SessionNet | TOP Ö 5: Erstellung eines Informationssicherheitskonzeptes im Rahmen einer interkommunalen Zusammenarbeit

Sitzung: 10.03.2021 VG/004/2021

Beschluss: Beschlossen

Abstimmung: Ja: 10, Nein: 0

Abgrenzung „Datenschutz“ und „Informationssicherheit“

Der Datenschutz betrifft vorrangig den Schutz personenbezogener Daten sowie das organisatorische Umfeld. Die Informationssicherheit dagegen betrachtet hauptsächlich die technische Umsetzung bei Hard- und Software, inkl. der (auch präventiv) zu berücksichtigenden Schutzmaßnahmen. Dies speziell im Bereich der IT-Sicherheit (IT = Informationstechnik). Bezüglich des Datenschutzes besteht bereits eine entsprechende Vereinbarung mit anderen Gemeinden und dem Landratsamt Miltenberg zur gemeinsamen Erledigung dieser Aufgaben und Bestellung eines gemeinsamen Datenschutzbeauftragten.

Rechtliche Anforderungen an Bayerische Städte und Gemeinden

Art. 11 des Bayerischen E-Government-Gesetz (BayEGovG) verpflichtet die Städte und Gemeinden:

„(1) ¹Die Sicherheit der informationstechnischen Systeme der Behörden […] ist im Rahmen der Verhältnismäßigkeit sicherzustellen. ²Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und Art. 32 des Bayerischen Datenschutzgesetzes (BayDSG) und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.“

Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) sieht einen Informationssicherheitsbeauftragten als unbedingt erforderlich und empfiehlt hierzu entsprechende Schulungsmaßnahmen.

Zur Funktion des Informationssicherheitsbeauftragten (ISB):

Ein ISB ist für alle Fragen rund um die Informationssicherheit zuständig. Zu seinen Aufgaben gehört es,

den Sicherheitsprozess zu steuern und zu koordinieren,
die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
sicherheitsrelevante Projekte zu koordinieren,
sicherheitsrelevante Vorfälle zu untersuchen sowie
Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren

(Quelle: BSI)

Diese Aufgaben erfordern ein umfangreiches Wissen im IT-Umfeld. Neben grundlegenden organisatorischen Erfahrungswerten sind bspw. auch fundierte Kenntnisse in den Bereichen der Serververwaltung, Datenverfügbarkeit, Mehrgenerationen-Sicherungskonzepte, gesicherte Fernanbindungen, DMZ-Verwaltung notwendig.

Ein Informationssicherheitsbeauftragter ist von der Verwaltungsgemeinschaft Kleinheubach bislang nicht beauftragt worden.
Diese Stelle soll auch nicht intern vergeben werden, da die Umsetzung, Begleitung und Prüfung aller geforderten Schritte und Maßnahmen, weder zeitlich, inhaltlich noch rechtssicher intern umfänglich darstellbar ist.

Leistungsanforderung an die Erstellung des Informationssicherheitskonzeptes:

Projektplanung mit Definition der Verantwortlichkeiten
Analyse des aktuellen Informationssicherheitsniveaus
Erstellung einer Dokumentation, inkl. auf die einzelnen Standorte abgestimmten Handlungsempfehlungen
Implementierung der VdS 10000-Richtlinie
Erstmalige Mitarbeitersensibilisierung vor Ort

Kosten

Die Bruttokosten für die Kommunalverwaltung der Verwaltungsgemeinschaft Kleinheubach werden nach ersten Marktsondierungen 25.000 € bis zu 35.000 € für einen Zeitraum von drei Jahren geschätzt.

Hierin inkludiert sind Kosten für die Erstellung eines Informationssicherheitskonzeptes sowie die Bestellung eines ISB.

Förderung

Es ist vorgesehen, dass unter Vermittlung der Odenwaldallianz die Körperschaften VG Kleinheubach, Gemeinde Eichenbühl und Stadt Miltenberg eine Zweckvereinbarung schließen und einen Zuwendungsantrag nach der „Richtlinie für Zuwendungen des Freistaates Bayern zur Förderung der interkommunalen Zusammenarbeit“ bei der Regierung Unterfranken stellen.
Demnach ist eine Förderung von bis zu 85 % oder max. 90.000 € möglich (für den gesamten interkommunalem Zusammenschluss).

Eine Bedingung der Förderung sieht vor das Informationssicherheitsmanagementsystem dauerhaft, mindestens jedoch fünf Jahre lang beizubehalten.
Die Vertragspartner sehen vor, im Anschluss an die dreijährige Vertragslaufzeit eine der folgenden Optionen zu wählen:

Bestellung eines bis dahin ggf. vom Landkreis Miltenberg gestellten ISB
Bestellung eines externen ISB aus der Privatwirtschaft
Bestellung eines ISB, angestellt bei den Vertragspartnern gemäß Zweckvereinbarung

Lt. VR Klein knebelt man sich mit immer mehr Erfüllungen. Er fragt, ob Kleinheubach inzwischen Mitglied der Odenwaldallianz ist?

Kleinheubach ist, wie auch Eichenbühl kein Mitglied, antwortet Vorsitzender Münig. Es wurde kommuniziert, dass nur interkommunale Zusammenarbeit gefragt ist und die Odenwaldallianz als Austauschplattform genutzt wird. Die VG hat nun Nutzen aus den Mitgliedschaften von Laudenbach und Rüdenau.

VR M. Fertig fragt, ob es um Betreuung und Wartung oder nur darum geht, dass Datensicherheit gewährleistet ist oder Software gemeinschaftlich synchronisiert werden soll?

Die einzelnen Kommunen bleiben selbständig, so Vorsitzender Mündig. Es gibt keinen EDV-Zusammenschluss. Die VG Kleinheubach hat keine EDV-Abteilung. Es geht um Sicherheit, die vorhanden sein soll und richtig angewendet wird.

Die Gemeinschaftsversammlung schließt eine Zweckvereinbarung mit anderen öffentlich-rechtlichen Körperschaften im Landkreis Miltenberg (derzeit sind geplant die Stadt Miltenberg und die Gemeinde Eichenbühl) zur Erstellung eines Informationssicherheitskonzeptes sowie der Bestellung eines gemeinsamen Informationssicherheitsbeauftragten.

In diesem Zuge stellen die o. g. Kommunen einen Antrag auf Förderung gemäß der „Richtlinie für Zuwendungen des Freistaates Bayern zur Förderung der interkommunalen Zusammenarbeit“.

Abstimmungsergebnis: