IT-Sicherheit in Behörden: Sensibilisierung und Notfallvorsorge (Video-Interview)

IT-Sicherheit

Andreas Schmidt ist stellvertretender IT-Leiter des Bundespräsidialamts, ISO 27001 Auditor, IS-Revisor und IT-Grundschutzauditor. Als Experte im Bereich IT-Sicherheit im öffentlichen Dienst erklärt er kurz gegenüber Zentralblick, wieso eine Sensibilisierung zur IT-Sicherheit in Behörden extrem wichtig ist und was im Rahmen der IT-Notfallvorsorge unbedingt berücksichtigt werden muss.

Was sind die Rechtsfolgen für Behörden bei nicht ausreichender Sensibilisierung zur IT-Sicherheit?

Die IT und die Informationssicherheit kriegen eine immer größere Bedeutung, insbesondere im Zusammenhang mit der Digitalisierung. Es ist quasi das Rückgrat der Digitalisierung. Und leider wird die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter, aber auch der Führungskräfte häufig vernachlässigt, was im Endeffekt dazu führt, dass:

  • Zertifizierungen nicht erreicht werden können,
  • Behördenziele nicht erreicht werden können,
  • eine Amts- oder tatsächlich auch persönliche Haftung im Endeffekt eine Konsequenz daraus ist.

Eine Sensibilisierung muss regelmäßig durchgeführt werden, mit dem Ziel, dass alle Mitarbeiterinnen und Mitarbeiter ihre Verantwortung erkennen, die sie in Bezug auf die Informationssicherheit ganz konkret in ihrem Arbeitsplatz haben. Dass das besonders relevant ist, sieht man derzeit daran, dass die Fälle von Schäden, die durch Schadenereignisse in der Informationssicherheit auftreten, tatsächlich häufig durch Social Engineering begründet werden. Das heißt, Mitarbeiterinnen und Mitarbeiter oder Führungskräfte werden ausgeforscht, und dann die Information, die man bekommen hat, zum Eindringen in die Behörden oder Unternehmen verwendet, um Schäden zu verursachen.

Welche Besonderheiten müssen bei der IT-Notfallvorsorge berücksichtigt werden?

Die IT-Notfallvorsorge ist ein Teil der Notfallvorsorge für die Behörde allgemein und vor allen Dingen ist es erst mal eine organisatorische Frage.

  • Das heißt, in der Behörde müssen die kritischen IT-gestützten Geschäftsprozesse festgestellt werden, damit ich sie dann in der Folge schützen kann.
  • Dann braucht es dafür Ressourcen, das heißt Personalressourcen.
  • Es braucht Hilfsmittel, mit denen man Notfallvorsorge betreiben kann, und die in einem Notfallvorsorgekonzept zusammengefasst werden, was dann auch beübt wird, um festzustellen, ob es tatsächlich im Notfall auch wirken kann oder noch nachgerüstet werden muss.

Anm. d. R.: Andreas Schmidt ist Experte für IT-Sicherheit und Datenschutz in der öffentlichen Verwaltung. Im August 2018 wird er auf der Veranstaltung „Vorsorge für Notfälle in öffentlichen Institutionen und Unternehmen“ zu mehreren Themen referieren. Mehr Informationen zum Seminarprogramm und zur Anmeldung finden Sie auf der Website der Europäischen Akademie für Steuern, Wirtschaft & Recht.

Thema IT-Sicherheit: Weiterbildungsangebot

Lernen Sie, wie die IT-Sicherheit in den öffentlichen Einrichtungen in der Praxis erfolgreich umgesetzt werden kann.

Referatsleiter IT und Geheimschutz im Bundespräsidialamt, ISO 27001 Auditor, IS-Revisor und IT-Grundschutzauditor
Zum Autorenprofil