Case Study: Stadt Nördlingen

Unternehmen

Große Kreisstadt Nördlingen

Branche

Öffentliche Einrichtung

Hauptsitz

Nördlingen, Deutschland

Software-Lösung

CONTECHNET INDITOR® BSI

„Alleine ist man stark, gemeinsam unschlagbar.“

Georg Kugler, IT-Leiter und Informationssicherheitsbeauftragter, Stadt Nördlingen

DAS UNTERNEHMEN

Nördlingen ist mit über 20.000 Einwohnern eine Große Kreisstadt im schwäbischen Landkreis Donau-Ries in Bayern. Die ehemals freie Reichsstadt an der „Romantischen Straße“ ist die größte Stadt des Landkreises. Nördlingens mittelalterlicher Stadtkern ist wohl einzigartig auf der Welt. Die rundum begehbare Stadtmauer, der Kirchturm „Daniel“, von dem nach wie vor jeden Abend der Türmer seinen Wächterruf „So, G´sell, so“ ruft, und das mittelalterliche Stadtbild, wertvolle Kunstwerke und interessante Museen hinterlassen bei Besuchern einen bleibenden Eindruck. Nördlingen liegt im Nördlinger Ries, dem Einschlagkrater eines Meteoriten, der vor 15 Millionen Jahren in die Alb eingeschlagen ist. Der Krater hat einen Durchmesser von 23 bis 25 Kilometern und sein Rand ist ringsum als Hügelkette sichtbar. Durch die wissenschaftliche Erforschung des Ries-Ereignisses wurde Nördlingen weltweit bekannt.

DIE AUSGANGSSITUATION

Das Gesetz über die elektronische Verwaltung in Bayern (Bayerisches E-Government-Gesetz – BayEGovG) vom 22. Dezember 2015 fordert von den Kommunen im Freistaat, die Sicherheit ihrer informationstechnischen Systeme durch angemessene technische und organisatorische Maßnahmen zu gewährleisten und die hierfür erforderlichen Informationssicherheitskonzepte zu erstellen.

Der erfahrene IT-Leiter und Informationssicherheitsbeauftragte der Stadt Nördlingen, Herr Georg Kugler, verfolgt schon seit Jahrzehnten die aktuellen Entwicklungen in den Bereichen IT- und Informationssicherheit. Er arbeitete bereits mit dem ersten, 1994 veröffentlichten, IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), um die Informationssicherheit in der Stadtverwaltung von Anfang an zu gewährleisten. Nach der Verabschiedung des Bayerischen E-Government-Gesetzes sah Herr Kugler darin keine lästige Pflicht, sondern die Chance die Informationssicherheit der Stadtverwaltung effektiv zu erhöhen und ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und zu betreiben.

Um ein bedarfsgerechtes Sicherheitsniveau für alle Fachverfahren, Informationen und IT-Systeme aufzubauen, ist mehr als die Anschaffung von Virenschutzprogrammen, Firewalls oder Datensicherungssystemen notwendig: Ein ganzheitliches Konzept bildet die Basis und den Ausgangspunkt zum Aufbau eines tragfähigen Sicherheitsmanagements. Informationssicherheitsmanagement, oder kurz IS-Management, ist der Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten soll. Dabei handelt es sich um einen kontinuierlichen Prozess, bei dem Strategien und Maßnahmen stetig überprüft und an veränderte Anforderungen angepasst werden.

Statt dem von Kommunalverwaltungen üblich herangezogenen ISIS12-Modell zur Einführung eines Managementsystems für Informationssicherheit, entschied sich Herr Kugler für den Aufbau eines ISMS nach BSI IT-Grundschutz mit dem Ziel der Basis-Absicherung, um eine höheres Sicherheitsniveau für die Stadt Nördlingen zu garantieren. Dabei erhielt er die volle Unterstützung des ehemaligen Oberbürgermeisters Nördlingens, Herrn Hermann Faul, sowie seit 2020 von dem regierenden Oberbürgermeister Herrn David Wittner. ISIS12 steht für ein ISMS in 12 Schritten mit einem radikal reduzierter Maßnahmenkatalog im Vergleich zum BSI-Grundschutz. Die IT-Grundschutz Basis-Absicherung verfolgt mit über 500 Anforderungen aus technischer, organisatorischer, infrastruktureller und personeller Sicht das Ziel, eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren einer Institution hinweg zu erlangen.

