Landeshauptstadt Stuttgart
Referat Allgemeine Verwaltung/Kultur und Recht
Gz:
AKR 0410-00
GRDrs
288/2018
Stuttgart,
05/29/2018
Maßnahmenpaket zur Umsetzung der € 4 Mio. Sondermittel für Digitalisierung im Rahmen der Digitalisierungsstrategie StradiS [Digital Move - Stuttgart.Gestaltet.Zukunft]
Beschlußvorlage
Vorlage an
zur
Sitzungsart
Sitzungstermin
Verwaltungsausschuss
Gemeinderat
Vorberatung
Beschlussfassung
öffentlich
öffentlich
27.06.2018
28.06.2018
Beschlußantrag:
1. Dem Maßnahmenpaket zur Umsetzung der Sondermittel (€ 4 Mio. Plan) für die Digitalisierung wird zugestimmt.
2. Die zusätzlichen Maßnahmen werden in die IuK-Maßnahmenpläne 2018 und 2019 aufgenommen, der betriebliche und personelle Aufwand im Teilergebnishaushalt 100 im Profitcenter 1007410 abgebildet. Das Gesamtbudget von 2 Mio. EUR je Haushaltsjahr ist einzuhalten.
3. Für die Umsetzung der in Punkt 2 dargestellten Maßnahmen sind folgende zusätzliche Personalkapazitäten erforderlich:
2,0 Stellen EG13 zum Aufbau eines stadtweiten Enterprise Content Management (ECM) Competence Centers
1,0 Stellen EG14 zum Aufbau eines stadtweiten IT-Security Competence Centers im Rahmen eines ISMS (Information Security Management System)
1,0 Stellen EG12 zur Erweiterung des zentralen IT-Lizenz und Asset-Managements
Die Verwaltung wird ermächtigt, das Personal außerhalb des Stellenplans ab dem 01.09.2018 befristet bis 31.12.2019 einzustellen. Bedingt durch die IT-Stellenmarktsituation und aufgrund der Fluktuation bei den IT-Beschäftigten im Haupt- und Personalamt dürfen die Arbeitsverträge unbefristet abgeschlossen werden.
Sofern im Rahmen der Haushaltsberatungen 2020/2021 weitere Mittel für innovative Digitalisierungsmaßnahmen bereitgestellt werden, kann die Ermächtigung zur Beschäftigung von Personal entsprechend verlängert werden.
Kurzfassung der Begründung:
Ausführliche Begründung siehe Anlage 1
Der Gemeinderat hat im Rahmen der Beratungen für den Doppelhaushalt 2018/2019 die Bereitstellung von zusätzlich 4 Mio. EUR für „innovative Digitalisierungsmaßnahmen für eine weiter fortschrittliche sowie kundenorientierte Stadtverwaltung“ beschlossen (siehe Antrag 972/2017).
Unter dem Motto [Digital Move – Stuttgart.Gestaltet.Zukunft] hatte das Referat AKR zuvor die Entwicklung einer
Stra
tegie für ein
di
gitales
S
tuttgart (StradiS) initialisiert, bei der sowohl der GPR als auch Vertreter sämtlicher Referate und Ämter mitwirken. Hierbei sollen in dem Dreiklang ‚Mensch↔Prozess↔IT‘ flächendeckend effiziente und effektive Geschäftsprozesse kundenorientiert und medienbruchfrei digitalisiert werden.
In enger Korrelation zu dieser Strategieentwicklung wurde das Maßnahmenpaket zur nachhaltigen und wertbeständigen Umsetzung des 4 Mio. EUR Zusatzbudgets mit folgenden Schwerpunkten erstellt:
1.
