In die digitale Zukunft – ja, aber sicher

Europa ist auf dem Weg in eine digitale Zukunft. Je digitaler unser Alltag, je internationaler die Kommunikation und je übergreifender der Datentransfer aber wird, umso wichtiger wird auch der Datenschutz. Und dies nicht nur für Privatpersonen und Konzerne sondern vor allem auch in kommunalen Verwaltungen. Für KISA als IT-Dienstleister und Partner der Kommunen hat die Gewährleistung des Schutzes personenbezogener Daten höchste Priorität. Zum Europäischen Datenschutztag am 28. Januar wollen auch wir zum Thema sensibilisieren und die Unterstützungsmöglichkeiten durch externe Spezialisten aufzeigen.

Zusammenarbeit mit Kommunen

Für ein hohes Sicherheitsniveau unserer Kunden sorgen drei externe Datenschutzbeauftragte (DSB) und drei externe Informationssicherheitsbeauftragte (ISB). Unser Team aus ausgebildeten Informationssicherheitsbeauftragten, Datenschutzbeauftragten und -auditoren unterstützt kommunale Verwaltung bei der Bewältigung und Einhaltung gesetzlicher Empfehlungen und Verordnungen. Die geltenden Pflichten für Kommunen (DSGVO und SächsISichG), einen Datenschutzbeauftragten (DSB) und einen Informationssicherheitsbeauftragten (ISB) zu bestellen, erwies sich oftmals hinsichtlich knapper personeller Ressourcen als nicht umsetzbar. Sie griffen auf externe Unterstützung zurück. Sich diese ins Haus zu holen, ist eine effiziente Lösung. Kommunen können so vollumfänglichen Support erfahren, sparen Ressourcen, Zeit und mitunter Nerven. Zudem profitieren sie aus der interkommunalen Zusammenarbeit.

Unsicherheit so hoch wie nie

Datenschutz schützt nicht einfach nur Daten, sondern vor allem Menschen. Als externe Beauftragte für die Informationssicherheit und den Datenschutz setzt KISA gemeinsam mit den Kommunen die gesetzlichen Anforderungen um und wirkt den aktuellen Bedrohungslagen wie Identitätsdiebstahl, Ransomware und Schwachstellen entgegen. Insbesondere die Unsicherheit aus dem Cyberraum ist nach Einschätzung des Berichtes zur Lage der IT-Sicherheit in Deutschland 2022 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) so hoch wie noch nie. Umso wichtiger ist es, das Bewusstsein und das Verständnis für die beiden Themen auch innerhalb der Verwaltungen zu schärfen.

Datenschutz Hand in Hand mit Informationssicherheit

Die umfangreichen Anforderungen des BSI IT-Grundschutz-Kompendiums benötigen einen konkreten und pragmatischen Praxistransfer. Während die Einführung der DSGVO sehr medienwirksam erfolgte, ist das Thema Informationssicherheit für viele immer noch wenig greifbar. Die Informationssicherheit verfolgt das Ziel, Informationen unabhängig von Ihrer analogen oder digitalen Form zu schützen. Immer wieder wird die Informationssicherheit jedoch mit der IT-Sicherheit gleichgesetzt und auf die Umsetzung technischer Maßnahmen durch die IT-Abteilung abgestellt. Jedoch umfasst sie neben den technischen zusätzlich organisatorische, personelle und rechtliche Aspekte.

Aufgrund dieses breitgefächerten Spektrums bedarf es eines übergreifenden Managements und kann von einer IT-Abteilung allein nicht abgebildet werden. Die Schaffung von Bewusstsein und Rollenverständnis für die Informationssicherheit und den Datenschutz ist eine der ersten und wichtigsten Aufgaben der Beauftragten. Die Kommunen erhalten somit Unterstützung bei der Sensibilisierung der Mitarbeitenden, um Akzeptanz und Verständnis für dieses wichtige Thema zu entwickeln. In der Praxis bewährt sich dabei die Bildung eines Projektteams unter Beteiligung der Organisation, der IT und der Beauftragten.

Schritt für Schritt zur Umsetzung

Um die gesetzlichen Anforderungen angemessen zu erfüllen, ist eine strukturierte Vorgehensweise erforderlich. Für die Informationssicherheit und den Datenschutz kommen dabei grundsätzlich praxiserprobte Abläufe und Vorgehensmodelle zur Anwendung. Diese werden auf die aktuellen Gegebenheiten der Kommune individuell und kontinuierlich angepasst. Ändern sich die Rahmenbedingungen, wie die Infrastruktur, so werden Maßnahmen adaptiert und kontinuierlich auf deren Wirksamkeit geprüft.

Einen geeigneten Umsetzungseinstieg stellt eine IST-Aufnahme der organisatorischen Regelungen und technischen Maßnahmen dar. Es wird mit der Schaffung von geeigneten Organisationsstrukturen begonnen, wie einem Projektteam für Informationssicherheit/Datenschutz gesteuert durch den oder die ISB/DSB. Am Anfang werden gezielt Themen, wie beispielsweise der Umgang mit Passwörtern, Sicherheitsupdates, Berechtigungen oder Datenweitergabe hinterfragt. Bereits vorhandene Ergebnisse aus der Umsetzung des Datenschutzes, wie dem Verzeichnis der Verarbeitungstätigkeiten, Risikobeurteilungen oder die Aufnahme von technischen und organisatorischen Maßnahmen können wertvolle Informationen für die Beauftragten liefern. Somit können bereits Schwerpunkte und Handlungsfelder identifiziert und bei Bedarf erste Maßnahmen festgelegt und umgesetzt werden. Nach und nach werden so organisatorische Regelungen und Richtlinien ausgewählt, anschließend erste Schulungen durchgeführt. Schnittmengen zwischen Informationssicherheit und Datenschutz ergeben sich immer wieder beispielsweise schon in der Erarbeitung des Projektes,  aber auch in der Folge wie den Abläufen und Meldewegen zu Datenschutz- und Informationssicherheitsvorfällen. Beide sollten einheitlich abgestimmt und praxisorientiert festgelegt werden.

Die Aufgaben der Beauftragten

Verwaltungsangestellte können sich auf die Expertise der Spezialisten verlassen. Die Aufgaben des ISB und des DSB konzentrieren sich vor allem auf das Beantworten von Anfragen von Mitarbeitenden, auf deren regelmäßige Schulung sowie auf das Prüf- und Berichtswesen. Daneben besteht das Ziel, schnellstmöglich Vertrauen zur Belegschaft aufzubauen, denn nur wenn eine zuverlässige Basis geschaffen wurde, wendet sich die Belegschaft offen mit Fragen und Problemen an ihre Ansprechperson. Von Vorteil ist das Verständnis für kommunale Strukturen und Vorgänge unserer Experten, das obendrein während des Projektverlaufs noch vertieft wird. Diese Praxisnähe spart auf beiden Seiten Ressourcen und führt zu einer stetigen Verbesserung des Managementsystems.

Sind alle Voraussetzungen geschaffen, steht einer Erfüllung rechtlicher Anforderungen, der Verbesserung von Prozessen und einer Erhöhung der Akzeptanz gegenüber den Themen Informationssicherheit und Datenschutz nichts mehr im Wege.

Unser externer DSB Mike Böhm (mike.boehm@kisa.it) gibt Ihnen gerne weitere Auskunft zum Thema Datenschutz und Informationssicherheit.