Interkommunales Projekt zur Cybersicherheit in öffentlichen Verwaltungen
Der Landkreis Gießen hat sich im Jahr 2022 mit einem interkommunalen Projekt auf den Weg gemacht, im Landkreis ein hohes Maß an Informationssicherheit und Datenschutz zu gewährleisten. Das Ziel besteht darin, alle Kommunen im Landkreis Gießen auf ein hohes IT-Sicherheitslevel zu heben.
Modernes Verwaltungshandeln ist gegenwärtig ohne elektronische Kommunikationsmedien und IT-Verfahren undenkbar. Mit der zunehmenden Digitalisierung der öffentlichen Verwaltungen nimmt auch der Schutzbedarf der IT-Systeme und der Daten zu. Um ein resilientes Verwaltungshandeln zu gewährleisten, hat der Landkreis Gießen die Zielsetzungen formuliert, die Sicherheit und Verfügbarkeit der IT-Systeme und Daten im Landkreis sicherzustellen sowie alle kreisangehörigen Kommunen im Landkreis auf ein hohes IT-Sicherheitslevel zu heben, angelehnt an den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
In diesem Zusammenhang wählte der Landkreis bereits früh einen interkommunalen Ansatz. Das Projekt zur Cybersicherheit in öffentlichen Verwaltungen im Landkreis Gießen baut dabei auf einem Vorgängerprojekt im Rahmen des Themenfeldes Cybersicherheit auf, das der Landkreis Gießen in den vergangenen fünf Jahren mit dem Landkreis Marburg-Biedenkopf gemeinsam erfolgreich durchgeführt hat.
Das Projekt der interkommunalen Zusammenarbeit startete am 01. August 2022. Parallel dazu wurde ein Antrag auf Fördermittel beim Hessischen Innenministerium gestellt. Der Landkreis Gießen konnte hierbei mit allen 18 kreisangehörigen Kommunen eine öffentlich-rechtliche Vereinbarung abschließen. Nach Auffassung des Landkreises Gießen bietet sich eine interkommunale Zusammenarbeit an. Einerseits, da sich zahlreiche Synergieeffekte nutzen lassen. Andererseits, da insbesondere kleine Kommunen nicht über die personellen und finanziellen Voraussetzungen verfügen, das Leistungspaket abzudecken, welches den Kommunen im Rahmen der interkommunalen Zusammenarbeit auf dem Gebiet der Cybersicherheit vom Landkreis angeboten wird. Die kleinste Kommune im Landkreis Gießen hat rund 4.000 Einwohner:innen.
Ausgangspunkt für diese Form der Zusammenarbeit auf dem Gebiet der Cybersicherheit im Landkreis war die feste Überzeugung aller Projektpartner:innen, dass die Digitalisierung der Verwaltung und dabei insbesondere die Digitalisierung staatlicher Leistungen ein Prozess ist, der nur dann erfolgreich sein kann, wenn ein Höchstmaß an Informationssicherheit und Datenschutz gewährleistet werden kann. Aus diesem Grund sollte ähnlich dynamisch wie die Bedrohungslage durch Cyberangriffe auch die IT-Sicherheitsinfrastruktur kontinuierlich mitwachsen. Hierzu benötigt es gemeinsamer Strategien, um die notwendigen technischen Voraussetzungen in jeder Kommune zu schaffen sowie vor allem die notwendigen fachlichen Kompetenzen durch qualifiziertes Fachpersonal bereit zu halten.
Durch das Vorgängerprojekt war bereits ein hohes Sicherheitsbewusstsein in der Kreisverwaltung vorhanden. Durch Vorstellungen des Projekts, Präsentationen in Dienstversammlungen der Bürgermeister:innen, durch Informationsschreiben und durch Kommunikation mit den IT-Verantwortlichen wurde dies auch den kreisangehörigen Kommunen vermittelt.
Das Projekt baut im Wesentlichen auf drei Säulen auf.
Als erste Säule ist die Beratung, Warnung und Früherkennung in Bezug auf IT-Sicherheitsrisiken sowie die Entwicklung von Handlungsempfehlungen anzusehen. Die Beratung bezieht sich hierbei auf organisatorische Maßnahmen. Beispiele sind in diesem Zusammenhang in der gemeinsamen Erstellung und Implementierung eines IT-Notfallmanagements bzw. insgesamt eines Informationssicherheitsmanagements zu erwähnen. Darüber hinaus existiert ein Bezug auf technische Aspekte, wie beispielsweise das Schließen von möglichen Schwachstellen in der IT-Infrastruktur der Kommunen nach eingehender Beratung. Einer der ersten Schritte im Rahmen des Projekts stellt aus diesem Grund ein „IT-Schwachstellen-Scan“ in den Kommunalverwaltungen dar.
Als zweite Säule werden Sensibilisierungs- und Schulungsmaßnahmen für Mitarbeitende der öffentlichen Verwaltungen definiert. Generell stellt der „Faktor Mensch“ zumeist den größten Risikofaktor in der IT-Sicherheitsinfrastruktur dar. Aus diesem Grund haben Schulungs- und Weiterbildungsangebote sowie Sensibilisierungskampagnen im Rahmen des Projekts einen hohen Stellenwert. Hierbei wird eine Online-Lernplattform mit Fortbildungs- und Schulungsangeboten zur Verfügung gestellt. Ferner werden auch Präsenz-Schulungen und Fortbildungen durchgeführt. Zudem ist der regelmäßige Austausch der IT-Beauftragten der Kommunen ein Teil der zweiten Säule. Darüber hinaus wird ein IT-Forum als Wissensdatenbank zur Verfügung gestellt und regelmäßig Anti-Phishing-Kampagnen durchgeführt.
Als dritte Säule ist die konkrete Unterstützung bei der technischen Absicherung der IT-Infrastruktur anzusehen. Um das Ziel eines einheitlichen IT-Sicherheitsniveaus in allen Kommunen im Landkreis Gießen zu erreichen, werden im Rahmen des Projekts konkrete Hilfestellungen in Bezug auf technische Fragestellungen gegeben. In diesem Zusammenhang werden eine enge Beratung und auch die Möglichkeit gemeinsamer Beschaffungen angeboten.
Die öffentlich-rechtlich geschlossene Vereinbarung regelt die Einstellung eines IT-Sicherheitsbeauftragten als Projektbeauftragten und einer Projektassistenz sowie die Dienstleistungen für alle teilnehmenden Kommunen. Innerhalb der Landkreisverwaltung wurde das neues Sachgebiet „Informationssicherheit“ geschaffen, dem beide Vollzeitäquivalenten-Stellen (VZÄ) zugeordnet wurden.
Der „Projektbeauftragte“ hat die Leitungsrolle innerhalb des Projekts inne. Neben der gesamtverantwortlichen Steuerung des interkommunalen Projekts umfasst das Aufgabengebiet des Projektbeauftragten die Beratung der Behördenleitungen. Eingangs wird eine IST-Analyse zum Status Quo der jeweiligen Verwaltungsstrukturen durchgeführt. Daran anknüpfend werden durch die Stelle verschiedene Unterstützungsleistungen im Rahmen des Projekts angeboten. Dies bezieht sich auf die Erstellung und Fortschreibung von Sicherheits- und Notfallkonzepten, auf die Entwicklung und Fortschreibung der Umsetzungsstrategie sowie auf die Unterstützung und Begleitung in Beschaffungsprozessen. Als ein weiterer zentraler Unterstützungsaspekt ist neben der Einführung eines Informationssicherheits-Management-Systems (ISMS) die Begleitung nach einem Cyberangriff anzusehen.
Übergreifend finden zudem eine Dokumentation und Begleitung der Realisierung der Maßnahmen statt. Hinsichtlich des Kompetenzaufbaus im Landkreis ist die Konzeption und Durchführung von Sensibilisierungs- und Schulungsmaßnahmen sowie eLearning-Angeboten ein Bestandteil der Aufgabengebiete des Projektbeauftragten.
