eGovernment: Wie das ISIS 12-Modell die Digitalisierung an öffentlichen Behörden erleichtert
Mit dem eGovernment-Gesetz hat die deutsche Bundesregierung bereits 2013 den gesetzlichen Rahmen für die Digitalisierung in der öffentlichen Verwaltung geschaffen. Die digitale Verwaltung soll orts- und zeitunabhängige Verwaltungsdienste ermöglichen – und damit schneller, nutzerfreundlicher und effektiver werden. Ausgehend von der bundesweiten eGovernment-Verordnung erarbeiten die Bundesländer ihr individuelles eGovernment-Gesetz. In Bayern wird ein wesentlicher Bestandteil des eigenen Gesetzes zum 1. Januar 2019 wirksam. Dessen Bedeutung geht weit über das Bundesland hinaus.
Das bayerische eGovernment-Gesetz gilt grundsätzlich für alle Behörden im Freistaat Bayern. Offiziell am 30. Dezember 2015 in Kraft getreten, verfolgt das Gesetz vor allem das Ziel, die Digitalisierung der bayerischen Verwaltung flächendeckend auszubauen.
Um dieses Ziel zu erreichen, setzt das bayerische eGovernment-Gesetz eigene inhaltliche Schwerpunkte. Hier stechen besonders zwei Punkte heraus:
1. Digitale Zugangs- und Verfahrensrechte
Artikel 2 des Bayerischen eGovernment-Gesetzes räumt Bürgern und Unternehmen ein gerichtlich einklagbares „Recht auf E-Government“ ein. Dieses Recht ist bundesweit einmalig – das schreibt unter anderem die Bayerische Staatszeitung.
Konkret bedeutet das: Bürger und Unternehmen können bei der jeweiligen bayerischen Behörde einfordern, dass das ihnen betreffende Verwaltungsverfahren digital durchgeführt wird. Sollte die Behörde dieser Aufforderung nicht nachkommen, haben sie die Möglichkeit, gerichtlich dagegen vorzugehen.
2. Förderung der IT-Sicherheit
Das bayerische eGovernment-Gesetz widmet diesem Punkt den kompletten Abschnitt „Sicherheit in der Informationstechnik“. Hier spielt, neben Themen wie Datenschutz oder Datenübermittlung, die Einführung eines Informationssicherheitskonzepts mit anschließendem Betrieb eine wesentliche Rolle.
Informationssicherheit bedeutet, dass sowohl analoge als auch digitale Informationen vor Zerstörung, Enthüllung, Modifizierung und Missbrauch geschützt werden müssen. Außerdem ist es zwingend notwendig, die Wiederherstellbarkeit der Informationen sicherzustellen, falls diese doch zerstört werden sollten.
Jede bayerische Kommune ist verpflichtet, die Informationssicherheit durch entsprechende technische und organisatorische Maßnahmen zu gewährleisten. Die dafür erforderlichen Informationssicherheitskonzepte hätte jede bayerische Kommune ursprünglich bis zum 1. Januar 2018 erstellen müssen. Diese Frist wurde auf den 1. Januar 2019 verschoben.
Für die Umsetzung des Informationssicherheitskonzepts ist es wesentlich, ein praktikables IT-Sicherheitsmanagementsystem (kurz ISMS) einzuführen. Hier bietet sich für Kommunen besonders das ISIS 12-Modell an, das vom Bayerischen IT-Sicherheitscluster e.V. entwickelt wurde. Dieses zeigt in 12 konkreten Schritten auf, wie auch Kommunen oder kleine und mittlere Unternehmen (KMUs) ein ISMS implementieren können.
Das zeichnet ISIS 12 aus
Das ISIS 12-Modell konzentriert sich auf wesentliche Aspekte – und reduziert damit Komplexität und Aufwand.
So wird nicht jedes erdenkliche Bedrohungsszenario abgedeckt. Vielmehr soll KMUs und kleineren Behörden eine klare Handlungsanweisung in begrenztem Umfang an die Hand gegeben werden, das über ein Einführungskonzept verfügt und in verständlicher Sprache verfasst ist. Die Schritte von ISIS 12 sind detailliert auf der offiziellen Webseite des Bayerischen IT-Sicherheitsclusters e.V. beschrieben.
Vor ISIS 12 war die Einführung eines ISMS tendenziell großen Unternehmen vorbehalten. So konnten Kommunen oder KMUs die gestellten Anforderungen häufig nicht erfüllen – zum Beispiel, weil dafür die IT-Abteilung zu klein war.
ISIS 12 ersetzt eine Zertifizierung nach ISO/IEC 27001 oder dem IT-Grundschutz nicht – diese sind deutlich weitreichender. Es kann dafür aber als Grundlage genutzt werden. Zumindest, wenn das Unternehmen oder die Kommune nicht mehr als 500 Mitarbeiter aufweist und keine „kritische Infrastruktur“ betreibt.
Tauglichkeit von ISIS 12 für Kommunen offiziell bestätigt
Laut des Bayerischen Staatsministeriums des Inneren, für Bau und Verkehr ist ISIS 12 ein förderungswürdiges und folglich geeignetes Modell für Kommunen und KMUs, um ein ISMS einzuführen, das den Anforderungen des bayerischen eGovernment-Gesetzes genügt. Die Behörde basierte ihre Beurteilung auf ein Gutachten des Fraunhofers AISEC vom November 2014. Seitdem haben bayerische Kommunen die Möglichkeit, für die Einführung eines ISMS nach dem ISIS 12-Modell Fördermittel zu erhalten.
Die Relevanz von ISIS 12 für Kommunen geht indes weit über Bayern hinaus: Unter anderem kommt der Deutsche Städtetag in seiner „Handreichung zur Ausgestaltung der Informationssicherheitslinie in Kommunalverwaltungen“ zu dem Schluss, dass ISIS 12 als Grundlage für ein Leitlinien-konformes ISMS in Kommunen geeignet ist.
Landratsamt Starnberg als Best Practice
Einer der ersten Kommunen unter den 294 Landkreisen in Deutschland, die über ein ISIS 12-zertifiziertes IT-Sicherheitsmanagementsystem verfügen, ist das Landratsamt Starnberg. Ein wichtiger Grund hierfür war die Einführung eines digitalen Arbeitsplatzes. Dabei entschied sich das Landratsamt Starnberg für den Digital Workspace auf Basis der CANCOM AHP Enterprise Cloud.
Mit der Digital Workspace-Lösung von CANCOM sind Behördenmitarbeiter des Landratsamt Starnberg vor allem in der Lage, sicher auf alle relevanten Applikationen und Daten zuzugreifen – unabhängig von Zeit, Ort und Endgerät. Mit AHP ꓲ Security, einem zentralen Bestandteil der Lösung, werden zudem sowohl organisatorische als auch technologische Sicherheitsstandards ermöglicht. Dazu gehört unter anderem ein erweitertes Rollen- und Rechtemanagement, die Unterstützung von Compliance-Richtlinien, ein erweitertes OS Hardening sowie eine sichere Netzwerkzonenunterteilung.
Quelle Titelbild: © momius/stock.adobe.com