Innovative Digitalisierungsmaßnahmen
, die außerhalb und innerhalb der Verwaltung als fortschrittlich und kundenorientiert erlebbar sind
2. Maßnahmen zur Erhöhung der
IT Sicherheit
und IT Rechtskonformität
, die aufgrund des steigenden Digitalisierungsgrades der Verwaltung, der sich ausweitenden Bedrohungslage im Bereich Cyber-Kriminalität sowie gestiegener gesetzlicher Anforderungen (z.B. EU-DSGVO) zwingend erforderlich sind
3. Maßnahmen zur
IT Effizienzsteigerung
durch Vereinheitlichung und Zentralisierung IT-technischer Strukturen für ein verbessertes Risikomanagement und für die Minimierung weiterer zukünftiger IuK Budget- und Personalanforderungen
Für die Bewältigung dieser zusätzlichen, neuen und auch neuartigen Aufgaben sind zusätzliche Personalressourcen im Bereich der zentralen IuK erforderlich. Neben den quantitativen Aspekten sind vor allem die qualitativen Anforderungen an die zu bewilligenden Ermächtigungen zu beachten, da hier in entscheidenden technischen Bereichen die zukünftig kontinuierlich weiter zu entwickelnde Basis für eine erfolgreiche Digitalisierung der LHS zu legen ist. Die gegenwärtig vorhandenen Personalkapazitäten der zentralen IuK reichen hierfür nicht aus; zur Begründung wird auf die Beschreibung der Einzelmaßnahmen im Anhang verwiesen.
Die langfristigen betrieblichen Auswirkungen der Digitalisierungsmaßnahmen auf den Stellenbedarf in den Fachbereichen wird die Verwaltung zu einem späteren Zeitpunkt untersuchen und dem Gemeinderat im Rahmen der StradiS-Berichterstattung regelmäßig berichten.
Finanzielle Auswirkungen
Sonderfinanzierungsrahmen 2018/2019: 4 Mio. EUR
2018
2019 ff
Personalaufwand 2018: Monate 09 - 12
111.334,- EUR
334.000,- EUR
Projektausgaben 4./7.104000: IuK-Maßnahmenplan inkl. Deckung Betriebskosten
1.888.666,- EUR
1.666.000,- EUR
Summen
2.000.000,- EUR
2.000.000,- EUR
Der Sachaufwand wird im Teilfinanz- und Ergebnishaushalt 2018/2019 des Haupt- und Personalamts 100 bei Projekt 4./7.104000 - IuK-Maßnahmenplan gedeckt. Die Personalausgaben werden durch Umschichtung der Mittel in den Personaletat gedeckt.
Für den Betrieb der Hard- und Softwareprodukte ist mit zusätzlichen Kosten von bis zu 25% des Investitionswertes auszugehen. Eine Abschätzung des späteren Anteils kann aktuell nicht getroffen werden. Die Deckung erfolgt im Teilergebnishaushalt 100 beim Profitcenter 1007410 – IuK, Kostengruppe 42210 - Unterhaltung des betrieblichen Vermögens.
Beteiligte Stellen
Das Referat WFB hat die Vorlage mitgezeichnet.
Vorliegende Anträge/Anfragen
Keine
Erledigte Anträge/Anfragen
Haushaltsantrag 562/2017 der SPD-Ratsfraktion; beantwortet mit GRDrs. 1142/2017
Haushaltsantrag 972/2017 der CDU-Ratsfraktion
Dr. Fabian Mayer
Bürgermeister
Anlagen
Langfassung der Begründung mit Maßnahmenliste
Begründung mit Maßnahmenliste:
Der Gemeinderat hat im Rahmen der Beratungen für den Doppelhaushalt 2018/2019 die Bereitstellung von zusätzlich 4 Mio. EUR für Digitalisierungsmaßnahmen beschlossen (siehe Antrag der CDU-Fraktion Nr. 972/2017). Der Antrag war mit dem Ziel unterlegt, vor dem Hintergrund des geringen Spielraums für Innovationsprojekte im Doppelhaushalt „mehr angemeldete Maßnahmen im Bereich IuK mit Nachdruck anzugehen und entsprechende innovative Projekte im Zuge der Digitalisierung in Angriff zu nehmen für eine weiter fortschrittliche sowie kundenorientierte Stadtverwaltung“.