Zudem werden im Kontext der Stelle Vorgaben, Leitlinien und Handlungsempfehlungen für die kreisangehörigen Kommunen angeboten. Der Projektbeauftragte ist für die Definition von Mindestsicherheitsstandards nach dem BSI-Grundschutz verantwortlich. Darüber hinaus wirkt dieser unterstützend bei der Erstellung einer Leitlinie zur Informationssicherheit der Behörde, warnt vor aktuellen Angriffsszenarien und informiert diesbezüglich zu möglichen Handlungsempfehlungen.
Als ein weiterer zentraler Punkt ist die Koordination von möglichen Synergieeffekten wie z. B. gemeinsame Projekte im Rahmen von Fortbildungen, Konfiguration von Sicherheitssystemen, Konzeptionieren von Schließ- und Zugangssystemen anzusehen. Die Aufgabenbeschreibung beinhaltet zudem den Betrieb eines gemeinsamen IT-Forums zum Austausch von Informationen sowie die Organisation und Durchführung von Arbeitskreisen und Informationsveranstaltungen.
Die Aufgabengebiete der „Projektassistenz“ umfassen neben der Koordination der Kommunikation zwischen den Beteiligten die Unterstützung der/des Cybersicherheitsbeauftragte/n und des Informationssicherheitsbeauftragten im Tagesgeschäft bei administrativen und organisatorischen Belangen. Die Vorbereitung und Organisation von Besprechungen, Schulungen und Veranstaltungen stellt neben der Bearbeitung und Erstellung von Präsentationen einen zentralen Aufgabenbestandteil der Stelle dar. Als eine weitere administrative Aufgabe ist die Überwachung von Fristen sowie die sorgfältige Führung der Akten und der Wiedervorlage zu erwähnen.
Im Kontext des Informationssicherheits-Management-Systems (ISMS) ist die Projektassistenz zudem für die Dokumentation sowie für die administrative Betreuung des Fachforums IT-Sicherheit verantwortlich. Im Rahmen des Kompetenzaufbaus werden Kurse und Kursinhalte auf der ILIAS-Lernplattform eingestellt.
Die Finanzierung des Projekts (inkl. der zwei Vollzeitäquivalenten-Stellen) erfolgt sowohl aus Eigenmitteln des Landkreises Gießen (50 Prozent) als auch durch Kostenerstattungen der teilnehmenden kreisangehörigen Kommunen (50 Prozent). Die Kommunen erstatten dem Landkreis ein jährliches Entgelt, welches sich an der Einwohner:innenzahl der jeweiligen Kommune orientiert. Weiterhin werden die Fördermittel für IT-Sicherheitsprojekte verwendet, welche auch den Kommunen zugutekommen.
Ein weiterer Ausbau des Projekts ist geplant, um eine weitergehende interkommunale IT-Zusammenarbeit zwischen dem Landkreis und den einzelnen Kommunen zu etablieren. Dadurch sollen Kommunen in die Lage versetzt werden, grundschutzkonforme IT-Systeme zu betreiben, um ein einheitliches Datenschutz- und IT-Sicherheitsniveau zu erhalten. Es sollen Voraussetzungen geschaffen werden, die eine tiefgreifendere interkommunale Zusammenarbeit (z.B. beim Finanz- und Personalwesen) ermöglichen.
Als ein zentraler Erfolgsfaktor kann die aktive Suche nach einer möglichen Zusammenarbeit mit anderen Landkreisen genannt werden, bevor ein geplantes Projekt verworfen wird. Generell gilt es, vorab auf eine Prüfung der Fördermittelvoraussetzugen zu achten. Das Projekt sollte den Kommunen zudem sehr transparent und übersichtlich präsentiert werden. Dies bezieht sich vor allem auf die Behördenleitung und die IT-Verantwortlichen. Darüber hinaus sollte der Mehrwert des Projekts für die einzelnen Kommunen deutlich dargestellt werden. Im Allgemeinen stellen interkommunale Projekte eine sehr gute Methode dar, sich zu vernetzen, Gemeinsamkeiten besser zu nutzen und gemeinsam Schwächen zu minimieren.
Informationen Landkreis
Landkreis Gießen (Hessen)
Fläche: 854 km²
Einwohner:innen: 272.874
319 Einwohner:innen je km²
Stand des Projekts: laufend