Bürgerdienste vor Cyberkriminalität schützen
Von Eduard Heilmayr
Das politische Ziel ist klar formuliert: Das IT-Sicherheitsniveau in Bayern soll erhöht werden. Ein wichtiges Instrument zur Umsetzung dieses Ziels benannte die Bayerische Staatsregierung bereits auf ihrem IT-Gipfel am 9. Mai 2014: ein praktikables ISMS (Information Security Management System), namentlich ISIS12.
Informationssicherheit ist machbar
Der Beschluss, eingebracht vom Bayerischen Staatsministerium des Inneren, für Bau und Verkehr, lautete damals:
- „Unterstützt werden soll[en] der Aufbau und die Verbreitung eines kostengünstig umsetzbaren Informationssicherheitsmanagementsystems (ISMS), das für kleine und mittelständische Unternehmen (KMU), vor allem aber auch für Kommunen, Lösungen zum besseren Schutz ihrer IT-Systeme und Daten vor Cyberangriffen bietet.“
Als förderungswürdiges ISMS entschied sich das verantwortliche Ministerium für ISIS12 des Bayerischen IT-Sicherheitsclusters e.V. Basis der Entscheidung war ein Gutachten des Fraunhofer ASEC, das im November 2014 die Eignung von ISIS12 für die öffentliche Verwaltung bestätigt hatte.
ISIS12 beschreibt ein Vorgehen in zwölf Schritten, das in drei Phasen unterteilt ist: Initialisierungsphase, Festlegung der Aufbau- und Ablauforganisation sowie Entwicklung und Umsetzung. Das Besondere an ISIS12 ist, dass es einen vergleichsweise verständlichen, praxisgerechten und kostengünstigen Einstieg in spätere komplexere Sicherheitszertifizierungen (beispielsweise nach ISO/IEC 27001/27002 oder dem BSI-Grundschutzkatalog) ermöglicht. Gegenüber diesen „großen“ ISMS-Verfahren soll der Aufwand einer ISIS12-Zertifizierung lediglich circa 25 % betragen.
Einen guten Überblick zu ISIS12 hat Andreas Reisser (Sysgrade GmbH und Bayerischer II-Sicherheitscluster e.V.) beim IT-Talk der Kommunen auf der Kommunale 2015 in Nürnberg gegeben. Die Folien dazu gibt es online im MittelstandsWiki. (Bild: Bayerischer IT-Sicherheitscluster e.V.)
Antrag auf ISIS12-Förderung
Seit April 2015 unterstützt das Bayerische Staatsministerium des Inneren, für Bau und Verkehr die Einführung von ISIS12 in Kommunen mit bis zu 500 Arbeitsplätzen. Insgesamt hatte das Staatsministerium ursprünglich 1,2 Mio. Euro aus dem Haushalt dafür zur Verfügung gestellt. Bezuschusst wurden 50 % der Kosten für die Einführung von ISIS12 bis zu einem Höchstbetrag von 15.000 Euro. Die organisatorische Abwicklung der Förderung erfolgt durch den Bayerischen IT-Sicherheitscluster e.V.
Nun sind im Herbst 2016 die Haushaltsmittel für die Förderung von ISIS12 ausgeschöpft, und das Ministerium zieht Bilanz: In der eineinhalbjährigen Laufzeit des Förderprogramms betrug das gesamte Fördervolumen circa 1,276 Mio. Euro. In dieser Zeit reichten 157 kommunale Gebietskörperschaften sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen Förderanträge ein; bewilligt wurden davon 95. Die genehmigten Förderanträge verteilen sich regional auf alle bayerischen Regierungsbezirke: Mittelfranken 8, Niederbayern 12, Oberbayern 26, Oberfranken 7, Oberpfalz 23, Schwaben 10 und Unterfranken 9. Einige geförderte Kommunen haben ISIS12 bereits implementiert. Die Mehrzahl arbeitet noch an der Umsetzung.
Fazit: Vorbild mit Fortsetzung
Das Bayerische Innenministerium kann das Förderprogramm als Erfolg verbuchen. Auf Anfrage bestätigte es die geplante Fortsetzung, allerdings „vorbehaltlich der erforderlichen Entscheidung des Haushaltsgesetzgebers“. Diese Entscheidung scheint aber in Kürze getroffen zu werden. Geht es nach dem Bayerischen Staatsministerium des Inneren, für Bau und Verkehr, dann könnte das ISIS12-Förderprogramm für Kommunen Anfang 2017 ohne große Änderungen mit einem Gesamtvolumen von 1,4 Mio. Euro über zwei Jahre fortgeführt werden.
Auch Sandra Wiesbeck, Vorstandsvorsitzende des Bayerischen IT-Sicherheitsclusters e.V. wertet das bisherige ISIS12-Förderprogramm als Erfolg: „Das Interesse der Kommunen ist größer als erwartet.“ Darüber hinaus „wurde ISIS12 durch das Förderprogramm auch über Bayern hinaus bekannt.“ Deshalb gebe es konkrete Gespräche und Veranstaltungen mit anderen Bundesländern und kommunalen Spitzenverbänden zur Einführung von ISIS12 oder alternativer Systeme. Eine erste kostenlose Veranstaltung dazu findet am Montag, dem 17. Oktober 2016, auf der it-sa in Nürnberg statt.
Eduard Heilmayr war acht Jahre lang Chefredakteur bei „Markt & Technik“, anschließend dort im Verlagsmanagement tätig. 1992 gründete er die AWi Aktuelles Wissen Verlagsgesellschaft mbH in München, die IT-Fachmagazine wie „LANline“, „Windows NT“, „Unix Open“, „Inside OS/2“ und „Electronic Embedded Systeme“ publizierte. Nach dem Verkauf des Verlags gründete er 2004 Delphin Consult. Neben meist mehrjährigen Projektarbeiten für renommierte Medienunternehmen wie Heise oder techconsult publiziert Heilmayr für rund 4000 Leser regelmäßig den redaktionellen Newsletter „Kommunale ITK“, der im MittelstandsWiki eine eigene Rubrik hat.