Als erste Kreisverwaltungsbehörde unter den 294 deutschen Landkreisen hat das Landratsamt Starnberg die Zertifizierung eines IT-Sicherheitsmanagementsystems erhalten, und zwar nach den Kriterien des Regelwerks ISIS12. Nach einem Jahr intensiver Arbeit konnte Landrat Karl Roth das Zertifikat Anfang Dezember 2017 entgegennehmen.
Bis zum 1. Januar 2019 müssen alle bayerischen Behörden gemäß BayEGovG (Bayerischem E-Government-Gesetz) ein Informationssicherheitskonzept erarbeitet haben. Die Frist wurde bereits einmal verlängert, doch der Landkreis Starnberg wäre in jedem Fall rechtzeitig zur Stelle gewesen – obwohl selbst bei ISIS12 der Weg bis zum Zertifikat ungefähr ein Jahr gedauert hat. Dabei ist das „Informationssicherheitsmanagementsystem in 12 Schritten“, das ein Netzwerk rund um das Bayerische IT-Sicherheitscluster in Regensburg für mittelständische Unternehmen, Organisationen und Behörden entwickelt hat, speziell auf rasche, unkomplizierte Umsetzung zugeschnitten. Das bayerische Innenministerium fördert Kommunen, die ISIS12 einführen, mit bis zu 50 % der Kosten.
Die Zertifizierung nach ISIS12 ist allerdings noch recht neu. Mitte Dezember hatten sich bundesweit erst 17 Firmen und Behörden dem Prozedere unterzogen. Starnberg ist bislang der einzige Landkreis innerhalb dieser exklusiven Gruppe. Die niederbayerische Stadt Dingolfing war 2016 die erste Kommune, die eine ISIS12-Zertifizierung bekam. Über die zweite Zertifizierung in der Gemeinde Adelsdorf berichtete Gerhard Lang auf dem IT-Talk der Kommunen im Oktober 2017 auf der KOMMUNALE in Nürnberg. Für diese Projekt wurde Lang als Kommunaler IT-Profi 2017 ausgezeichnet (seine Vortragsfolien gibt es im MittelstandsWiki kostenlos zum Download).
Ein großer Vorteil des Landkreises Starnberg war, dass die IT dort bereits sehr fortschrittlich aufgestellt war. So verfügt das Landratsamt über zwei baugleiche Rechenzentren, die im Ernstfall füreinander einspringen können. Auch das Know-how vor Ort war bereits relativ hoch: „Beim Landratsamt Starnberg haben die Mitarbeiter im Umgang mit schutzwürdigen Informationen das allermeiste bereits richtig gemacht“, sagt Thomas Eberl von der complimant AG aus Kirchweidach, die den Zertifizierungsprozess als externer Dienstleister begleitete. Dennoch bleibt die Schulung ein wesentlicher Punkt der Vorbereitung auf das Audit. „Im Kern geht es darum, nach welchen Regeln die rund 500 Mitarbeiter mit vertraulichen Informationen umgehen – sei es am Computer, auf Papier oder mündlich im Gespräch und am Telefon“, erklärt Thomas Eberhard, der als IT-Leiter im Landratsamt das Projekt steuerte. Jetzt hat der Landkreis ein klares Handbuch erarbeitet, das genau beschreibt, wie die Mitarbeiter mit den Informationen umgehen müssen.