Unter dem Motto [
Digital Move – Stuttgart.Gestaltet.Zukunft
] hatte das Referat AKR
zuvor die Entwicklung einer Strategie zur Digitalisierung der Stadtverwaltung (StradiS) initialisiert, bei der sowohl der GPR als auch Vertreter sämtlicher Referate und Ämter mitwirken. Hierbei sollen in dem Dreiklang
‚Mensch↔Prozess↔IT‘
flächendeckend effiziente und effektive Geschäftsprozesse kundenorientiert und medienbruchfrei digitalisiert werden.
Die Gestaltungsebenen der Digitalisierung in Stuttgart sowie die zugehörigen Teilstrategien stellen sich wie folgt dar:
Die Strategiearbeit selbst ist ebenfalls in einem kontinuierlich über die nächsten Jahre laufenden Geschäftsprozess systematisiert, der auch partizipative Elemente der Bürgerbeteiligung enthält. Dieser Prozess wurde inzwischen beim Städtetag Baden-Württemberg als „Best Practice“ vorgeschlagen.
In vier Arbeitsgruppen werden die Teilstrategien
1. Digitale Bürgerschnittstelle - Angebote und Services für Bürgerschaft und Dritte auf Basis digitalisierter „e2e“ (Ende zu Ende) Geschäftsprozesse
2. Digitalisierte Stützprozesse zur Versorgung der Verwaltung
3. Rahmenbedingungen für Personal, Organisation und Arbeitsplätze in der digitalisierten Verwaltung
4. Serviceorientierte, sichere, dem Stand der Technik entsprechende IT/TK Infrastruktur
erarbeitet, die dann zu einer Gesamtstrategie zusammengefügt werden. Federführend hierfür ist das ämterübergreifende „StradiS Kern- und Führungsteam“. Für den nachhaltigen Erfolg der Digitalisierungsstrategie ist ein organisatorisches Konzept für effiziente Arbeitsprozesse und die Mitnahme und Ausrichtung der Menschen, die diese gestalten und nachhalten, besonders wichtig. Nur mit diesen Grundlagen kann der Einsatz von IT-Verfahren den gewünschten Nutzen und die Innovationskraft entfalten. Organisatorische Strukturen werden dabei Veränderungen erfahren.
Die erste Version einer so erarbeiteten LHS Digitalisierungsstrategie soll im Frühherbst 2018 erscheinen und im Folgenden jährlich aktualisiert und erweitert werden (kontinuierlicher Strategieprozess).
Aufgrund einer im Rahmen dieser Strategiearbeit durchgeführten IuK Bestandsaufnahme wurden technische Bereiche identifiziert, in denen dringender Handlungs- und Investitionsbedarf besteht. Im Reform- und Strukturausschuss am 14.03.2018 hat die Verwaltung hierzu erste Initiativen und Maßnahmen vorgestellt.
In weiterer enger Korrelation zur StradiS Strategieentwicklung wurde das vorliegende Maßnahmenpaket zur nachhaltigen und wertbeständigen Umsetzung des 4 Mio. EUR Zusatzbudgets mit folgenden Schwerpunkten erarbeitet:
Lfd. Nr.
4 Mio. EUR Maßnahmenpaket zur Digitalisierung
€ 2018
€ 2019
Vorläufiger Stellenbedarf
1.
Innovative Digitalisierungsmaßnahmen
1.a
ECM Competence Center, Basis für RIS,
E-(Personal-)Akte, andere
226.000
497.000
2xEG13
1.b
Bonuscard Online
80.000
1.c
Fördermittel Online
80.000
2.
