Einführung und Motivation

Sandra Wiesbeck: Was hat Ihr Landratsamt dazu bewogen, CISIS12 einzuführen? Gab es konkrete Anlässe oder gesetzliche Vorgaben, die den Prozess angestoßen haben?

Andreas Rackl: Ein ISMS wird bereits seit Mitte 2018 betrieben, allerdings ohne Zertifizierung und Kontrolle durch externe. Durch höhere Vorgaben von dritten Stellen, z.B. KBA, wurde aber im Laufe der Zeit deutlich, dass es sehr sinnvoll ist einen höheren Standard zu erreichen und diesen auch entsprechend auf den Prüfstand zu stellen. Neue Förderprogramme waren hier natürlich auch ein zusätzlicher, finanzieller Anreiz um eine Zertifizierung nach CISIS12 anzustreben.

Sandra Wiesbeck: Welche spezifischen Herausforderungen gab es im Landratsamt in Bezug auf Informationssicherheit vor der Einführung von CISIS12?

Andreas Rackl: Ein großer Punkt war sicher die Prozessorientierung des Standards. Wo es vorher in erster Linie um technische Umsetzungen und Anwendungen in den Sachgebieten ging, musste eine Veränderung in der Herangehensweise erfolgen. Es wurde nun viel mehr auf die Prozesse geachtet und erst in zweiter Linie auf die Anwendungen und IT-Systeme, die diese unterstützen.

Sandra Wiesbeck: Welche Sicherheitslücken oder Risiken haben Sie vor der Einführung von CISIS12 identifiziert?

Andreas Rackl: Da gab es vor 2018 einige… So z.B. lückenhafte Dokumentationen in der EDV und auch teilweise „Brücken“ zwischen 2 Netzen (eigene und fremde Netze) um z.B. auf Drucker zugreifen zu können. Aber im Laufe der Jahre vor der CISIS12 Einführung wurde hier alles erkannt und behoben.

Implementierung von CISIS12

Sandra Wiesbeck: Gab es Widerstände oder Herausforderungen bei der Umsetzung, beispielsweise in der Zusammenarbeit mit verschiedenen Abteilungen oder der Verwaltung?

Andreas Rackl: Einige kritische Anmerkungen bezüglich der rechtlichen Vorgaben gab es durchaus. Auch die Sinnhaftigkeit von einzelnen Umsetzungen war immer mal wieder in der Diskussion. Aber im Großen und Ganzen muss man sagen, dass alle an einem Strang gezogen haben. Hier spielt ggf. die Zusammenstellung des IST eine Rolle und auch die frühzeitige und transparente Kommunikation der Umsetzungen.

Sandra Wiesbeck: Welche technischen und organisatorischen Maßnahmen wurden im Zuge der Einführung getroffen?

Andreas Rackl: Bei der Einführung von CISIS12 dann nicht mehr so viele. Wir hatten einen Großteil bereits auf Basis von VdS3473 erledigt und hier einen recht hohen technischen Umsetzungsgrad erreicht. Auch organisatorisch hat sich dann für die Beschäftigten nicht mehr viel geändert.

Sandra Wiesbeck: Was waren die größten Herausforderungen bei der Umsetzung?

Andreas Rackl: Die größten Herausforderungen sind die finanziellen Mittel und nach einigen Jahren Informationssicherheitsmanagementsystem, die bedingungslose Unterstützung durch alle Beschäftigten und besonders die Führungsebene weiter zu behalten. Denn: „Bisher ist ja nichts passiert …“, dieser Gedanke ist sicher menschlich, muss aber aus den Köpfen raus, da die Einschläge näherkommen.

Praktische Auswirkungen

Sandra Wiesbeck: Wie hat sich die Informationssicherheit in der Kommune durch CISIS12 konkret verbessert? Gibt es messbare Erfolge oder Beispiele aus der Praxis?

Andreas Rackl: Was sich wirklich verbessert hat, ist die Wahrnehmung meiner Rolle als ISB. Was vorher, als eingegliedert in die EDV-Administration im Tagesgeschäft manchmal unterging, wird nun als eigene Stabstelle geschaffen und somit auch den gestiegenen Anforderungen Rechnung getragen.

Sandra Wiesbeck: Welche Vorteile bietet CISIS12 gegenüber anderen Informationssicherheitsstandards wie ISO 27001 und BSI IT-Grundschutz?

Andreas Rackl: Der Standard ist recht praxisorientiert und mit einem gewissen Verständnis auch sehr leicht umzusetzen. Bei uns war dies durch die bereits erfolgten Umsetzungen in den Vorjahren ohne massive Anstrengungen möglich.

Sandra Wiesbeck: Wie wurden die Mitarbeitenden in den Prozess einbezogen? Gab es spezielle Schulungen oder Sensibilisierungsmaßnahmen?

