Case Study

Stadt Nördlingen

Unternehmen

Große Kreisstadt Nördlingen

Branche

Öffentliche Einrichtung

Hauptsitz

Nördlingen, Deutschland

Software-Lösung

„Alleine ist man stark, gemeinsam unschlagbar.“

Georg Kugler, IT-Leiter und Informationssicherheitsbeauftragter, Stadt Nördlingen

DAS UNTERNEHMEN

Nördlingen ist mit über 20.000 Einwohnern eine Große Kreisstadt im schwäbischen Landkreis Donau-Ries in Bayern. Die ehemals freie Reichsstadt an der „Romantischen Straße“ ist die größte Stadt des Landkreises. Nördlingens mittelalterlicher Stadtkern ist wohl einzigartig auf der Welt. Die rundum begehbare Stadtmauer, der Kirchturm „Daniel“, von dem nach wie vor jeden Abend der Türmer seinen Wächterruf „So, G´sell, so“ ruft, und das mittelalterliche Stadtbild, wertvolle Kunstwerke und interessante Museen hinterlassen bei Besuchern einen bleibenden Eindruck. Nördlingen liegt im Nördlinger Ries, dem Einschlagkrater eines Meteoriten, der vor 15 Millionen Jahren in die Alb eingeschlagen ist. Der Krater hat einen Durchmesser von 23 bis 25 Kilometern und sein Rand ist ringsum als Hügelkette sichtbar. Durch die wissenschaftliche Erforschung des Ries-Ereignisses wurde Nördlingen weltweit bekannt.

DIE AUSGANGSSITUATION

Das Gesetz über die elektronische Verwaltung in Bayern (Bayerisches E-Government-Gesetz – BayEGovG) vom 22. Dezember 2015 fordert von den Kommunen im Freistaat, die Sicherheit ihrer informationstechnischen Systeme durch angemessene technische und organisatorische Maßnahmen zu gewährleisten und die hierfür erforderlichen Informationssicherheitskonzepte zu erstellen.

Der erfahrene IT-Leiter und Informationssicherheitsbeauftragte der Stadt Nördlingen, Herr Georg Kugler, verfolgt schon seit Jahrzehnten die aktuellen Entwicklungen in den Bereichen IT- und Informationssicherheit. Er arbeitete bereits mit dem ersten, 1994 veröffentlichten, IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), um die Informationssicherheit in der Stadtverwaltung von Anfang an zu gewährleisten. Nach der Verabschiedung des Bayerischen E-Government-Gesetzes sah Herr Kugler darin keine lästige Pflicht, sondern die Chance die Informationssicherheit der Stadtverwaltung effektiv zu erhöhen und ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und zu betreiben.

Um ein bedarfsgerechtes Sicherheitsniveau für alle Fachverfahren, Informationen und IT-Systeme aufzubauen, ist mehr als die Anschaffung von Virenschutzprogrammen, Firewalls oder Datensicherungssystemen notwendig: Ein ganzheitliches Konzept bildet die Basis und den Ausgangspunkt zum Aufbau eines tragfähigen Sicherheitsmanagements. Informationssicherheitsmanagement, oder kurz IS-Management, ist der Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten soll. Dabei handelt es sich um einen kontinuierlichen Prozess, bei dem Strategien und Maßnahmen stetig überprüft und an veränderte Anforderungen angepasst werden.

Statt dem von Kommunalverwaltungen üblich herangezogenen ISIS12-Modell zur Einführung eines Managementsystems für Informationssicherheit, entschied sich Herr Kugler für den Aufbau eines ISMS nach BSI IT-Grundschutz mit dem Ziel der Basis-Absicherung, um eine höheres Sicherheitsniveau für die Stadt Nördlingen zu garantieren. Dabei erhielt er die volle Unterstützung des ehemaligen Oberbürgermeisters Nördlingens, Herrn Hermann Faul, sowie seit 2020 von dem regierenden Oberbürgermeister Herrn David Wittner. ISIS12 steht für ein ISMS in 12 Schritten mit einem radikal reduzierter Maßnahmenkatalog im Vergleich zum BSI-Grundschutz. Die IT-Grundschutz Basis-Absicherung verfolgt mit über 500 Anforderungen aus technischer, organisatorischer, infrastruktureller und personeller Sicht das Ziel, eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren einer Institution hinweg zu erlangen.

Die Stadt Nördlingen, die bereits die Software-Lösungen INDART Professional® (IT-Notfallplanung) und INPRIVE® (Datenschutz) der Firma CONTECHNET Deutschland GmbH erfolgreich im Einsatz hatte, entschied sich daraufhin gemäß dem geplanten ISMS-Aufbau für das ISMS-Modul INDITOR® BSI. Die Lösung bildet die Standards 200-1, 200-2 und 200-3 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab. Eine strukturierte Vorgehensweise bietet die bestmögliche Software-Unterstützung für die Einführung eines Informationssicherheitsmanagementsystems (ISMS). Die gemeinsame Datenbasis für Informationssicherheit, Notfallplanung und Datenschutz ermöglichte die einfache Nutzung von den bereits angelegten Daten wie Prozessen, Personal und Infrastruktur.

Neben der passenden Software war für die Stadt Nördlingen die Unterstützung durch einen spezialisierten und erfahrenen Partner wichtig. Die keepbit IT-SOLUTIONS GmbH wurde im Sommer 2019 beauftragt, die Stadt bei der Einführung eines ISMS nach der BSI-Basis-Absicherung zu unterstützen und Herrn Kugler auf dem Weg durch die IT-Grundschutz-Methodik zu begleiten und zu beraten.

DIE LÖSUNG

Mit regelmäßigen Workshops entwickelten die keepbit IT-SOLUTIONS und die Stadt Nördlingen gemeinsam eine erfolgreiche Arbeitsweise, in welcher aktuelle Aufgabenpakete abgestimmt und BSI-Anforderungen besprochen, analysiert und umgesetzt wurden. Dabei war die Softwareunterstützung INDITOR® BSI  von großem Vorteil. Die Lösung basiert auf der IT-Grundschutz-Methode und bot, wie alle Softwarelösungen der Firma CONTECHNET, eine strukturierte sowie zielführende Vorgehensweise.

So wurde der IT-Grundschutz-Prozess durchgeführt und notwendige Sicherheitsmaßnahmen, Konzepte und Dokumente erarbeitet und umgesetzt. Die IT-Grundschutz-Methodik nach der BSI-Basis-Absicherung sieht dabei folgende Schritte vor:

  • Definition des Informationsverbundes: Festlegung des Geltungsbereichs
    Zu Beginn muss der Geltungsbereich festgelegt werden, für den die Sicherheitskonzeption erstellt und umgesetzt werden soll.
  • Strukturanalyse: Identifikation von Schutzobjekten
    Im Rahmen der Strukturanalyse werden die für den betrachteten Informationsverbund, also Geltungsbereich oder Fachverfahren relevanten Schutzobjekte wie Informationen, Anwendungen, IT- oder IoT-Systeme, Netze, Räume und Gebäude, aber auch zuständige Mitarbeiter ermittelt. Bei der Strukturanalyse müssen zusätzlich die Beziehungen und Abhängigkeiten zwischen den einzelnen Schutzobjekten dargestellt werden.
  • Schutzbedarfsfeststellung: Analyse der Auswirkungen von Sicherheitsvorfällen auf die betrachteten Prozesse
    Für jeden bei der Strukturanalyse ermittelten Wert wird das Maß an Schutzbedürftigkeit bestimmt.
  • Modellierung: Au