Kommunales E-Government

Transkript

1 Ministerium für Inneres und Sport Postfach Saarbrücken per Oberbürgermeisterin/ Oberbürgermeister/ Bürgermeisterinnen/Bürgermeister - der Landeshauptstadt Saarbrücken - der Mittelstädte Völklingen und St. Ingbert - der kreisangehörigen Städte und Gemeinden - der regionalverbandsangehörigen Städte und Gemeinden Landrätinnen/Landräte der Landkreise des Saarlandes Regionalverbandsdirektor des Regionalverbandes Saarbrücken Dienstgebäude: Franz-Josef-Röder-Straße Saarbrücken Telefon: poststelle@innen.saarland.de Bearbeiterin: Frau Jasmin Becker Durchwahl: Telefax: ja.becker@innen.saarland.de Az.: C Nachrichtlich: Ministerium für Finanzen und Europa IT-Innovationszentrum Zweckverband ego Saar Landkreistag Saarland Saarländischer Städte- und Gemeindetag Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung; Kommunales E-Government WEB-Links: Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Hauptdokument - Umsetzungsplan Liste der über DOI nutzbaren Verfahren Franz-Josef-Röder-Straße Saarbrücken

2 2 Der IT Planungsrat hat am die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung nebst Umsetzungsplan beschlossen. Von kommunaler Seite waren Vertreter des Deutschen Landkreistages und des Deutschen Städtetages beteiligt. Die Leitlinie gilt für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Bestehende Regeln und Gesetze zum Datenschutz und zur IT-Sicherheit bleiben hiervon unberührt. 1. Problemlage und Empfehlung Modernes Verwaltungshandeln ist ohne elektronische Kommunikationsmedien und IT- Verfahren nicht mehr denkbar. In zunehmendem Maße werden Ebenen-übergreifende Kommunikation betrieben und IT-Verfahren genutzt. IT-Angriffe und Bedrohungen betreffen häufig nicht nur einzelne sondern mehrere Nutzer. Zum Schutz der erhaltenen und übertragenen Daten muss jede beteiligte Behörde ein angemessenes Sicherheitsniveau für ihr Netz gewährleisten. Daher empfehle ich den Gemeinden und Gemeindeverbänden, die Leitlinie für Informationssicherheit unter Berücksichtigung der örtlichen Verhältnisse und personellen Kapazitäten anzuwenden. Für die Gewährleistung angemessener Sicherheitsstandards sprechen nicht zuletzt wirtschaftliche Aspekte. Wirksame Prävention spart Kosten für die Behebung von Schäden nach einem Angriff. Die Regelungen der Leitlinie für die Informationssicherheit und deren Umsetzungsplan sind angemessen und zukunftsweisend. Der Umsetzungsplan sieht eine zeitnahe Umsetzung vor. Auf bedeutsame Aspekte der Leitlinie möchte ich daher besonders eingehen. 2. Ebenen-übergreifende IT-Verfahren (Fachverfahren) Ebenen-übergreifende IT-Verfahren im Sinne der Leitlinie sind IT-Verfahren, die über Verwaltungsgrenzen hinweg angeboten bzw. genutzt werden sollen (Bund -Länderübergreifend oder von mehreren Bundesländern genutzte IT-Verfahren, s. 3 Abs.1 IT-Staatsvertrag). Der Datenaustausch über die Verwaltungsgrenze hinweg wird gemäß den Vorgaben des IT-NetzGesetzes bereits über das Verbindungsnetz realisiert. Angriffe sowie Bedrohungen im Zuständigkeitsbereich einer nutzenden bzw. anbietenden Behörde können sich über das IT-Verfahren und das angeschlossene Netz hinaus auf die eigenen Zuständigkeitsbereiche und auf die der anderen beteiligten Behörden ausbreiten (dies gilt auch für den Bereich Outsourcing s. Pkt. 4). Daher sind alle Beteiligten, die diese Kommunikationswege nutzen, aufgerufen, ihren Beitrag für ein einheitliches nationales Sicherheitsniveau zu leisten. Der Einsatz eines möglichst einheitlichen Informationssicherheitsmanagements erleichtert das Erreichen des angestrebten einheitlichen Sicherheitsniveaus und minimiert das Risiko für alle beteiligten Behörden.