Maßnahmen zur
Erhöhung der IT Sicherheit
und IT Rechtskonformität
2.a
ISMS mit IT-Security Competence Center und Intrusion Detection & Prevention System (IDPS)
182.000
444.000
1xEG14
2.b
Erhöhung der IT/TK Netzsicherheit in Verwaltungsnetz und Sonderzonen
363.000
50.000
2.c
Beschleunigung Netz2020: Erneuerung Zonenmanagement und Verstärkung Firewalls
200.000
200.000
3. Maßnahmen zur IT Effizienzsteigerung
3.a
Schulen (Verw. Bereich) in LHS Master Domäne
195.000
555.000
3.b
LHS-weites Asset und Lizenzmanagement und Anpassung Lizenzbedarf/-nutzung, inkl. Risikorückstellung
828.000
84.000
1xEG12
Gesamt
1.994.000
1.990.000
Im dargestellten Budgetrahmen von 4 Mio. EUR sind die Personalkosten für die Ermächtigungen von September 2018 bis Dezember 2019 eingerechnet; weitere Details siehe „Beschreibung der Einzelmaßnahmen“.
Zur Umsetzung dieser Maßnahmen ab Herbst 2018 werden in einem ersten Schritt die Ermächtigungen aus dem Beschlussantrag 3 benötigt. Im Rahmen der Haushaltsplanberatungen 2020/21 ist dann über den Stellenbedarf insgesamt zu entscheiden.
Im weiteren Verlauf der strukturellen Veränderungen hin zu digital unterstützten Arbeitsprozessen wird die Verwaltung ihre Ergebnisse den städtischen Gremien regelmäßig vorstellen und die dafür notwendigen finanziellen und personellen Ressourcen definieren.
Beschreibung der Einzelmaßnahmen:
1. Innovative Digitalisierungsmaßnahmen, die außerhalb und innerhalb der Verwaltung als fortschrittlich und kundenorientiert erlebbar sind
1.a Aufbau eines stadtweiten Enterprise Content Management (ECM) Competence Centers (CC) – Basis für die Modernisierung des RIS und Einführung der E-(Personal-)Akte
Die Basis aller kommunalen Anwendungen stellt die Be- und Verarbeitung von Daten, Dokumenten, Belegen, Akten und Informationen dar, in der Regel über mehrere Bearbeitungsstellen hinweg und als Teil unterschiedlicher Verwaltungsabläufe. Für eine erfolgreiche und auf Dauer überhaupt finanzierbare Digitalisierung der Kommunalverwaltung ist es aufgrund der großen Vielfalt der kommunalen Verfahren und Anwendungen von entscheidender Bedeutung, ein einheitliches und standardisiertes Gesamtkonzept für die Be- und Verarbeitung elektronischer Inhalte zu haben. In der digitalen Welt steht der Begriff Enterprise Content Management (ECM) für die Erarbeitung und organisationsweite Implementierung eines solchen Gesamtkonzepts.
„Enterprise Content Management (ECM) umfasst die Technologien zur Erfassung, Verwaltung, Speicherung, Bewahrung und Bereitstellung von Content und Dokumenten zur Unterstützung organisatorischer Prozesse.“
[AIIM Association for Information and Image Management international]
‚Enterprise‘ steht dabei für die gesamte Organisation und ‚Content‘ steht für beliebige un-/strukturierte Inhalte in elektronischen Systemen. Unter dem Begriff ECM werden auch die Bereiche Dokumentenmanagement (DMS), Web Content Management, Geschäftsprozess- und Workflowmanagement, Collaboration, Speicherung und Archivierung subsummiert. Im Unterschied zum reinen DMS wird beim ECM zwischen Inhalten, Strukturinformationen, beschreibenden Metadaten und Layouts von elektronischen Dokumenten differenziert, so dass Inhalte unabhängig von Quelle und Nutzung allen Verfahren und Anwendungen als Dienst mit einheitlich geregeltem Zugriff innerhalb und außerhalb der Organisation zur Verfügung gestellt werden können.
