4 Schrit­te zum Infor­ma­ti­ons­si­cher­heits­kon­zept

Wie wen­de ich die­se Arbeits­hil­fe kon­kret an?

Im ers­ten Schritt machen Sie sich mit den Kom­po­nen­ten und Inhal­ten die­ser Arbeits­hil­fe ver­traut. Dazu dient unter ande­rem die Lek­tü­re die­ses Doku­ments. Es ist jedoch eben­falls sehr hilf­reich, im Kreis ver­gleich­ba­rer Kom­mu­nen bzw. Unter­neh­men ähn­li­cher Grö­ße, zu denen Sie Kon­takt haben (bei­spiels­wei­se auf­grund gemein­sam besuch­ter Schu­lun­gen / Ver­an­stal­tun­gen), Infor­ma­tio­nen ein­zu­ho­len, wer sich mit dem The­ma bereits befasst und wel­che Erfah­run­gen gesam­melt wor­den sind.

Ers­te Bestands­auf­nah­me

Bevor Sie aktiv mit der Bear­bei­tung der 9 Kapi­tel star­ten, soll­ten Sie die Kapi­tel alle min­des­tens 1 x gele­sen haben. Dabei wer­den sich Ihnen die kapi­tel­über­grei­fen­den Zusam­men­hän­ge schnell erschlie­ßen und Sie ver­mei­den spä­ter Mehr­ar­bei­ten.

Mit der Über­prü­fung begin­nen soll­ten Sie stets mit den ers­ten bei­den Kapi­teln „Infor­ma­ti­ons­si­cher­heit“und „Daten­schutz“. Hier legen Sie den Grund­stein für eine erfolg­rei­che Ein­füh­rung und Umset­zung eines Infor­ma­ti­ons­si­cher­heits­kon­zepts. Neh­men Sie die­se bei­den Kapi­tel bit­te sehr ernst. Alles, was Sie hier aus­las­sen oder ver­säu­men, wird Sie im wei­te­ren Ver­lauf unan­ge­nehm ein­ho­len bis hin zum Schei­tern des Pro­jekts.

Haben Sie die bei­den ers­ten Kapi­tel erfolg­reich bear­bei­tet, machen Sie sich an die Bear­bei­tung der wei­te­ren Kapi­tel. Soll­ten Sie bereits Erkennt­nis­se über grö­ße­re Schwach­stel­len / Lücken in den ein­zel­nen The­men gewon­nen haben, zie­hen Sie die Kapi­tel mit den größ­ten Schwach­stel­len zur Bear­bei­tung vor. Auf die­se Art erzie­len Sie im Zwei­fel am schnells­ten Fort­schrit­te in der Infor­ma­ti­ons­si­cher­heit.

Es emp­fiehlt sich, ein Kapi­tel nach dem ande­ren zu bear­bei­ten. Sobald Sie Schwach­stel­len iden­ti­fi­ziert und im Rah­men­do­ku­ment (sie­he nächs­ten Abschnitt) doku­men­tiert haben, bear­bei­ten Sie die Prüf­fra­gen und Kapi­tel wei­ter. Maß­nah­men­pla­nung und Umset­zung star­tet erst nach der Selbst­über­prü­fung.

Über­sicht Schwach­stel­len, Risi­ken und Lösungs­vor­schlä­ge erstel­len

Iden­ti­fi­zier­te Schwach­stel­len beschrei­ben Sie kurz in den Kapi­teln unter „Ergebnis(se)“und aus­führ­lich im Über­trag in das Rah­men­do­ku­ment „Über­sicht iden­ti­fi­zier­te Schwach­stel­len und mög­li­che Lösun­gen“. Die­ses Rah­men­do­ku­ment dient der wei­te­ren Bear­bei­tung nach Durch­lauf der Selbst­über­prü­fung mit den Fra­gen aus den Kapi­teln.

