Complimant

Landratsamt Starnberg als Vorreiter bei der Informations-Sicherheit

Bundesweit erste Kreisverwaltungsbehörde mit Zertifikat nach ISIS12 / complimant AG begleitet auf dem Weg zum erfolgreichen Audit

Das Landratsamt Starnberg steht bei der IT-Sicherheit bundesweit an der Spitze. Als erste Kreisverwaltungsbehörde unter den 294 deutschen Landkreisen haben die Oberbayern ihr IT-Sicherheitsmanagement nach den Kriterien des Regelwerks ISIS12 zertifizieren lassen. Auf dem Weg dorthin haben das Landratsamt die Informationssicherheits-Spezialisten der oberbayerischen complimant AG begleitet.

Bis zum 1. Januar 2019 müssen alle bayerischen Behörden ein Informationssicherheit-Konzept erarbeitet haben. Das schreibt das Bayerische E-Government-Gesetz vor. Für den Landkreis Starnberg war diese Vorschrift allerdings nicht der einzige Antrieb. „Bürger und Unternehmen haben ein Recht darauf, dass ihre Daten und Informationen bei uns als Verwaltungsbehörde sicher gespeichert und verarbeitet werden“, sagt Thomas Eberhardt, der IT-Leiter im Landratsamt. Verschiedene Vorfälle der jüngeren Zeit wie Computersysteme in Krankenhäusern, die durch Angriffe von außen lahmgelegt wurden, nimmt Eberhardt als Warnung.

Deswegen hatte das Landratsamt schon länger investiert. „Die Behörde ist technisch sehr weit vorne“, bescheinigt Thomas Eberl von der complimant AG, der als Berater den Zertifizierungsprozess begleitet hat. So verfügt das Landratsamt unter anderem über zwei völlig baugleiche Rechenzentren. Fällt das eine aus, kann das andere übernehmen, „ohne dass der Mitarbeiter an seinem Computer das überhaupt mitbekommen würde“, sagt Eberl.

Die technische Basis für Informationssicherheit hatte das Landratsamt also schon gelegt, als der Prozess zur Einführung eines Managementsystems startete. „Bei ISIS12 geht es darum, nach welchen Regeln die Behörde und ihre rund 500 Mitarbeiter mit vertraulichen Informationen umgehen – sei es am Computer, auf Papier oder mündlich im Gespräch und am Telefon“, erläutert Eberl, den das Landratsamt auch als externen Informationssicherheits-Beauftragten bestellt hat.

Ein Jahr intensive Arbeit bis zum Zertifikat

Die Abkürzung ISIS12 steht für „Informations-Sicherheitsmanagement-System in 12 Schritten“. Entwickelt hat das Regelwerk ein Netzwerk rund um das Bayerische IT-Sicherheitscluster in Regensburg speziell für mittelständische Unternehmen, Organisationen und Behörden. Die Zertifizierung nach ISIS12 ist noch recht neu. Mitte Dezember hatten sich bundesweit erst 17 Firmen und Behörden dem Prozedere unterzogen. Starnberg ist bislang der einzige Landkreis innerhalb dieser exklusiven Gruppe.

Der Weg bis zum Zertifikat, das am 4. Dezember erteilt wurde, dauerte ungefähr ein Jahr, berichtet Thomas Eberl. Entlang der Vorschriften des ISIS12-Regelwerks werden dabei alle wichtigen Vorgänge abgeklopft, bei denen das Landratsamt Informationen verarbeitet. Am Ende steht ein Handbuch, das genau beschreibt, wie die Mitarbeiter mit den Informationen umgehen müssen. Im abschließenden Audit prüft ein Beauftragter des Bayerischen IT-Sicherheitsclusters das Handbuch und erteilt das Zertifikat.

„Beim Landratsamt Starnberg haben die Mitarbeiter im Umgang mit schutzwürdigen Informationen das allermeiste bereits richtig gemacht“, sagt Eberl. Herausforderung war, das Vorgehen für alle Prozesse schriftlich zu dokumentieren, „denn das bedeutet zunächst einmal zusätzlichen Aufwand für die Mitarbeiter“, weiß der Experte. Ab jetzt kommt es darauf an, die Vorschriften des neuen Informationssicherheits-Handbuchs tagtäglich umzusetzen, damit das Landratsamt sein hohes Schutzniveau auch in Zukunft beibehält.