Das LHS ECM Competence Center (LHS ECM-CC) soll eine stadtweites ECM Konzept erstellen, als zentrale Anlaufstelle die Fachbereiche bei der Digitalisierung ihrer spezifischen Abläufe im Hinblick auf die Verarbeitung des elektronischen Content beraten und bei der einheitlichen und standardisierten Implementierung unterstützen sowie die zentrale Administration des Content Management Systemverbunds bereitstellen. Die Integration bzw. Migration der bereits vielfach in der LHS vorhandenen ‚digitalen Inselsysteme‘ für DMS und Verfahrensabläufe ist mit der Zielsetzung der Vereinheitlichung und Standardisierung zu planen und zu implementieren.
Die Erneuerung des Ratsinformationssystems (RIS) als eine zentrale, stadtweit benötigte Anwendung muss auf der Basis eines derart definierten ECM Konzeptes stattfinden. Die hierfür erarbeitete Lösung kann innerhalb der LHS auf andere Anwendungsfälle übertragen werden und wesentlich zur Verbesserung der Digitalisierung der Stadtverwaltung beitragen.
Das veranschlagte Budget für die erste Ausbaustufe für 2018/2019 ergibt sich in obiger Tabelle unter Punkt 1.a. Darin enthalten sind Stellen aus dem Beschlussantrag Ziffer 3. Diese beiden Stellen sind der Einstieg in die Etablierung des LHS ECM-CC.
Die beiden ECM-CC Projektleiter sind verantwortlich für die Entwicklung und Fortschreibung einer ECM-Strategie (insbesondere Produktstrategie, Visionen, Innovationen, Roadmaps und Zielen), das Kostenmanagement, die Steuerung, das Stakeholder-, Applikations-, und Infrastrukturmanagement, die Verträge bzw. die Zusammenarbeit mit externen Dienstleistern und die Lizenzen inkl. Datenschutz und Datensicherheit. Desweiteren sind sie verantwortlich für die Umsetzung der ECM-Strategie (z.B. Einführungsprojekte) sowie für die zentrale Administration im laufenden Betrieb.
1.b Bonuscard Online
In Stuttgart gibt es ca. 70.000 Bonuscard Inhaber. Pro Jahr müssen davon ca. 20.000 Anträge für Wohngeld und Kinderzuschlag einzeln mit Papier und Nachweisen gestellt werden. Dies führt insbesondere vom Jahreswechsel bis zum Frühjahr zu erheblichen Wartezeiten und sehr großen Menschenmengen im Wartebereich 4. OG in der Eberhardstr. 33.
Das Ziel der Digitalisierungsmaßnahme ist nun, dass der Antrag Online (per App oder Website) gestellt werden kann. Dabei soll der Bürger geführt und durch Ausfüllhilfen unterstützt werden. Die Nachweise sollen per Foto direkt über die App oder Datei digital eingereicht werden können. Die Daten sollen über eine Schnittstelle ins Fachverfahren Bonuscard importiert werden. Da es sich bei der Bonuscard um eine LHS-spezifische Leistung handelt, existiert hierfür keine standardisierte elektronische Lösung. Bei der Umsetzung sind wir jedoch somit auch nicht auf Vorgaben Dritter (z. B. Gesetzgeber) angewiesen.
Mit einer solchen Lösung ergeben sich signifikante Erleichterungen für die Antragsteller, da persönliche Wege- und Wartezeiten entfallen, wie auch für die Verwaltung, durch bessere Daten und weil Nachweise direkt digital be-/verarbeitet werden können. Aufgrund der 20.000 Anträge pro Jahr lässt sich mit dieser Maßnahme auch eine sehr hohe Öffentlichkeitswirkung erzielen.
Das veranschlagte Budget ergibt sich in obiger Tabelle unter Punkt 1.b.
