IT-Sicherheitsüberprüfung für kleine und mittlere Gemeinden ( Mag.(FH) Reinhard Haider, E-Governmentbeauftragter des OÖ Gemeindebundes | 01.07.2014 10:45:09 )E-Government – Vom und für Praktiker – Mai 2014
IT-Sicherheitsüberprüfung für kleine und mittlere Gemeinden
Über 200 Fragen. Das erschlägt den größten Sicherheitsfreak am ersten Blick. Der zweite Blick macht die Sache schon interessanter: ordentliche und aussagekräftige Berichte und Auswertungen im Dienst der IT-Sicherheit innerhalb der Gemeinde werden als Lohn für die vielen Antworten versprochen.
Es geht um die „CD zur Informationssicherheit in der kommunalen Verwaltung“, die in den letzten Wochen vom Bundeskanzleramt allen Gemeinden Österreichs zugeschickt wurde.
Was tut man nicht alles für die Sicherheit der EDV in einer Gemeinde. Also, los geht’s! CD ins Laufwerk (da fällt mir auf: ich habe schon lange keine CD mehr installiert), Setup und Start. Hier gleich ein Tipp: ohne Lesen der Anwenderinformation geht gar nichts, denn das Antwortverhalten spielt eine Rolle und Auswertungen und Checklisten können in Excel-Dateien exportiert werden. Weitere Informationen finden sich im Gefährdungskatalog und in der Maßnahmenbeschreibung. Diese 200 Seiten werde ich nach der Fragenbeantwortung lesen. Versprochen.
Ergebnis
48 Minuten und einige Google-Suchanfragen später: Die Fragen sind beantwortet, in Excel exportiert und damit gespeichert. Die Auswertungen zeigen dass Betrieb und Infrastruktur top sind, die Organisation ganz speziell im Bereich der Archivierung und schriftlichen Fixierung von Vereinbarungen Verbesserungspotenzial hat. Einzelne Hinweise wie die fehlende Datenverschlüsselung auf mobilen Geräte, die Lagerung brennbarer Materialien im Serverraum oder die Einhaltung der Passwortrichtlinien mit technischen Mitteln sind ebenfalls sehr dienlich. Für Bürgermeister und Amtsleiter besonders interessant ist der Managementbericht der einen Überblick gibt, aber auch die Detailberichte sind sehr aufschlussreich, noch dazu weil sie anpassbar und ergänzbar sind. Verantwortlichkeiten können gleich individuell eingetragen werden, auch Erläuterungen und Zieltermine.
Risiken erkennen
Informationssicherheit ist in allen Bereichen der öffentlichen Verwaltung ein wichtiges Thema. Nicht zuletzt bei einem Ausfall der Informations- und Kommunikationstechnik wird klar, welche wichtige Rolle diese auch in der Verwaltung spielt. Die Anforderungen an die Informationssicherheit im Bereich der kommunalen Verwaltung sind hoch. Auch kleinere und mittlere Gemeinden stehen vor der Herausforderung, sich vor Bedrohungen und Risiken zu schützen, die sich aus den Anforderungen des Datenschutzes und der IT-Sicherheit ergeben. Dabei sind bei kleineren und mittleren Gemeinden aus Kapazitätsgründen die entsprechende Strukturen, sowie das notwendige IT-Fachwissen, oftmals nicht vorhanden, um ein umfassendes IT-Risikomanagement zu betreiben. Die vorhandenen Budgetmittel sind oft nicht für IT-Sicherheit, sondern eher für den laufenden Betrieb ausgelegt. Aus diesem Grund wurde das Projekt "Informationssicherheit in der kommunalen Verwaltung" durchgeführt, welches ein Grundschutzniveau für Informationssicherheit in mittleren und kleineren Gemeinden erstellt hat.
Bundeskanzleramt, Gemeindebund und Städtebund
Das Bundeskanzleramt hat in Kooperation mit der Stadt Wien, dem Gemeindebund, dem Städtebund sowie dem A-SIT (Zentrum für sichere Informationstechnologie – Austria) und dem Department Sichere Informationssysteme der FH Oberösterreich, Campus Hagenberg nun eine Checkliste für die Unterstützung kleiner und mittlerer Gemeinden bei der Implementierung von Sicherheitsmaßnahmen entwickelt. Damit ist es den Mitarbeiterinnen und Mitarbeitern der Gemeinden auf einfache und schnelle Weise möglich, bereits umgesetzte Maßnahmen der IT-Sicherheit zu prüfen, sowie offene Risiken zu erkennen und zu minimieren.
Umsetzung der Maßnahmen
Die Umsetzung der empfohlenen Maßnahmen kann von den Gemeinden selbst getroffen werden. Die Anwendung bietet über Auswertungen und Berichte auch die Möglichkeit den Umsetzungsgrad der Maßnahmen des Risikomanagements zu dokumentieren. Dies kann sowohl aus der Gesamtsicht als auch auf Detailebene in verschiedenen Bereichen erfolgen. Bei der Umsetzung der Anwendung wurde darauf geachtet, dass kein Datenaustausch oder keine Rückmeldung an Dritte erfolgt. Damit ist die Anwendung als ein internes Tool zu sehen, das der Gemeinde direkt hilft sich einen Überblick über den Zustand der Informationssicherheit zu verschaffen.
Meine Meinung:
Die kostenlose CD-ROM wurde an alle Bürgermeisterinnen und Bürgermeister Österreichs verschickt und sollte bereits in allen Gemeindeverwaltungen im Einsatz sein. Nehmen Sie sich eine Stunde Zeit, es lohnt sich letztendlich, wenn in der Gemeinde die Evaluierung ernsthaft angegangen wird !
Mag. (FH) Reinhard Haider
E-Government-Beauftragter des OÖ. Gemeindebundes
PS: Diskutieren Sie diesen Artikel unter der Webadresse www.ooegemeindebund.at/egovforum des Oö. Gemeindebundes.
Bild: Gemsi-Grafik.jpg
Bildtext: IT-Sicherheit in Gemeinden: nähert sich der Balken im Detailbericht dem roten Bereich ganz rechts, dann besteht erhöhter Handlungsbedarf.
Antwort verfassen