Sobald Sie ein Kapi­tel durch­lau­fen und das Doku­ment „Über­sicht iden­ti­fi­zier­te Schwach­stel­len“gefüllt haben (es wird sich fül­len, das ist ganz nor­mal), beschrei­ben Sie kon­kret die sich aus der Schwach­stel­le erge­ben­den Risi­ken für Ihre Orga­ni­sa­ti­on (Spal­te 2). Den­ken Sie dabei dar­an, dass die Risi­ken ganz unter­schied­li­cher Natur sein kön­nen (Daten­ver­lust / Kom­pro­mit­tie­ren, finan­zi­el­le Schä­den, Rechts­ver­stö­ße, Ver­trags­ver­stö­ße, Ver­let­zung der Betrof­fe­nen­rech­te / Daten­schutz, aber auch Image­schä­den / nega­ti­ve Außen­wir­kun­gen). Ver­su­chen Sie die Risi­ken mög­lichst detail­liert zu beschrei­ben, damit die Behör­den­lei­tung eine Grund­la­ge hat, über den Umgang mit die­sen Risi­ken zu ent­schei­den. In Spal­te 1 tra­gen Sie in der ers­ten Zei­le die Kapi­tel­num­mer ein und in die zwei­te Zei­le die Num­mer des Prüf­punkts in dem jewei­li­gen Kapi­tel. So bleibt stets der Bezug zur Bestands­auf­nah­me erhal­ten.

Für das Aus­fül­len der Spal­te 3 „Mög­li­che Maß­nah­men zur Besei­ti­gung“soll­ten Sie sich mit den betrof­fe­nen Sach­be­rei­chen aus­ein­an­der­set­zen und ver­su­chen, mög­lichst mehr als einen Lösungs­vor­schlag zur Besei­ti­gung der Schwach­stel­le anzu­bie­ten. Den­ken Sie dabei in Alter­na­ti­ven. Bei­spiel: Im Ser­ver­raum lau­fen was­ser­füh­ren­de Lei­tun­gen und dar­über befin­den sich schlimms­ten­falls Sani­tär­räu­me? Dann kann eine der Maß­nah­men zur Besei­ti­gung „Umzug des Ser­ver­raums in ande­res Gebäu­de­teil“sein, ver­bun­den mit hohen finan­zi­el­len Auf­wen­dun­gen. Eine Alter­na­ti­ve könn­te jedoch sein, Was­ser­mel­der im Ser­ver­raum zu instal­lie­ren. Eine Maß­nah­me, die mit gerin­gem finan­zi­el­len Auf­wand durch­aus eine zuläs­si­ge alter­na­ti­ve Schutz­schicht im Mix (den­ken Sie an die Zwie­bel­schich­ten) dar­stellt.

In Spal­te 4 „Bud­get intern / extern in Euro“tra­gen Sie die vor­aus­sicht­li­chen Kos­ten für die geplan­ten Maß­nah­men ein bei­spiels­wei­se auf Basis vor­lie­gen­der Ange­bo­te. Spal­te 5 dient der Erfas­sung inter­ner Zeit­auf­wen­dun­gen zur Bear­bei­tung der Maß­nah­men. Im Zwei­fel wer­den Sie hier schät­zen müs­sen (schät­zen Sie lie­ber mehr als weni­ger, hat die Pra­xis gezeigt).

In der letz­ten Spal­te tra­gen Sie den oder die Ver­ant­wort­li­chen für die Besei­ti­gung der Schwach­stel­len ein.

Haben Sie die­ses Doku­ment für ein oder meh­re­re Kapi­tel mit Details befüllt, ist die Grund­la­ge für die wei­te­re Umset­zung geschaf­fen.

Maß­nah­men­plan erstel­len

Mit dem voll­stän­dig aus­ge­füll­ten Doku­ment „Über­sicht iden­ti­fi­zier­te Schwach­stel­len und mög­li­che Lösun­gen“gehen Sie nun zur Behör­den­lei­tung und stel­len die Inhal­te vor. Ziel ist es, nun die kon­kret zu ergrei­fen­den Maß­nah­men zur Besei­ti­gung der iden­ti­fi­zier­ten Schwach­stel­len zeit­lich und mone­tär zu pla­nen. Sie kön­nen dabei ger­ne Ihre Vor­stel­lun­gen und Vor­schlä­ge ein­flie­ßen las­sen, ent­schei­den muss jedoch letzt­end­lich die Behör­den­lei­tung. (Die­ser obliegt näm­lich die orga­ni­sa­to­ri­sche Ver­ant­wor­tung für das The­ma, die auch nicht auf Sie als Bear­bei­ter des The­mas über­tra­gen wer­den kann.)