Andreas Rackl: Alle Beschäftigten wurden und werden frühzeitig per Mail informiert. Dazu kommt, dass wir seit einigen Monaten auch den neuen Kolleginnen und Kollegen eine Willkommensmappe mit den wichtigsten Infos zum LRA und besonders den Themen Informationssicherheit und Datenschutz mit an die Hand geben. Abgerundet wird die Information und Sensibilisierung aller Beschäftigten mit einem E-Learning, welches wir nun schon seit ca. 5 Jahren im Einsatz haben. Des Weiteren führe ich jährlich auch Interviews/Gespräche mit allen Sachgebiets- und Abteilungsleitungen zum Thema Informationssicherheit und versuche so die Kommunikation am Leben zu erhalten.

Sandra Wiesbeck: Wie lange hat die Umsetzung gedauert? Wie hoch war der interne Aufwand für die Einführung?

Andreas Rackl: Die Einführung des CISIS12 Standards bis zur erfolgreichen Zertifizierung hat weniger als 12 Monate gedauert. Hier waren auch der Einsatz von M24s und die Unterstützung des Dienstleisters eine große Hilfe.

Sandra Wiesbeck: Was waren die größten Herausforderungen bei der Umsetzung?

Andreas Rackl: Im Jahr 2023, bei der Einführung, waren es sicher die zeitlichen Ressourcen, diese waren durch die Stellenaufteilung mit EDV-Administration und ISB in Personalunion dann doch sehr begrenzt.

Sandra Wiesbeck: Welche konkreten Verbesserungen hat Ihnen die Umsetzung von CISIS12 gebracht?

Andreas Rackl: Wie schon beschrieben, gab es bereits sehr viele gute Umsetzungen. Aber was natürlich hilft, ist diese ständige, messbare Kontrolle auch durch externe und interne Audits. Welche nächsten Schritte stehen bei Ihnen an? Bei was wollen sie sich verbessern? Wir haben uns vorgenommen in den kommenden Jahren den Reifegrad weiter zu erhöhen und ggf. auf ISO27001 umzustellen.

Sandra Wiesbeck: Welche nächsten Schritte stehen bei Ihnen an? Bei was wollen sie sich verbessern?
Andreas Rackl: Wir haben uns vorgenommen in den kommenden Jahren den Reifegrad weiter zu erhöhen und ggf. auf ISO27001 umzustellen.

Höhere Sicherheitsanforderungen

Sandra Wiesbeck: Warum war es notwendig, über den Basiskatalog von CISIS12 hinaus zusätzliche Bausteine zu integrieren? Gab es besondere Anforderungen oder Vorgaben für Ihre Kommune?

Andreas Rackl: Diese kamen unter anderem durch die Anbindung an das Schengener Informationsabkommen. Besonders im Bereich der Personen und Ausländerwesens, sowie des Waffenrechts waren Vorgaben durch das BKA an uns herangetragen worden. Diese konnten wir allerdings relativ leicht durch den mitgelieferten Fragebogen beantworten und eine positive Rückmeldung erhalten. Durch die Umsetzungen in CISIS12 waren ca. 90% der Anforderungen bereits abgedeckt.

Sandra Wiesbeck: Hilft Ihnen CISIS12 bei der Umsetzung und was erwarten Sie sich von dem Standard für die Umsetzung?
Andreas Rackl: Dies hilft uns sehr, da der Standard bereits viele der geforderten Umsetzungen inkludiert und auch sehr nah den größeren, internationalen Standards der Informationssicherheit angelehnt ist.

Sandra Wiesbeck: Welche zusätzlichen Sicherheitsbausteine wurden aufgenommen, und welche spezifischen Risiken adressieren sie?

Andreas Rackl: Wir mussten dafür noch 5 weitere Bausteine aus dem BSI IT Grundschutz modellieren. Es handelte sich um die Bausteine OPS1.1.5 (Protokollierung), OPS1.1.6 (Software Tests und Freigaben), SYS4.5 (Wechseldatenträger), APP3.6 (DNS-Server) und APP6 (Allgemeine Software)

Sandra Wiesbeck: Gab es Herausforderungen bei der Implementierung dieser zusätzlichen Maßnahmen, z. B. in Bezug auf Ressourcen oder Akzeptanz?

Andreas Rackl: Dies wurden in den betreffenden Sachgebieten sehr positiv aufgenommen. Vermutlich da hier bereits eine sehr große Akzeptanz vorherrscht und die praktischen Vorteile des Informationsverbundes bekannt sind.

Sandra Wiesbeck: Wie stellen Sie sicher, dass diese erweiterten Sicherheitsmaßnahmen nachhaltig umgesetzt und weiterentwickelt werden?
Andreas Rackl: Wir lassen dies ja jährlich durch interne und extern Audits prüfen. Zusätzlich finden Arbeitsplatzbegehungen des ISB gemeinsam mit dem DSB statt.

Vielen Dank für das Interview!