Wie wende ich diese Arbeitshilfe konkret an?
Im ersten Schritt machen Sie sich mit den Komponenten und Inhalten dieser Arbeitshilfe vertraut. Dazu dient unter anderem die Lektüre dieses Dokuments. Es ist jedoch ebenfalls sehr hilfreich, im Kreis vergleichbarer Kommunen bzw. Unternehmen ähnlicher Größe, zu denen Sie Kontakt haben (beispielsweise aufgrund gemeinsam besuchter Schulungen / Veranstaltungen), Informationen einzuholen, wer sich mit dem Thema bereits befasst und welche Erfahrungen gesammelt worden sind.
Erste Bestandsaufnahme
Bevor Sie aktiv mit der Bearbeitung der 9 Kapitel starten, sollten Sie die Kapitel alle mindestens 1 x gelesen haben. Dabei werden sich Ihnen die kapitelübergreifenden Zusammenhänge schnell erschließen und Sie vermeiden später Mehrarbeiten.
Mit der Überprüfung beginnen sollten Sie stets mit den ersten beiden Kapiteln „Informationssicherheit“und „Datenschutz“. Hier legen Sie den Grundstein für eine erfolgreiche Einführung und Umsetzung eines Informationssicherheitskonzepts. Nehmen Sie diese beiden Kapitel bitte sehr ernst. Alles, was Sie hier auslassen oder versäumen, wird Sie im weiteren Verlauf unangenehm einholen bis hin zum Scheitern des Projekts.
Haben Sie die beiden ersten Kapitel erfolgreich bearbeitet, machen Sie sich an die Bearbeitung der weiteren Kapitel. Sollten Sie bereits Erkenntnisse über größere Schwachstellen / Lücken in den einzelnen Themen gewonnen haben, ziehen Sie die Kapitel mit den größten Schwachstellen zur Bearbeitung vor. Auf diese Art erzielen Sie im Zweifel am schnellsten Fortschritte in der Informationssicherheit.
Es empfiehlt sich, ein Kapitel nach dem anderen zu bearbeiten. Sobald Sie Schwachstellen identifiziert und im Rahmendokument (siehe nächsten Abschnitt) dokumentiert haben, bearbeiten Sie die Prüffragen und Kapitel weiter. Maßnahmenplanung und Umsetzung startet erst nach der Selbstüberprüfung.
Übersicht Schwachstellen, Risiken und Lösungsvorschläge erstellen
Identifizierte Schwachstellen beschreiben Sie kurz in den Kapiteln unter „Ergebnis(se)“und ausführlich im Übertrag in das Rahmendokument „Übersicht identifizierte Schwachstellen und mögliche Lösungen“. Dieses Rahmendokument dient der weiteren Bearbeitung nach Durchlauf der Selbstüberprüfung mit den Fragen aus den Kapiteln.
Sobald Sie ein Kapitel durchlaufen und das Dokument „Übersicht identifizierte Schwachstellen“gefüllt haben (es wird sich füllen, das ist ganz normal), beschreiben Sie konkret die sich aus der Schwachstelle ergebenden Risiken für Ihre Organisation (Spalte 2). Denken Sie dabei daran, dass die Risiken ganz unterschiedlicher Natur sein können (Datenverlust / Kompromittieren, finanzielle Schäden, Rechtsverstöße, Vertragsverstöße, Verletzung der Betroffenenrechte / Datenschutz, aber auch Imageschäden / negative Außenwirkungen). Versuchen Sie die Risiken möglichst detailliert zu beschreiben, damit die Behördenleitung eine Grundlage hat, über den Umgang mit diesen Risiken zu entscheiden. In Spalte 1 tragen Sie in der ersten Zeile die Kapitelnummer ein und in die zweite Zeile die Nummer des Prüfpunkts in dem jeweiligen Kapitel. So bleibt stets der Bezug zur Bestandsaufnahme erhalten.