3 3 Der Umsetzungsplan nennt unter Punkt 11 und 12 konkrete Maßnahmen und Bedingungen: Punkt 11: Bei der Planung und Anpassung Ebenen-übergreifender IT-Verfahren ist der IT-Grundschutz nach BSI anzuwenden. Punkt 12: Innerhalb eines Jahres nach Inkrafttreten der Leitlinie (Frühjahr 2014) sollen die im jeweiligen Bereich betriebenen, insbesondere die kritischen Ebenenübergreifenden IT-Verfahren erfasst und beschrieben werden. Die zeitnahe Vorbereitung bzw. Anpassung der Maßnahmen minimiert das Risiko der restlichen Teilnehmer durch einzelne unsichere Teilnehmer, verbessert das Nutzen - Kosten - Verhältnis und reduziert das Risiko von Angriffen und damit verbundenen Schäden. 3. Netzinfrastrukturen Netzinfrastrukturen sind als elektronisches Nervensystem der öffentlichen Verwaltung die Basis für übergreifende IT-Verfahren und elektronische Kommunikation (z.b. Inte r- netverbindungen, , etc.). Aufgrund der Vernetzung können Angriffe oder Bedrohungen über Behördengrenzen hinweg alle Behörden gefährden und im schlimmsten Fall die Handlungsfähigkeit der Verwaltung insgesamt beeinträchtigen. Demzufolge sind in der Leitlinie für Informationssicherheit unter 3.2 Anschlussbedingungen benannt, die sich auf direkt angeschlossene Netzinfrastrukturen beziehen. Mit gesundem Augenmaß werden an die jeweilige öffentliche Einrichtung für den Teil, der mit der Außenwelt verbunden ist ( direkt angeschlossene Netze ) Sicherheitsanfo r- derungen im Sinne eines Schalenmodells formuliert. Der Bund bildet dabei den Kern und damit das Zentrum für Informationssicherheit. Da das Verbindungsnetz nicht nur vom Bund zu den Ländern und Kommunen offen ist, sondern auch umgekehrt, werden die Sicherheitsanforderungen an das Land und die Kommunen weitergegeben. Das bereits bestehende DOI-Netz (DEUTSCHLAND-ONLINE INFRASTRUKTUR, ehemals TESTA-D-Netz) zeigt, dass nicht nur ein einheitliches Sicherheitsniveau auf nationaler Kommunikationsebene erreichbar, sondern auch eine kostengünstige Vernetzung möglich ist. DOI bildet die Grundlage für Ebenen-übergreifende Fachverfahren. An das DOI-Netz, welches als Koppelnetz für die verschiedenen Verwaltungsnetze von Bund, Ländern und Kommunen dient, werden bereits entsprechende Anforderungen bzgl. Standards, Leistungsfähigkeit, Betriebssicherheit und Vertrauenswürdigkeit gestellt. Andererseits stellt auch DOI Anforderungen an die DOI-Teilnehmer zur Absicherung des DOI-Nutzungsverfahrens. So muss der DOI-Teilnehmer u.a. gewährleisten, dass alle Netzübergänge eines an DOI angeschlossenen Verwaltungsnetzes zu anderen Netzen einen angemessenen Schutz vor Schadsoftware, unberechtigten Zugriffen und anderen Bedrohungen besitzen. Im Grunde geht es darum, den heute üblichen Stand der Technik in einer gemeinsamen und standardisierten Form zu nutzen.

4 4 Das kommunale Netz des Saarlandes (ego-net 1 ) ist über DOI auch mit anderen Landesnetzen, beispielsweise dem kommunalen Netz in Rheinland-Pfalz, verbunden und ermöglicht so weitere Synergieeffekte. Durch den Zugang zum DOI-Netz werden die Mitglieder des ego-saar in die Lage versetzt, standardisierte und sichere IT-Dienste der Bundesbehörden zu nutzen, wie z.b. Anfragen und Übermittlungen an das Kraftfahrtbundesamt, Zugang zur Bundesdruckerei, Anfragen an das Bundesamt für Justiz bzw. Bundeszentralregister, Nutzung der Infothek der Bundespolizei, Nutzung des Verfahrens Antrag Online der Deutschen Rentenversicherung. 4. Outsourcing Soweit Dritte als Auftragnehmer für die öffentliche Verwaltung Leistungen erbringen, spreche ich mich dafür aus, diese bei der Auftragserteilung auf die Vorgaben der Leitlinie zur Informationssicherheit im notwendigen Umfang zu verpflichten. Dies kann über einzelvertragliche Regelungen oder Rahmenverträge sichergestellt werden. Hierbei ist eine laufende Kontrolle durch den Auftraggeber ratsam. Für die Verarbeitung von personenbezogenen Daten im Auftrag existiert bereits eine entsprechende Regelung ( 5 SDSG): (1) Werden personenbezogene Daten im Auftrag einer öffentlichen Stelle verarbeitet, so bleibt sie verantwortliche Stelle im Sinne dieses Gesetzes. Der Auftragnehmer ist unter besonderer Berücksichtigung seiner Eignung sorgfältig auszuwählen. Der Auftrag ist schriftlich unter Festlegung von Gegenstand und Umfang der Datenverarbeitung zu erteilen. Er muss Weisungen zur Umsetzung der Vorgaben des 11 enthalten. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen des vertraglich Festgelegten verarbeiten. Unterauftragsverhältnisse bedürfen ausdrücklicher Zustimmung. Der Auftraggeber hat darauf zu achten, dass beim Auftragnehmer die nach 11 Abs. 2 erforderlichen Maßnahmen getroffen sind. Je nach Vertragslage kann eine Nachjustierung von Altverträgen sinnvoll sein. 5. VerwaltungsCERT Die Geschäftsordnung für einen VerwaltungsCERT-Verbund sieht vor, dass die Kommunen nach Maßgabe des jeweiligen Landes eingebunden werden können. Diese Einbindung soll über den Ansprechpartner des Landes (SPOC) erfolgen. Der Aufbau des Landes-CERT ist noch nicht abgeschlossen. Zu gegebener Zeit ergehen neue Informationen. 1 Link:

5 5 Unter Berücksichtigung ihrer finanziellen Mittel, der personellen Kapazitäten und örtlichen Gegebenheiten kann jede Kommune sich selbst vor IT-Angriffen schützen und ihren Beitrag zum nationalen Sicherheitsniveau leisten. Die Inanspruchnahme bestehender Systeme und insbesondere die Nutzung von Kooperationsmöglichkeiten, z.b. der Austausch oder die gemeinsame Erarbeitung von IT-Sicherheitsregelungen und -Konzepten, ermöglichen eine wirtschaftliche Umsetzung. 6. Mitwirkung Die Auseinandersetzung mit dem Thema IT-Sicherheit ist unumgänglich und bedarf besonderer Aufmerksamkeit. Daher werden die Kommunen bei der Umsetzung durch den Zweckverband ego-saar unterstützt. Ansprechpartner ist Herr Mike Martin, ; gez. Georg Jungmann