Handlungsleitfaden IT-Sicherheit; ITEOS; Wissenschaft; Kommune; Kooperation
© Pressmaster/Shuttestock.com

Handlungsleitfaden Informationssicherheit

Für die kommunale Praxis: IT-Dienstleister Komm.ONE kooperiert mit Studenten

Ein 300-seitiger Handlungsleitfaden aus Baden-Württemberg soll den Verantwortlichen in Kommunen helfen, schrittweise zu überprüfen, wo sie mit ihrer Informationssicherheit stehen und was möglichst zu verbessern ist. Allen voran stellen die Autoren aus Wissenschaft und kommunaler IT-Praxis dabei den Mitarbeiter: Ziel ist es, das Personal für Gefahren zu sensibilisieren sowie regelmäßig über Neuerungen zu informieren.

Jede Verwaltung benötigt ein, an ihre Gegebenheiten angepasstes, Informationssicherheits-Managementsystem (ISMS). In anderen Worten: Es muss bestimmt werden, wer die Verantwortlichkeit für die Informationssicherheit übernimmt. Dieses ISMS setzt der Leitfaden ganz nach vorne und geht davon aus, dass es sich dabei zumeist um ein Team handelt, dem Bürgermeister, Hauptamts- und IT-Leiter sowie der Datenschutzbeauftragte und Kämmerer angehören sollten.


Thematisch werden u. a. folgenden Punkte beleuchtet:

  • ISMS-Etablierung

  • Informationssicherheit im Bereich der Infrastruktur

  • Geräte & Netze

  • Systeme und Berechtigungen

  • Kryptographie & Identifikation

  • Organisation & Personal

  • Auditing


ISMS und Sicherheitsleitlinie

Im Grunde unumgänglich sei zudem auch eine individuelle und leicht umsetzbare Informationssicherheitsleitlinie, die verfasst und möglichst regelmäßiger Bestandteil von Schulungen sein müsse. Die Autoren empfehlen zwar eine formelle Zertifizierung – etwa nach ISO 27001 oder BSI-Grundschutz –, das kann bei kleinen Gemeinden aber kaum vorausgesetzt werden und sei dort eher als Orientierung zu begreifen. 

Checklisten für die konkrete Umsetzung

Das umfangreiche Werk gibt Hinweise dazu, wie und mit welchen Ressourcen IT-Sicherheit gewährleistet werden kann, welche konkreten Gefahren existieren und was IT-Sicherheit generell für eine öffentliche Verwaltung bedeutet. Neben der theoretischen Abhandlung potentieller Gefahren haben die Autoren auch konkrete Hilfestellungen für die Umsetzung eingearbeitet. Anhand beigefügter Checklisten können Verantwortliche in Kommunen schrittweise überprüfen, ob sie an alles gedacht haben, um ihre IT zu schützen.

Zwölf Studierende beteiligt

Der Handlungsleitfaden wurde an der Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg erarbeitet. Das Projekt lief im Auftrag des IT-Dienstleisters Komm.ONE aus Baden-Württemberg. Während des Wintersemesters 2018/19 haben zwei Experten des kommunalen Unternehmens mit zwölf Studierenden des Studiengangs Public Management im Rahmen des Vertiefungsbereichs "angewandtes E-Government“ daran gefeilt. Die Leitung hatten Prof. Robert Müller-Török und Birgit Schenk inne. Auch Fachleute der Wirtschaftsuniversität Wien (WU Wien) und der National Cybersecurity Academy der National University of Public Service Ungarns sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der kommunalen Spitzenverbände waren eingebunden. 

Wissenschaftliche Standards, praxisnahe Sprache

Aus Sicht der Hochschule habe der Zweck des viermonatigen Projektes nicht nur darin gelegen, den originär wissenschaftlichen Ansprüchen mit Blick auf die Vollständigkeit und Korrektheit des Inhalts zu genügen. Es sei auch darum gegangen, die Sprache und Darstellung „gemeindetauglich“ zu halten, um die Adressaten aus Kommunalpolitik und -verwaltung für das Anliegen zu interessieren und es ihnen schnell zugänglich zu machen.