Für das Ausfüllen der Spalte 3 „Mögliche Maßnahmen zur Beseitigung“sollten Sie sich mit den betroffenen Sachbereichen auseinandersetzen und versuchen, möglichst mehr als einen Lösungsvorschlag zur Beseitigung der Schwachstelle anzubieten. Denken Sie dabei in Alternativen. Beispiel: Im Serverraum laufen wasserführende Leitungen und darüber befinden sich schlimmstenfalls Sanitärräume? Dann kann eine der Maßnahmen zur Beseitigung „Umzug des Serverraums in anderes Gebäudeteil“sein, verbunden mit hohen finanziellen Aufwendungen. Eine Alternative könnte jedoch sein, Wassermelder im Serverraum zu installieren. Eine Maßnahme, die mit geringem finanziellen Aufwand durchaus eine zulässige alternative Schutzschicht im Mix (denken Sie an die Zwiebelschichten) darstellt.
In Spalte 4 „Budget intern / extern in Euro“tragen Sie die voraussichtlichen Kosten für die geplanten Maßnahmen ein beispielsweise auf Basis vorliegender Angebote. Spalte 5 dient der Erfassung interner Zeitaufwendungen zur Bearbeitung der Maßnahmen. Im Zweifel werden Sie hier schätzen müssen (schätzen Sie lieber mehr als weniger, hat die Praxis gezeigt).
In der letzten Spalte tragen Sie den oder die Verantwortlichen für die Beseitigung der Schwachstellen ein.
Haben Sie dieses Dokument für ein oder mehrere Kapitel mit Details befüllt, ist die Grundlage für die weitere Umsetzung geschaffen.
Maßnahmenplan erstellen
Mit dem vollständig ausgefüllten Dokument „Übersicht identifizierte Schwachstellen und mögliche Lösungen“gehen Sie nun zur Behördenleitung und stellen die Inhalte vor. Ziel ist es, nun die konkret zu ergreifenden Maßnahmen zur Beseitigung der identifizierten Schwachstellen zeitlich und monetär zu planen. Sie können dabei gerne Ihre Vorstellungen und Vorschläge einfließen lassen, entscheiden muss jedoch letztendlich die Behördenleitung. (Dieser obliegt nämlich die organisatorische Verantwortung für das Thema, die auch nicht auf Sie als Bearbeiter des Themas übertragen werden kann.)
Bitte beachten Sie: Für den Nachweis für bayerische Kommunen eines Informationssicherheitskonzepts zum 01.01.2020 ist es nicht notwendig, bis dahin alle identifizierten Schwachstellen beseitigt zu haben! Sie müssen lediglich interne Verfahrensweisen etabliert haben, mit denen Sie heutige und zukünftige Schwachstellen identifizieren und bearbeiten können. Nichtsdestotrotz muss die Beseitigung der Schwachstellen das Ziel sein.
Die Ergebnisse tragen Sie in die konkrete Maßnahmenplanung im Dokument „Übersicht Maßnahmenplan“ein. Wie bereits im vorherigen Rahmendokument verweisen Sie in Spalte 1 auf das dazugehörige Kapitel und den Prüfpunkt. In Spalte 2 „Beschlossene Maßnahmen“beschreiben Sie nun sehr konkret, was beschlossen wurde und was zu tun ist. In Spalte 3 „Umzusetzen durch“weisen Sie die einzelnen Aktivitäten den handelnden Personen zu, wohingegen Sie in Spalte 4 „Verantwortlich“die Person benennen, die für den Punkt und dessen erfolgreiche Umsetzung hauptverantwortlich ist. (Dies muss nicht unbedingt eine der handelnden Personen aus Spalte 3 sein.)
