Auf den ersten Blick wirkt die Urkunde unscheinbar. Doch dahinter steckt ein wichtiger Prozess zur Sicherheit der Daten bei der Stadt Rain. Die Auszeichnung zu CISIS12 (Compliance-Informations-Sicherheits-Management-System in 12 Schritten) bescheinigt der Stadt Rain, die Daten der Bürgerinnen und Bürger in besonderer Weise zu schützen und dieses Vorgehen in die täglichen Vorgänge und Prozesse integriert zu haben. Dabei sind die Grundwerte der Informationssicherheit – Verfügbarkeit, Vertraulichkeit und Integrität der geltende Maßstab.
Mit Erreichen des CISIS12 Zertifikats, erhält die Stadt Rain auch das IT-Siegel 3.0 des Freistaates Bayern und ist damit einer der ersten Behörden mit dieser Auszeichnung. Bereits im September 2022 wurde die Stadt Rain mit dem IT-Siegel 2.0 ausgezeichnet. Die Anforderungen sind mit der neuen Version 3.0 aber nochmals deutlich gestiegen, konnten aber ebenfalls nun erfüllt werden.
Datenschutz ein zunehmend wichtiges Thema
Die schnell voranschreitende Digitalisierung in allen Lebensbereichen sorgt dafür, dass die Themen Datenschutz und Informationssicherheit immer mehr an Bedeutung gewinnen. Gerade öffentliche Verwaltungen mit einer umfangreichen Sammlung an sensiblen Daten sehen sich immer häufiger Online-Angriffen ausgesetzt. CISIS12 beleuchtet dabei aber nicht nur mögliche Hackerangriffe und technische Angriffe, sondern auch den Umgang mit "analogen" Schriftstücken sowie die Arbeitsabläufe dazu. Die meisten Sicherheitspannen werden nach wie vor durch menschliches Fehlverhalten verursacht. Die Sensibilisierung und Schulung der Mitarbeiter war deshalb wesentlicher Teil der Zertifizierung und wird auch in der Zukunft weitergeführt.
Der Freistaat Bayern hat den Kommunen die Einführung von Informationssicherheitskonzepten auferlegt. Diese Konzepte sind verpflichtend von jeder Kommune zu erarbeiten. Dabei sind organisatorische, persönliche und technische Schutzmaßnahmen festzulegen. Die Stadt Rain hat zusammen mit den gemeinsamen ISBs für die Gemeinden des Landkreises Donau-Ries Maria Baturova und Helge Rabe, weitere Expertise der Firma „Mein-Datenschutzberater“ aus Karlshuld eingeholt und mit Ralf Turban, einen erfahrenen Fachmann zur Unterstützung und Einführung eines derartigen Systems an der Seite gehabt. Als erste Kommune des CISIS12 Clusters Donau-Ries hat die Stadt Rain neben der Verwaltung auch das Wasserwerk und Klärwerk als Teil der kritischen Infrastruktur mit betrachtet und in die Zertifizierung eingeschlossen.
Alle Maßnahmen zur Einführung von CISIS12 werden vom Freistaat Bayern finanziell bezuschusst. Der CISIS12-Fragenkatalog wurde vom Bayerischen IT-Sicherheitscluster entwickelt und enthält geltende Anforderungen rund um Themen wie Gebäudesicherheit, Datenschutz, Schulungen der Mitarbeiter, Richtlinien zum Umgang bei Datenpannen, korrekte Auftragsverarbeitungsverträge mit externen Dienstleistern und endet nicht beim reinen Thema IT-Sicherheit. Die Stadt Rain hat sich nicht zuletzt aufgrund der Gesamtheit des Konzeptes digital wie analog für CISIS12 entschieden.
Das Konzept steht auch in Zukunft im Fokus der Stadt
Die Umsetzung des Konzepts wurde vom Informationssicherheitsteam bestehend aus den beiden Landkreis ISBs für den Gemeinden Maria Baturova und Helge Rabe, 1. Bürgermeister Karl Rehm, Geschäftsstellenleiter Harald Reinelt, Informationssicherheitskoordinator Manuel Zemsky und IT-Leiter Benjamin Lehner realisiert. Der hierfür nötige Zeitaufwand - neben dem allgemeinen Tagesgeschäft - durfte dabei nicht außer Acht gelassen werden. Die nun erfolgte Zertifizierung der Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) am 28. Juni 2023 zeigt aber, dass sich der Aufwand für das Team und alle Mitarbeiter der Stadt Rain gelohnt hat. Das Zertifikat bestätigt, dass der Informationssicherheitsprozess ganzheitlich und strukturiert im Alltag implementiert ist.
Auch in der Zukunft wird die Stadt Rain durch regelmäßige Re-Audits auf die Einhaltung und Erneuerung des Konzeptes von externer Stelle überprüft. Durch die Prozesse und Dokumentationen wird einerseits das Risiko eines Vorfalls reduziert und anderseits aber auch die Fähigkeit verbessert, nach einem (potenziellen) Sicherheitsvorfall, den Dienstbetrieb möglichst schnell und effizient wiederherstellen zu können. (pm)