07.09.2021 - Analyse IT-Sicherheitskonzept
Beschlussvorschlag:
Die Gemeindeverwaltung Habichtswald wird beauftragt den Status ihres bestehenden IT-Informationssicherheitskonzeptes zu analysieren und diesen den aktuellen relevanten Standards bzgl. Datensicherheit und Datenschutz (ISMS nach ISO 27001 / IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung 2.0 des DStGB) sowie Notfallmanagement des BSI (Bundesamt für Sicherheit in der Informationstechnik) gegenüberzustellen.
Ergebnis dieser Analyse sollte ein Report sein, der mögliche Handlungsfelder hinsichtlich der Organisation und Technik aufzeigt und finanziell initial bewertet.
Um diese Analyse ggfs. mit externem Know-How zu unterstützen, wird zunächst ein Beratungsbudget von
5.000 Euro bewilligt.
Begründung
Die fortschreitende Digitalisierung und die zunehmende Vernetzung verschiedener technischer Systeme macht auch vor der Arbeitswelt in der Habichtswalder Gemeindeverwaltung nicht halt. Dies bedeutet neben vielen Chancen und neuen Möglichkeiten jedoch auch zusätzliche Risiken, denen adäquat begegne werden sollte. In jüngster Vergangenheit wurde bspw. die Landkreisverwaltung Anhalt-Bitterfeld Opfer eines Erpressungsversuches durch Datenverschlüsselung mit Ramsomware, wobei sogar zeitweise der Katastrophenfalls ausgerufen werden musste. Tagelang war die Verwaltung mangels Zugriff auf seine Daten nicht arbeitsfähig. Hierbei stehen zwei Themenbereiche in letzter Zeit im besonderen Fokus der öffentlichen Diskussion:
- Sicherheit von sensiblen Bürgerdaten
- Sicherstellung des Weiterbetriebs bei Ausfall von digitalen Systemen
Beide dieser Bereiche können durch externe Hackerangriffe aus dem Internet sodass unter Umständen persönliche Einwohnerdaten entwendet und/oder Daten verschlüsselt werden, bzw. gar ganze Verwaltungssysteme lahmgelegt werden könnten – ggfs. bis hin zu kritischer, technischer Infrastruktur.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Kommunalverwaltungen bspw. basierend auf dem BSI-Standard 200-2 `IT-Grundschutz-Methodik` Mindestsicherungs-maßnahmen umzusetzen, um sich angemessen zu schützen. Diese beschriebene Vorgehensweise hilft, die gröbsten Schwachstellen aufzudecken, die es zu beseitigen gilt, um möglichst schnell das Schutzniveau in der Breite anzuheben. Um ein dem Stand der Technik (ISMS zertifziert nach ISO 27001) angemessenes Sicherheitsniveau zu erreichen, müssen darauf aufbauend in einem weiteren Schritt jedoch zusätzliche Anforderungen erfüllt werden.
Ansatzpunkte beim zu überprüfenden Sicherheitskonzept sind hierbei nicht nur die reine technische Ausstattung, deren Aufbau und dauerhafte Pflege. Hierzu gehört bspw. auch das permanente Schulungsniveau und Sensibilisierungslevel der einzelnen Mitarbeiter, die Zugriff auf Daten haben.