Damit das Projekt zeitlich nicht aus dem Ruder läuft, schreiben Sie in Spalte 5 realistische Umsetzungstermine fest. Machen Sie den Beteiligten bitte klar, dass bei absehbarer Nichteinhaltung dieser Termine frühzeitigeine Information sowohl an den Verantwortlichen aus Spalte 4 aber auch an die Funktion ISB erfolgen sollte. Damit behalten Sie die Möglichkeit, auf ungeplante Verzögerungen zu reagieren.
Nutzen Sie die Spalte 6 „Kommentar“zur ausführlichen Beschreibung der ergriffenen / umgesetzten Aktivitäten. Ebenso beschreiben und begründen Sie im Kommentarfeld ausführlich, wenn geplante Maßnahmen zurückgestellt oder gar nicht umgesetzt werden. Diese zurückgestellten Maßnahmen sowie die Maßnahmen mit Status „Offen“und „In Arbeit“stellen Ihr sogenanntes „Risikoinventar“dar.
Die Spalte 7 „Status“dient der vereinfachten Darstellung des Umsetzungsstatus. „Offen“, „in Arbeit“, „beendet“oder „zurückgestellt“sollten hier genutzt werden.
Dieses Dokument und das vorherige Rahmendokument sollten Sie stets aktuell halten und bei Bedarf um weitere notwendige Maßnahmen ergänzen, wenn sich ein Änderungsbedarf ergibt oder sich Rahmenbedingungen ändern, die weitere Maßnahmen notwendig machen. Weiterhin sollten Sie dieses Dokument regelmäßig mit der Behördenleitung abstimmen, damit diese über das aktuelle Risikoinventar informiert ist.
Weitere Hinweise zum Umgang mit diesen Dokumenten finden Sie stets am jeweiligen Dokumentenende unter „Hinweise“.
Betrieb des Informationssicherheitskonzepts
Wenn Sie an diesem Schritt angelangt sind, befinden Sie sich bereits mitten in einem aktiven Informationssicherheitskonzept. Herzlichen Glückwunsch! Nach der erstmaligen Selbstüberprüfung, Risikoidentifizierung, Maßnahmenplanung und Umsetzung gilt es nun, sich auch weiterhin mit dem Thema Informationssicherheit regelmäßig zu beschäftigen.
Dies erfolgt einerseits durch das aktive Überwachen und Kontrollieren der geplanten und offenen Maßnahmen aus Ihrer Planung. Legen Sie sich diese Termine doch in dem in der Organisation im Einsatz befindlichen Kalenderprogramm an, damit Sie diese nicht aus den Augen verlieren.
Zusätzlich sollten Sie nun Einrichtungen schaffen, die eine kontinuierliche Weiterentwicklung ermöglichen. Haben Sie ein Team für Informationssicherheit eingerichtet? Dann legen Sie feste Termine für gemeinsame Besprechungen und Abstimmungen fest (z.B. 1 x Quartal). Planen Sie diese Termine fest und verbindlich ein und legen Sie diese bereits jetzt für zwölf Monate im Voraus fest. Denken Sie rechtzeitig an die Folgetermine.
Es gibt kein Team für Informationssicherheit? Dann sollte zumindest der Verantwortliche für Informationssicherheit sich feste Termine einplanen, um sich selbst als Verantwortlicher des Themas anzunehmen. Dazu gehören Termine für regelmäßige Begehungen aller Räumlichkeiten inklusive der Außenstellen, Schulungstermine, Termine zur Bearbeitung und zum Überprüfen offener Maßnahmen, Abstimmungen mit den Sachbereichen, Identifikation geänderter Rahmenbedingungen und Planung daraus entstehender weiterer Maßnahmen etc.
Sie sehen schon, Informationssicherheit ist keine einmalige Sache. Sie brauchen zwingend Verantwortlichkeiten, Zeit und Mittel für dieses Thema. Auch hier erneut der Hinweis: Schauen Sie über den Tellerrand Ihrer eigenen Organisation und tauschen Sie sich mit vergleichbaren Kommunen aus. Informationssicherheit ist kein Thema für Einzelkämpfer.