Cyber-Sicherheit Fröndenberg setzt auf modulare Software-Suite

Anbieter zum Thema

procilon GmbH

mgm technology partners GmbH

Öffentliche Verwaltungen sind mittlerweile ein beliebtes Ziel von Cyberkriminellen. Die Stadtverwaltung Fröndenberg hat sich bereits vor einigen Jahren mit diesem Thema auseinandergesetzt. Mit drei Software-Lösungen konnte sie alle Herausforderungen gleichzeitig bewältigen.

Mit rund 21.000 Einwohnern in 14 Gemeinden gilt Fröndenberg/Ruhr als kleine Mittelstadt. Mehr als 21.000 personenbezogene Daten müssen jederzeit sicher verarbeitet werden. Daher entschieden sich die Verantwortlichen der Stadtverwaltung bereits vor einigen Jahren dazu, diverse technische und organisatorische Maßnahmen zum Schutz ihrer IT-Infrastrukturen zu ergreifen.

„Ab dem Jahr 2012 haben wir uns gezielt mit den Themen Informationssicherheit und Datenschutz auseinandergesetzt. Damals waren wir gewissermaßen Vorreiter, denn zu diesem Zeitpunkt waren diese Themen noch lange nicht so präsent wie heute“, sagt Gernot Geitz, Informationssicherheitsbeauftragter (ISB) der Stadt Fröndenberg/Ruhr. „Wir haben uns entschieden, ein Sicherheitskonzept auf Basis des IT-Grundschutzes bzw. des BSI-Standards 100-2 und der DIN EN ISO 27001 zu erstellen und in diesem Rahmen ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen.“

Vom GSTOOL zur Software-Suite

Um die Umsetzung eines umfassenden Sicherheitskonzepts auch im Arbeitsalltag bewerkstelligen zu können, setzten die Verantwortlichen in Fröndenberg schon zu Beginn auf eine Tool-Unterstützung. Hier kam das GSTOOL des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Einsatz. Dabei handelte es sich um eine Datenbankanwendung, mit deren Hilfe der Anwender die BSI-Standards erfüllen konnte. Das GSTOOL ermöglichte unter anderem die Erfassung von Zielobjekten wie IT-Systemen, Anwendungen und Netzwerken für Strukturanalysen. Darüber hinaus gab es eine Revisionsunterstützung, Schutzbedarfsfeststellung sowie Berichterstattung und eine Modellierung nach IT-Grundschutz.

Da der Support des GSTOOL Ende 2016 eingestellt werden sollte, entschied sich die Stadtverwaltung Fröndenberg bereits 2015 in der Zusammenarbeit mit sieben weiteren Kommunen, auf eine andere Tool-Unterstützung umzusteigen. Natürlich sollte die neue Lösung die Funktionsvielfalt des Vorgängers bieten. Auch ein modularer Aufbau war für die Verantwortlichen von großer Bedeutung. In einem Schulungsseminar des BSI wurde Gernot Geitz auf die Suite des deutschen Softwareherstellers Contechnet aufmerksam. Nach einer sorgfältigen Prüfung der Lösungen und dem Vergleich mit anderen Mitbewerbern fiel die Entscheidung auf die ISMS-Software INDITOR.

Sowohl im GSTOOL als auch bei vergleichbaren Anbietern war der Aufbau eines Notfallmanagementsystems nicht möglich. Deshalb wurde die Lösung gleich im Doppelpack mit der Notfallplanungssoftware INDART Professional erworben. Mithilfe einer prozessorientierten Notfallplanung soll so sichergestellt werden, dass auch im Ernstfall der Betrieb weiter aufrechterhalten sowie das System schnell wiederhergestellt werden kann.

„Da die Lösungen gleich aufgebaut sind, war es für unsere Mitarbeiter natürlich ein Vorteil, dass sie sich nur an den Umgang mit einer neuen Software gewöhnen mussten. Der größte Mehrwert der Suite war seit Beginn für uns allerdings, dass die Softwares auf denselben Datenbestand zugreifen“, erklärt Gernot Geitz. Auf diese Weise können bereits angelegte Daten, beispielsweise zum Personal oder zur IT-Infrastruktur, in beiden Lösungen gemeinsam genutzt werden. Dadurch reduziert sich der Aufwand der Datenpflege, und Änderungen werden in beiden Softwaremodulen sofort sichtbar.

ISMS-Lösung baut auf vorhandenen Datenbestand

Die IT-Mitarbeiter der Stadtverwaltung Fröndenberg installierten die Softwares mithilfe des Resellers CertMobile. Ein Großteil der Assets wie Prozesse, Personal und Infrastruktur wurde bereits im GSTOOL erfasst. Um die gesammelten Datenmengen nicht nochmal einpflegen zu müssen, entwickelte der Hersteller ein Importmodul, mit dem die Daten nahezu vollständig in INDITOR importiert werden konnten. Auf diese Weise war nur eine geringe Nacharbeitung notwendig.

Bei der anschließenden Modellierung wurden die einzelnen Bausteine der BSI-Kataloge den verwendeten Assets zugeordnet. Um das vorhandene Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen, mussten im Basissicherheitscheck die bereits umgesetzten Sicherheitsmaßnahmen mit den Empfehlungen der IT-Grundschutzkataloge abgeglichen werden.