Die Stadt Nördlingen, die bereits die Software-Lösungen INDART Professional® (IT-Notfallplanung) und INPRIVE® (Datenschutz) der Firma CONTECHNET Deutschland GmbH erfolgreich im Einsatz hatte, entschied sich daraufhin gemäß dem geplanten ISMS-Aufbau für das ISMS-Modul INDITOR® BSI. Die Lösung bildet die Standards 200-1, 200-2 und 200-3 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab. Eine strukturierte Vorgehensweise bietet die bestmögliche Software-Unterstützung für die Einführung eines Informationssicherheitsmanagementsystems (ISMS). Die gemeinsame Datenbasis für Informationssicherheit, Notfallplanung und Datenschutz ermöglichte die einfache Nutzung von den bereits angelegten Daten wie Prozessen, Personal und Infrastruktur.

Neben der passenden Software war für die Stadt Nördlingen die Unterstützung durch einen spezialisierten und erfahrenen Partner wichtig. Die keepbit IT-SOLUTIONS GmbH wurde im Sommer 2019 beauftragt, die Stadt bei der Einführung eines ISMS nach der BSI-Basis-Absicherung zu unterstützen und Herrn Kugler auf dem Weg durch die IT-Grundschutz-Methodik zu begleiten und zu beraten.

DIE LÖSUNG

Mit regelmäßigen Workshops entwickelten die keepbit IT-SOLUTIONS und die Stadt Nördlingen gemeinsam eine erfolgreiche Arbeitsweise, in welcher aktuelle Aufgabenpakete abgestimmt und BSI-Anforderungen besprochen, analysiert und umgesetzt wurden. Dabei war die Softwareunterstützung INDITOR® BSI von großem Vorteil. Die Lösung basiert auf der IT-Grundschutz-Methode und bot, wie alle Softwarelösungen der Firma CONTECHNET, eine strukturierte sowie zielführende Vorgehensweise.

So wurde der IT-Grundschutz-Prozess durchgeführt und notwendige Sicherheitsmaßnahmen, Konzepte und Dokumente erarbeitet und umgesetzt. Die IT-Grundschutz-Methodik nach der BSI-Basis-Absicherung sieht dabei folgende Schritte vor:

Definition des Informationsverbundes: Festlegung des Geltungsbereichs
Zu Beginn muss der Geltungsbereich festgelegt werden, für den die Sicherheitskonzeption erstellt und umgesetzt werden soll.
Strukturanalyse: Identifikation von Schutzobjekten
Im Rahmen der Strukturanalyse werden die für den betrachteten Informationsverbund, also Geltungsbereich oder Fachverfahren relevanten Schutzobjekte wie Informationen, Anwendungen, IT- oder IoT-Systeme, Netze, Räume und Gebäude, aber auch zuständige Mitarbeiter ermittelt. Bei der Strukturanalyse müssen zusätzlich die Beziehungen und Abhängigkeiten zwischen den einzelnen Schutzobjekten dargestellt werden.
Schutzbedarfsfeststellung: Analyse der Auswirkungen von Sicherheitsvorfällen auf die betrachteten Prozesse
Für jeden bei der Strukturanalyse ermittelten Wert wird das Maß an Schutzbedürftigkeit bestimmt.
Modellierung: Auswahl der Sicherheitsanforderungen
In den Bausteinen des IT-Grundschutz-Kompendiums werden für typische Aufgaben des Informationssicherheitsmanagements und Bereiche des IT-Einsatzes spezifische Gefährdungen sowie Basis-, Standard- und Anforderungen für einen erhöhten Schutzbedarf beschrieben. Dabei werden jeweils organisatorische, personelle, infrastrukturelle und technische Aspekte der Informationssicherheit betrachtet.
IT-Grundschutz-Check: Durchführung eines Soll-Ist-Vergleichs
Der IT-Grundschutz-Check ist ein Organisationsinstrument, das einen schnellen Überblick über das vorhandene Sicherheitsniveau bietet. Mithilfe von Interviews wird der Status quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsgrad der Sicherheitsanforderungen des IT-Grundschutz-Kompendiums ermittelt. Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
Umsetzung der Maßnahmen:
Die identifizierten Sicherheitsmaßnahmen müssen geplant, durchgeführt, begleitet und überwacht werden. Hierfür sollte festgelegt werden, in welcher Reihenfolge die Maßnahmen umgesetzt werden und auch wer bis wann welche Maßnahmen realisieren muss. Alle Mitarbeiter, die Sicherheitsmaßnahmen ein- und umsetzen müssen, sollten geschult werden, um zu erfahren, was deren Zweck ist und was bei der Nutzung zu beachten ist.