Bit­te beach­ten Sie: Für den Nach­weis für baye­ri­sche Kom­mu­nen eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zum 01.01.2020 ist es nicht not­wen­dig, bis dahin alle iden­ti­fi­zier­ten Schwach­stel­len besei­tigt zu haben! Sie müs­sen ledig­lich inter­ne Ver­fah­rens­wei­sen eta­bliert haben, mit denen Sie heu­ti­ge und zukünf­ti­ge Schwach­stel­len iden­ti­fi­zie­ren und bear­bei­ten kön­nen. Nichts­des­to­trotz muss die Besei­ti­gung der Schwach­stel­len das Ziel sein.

Die Ergeb­nis­se tra­gen Sie in die kon­kre­te Maß­nah­men­pla­nung im Doku­ment „Über­sicht Maß­nah­men­plan“ein. Wie bereits im vor­he­ri­gen Rah­men­do­ku­ment ver­wei­sen Sie in Spal­te 1 auf das dazu­ge­hö­ri­ge Kapi­tel und den Prüf­punkt. In Spal­te 2 „Beschlos­se­ne Maß­nah­men“beschrei­ben Sie nun sehr kon­kret, was beschlos­sen wur­de und was zu tun ist. In Spal­te 3 „Umzu­set­zen durch“wei­sen Sie die ein­zel­nen Akti­vi­tä­ten den han­deln­den Per­so­nen zu, wohin­ge­gen Sie in Spal­te 4 „Ver­ant­wort­lich“die Per­son benen­nen, die für den Punkt und des­sen erfolg­rei­che Umset­zung haupt­ver­ant­wort­lich ist. (Dies muss nicht unbe­dingt eine der han­deln­den Per­so­nen aus Spal­te 3 sein.)

Damit das Pro­jekt zeit­lich nicht aus dem Ruder läuft, schrei­ben Sie in Spal­te 5 rea­lis­ti­sche Umset­zungs­ter­mi­ne fest. Machen Sie den Betei­lig­ten bit­te klar, dass bei abseh­ba­rer Nicht­ein­hal­tung die­ser Ter­mi­ne früh­zei­tigeine Infor­ma­ti­on sowohl an den Ver­ant­wort­li­chen aus Spal­te 4 aber auch an die Funk­ti­on ISB erfol­gen soll­te. Damit behal­ten Sie die Mög­lich­keit, auf unge­plan­te Ver­zö­ge­run­gen zu reagie­ren.

Nut­zen Sie die Spal­te 6 „Kom­men­tar“zur aus­führ­li­chen Beschrei­bung der ergrif­fe­nen / umge­setz­ten Akti­vi­tä­ten. Eben­so beschrei­ben und begrün­den Sie im Kom­men­tar­feld aus­führ­lich, wenn geplan­te Maß­nah­men zurück­ge­stellt oder gar nicht umge­setzt wer­den. Die­se zurück­ge­stell­ten Maß­nah­men sowie die Maß­nah­men mit Sta­tus „Offen“und „In Arbeit“stel­len Ihr soge­nann­tes „Risi­ko­in­ven­tar“dar.

Die Spal­te 7 „Sta­tus“dient der ver­ein­fach­ten Dar­stel­lung des Umset­zungs­sta­tus. „Offen“, „in Arbeit“, „been­det“oder „zurück­ge­stellt“soll­ten hier genutzt wer­den.

