Das aus Bayern-CERT hervorgegangene bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) mit Hauptsitz Nürnberg hat mittlerweile das erste Jahr hinter sich. Zu den wichtigsten Aufgaben gehört vorerst die Beratung von Kommunen in allen Sicherheitsfragen, zur ISMS-Einführung ebenso wie bei Awareness-Kampagnen oder zu Penetrationstests.
Vor allem in den Rathäusern, die vielfach noch damit beschäftigt sind, von sämtlichen Vereinsvorständen, die auf der Gemeindewebsite genannt sind, die DSGVO-erforderliche Einverständniserklärung einzuholen, droht das Thema Informationssicherheit derzeit etwas unterzugehen – und das, obwohl die Gefährdungslage zuletzt noch einmal deutlich an Brisanz gewonnen hat. Der Grundstein kommunaler Informationssicherheit ist ein praktikables ISMS (Information Security Management System). Der Bayerische IT-Sicherheitscluster e.V. hat hierfür eigens ISIS12 geschaffen, ein transparent aufgestelltes Informationssicherheitsmanagement, das für bayerische Kommunen außerdem förderfähig ist.
In welchen Fällen parallel dazu Penetrationstests, also Angriffsversuche unter kontrollierten Bedingungen, anzuraten sind, hat zuletzt Akad. Dir. Thomas Hofer, Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München, dargelegt. Zwar ist ein solches Vorgehen nicht ausdrücklich vorgeschrieben, es kann sich aber mit Blick auf die geforderte „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste“ (Art. 32 Abs. 1 lit b) EU-DSGVO) durchaus als notwendig erweisen. Wie so etwas vertraglich geregelt wird und abläuft, erklärt Hofer in einem eigenen Beitrag.
Auf der nächsten IT-Sicherheitskonferenz des LSI, die für den 20. Februar in Deggendorf angesetzt ist (im Kapuzinerstadl des Kulturviertels), wird Penetration-Tester Kevin Ott gemeinsam mit Giulio Schembre (beide Secunet) in einer Live-Hacking-Session für Kommunalvertreter vorführen, wie einfach digitale Einbrüche für Hacker heutzutage sein können. Zuvor schildert das LSI die aktuelle Bedrohungslage aus der Perspektive von Behördennetzen und erklärt genau, wo und auf welche Weise das Landesamt Kommunen in Sachen Sicherheit unterstützen kann.
Am restlichen Nachmittag stehen dann praktische Erfahrungen im Vordergrund: Aus den Gemeinden berichtet Sepp Drexler, der in der Verwaltungsgemeinschaft Hunderdorf (Vorderer Bayerischer Wald) u.a. für IKT- und Systembetreuung sowie für das Behördennetz zuständig ist. Für die Kreise spricht Karl Miedaner, seines Zeichens Sachgebietsleiter Informations- und Kommunikationstechnik (IuK) am Landratsamt Straubing-Bogen. Außerdem kommt AKDB-Referentin Korinna Pöppl zu Wort, die für die Innovationsstiftung Bayerische Kommune spricht, die gemeinsame Aktion der kommunalen Spitzenverbände Bayerns und der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB).