Case Study

Stadt Nördlingen

Unternehmen

Große Kreisstadt Nördlingen

Branche

Öffentliche Einrichtung

Hauptsitz

Nördlingen, Deutschland

Software-Lösung

„Alleine ist man stark, gemeinsam unschlagbar.“

Georg Kugler, IT-Leiter und Informationssicherheitsbeauftragter, Stadt Nördlingen

DAS UNTERNEHMEN

Nördlingen ist mit über 20.000 Einwohnern eine Große Kreisstadt im schwäbischen Landkreis Donau-Ries in Bayern. Die ehemals freie Reichsstadt an der „Romantischen Straße“ ist die größte Stadt des Landkreises. Nördlingens mittelalterlicher Stadtkern ist wohl einzigartig auf der Welt. Die rundum begehbare Stadtmauer, der Kirchturm „Daniel“, von dem nach wie vor jeden Abend der Türmer seinen Wächterruf „So, G´sell, so“ ruft, und das mittelalterliche Stadtbild, wertvolle Kunstwerke und interessante Museen hinterlassen bei Besuchern einen bleibenden Eindruck. Nördlingen liegt im Nördlinger Ries, dem Einschlagkrater eines Meteoriten, der vor 15 Millionen Jahren in die Alb eingeschlagen ist. Der Krater hat einen Durchmesser von 23 bis 25 Kilometern und sein Rand ist ringsum als Hügelkette sichtbar. Durch die wissenschaftliche Erforschung des Ries-Ereignisses wurde Nördlingen weltweit bekannt.

DIE AUSGANGSSITUATION

Das Gesetz über die elektronische Verwaltung in Bayern (Bayerisches E-Government-Gesetz – BayEGovG) vom 22. Dezember 2015 fordert von den Kommunen im Freistaat, die Sicherheit ihrer informationstechnischen Systeme durch angemessene technische und organisatorische Maßnahmen zu gewährleisten und die hierfür erforderlichen Informationssicherheitskonzepte zu erstellen.

Der erfahrene IT-Leiter und Informationssicherheitsbeauftragte der Stadt Nördlingen, Herr Georg Kugler, verfolgt schon seit Jahrzehnten die aktuellen Entwicklungen in den Bereichen IT- und Informationssicherheit. Er arbeitete bereits mit dem ersten, 1994 veröffentlichten, IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), um die Informationssicherheit in der Stadtverwaltung von Anfang an zu gewährleisten. Nach der Verabschiedung des Bayerischen E-Government-Gesetzes sah Herr Kugler darin keine lästige Pflicht, sondern die Chance die Informationssicherheit der Stadtverwaltung effektiv zu erhöhen und ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und zu betreiben.

Um ein bedarfsgerechtes Sicherheitsniveau für alle Fachverfahren, Informationen und IT-Systeme aufzubauen, ist mehr als die Anschaffung von Virenschutzprogrammen, Firewalls oder Datensicherungssystemen notwendig: Ein ganzheitliches Konzept bildet die Basis und den Ausgangspunkt zum Aufbau eines tragfähigen Sicherheitsmanagements. Informationssicherheitsmanagement, oder kurz IS-Management, ist der Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten soll. Dabei handelt es sich um einen kontinuierlichen Prozess, bei dem Strategien und Maßnahmen stetig überprüft und an veränderte Anforderungen angepasst werden.

Statt dem von Kommunalverwaltungen üblich herangezogenen ISIS12-Modell zur Einführung eines Managementsystems für Informationssicherheit, entschied sich Herr Kugler für den Aufbau eines ISMS nach BSI IT-Grundschutz mit dem Ziel der Basis-Absicherung, um eine höheres Sicherheitsniveau für die Stadt Nördlingen zu garantieren. Dabei erhielt er die volle Unterstützung des ehemaligen Oberbürgermeisters Nördlingens, Herrn Hermann Faul, sowie seit 2020 von dem regierenden Oberbürgermeister Herrn David Wittner. ISIS12 steht für ein ISMS in 12 Schritten mit einem radikal reduzierter Maßnahmenkatalog im Vergleich zum BSI-Grundschutz. Die IT-Grundschutz Basis-Absicherung verfolgt mit über 500 Anforderungen aus technischer, organisatorischer, infrastruktureller und personeller Sicht das Ziel, eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren einer Institution hinweg zu erlangen.

Die Stadt Nördlingen, die bereits die Software-Lösungen INDART Professional® (IT-Notfallplanung) und INPRIVE® (Datenschutz) der Firma CONTECHNET Deutschland GmbH erfolgreich im Einsatz hatte, entschied sich daraufhin gemäß dem geplanten ISMS-Aufbau für das ISMS-Modul INDITOR® BSI. Die Lösung bildet die Standards 200-1, 200-2 und 200-3 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab. Eine strukturierte Vorgehensweise bietet die bestmögliche Software-Unterstützung für die Einführung eines Informationssicherheitsmanagementsystems (ISMS). Die gemeinsame Datenbasis für Informationssicherheit, Notfallplanung und Datenschutz ermöglichte die einfache Nutzung von den bereits angelegten Daten wie Prozessen, Personal und Infrastruktur.

Neben der passenden Software war für die Stadt Nördlingen die Unterstützung durch einen spezialisierten und erfahrenen Partner wichtig. Die keepbit IT-SOLUTIONS GmbH wurde im Sommer 2019 beauftragt, die Stadt bei der Einführung eines ISMS nach der BSI-Basis-Absicherung zu unterstützen und Herrn Kugler auf dem Weg durch die IT-Grundschutz-Methodik zu begleiten und zu beraten.

DIE LÖSUNG

Mit regelmäßigen Workshops entwickelten die keepbit IT-SOLUTIONS und die Stadt Nördlingen gemeinsam eine erfolgreiche Arbeitsweise, in welcher aktuelle Aufgabenpakete abgestimmt und BSI-Anforderungen besprochen, analysiert und umgesetzt wurden. Dabei war die Softwareunterstützung INDITOR® BSI  von großem Vorteil. Die Lösung basiert auf der IT-Grundschutz-Methode und bot, wie alle Softwarelösungen der Firma CONTECHNET, eine strukturierte sowie zielführende Vorgehensweise.

So wurde der IT-Grundschutz-Prozess durchgeführt und notwendige Sicherheitsmaßnahmen, Konzepte und Dokumente erarbeitet und umgesetzt. Die IT-Grundschutz-Methodik nach der BSI-Basis-Absicherung sieht dabei folgende Schritte vor:

  • Definition des Informationsverbundes: Festlegung des Geltungsbereichs
    Zu Beginn muss der Geltungsbereich festgelegt werden, für den die Sicherheitskonzeption erstellt und umgesetzt werden soll.
  • Strukturanalyse: Identifikation von Schutzobjekten
    Im Rahmen der Strukturanalyse werden die für den betrachteten Informationsverbund, also Geltungsbereich oder Fachverfahren relevanten Schutzobjekte wie Informationen, Anwendungen, IT- oder IoT-Systeme, Netze, Räume und Gebäude, aber auch zuständige Mitarbeiter ermittelt. Bei der Strukturanalyse müssen zusätzlich die Beziehungen und Abhängigkeiten zwischen den einzelnen Schutzobjekten dargestellt werden.
  • Schutzbedarfsfeststellung: Analyse der Auswirkungen von Sicherheitsvorfällen auf die betrachteten Prozesse
    Für jeden bei der Strukturanalyse ermittelten Wert wird das Maß an Schutzbedürftigkeit bestimmt.
  • Modellierung: Auswahl der Sicherheitsanforderungen
    In den Bausteinen des IT-Grundschutz-Kompendiums werden für typische Aufgaben des Informationssicherheitsmanagements und Bereiche des IT-Einsatzes spezifische Gefährdungen sowie Basis-, Standard- und Anforderungen für einen erhöhten Schutzbedarf beschrieben. Dabei werden jeweils organisatorische, personelle, infrastrukturelle und technische Aspekte der Informationssicherheit betrachtet.
  • IT-Grundschutz-Check: Durchführung eines Soll-Ist-Vergleichs
    Der IT-Grundschutz-Check ist ein Organisationsinstrument, das einen schnellen Überblick über das vorhandene Sicherheitsniveau bietet. Mithilfe von Interviews wird der Status quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsgrad der Sicherheitsanforderungen des IT-Grundschutz-Kompendiums ermittelt. Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
  • Umsetzung der Maßnahmen:
    Die identifizierten Sicherheitsmaßnahmen müssen geplant, durchgeführt, begleitet und überwacht werden. Hierfür sollte festgelegt werden, in welcher Reihenfolge die Maßnahmen umgesetzt werden und auch wer bis wann welche Maßnahmen realisieren muss. Alle Mitarbeiter, die Sicherheitsmaßnahmen ein- und umsetzen müssen, sollten geschult werden, um zu erfahren, was deren Zweck ist und was bei der Nutzung zu beachten ist.

Nach der Implementation des ISMS und der erfolgreichen schrittweisen Umsetzung der IT-Grundschutz-Methodik wurde ein Informationssicherheitsaudit bzw. eine Überprüfung durch einen BSI zertifizierten Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz durchgeführt, um das Sicherheitsniveau durch eine unparteiische und objektive Partei festzustellen.

Das Auditergebnis bestätigt den hohen geleisteten Aufwand und die erfolgreiche Zusammenarbeit zwischen der Stadt Nördlingen und der keepbit IT SOLUTIONS: Die Stadt Nördlingen hat die gesetzliche Vorgabe nach Artikel 8 BayEGovG erfolgreich umgesetzt. Die Sicherheit der informationstechnischen Systeme sind durch angemessene technische und organisatorische Maßnahmen umgesetzt und in einem Sicherheitskonzept dokumentiert.
Zusätzlich hat die Stadt Nördlingen das Informationssicherheitsniveau mit dem Aufbau eines ISMS nach BSI IT-Grundschutz mit dem Ziel der Basis-Absicherung signifikant erhöht. Zur Unterstützung der Dokumentation und den Betrieb des ISMS wird die Software INDART Professional® und INDITOR® BSI erfolgreich eingesetzt. Der Stadt Nördlingen wurde mit dem Audit das Informationssicherheitsniveau für den Aufbau und Betrieb eines ISMS auf Basis IT-Grundschutz nach Basis-Absicherung bestätigt.

Mit der Umsetzung der Basis-Absicherung ist ein wichtiger erster Schritt geschafft worden, das Niveau der Informationssicherheit in der Stadtverwaltung maßgeblich zu steigern. Damit wurde auch das Managementsystem für Informationssicherheit auf eine gute Basis gebracht. In Zukunft werden die ausgewählten Sicherheitsmaßnahmen weiter umgesetzt und die ISMS Dokumente fortlaufend aktualisiert, um den nun begonnenen Informationssicherheitsprozess aufrecht zu erhalten und kontinuierlich verbessern zu können. Dazu wird auch der IS-Prozess regelmäßig auf seine Wirksamkeit und Effizienz hin überprüft. Die keepbit IT-SOLUTIONS und die Stadt Nördlingen werden diesen Weg gemeinsam fortführen und das ISMS gemäß dem PDCA-Zyklus (plan – do – check – act) “leben” lassen. Als weiterer Schritt ist eine BSI-Standard- oder ISO 27001-Zertifizierung vorstellbar.

Jede Institution liefert mit der Erhöhung ihres Informationssicherheitsniveaus einen wichtigen Baustein zur Verbesserung der Cyber-Sicherheit in Deutschland. Je mehr Verantwortliche in Unternehmen und Behörden sich mit den elementar wichtigen Fragen zur Informationssicherheit sowie Maßnahmen zu Schutz und Abwehr befassen, desto mehr profitiert der Standort Deutschland und seine Bürgerinnen und Bürger insgesamt davon. Die Stadt Nördlingen geht mit gutem Beispiel voran und zeigt eindrucksvoll wie mit dem Thema Informationssicherheit in einer Stadtverwaltung proaktiv umgegangen werden kann.