Grundsatzpapier zum Informationssicherheitsmanagement
0 Präambel
Der digitale Wandel stellt den Staat1 vor neue Herausforderungen:
Die Ausübung der verfassungsrechtlich garantierten Aufgaben der judikativen, legislativen und exekutiven Staatsgewalten setzt einen sicheren und zuverlässigen Betrieb der Informationssysteme des Staates voraus.
Die Gewährleistung eines effektiven Rechtsschutzes gegen Akte der öffentlichen Gewalt nach Artikel 19 Abs. 4 GG und des Rechtsstaatsprinzips nach Artikel 20 Abs. 3 GG erfordern in der öffentlichen Verwaltung eine lückenlose und gegen Manipulationen geschützte Kommunikation und eine Dokumentation des Verwaltungshandelns.
Das Vertrauen der Bürger und Unternehmen in die Integrität des digitalen Staates wird erschüttert, wenn sie ihren Aufgaben wegen funktionsunfähiger Informationssysteme nicht mehr nachkommen können. Die Informationssysteme in den Staatsgewalten sind dadurch zu kritischen Infrastrukturen für das Gemeinwesen geworden.
Aktuelle Berichterstattungen in den Medien über nationale und internationale Spionage und Cyber-Kriminalität zeigen, dass die Sicherheit von Daten Dritter gefährdet ist und dass das staatliche Gemeinwesen neuartigen Gefährdungslagen ausgesetzt ist.
Die elektronische Verwaltungsarbeit geht mit der Speicherung von elektronischen Daten auf Netzlaufwerken, E-Mail-Systemen und Dokumentenmanagementsystemen einher. Aktuelle Sicherheitsgefährdungen wie Schadsoftware können die unberechtigte Kenntnisnahme, Veränderung und Löschung von Kerndaten zur Folge haben. Die europaweiten Schäden durch Schadsoftware schätzte Interpol für das Jahr 2012 auf ca. 750 Milliarden Euro.2
Mit dem fortschreitenden digitalen Wandel in den Staatsgewalten entwickeln sich parallel dazu die Hacking-Angriffe weiter. Ohne ein darauf ausgerichtetes Informationssicherheitsmanagement (ISM) bzw. eingerichtete Informationssicherheitsmanagementsysteme (ISMS) könnte dies die Staatsgewalten in ihren Handlungen einschränken bzw. handlungsunfähig machen. Dies gilt umso mehr, je weiter in der Verwaltung die Einführung von elektronischen Akten voranschreitet. Wird das Dokumentenmanagementsystem in einem zentralen Rechenzentrum betrieben, so befindet sich auf diesem das gesammelte Verwaltungswissen der angeschlossenen Organisationseinheiten. Die erheblichen Investitionen der öffentlichen Verwaltungen in ihre IT-Ausstattungen sind ohne ausreichende IT-Sicherheit gefährdet.
Die Rechnungshöfe haben das Thema Informationssicherheit in den vergangenen Jahren immer wieder aufgegriffen und eine Weiterentwicklung des Informationssicherheitsmanagement3 aktiv begleitet und befördert. Mit dem vorliegenden Grundsatzpapier und dessen Anlagen werden die Prüfungserkenntnisse der Rechnungshöfe zusammengefasst und zu ausgewählten Aspekten Empfehlungen für eine zukünftige Ausgestaltung der ISMS in Bund, Ländern und Kommunen abgegeben. Dieses Papier ergänzt damit die Mindestanforderungen der Rechnungshöfe zum Einsatz von Informations- und Kommunikationstechnik vom November 2011. Darüber hinaus stellen die Rechnungshöfe Empfehlungen für die Prüfung der Informationssicherheit bereit.4
(Den vollständigen Text finden Sie im Download-Bereich auf dieser Seite.)
Fußnoten:
- Die unmittelbare und mittelbare Staatsverwaltung und alle seine Untergliederungen.
- Eröffnungsrede des Interpol Präsidenten Khoo Boon Hui auf der 41. Europäischen Regional Konferenz in Tel Aviv am 8. Mai 2012
- Unter Informationssicherheitsmanagement bzw. dem Informationssicherheitsmanagementsystem
wird der Teil des gesamten Managementsystems verstanden, welcher auf Basis eines Risikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt (DIN ISO/IEC 27001:2009-08, S. 9). - sh. Checkliste der Rechnungshöfe des Bundes und der Länder zur Prüfung der Informationssicherheit in der öffentlichen Verwaltung vom Juni 2015 (Anlage)