Am stärksten sind Verbundrechenzentren
Von Sabine Philipp
„Datenschutz und Datensicherheit sind nicht erst seit der NSA-Abhöraffäre ein Top-Thema bei Behörden und Kommunen“, erklärt Peter Krolle, Senior Executive Manager bei Steria Mummert Consulting. Gerade in Kommunen mit engem Publikumskontakt sei man sehr darauf bedacht, den Sicherheitslevel hoch zu halten. Dabei sind die Anforderungen gerade in diesem Bereich sehr groß. Denn in vielen Behörden fällt täglich eine Vielzahl hochsensibler, personenbezogener Daten an – Daten, die bei hochgerüsteten Cyberkriminellen große Begehrlichkeiten wecken. Es stellt sich die Frage, wie sich Kommunen in Zeiten leerer Kassen sinnvoll schützen können.
„Sie tun das ebenso wie große Unternehmen auch: mit Standardhardware und -software“, lautet die Antwort des ehemaligen Polizeivollzugsbeamten. Die Lösungen sind ausgereift und laufen individuell entwickelter Software immer mehr den Rang ab. Das gilt sowohl bei den Standrechnern als auch bei den Mobilgeräten, die auch unter Behördenmitarbeitern immer beliebter werden.
Peter Krolle ist Senior Executive Manager bei Steria Mummert Consulting und verantwortet den Bereich Public Management Consulting, wo er vor allem für Beratungsaufgaben im E-Government, in der Unternehmenssteuerung, im Finanzwesen (Controlling) und in der Geschäftsprozessanalyse tätig ist. Zuvor arbeitete er als Polizeivollzugsbeamter und in einer internationalen Wirtschaftsprüfungsgesellschaft.
Zugriffe regeln und sichern
Mit der Nutzung von sicheren Produkten allein ist es allerdings nicht getan. Entscheidend ist ein gutes Datensicherheits– und Datenschutzkonzept. Dazu gehört, so Krolle, erstens eine Inventarisierung der Geräte und der Daten, die sie verarbeiten. Notwendig ist zweitens die Einführung eines Identity and Access Managements, damit die Behörden genau regulieren können, wer auf welche Daten zugreifen darf. Dann folgen organisatorische und IT-Schutzvorrichtungen, um Datenmissbrauch und Datendiebstahl zu verhindern.
Eine große Herausforderung erkennt der Fachmann mittlerweile in der puren Masse der Zugriffe: „Eine mittelgroße Kommune hat etwa 3000 Mitarbeiter, die regelmäßig acht Stunden täglich am PC oder mit mobilen Devices arbeiten.“ Krolle rät in diesem Zusammenhang zu einem vollständigen Sicherheitssystem. Dieses sollte mindestens Tools enthalten, die Log-Dateien protokollieren, die bei jedem Zugriff entstehen, außerdem ein zweites Tool, das sie analysiert, und drittens ein Sicherheitsmanagement, das nicht autorisierte Zugriffe automatisch erkennt und Gegenmaßnahmen einleitet.
Gekapselte Fachverfahren
Insoweit unterscheiden sich die Sicherheitsanforderungen von Kommunalbehörden und Unternehmen der freien Wirtschaft in der Tat nicht grundlegend. Es gibt jedoch einen großen Unterschied: die große Zahl heterogener Anwendungen, sprich: die Fachverfahren. „Eine Kommune verwendet oft 200 bis 300 Fachverfahren, z.B. für die Veranlagung der Gewerbesteuern oder für die Administration für Trauungen.“ Wie kann man diese enorme Bandbreite sinnvoll schützen? „Indem man die sensiblen Daten und Logiken separiert und mit einem Schutzzaun versieht,“ sagt Krolle.
Häufig werde in diesem Kontext eine Dreischichtenarchitektur eingesetzt: „Vereinfacht gesagt wird jeder Prozess auf drei Rechner verteilt, zwischen denen Schutzzäune errichtet werden, die nur kontrolliert Datenaustausch zulassen. Je sensibler die Daten, desto ausgeprägter die Schutzmechanismen und Kontrollen. Selbst die grundsätzliche Architektur kann noch verfeinert werden, indem der Prozess noch weiter zergliedert und verteilt wird. Mindestens werden die Daten von der Geschäftslogik und diese wiederum von der Benutzeroberfläche abgetrennt.“
Systematischer Grundschutz
Um diese Sicherheitsmaßnahmen systematisch umzusetzen, bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine gute Hilfestellung. Mithilfe der BSI-Standards und der IT-Grundschutzkataloge lässt sich eine Vorgehensweise ableiten, die zum Aufbau und zur Aufrechterhaltung eines Managementsystems für Informationssicherheit (ISMS) führt, das die Anforderungen von ISO 27001 und ISO 27002 erfüllt. Eine Liste mit Hilfsmitteln für den IT-Grundschutz gibt es beim BSI.
Fazit: Längst bewährte Neuheiten
Letztlich gilt auch für Kommunen, dass sich Datenschutz und Datensicherheit deutlich verbessern lassen, wenn man einen Schritt zurücktritt und das Gesamtbild betrachtet. Dann gerät in den Blick, dass z.B. eine möglichst weitreichende Standardisierung der Technik einen wesentlichen Beitrag dazu leisten kann. Peter Krolle sieht auch in der Konsolidierung eine Möglichkeit, das Sicherheitsniveau zu verbessern, etwa durch Zusammenschluss mit anderen Kommunen in Gebietsrechenzentren. Denn oft könnten spezialisierte Provider derartige Aufgaben gründlicher und effizienter ausführen.
Die Scheu davor nimmt der Experte den Verantwortlichen gründlich: „Zu Zeiten der Großrechner betrieb keine kleine oder mittlere Kommune die Datenhaltung des Einwohnermeldeamtes im eigenen Haus“, erinnert er. „Nur dass es damals anders hieß und dass man im Unterschied zu heute über Standleitungen zugegriffen hat.“ Cloud Computing sei also im kommunalen Bereich „ein alter Hut“ und längst nichts Neues.