Nach der Implementation des ISMS und der erfolgreichen schrittweisen Umsetzung der IT-Grundschutz-Methodik wurde ein Informationssicherheitsaudit bzw. eine Überprüfung durch einen BSI zertifizierten Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz durchgeführt, um das Sicherheitsniveau durch eine unparteiische und objektive Partei festzustellen.

Das Auditergebnis bestätigt den hohen geleisteten Aufwand und die erfolgreiche Zusammenarbeit zwischen der Stadt Nördlingen und der keepbit IT SOLUTIONS: Die Stadt Nördlingen hat die gesetzliche Vorgabe nach Artikel 8 BayEGovG erfolgreich umgesetzt. Die Sicherheit der informationstechnischen Systeme sind durch angemessene technische und organisatorische Maßnahmen umgesetzt und in einem Sicherheitskonzept dokumentiert.
Zusätzlich hat die Stadt Nördlingen das Informationssicherheitsniveau mit dem Aufbau eines ISMS nach BSI IT-Grundschutz mit dem Ziel der Basis-Absicherung signifikant erhöht. Zur Unterstützung der Dokumentation und den Betrieb des ISMS wird die Software INDART Professional® und INDITOR® BSI erfolgreich eingesetzt. Der Stadt Nördlingen wurde mit dem Audit das Informationssicherheitsniveau für den Aufbau und Betrieb eines ISMS auf Basis IT-Grundschutz nach Basis-Absicherung bestätigt.

Mit der Umsetzung der Basis-Absicherung ist ein wichtiger erster Schritt geschafft worden, das Niveau der Informationssicherheit in der Stadtverwaltung maßgeblich zu steigern. Damit wurde auch das Managementsystem für Informationssicherheit auf eine gute Basis gebracht. In Zukunft werden die ausgewählten Sicherheitsmaßnahmen weiter umgesetzt und die ISMS Dokumente fortlaufend aktualisiert, um den nun begonnenen Informationssicherheitsprozess aufrecht zu erhalten und kontinuierlich verbessern zu können. Dazu wird auch der IS-Prozess regelmäßig auf seine Wirksamkeit und Effizienz hin überprüft. Die keepbit IT-SOLUTIONS und die Stadt Nördlingen werden diesen Weg gemeinsam fortführen und das ISMS gemäß dem PDCA-Zyklus (plan – do – check – act) “leben” lassen. Als weiterer Schritt ist eine BSI-Standard- oder ISO 27001-Zertifizierung vorstellbar.

Jede Institution liefert mit der Erhöhung ihres Informationssicherheitsniveaus einen wichtigen Baustein zur Verbesserung der Cyber-Sicherheit in Deutschland. Je mehr Verantwortliche in Unternehmen und Behörden sich mit den elementar wichtigen Fragen zur Informationssicherheit sowie Maßnahmen zu Schutz und Abwehr befassen, desto mehr profitiert der Standort Deutschland und seine Bürgerinnen und Bürger insgesamt davon. Die Stadt Nördlingen geht mit gutem Beispiel voran und zeigt eindrucksvoll wie mit dem Thema Informationssicherheit in einer Stadtverwaltung proaktiv umgegangen werden kann.