13. Mai 2019

Sichere Daten bei der Gemeinde Haar

ISIS 12 Zertifizierung

Es ist eher unscheinbar, das neueste Zertifikat der Gemeinde Haar mit dem Namen ISIS 12. Zumindest auf den ersten Blick. Aber das, was dahintersteckt, ist eine äußerst wichtige Feststellung: Die Daten der Bürger*innen sind im Haarer Rathaus sicher.

Erpresser schleichen sich heimlich ins Netzwerk einer Behörde, Geldforderungen werden übermittelt, damit die Rechner nicht lahmgelegt werden. Sensible Daten werden durch Sicherheitslücken öffentlich, Viren-Mails landen in den Postfächern öffentlicher Einrichtungen.  Solche Schlagzeilen der letzten Jahre machen klar, wie angreifbar digitale Strukturen sind. Aber es muss gar nicht der heimtückische Hackerangriff von außen sein, der die Sicherheit sensibler Daten gefährdet. Die Erfahrung zeigt: Die meisten Sicherheitspannen werden durch menschliches Fehlverhalten verursacht.

 Gesetzliche Grundlage

Die Gewährleistung der Informationssicherheit ist eine der Kernaufgaben der öffentlichen Verwaltung. Daher verpflichtete das Bayerische eGovernment-Gesetz die Behörden, ein Informationssicherheitsmanagementsystem einzuführen und Informationssicherheitskonzepte zu erstellen. Die Empfehlung des IT-Planungsrates, ISIS12 (Informationssicherheit in 12 Schritten) für kleinere und mittlere Komunen einzusetzen, wurde durch ein Gutachten des Freistaates Bayern bestätigt und daher von der Gemeinde Haar als einzusetzendes IT-Managementsystem ausgewählt. ISIS12 richtet sich nach der BSI IT-Grundschutzmethode und bietet den Vorteil, dass man mit relativ geringem Aufwand ein hohes Maß an Informationssicherheit erzielen kann. Die Verwaltung der Gemeinde Haar hat dieses hohe Maß nun erreicht.

Ein Prozess von zwei Jahren

Die Gemeinde Haar hat sich mit diesem Thema die vergangenen zwei Jahre intensiv beschäftigt. Es gab Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit, denn nicht nur das System an sich muss in alle Richtungen sicher gemacht werden, sondern auch die Menschen, die mit den Daten umgehen müssen für das Thema sensibilisiert und geschult werden. Das reicht von der Aktivierung der Bildschirmsperre auch bei kürzester Abwesenheit vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten, wie etwa Passwörter offen am Schreibtisch liegen zu lassen.

Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn der Datenschutz und die Informationssicherheit muss nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden durchgespielt und behandelt: Was, wenn das Rathaus mit all seinen Servern abbrennt? Selbst dafür gibt es Lösungen.

Erstzertifizierung erfolgreich

Federführend waren bei der Einführung von ISIS12 die Informationssicherheitsbeauftragte der Gemeinde Haar Andrea Schmerber und der externe Berater Sascha Kuhrau. Sie waren es auch, die den Auditor Andreas Mann bei der Erstzertifizierung des Zertifizierungsverbundes – Rathaus mit Bürgerhaus und die Kita Casinostraße – durch die Dokumente, Konzepte und die Gebäude begleiteten. Mit Erfolg.

Jährliche Überprüfung und Ausweitung

Doch damit ist der Prozess längst nicht beendet: Jährlich wird nun überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnellebig und auch im Personal gibt es von Zeit zu Zeit einen Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert.

In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden.

 

Auf dem Foto v.l. Andreas Mann (Auditor), Sascha Kuhrau (externe Berater), Katharina Dworzak (2.Bürgermeisterin Gemeinde Haar), Helmut Schmid (Geschäftsleiter Gemeinde Haar), Andrea Schmerber (Informationssicherheitsbeauftragte Gemeinde Haar)