Aufgrund der gemeinsamen Datenbasis konnten die so eingepflegten Informationen anschließend auch für den Aufbau der Notfallplanung in INDART Professional genutzt werden. Dort wurden IT-Systeme, Prozesse und Daten Schritt für Schritt eingepflegt und miteinander verknüpft sowie Verantwortlichkeiten für den Notfall definiert.

Informationssicherheit und Datenschutz auf dem aktuellen Stand

Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 standen die Verantwortlichen der Stadtverwaltung Fröndenberg zusätzlich vor der Herausforderung, die nun gesetzlich geforderten Datenschutzmaßnahmen zu ergreifen. Die Verarbeitung personenbezogener Daten muss durch die DSGVO nicht nur technisch, sondern auch organisatorisch jederzeit abgesichert und eine lückenlose Dokumentation gewährleistet sein.

Dazu zählt neben der Anstellung eines Datenschutzbeauftragten beispielsweise eine Folgeabschätzung, durch die sich vorab das Risiko für die Rechte der Betroffenen durch die Datenverarbeitung definieren lässt. Zudem müssen Organisationen jederzeit Auskunft darüber geben können, welche personenbezogenen Daten aus welchem Grund erhoben, wie sie verarbeitet und wofür sie verwendet werden. Eine solche Anfrage müsste somit auch die Stadtverwaltung Fröndenberg innerhalb eines Monats beantworten. Damit sie dies gewährleisten kann, ist eine regelmäßige Prozessdokumentation erforderlich.

Um Unternehmen und Organisationen bei dieser Dokumentation zu unterstützen, reagierte auch der Hersteller der bereits genutzten Software mit einer entsprechenden Lösung auf die Einführung der DSGVO. Seit 2019 hat die Stadtverwaltung daher zusätzlich zu den beiden anderen Softwares auch das Datenschutzmodul INPRIVE im Einsatz.

Bei der Integration stand dem Team der Stadtverwaltung aufgrund der guten Erfahrung bei der vorherigen Projektumsetzung auch diesmal CertMobile zur Seite. Als Grundlage für den Aufbau des Verarbeitungsverzeichnisses diente eine Vorlage des Integrationspartners. Darüber hinaus wurden Datenstämme aus anderen Datenbanken in die Datenbank der Stadt Fröndenberg importiert. Auch bei der Integration dieser Lösung ließen sich durch die gemeinsame Datenbasis bereits erhobene Daten wie das Personal oder verschiedene Prozesse einfach importieren.

Nachdem alle Verarbeitungstätigkeiten von personenbezogenen Daten erfasst und technischen und organisatorischen Maßnahmen (TOM) zugeordnet wurden, ging es im nächsten Schritt um die Risikoanalyse und -bewertung. An diesem Punkt wurde für jede Verarbeitung der Stadtverwaltung der Risikowert anhand der Eintrittswahrscheinlichkeit und der Schwere des Risikos ermittelt, um abschließend Maßnahmen zur Risikobehandlung zu erstellen sowie Verantwortliche zuzuordnen.

„Mit INPRIVE verfügen wir über ein zentral gesteuertes Risikomanagement, das uns durch den Prozess der Analyse, Bewertung und Behandlung leitet. Auf diese Weise konnten wir seit Nutzungsbeginn erforderliche Maßnahmen des Risikomanagements deutlich reduzieren“, sagt Gernot Geitz. „Auch Auskunftsersuche sind durch die Software kein Problem mehr, da wir umfassende Berichte wie zum Beispiel das Verzeichnis von Verarbeitungstätigkeiten mit einem Mausklick erzeugen und als Nachweis nutzen können.“

Nachdem das BSI Anfang 2020 die neue Edition des IT-Grundschutz-Kompendiums veröffentlichte, begann die Stadt Fröndenberg auch hier mit der Umstellung mit Hilfe der bereits genutzten ISMS-Software. „Uns wurde inzwischen die Zertifizierungsreife vom TÜV Nord durch ein entsprechendes Voraudit bestätigt. Eine vollständige Zertifizierung nach der DIN EN ISO 27001 und dem BSI-Grundschutz haben wir allerdings vorerst aus wirtschaftlichen Gründen nicht durchgeführt“, erläutert Gernot Geitz.

Fazit

Mit der Software-Kombination aus ISMS, IT-Notfallplanung und Datenschutz erfüllt die Stadt Fröndenberg die rechtlich geforderten Maßnahmen für ein umfassendes Sicherheitskonzept. Da das Software-Bundle auf eine gemeinsame Datenbasis zurückgreift, konnten die Verantwortlichen die ursprünglich im GSTOOL eingepflegten Daten nutzen und weiterverarbeiten. Die Lösungen automatisieren Prozesse, reduzieren so den Pflege- und Verwaltungsaufwand und sorgen dafür, dass sich die verknüpften Informationen immer auf dem aktuellen Stand befinden.

„Als Informationssicherheitsbeauftragter sind für mich insbesondere die integrierte Risikoanalyse und -bewertung und natürlich auf der anderen Seite die Notfallplanung eine enorme Arbeitserleichterung“, so Gernot Geitz. „Es ist ein ständig wachsender Prozess, die Umsetzung und Wirksamkeit des ISMS nachzuweisen. Daher bietet uns die Software-Suite die optimale Grundlage, um jederzeit alle Informationen aktuell zu halten und im Rahmen von Audits, Datenschutzanfragen oder Zertifizierungen schnell und strukturiert die einzelnen Prozesse beziehungsweise Dokumentationen vorweisen zu können.“

(ID:46821911)