Die­ses Doku­ment und das vor­he­ri­ge Rah­men­do­ku­ment soll­ten Sie stets aktu­ell hal­ten und bei Bedarf um wei­te­re not­wen­di­ge Maß­nah­men ergän­zen, wenn sich ein Ände­rungs­be­darf ergibt oder sich Rah­men­be­din­gun­gen ändern, die wei­te­re Maß­nah­men not­wen­dig machen. Wei­ter­hin soll­ten Sie die­ses Doku­ment regel­mä­ßig mit der Behör­den­lei­tung abstim­men, damit die­se über das aktu­el­le Risi­ko­in­ven­tar infor­miert ist.

Wei­te­re Hin­wei­se zum Umgang mit die­sen Doku­men­ten fin­den Sie stets am jewei­li­gen Doku­men­ten­en­de unter „Hin­wei­se“.

Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts

Wenn Sie an die­sem Schritt ange­langt sind, befin­den Sie sich bereits mit­ten in einem akti­ven Infor­ma­ti­ons­si­cher­heits­kon­zept. Herz­li­chen Glück­wunsch! Nach der erst­ma­li­gen Selbst­über­prü­fung, Risi­koi­den­ti­fi­zie­rung, Maß­nah­men­pla­nung und Umset­zung gilt es nun, sich auch wei­ter­hin mit dem The­ma Infor­ma­ti­ons­si­cher­heit regel­mä­ßig zu beschäf­ti­gen.

Dies erfolgt einer­seits durch das akti­ve Über­wa­chen und Kon­trol­lie­ren der geplan­ten und offe­nen Maß­nah­men aus Ihrer Pla­nung. Legen Sie sich die­se Ter­mi­ne doch in dem in der Orga­ni­sa­ti­on im Ein­satz befind­li­chen Kalen­der­pro­gramm an, damit Sie die­se nicht aus den Augen ver­lie­ren.

Zusätz­lich soll­ten Sie nun Ein­rich­tun­gen schaf­fen, die eine kon­ti­nu­ier­li­che Wei­ter­ent­wick­lung ermög­li­chen. Haben Sie ein Team für Infor­ma­ti­ons­si­cher­heit ein­ge­rich­tet? Dann legen Sie fes­te Ter­mi­ne für gemein­sa­me Bespre­chun­gen und Abstim­mun­gen fest (z.B. 1 x Quar­tal). Pla­nen Sie die­se Ter­mi­ne fest und ver­bind­lich ein und legen Sie die­se bereits jetzt für zwölf Mona­te im Vor­aus fest. Den­ken Sie recht­zei­tig an die Fol­ge­ter­mi­ne.

Es gibt kein Team für Infor­ma­ti­ons­si­cher­heit? Dann soll­te zumin­dest der Ver­ant­wort­li­che für Infor­ma­ti­ons­si­cher­heit sich fes­te Ter­mi­ne ein­pla­nen, um sich selbst als Ver­ant­wort­li­cher des The­mas anzu­neh­men. Dazu gehö­ren Ter­mi­ne für regel­mä­ßi­ge Bege­hun­gen aller Räum­lich­kei­ten inklu­si­ve der Außen­stel­len, Schu­lungs­ter­mi­ne, Ter­mi­ne zur Bear­bei­tung und zum Über­prü­fen offe­ner Maß­nah­men, Abstim­mun­gen mit den Sach­be­rei­chen, Iden­ti­fi­ka­ti­on geän­der­ter Rah­men­be­din­gun­gen und Pla­nung dar­aus ent­ste­hen­der wei­te­rer Maß­nah­men etc.

Sie sehen schon, Infor­ma­ti­ons­si­cher­heit ist kei­ne ein­ma­li­ge Sache. Sie brau­chen zwin­gend Ver­ant­wort­lich­kei­ten, Zeit und Mit­tel für die­ses The­ma. Auch hier erneut der Hin­weis: Schau­en Sie über den Tel­ler­rand Ihrer eige­nen Orga­ni­sa­ti­on und tau­schen Sie sich mit ver­gleich­ba­ren Kom­mu­nen aus. Infor­ma­ti­ons­si­cher­heit ist kein The­ma für Ein­zel­kämp­fer.