krypto-Trojaner, die weltweit unzählige Computer befallen und große Schäden verursachen, auch bei vielen kleinen und mittleren Verwaltungen ein Bewusstsein für die gestiegene Cyber-Bedrohung geschaffen.“

Wie sich Kommunen gegen Cyber-Attacken schützen können, ist für Alexander Poslad gewiss: Verwaltungen können die ihnen anvertrauten Daten wirkungsvoll schützen und im Falle eines Angriffs schneller reagieren, wenn umfassende Informationssicherheits-Konzepte bereits im Vorfeld entwickelt würden. 

Aus welchen anerkannten spezifischen Standards für Informationssicherheit können Kommunen wählen?

Alexander Poslad: Wenn es um Informationssicherheit geht, kommen schnell die etablierten Informationssicherheits-Management-Systeme zur Sprache.

Ein Informationssicherheits-Konzept nach ISIS-12 ist zu empfehlen, da dieser Standard weit verbreitet ist und sich bei großen Verwaltungen bewährt. Doch gerade kleine und mittlere Verwaltungen scheuen die immensen organisatorischen und inhaltlichen Anforderungen sowie die hohen Kosten, die damit verbunden sind.

Die VdS 3473-Variante richtet sich speziell an die kleinen und mittleren Kommunen, für die ein Informationssicherheits-Konzept nach ISIS-12 zu aufwändig ist. Durch die VdS Schadenverhütung GmbH wurde ein speziell auch auf die öffentliche Verwaltungen zugeschnittenes Verfahren entwickelt, mit dem der Informationssicherheits-Status einer Kommune ohne viel Aufwand auditiert und zertifiziert werden kann.
Die Innovationsstiftung Bayerische Kommune stellt zudem seit Dezember 2016 eine Arbeitshilfe als  Download bereit, die bei Ausarbeitung und Umsetzung eines Informationssicherheits-Konzeptes die spezifischen Belange von Kommunen berücksichtigt.

Verwaltungen müssen verstehen, was die Erstellung eines Informationssicherheits-Konzeptes nach einem bestimmten Standard wirklich bedeutet, bevor sie sich für ein adäquates Informationssicherheits-System entscheiden können.

Unsere zertifizierten Berater nach ISIS-12 und VdS 3473 zeigen den Kommunen die verschiedenen Zugänge zu einem umfassenden Informationssicherheits-Konzept auf und erstellen eine aussagekräftige Status-Quo-Analyse. Für mehr Planungssicherheit erhalten unsere Kunden zudem eine erste Projektplanung und eine Einschätzung zu den internen und externen Aufwänden.

Können Sie am Beispiel von kleinen und mittleren Kommunen Aufwandsorientierungswerte für die Einführung eines adäquaten Informationssicherheits-Konzeptes geben?

Alexander Poslad: Der Beratungs- und Betreuungsaufwand variiert, je nachdem, wie intensiv sich die Verwaltungen bereits mit dem Thema Informationssicherheit auseinandergesetzt haben und welche entsprechenden Informationssicherheits-Maßnahmen bereits umgesetzt sind.

Ohne eine gemeinsame Analyse und Planung vor Ort ist eine seriöse Aufwandsschätzung nicht möglich. Aber wir können durchaus Orientierungswerte geben, da wir eine große Anzahl von Kommunen bei der Erstellung von Informationssicherheits-Konzepten begleiten und daher gute Vergleichswerte haben. Kleine und mittlere Verwaltungen, die sich für ein Informationssicherheits-Konzept nach VdS 3473 entscheiden, müssen mit einem Aufwand von ca. 5 bis 10 Tagen für externe Beratungsleistungen und ca. 7 bis 15 Tagen für den internen Aufwand durch den Informationssicherheits-Beauftragten rechnen. Nach einer Bearbeitungszeit von ca. 3 Monaten ist in der Regel der organisatorische Teil des Projektes abgeschlossen und es kann mit der Umsetzung der geplanten Maßnahmen begonnen werden.

Zudem bietet die LivingData den Kommunen die Möglichkeit, einen Teil der benötigten Sicherheitsstrategie über im Vorfeld erarbeitete Bundles abzubilden: Das Bundle „Notfall- und Betriebskonzept“ ermöglicht eine automatisierte Erstellung und Aktualisierung der IT-Notfall- und IT-Betriebsdokumentationen. Das Bundle „Richtlinien und Konzepte“ ermöglicht es den Kommunen mit Hilfe von Richtlinien, Verfahrensanweisungen, Konzepte, Checklisten und Formularen einfacher und schneller ein Informationssicherheits-Konzept umzusetzen.

Muss jede Kommune einen Informationssicherheits-Beauftragten benennen?

Alexander Poslad: Ja. Es gibt aber nicht viele Kommunen, die explizit einen internen Informationssicherheits-Beauftragten stellen, denn die Anforderungen an die Qualifikation eines Informationssicherheits-Beauftragten sind hoch und eine kontinuierliche Fortbildung ist notwendig. Dies ist für die meisten Verwaltungen zu zeit- und kostenintensiv. Viele Kommunen beauftragen deshalb uns mit der Rolle des Informationssicherheits-Beauftragten. Die fachliche Qualifikation unserer zertifizierten Informationssicherheits-Berater und unsere jahrelange Erfahrung garantieren unseren Verwaltungskunden wirksame Informationssicherheits-Prozesse.

Planen, erstellen und betreiben Sie mit der LivingData Ihre Informationssicherheit. Herausforderungen sind uns stets willkommen.
Fordern Sie hier Ihr individuelles Angebot an