1.c Fördermittel online
Alleine im Sozialamt werden jährlich ca. 280 Förderanträge bearbeitet. Dabei werden Zuschüsse in Höhe von ca. 26,5 Mio. EUR verwaltet. Bereits im Jahr 2014 forderten Träger der Wohlfahrtspflege Stuttgart im Rahmen einer Arbeitsgruppe, bestehend aus Ligavertretern und Vertretern der Ämter des damaligen Referats SJG digitale Verfahrensabläufe, vor allem, dass Förderanträge und Verwendungsnachweise in digitaler Form möglich sind. Aus verschiedenen Gründen war das bisher nicht realisierbar. Lediglich die Bereitstellung der Formulare für Antragstellung und Verwendungsnachweis in elektronischer Form auf der Internetseite der LHS war ab dem Jahr 2015 möglich.
Ziel der Digitalisierungsmaßnahme ist es nun, den Prozess der Regelförderung von freien Trägern/Vereinen möglichst medienbruchfrei in digitaler Form abzuwickeln. Damit können Förderanträge online gestellt, Bescheide online erteilt und Nachweise online eingereicht und verarbeitet werden. Diese Lösung kann auch auf andere Ämter, die freie Träger oder Vereine fördern, übertragen werden. Die Integration in das stadtweite ECM Konzept ist damit schon aus Effizienzgründen erforderlich.
Das veranschlagte Budget ergibt sich in obiger Tabelle unter Punkt 1.c.
2. Maßnahmen zur Erhöhung der IT Sicherheit und IT Rechtskonformität, die aufgrund des steigenden Digitalisierungsgrades der Verwaltung, der sich ausweitenden Bedrohungslage im Bereich Cyber-Kriminalität sowie gestiegener gesetzlicher Anforderungen (z.B. EU-DSGVO) zwingend erforderlich sind
2.a ISMS mit IT-Security Competence Center und Intrusion Detection & Prevention
System (IDPS)
Über das IT-Sicherheitsgesetz wurde 2015 das BSI-Gesetz um Sicherheitsanforderungen an sogenannte „Kritische Infrastrukturen“ ergänzt. Durch die BSI-KritisV 2016 wurden erste Sektoren konkretisiert, u.a. für die Trinkwasserversorgung und Abwasserbeseitigung (§ 3 Sektor Wasser), wodurch die Stadt Stuttgart über den Eigenbetrieb SES sowie das Tiefbauamt als Betreiberin kritischer Infrastrukturen bestimmte Voraussetzungen erfüllen muss. Hierfür wurden dezentral beim betroffenen Referat erste Ressourcen zur Verfügung gestellt.
Ende Juni 2017 trat die erste Änderungsverordnung der BSI-KritisV in Kraft, wodurch weitere Sektoren konkretisiert wurden, u.a. für Verkehrssteuerungs- und Leitsysteme (§ 8 Sektor Transport und Verkehr), wodurch die Stadt Stuttgart für weitere kritische Infrastrukturen nach IT-SiG verantwortlich ist. Erst im Herbst 2017 fanden Informationstage des BSI zur Einführung in die Themen IT-Sicherheitsgesetz und BSI-Kritis(änderungs)-verordnung für betroffene Betreiber kritischer Infrastrukturen statt.
Bei der zwischenzeitlichen Analyse der voraussichtlichen Auswirkungen für die Stadt Stuttgart, insbesondere in Abstimmung zwischen AKR-DSB, den Ämtern 10, 32, 66 und dem Eigenbetrieb SES, wurden weitreichende technische und organisatorische Abhängigkeiten identifiziert. Aufgrund der zentralen Zuständigkeit von Amt 10 für Telekommunikations- und Datennetze sowie für zentrale IT-Systeme, mittels derer notwendige IT-Services für die fachlich betroffenen dezentralen Kritis-Bereiche zur Verfügung gestellt werden, wurden auch erhebliche Auswirkungen für Amt 10 selbst festgestellt.
Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden. Für eine dem „Stand der Technik“ entsprechende Aufgabenerfüllung ist für die LHS aufgrund ihrer Größe und Komplexität ein Managementsystem für Informationssicherheit (ISMS) entsprechend des Bundesamts für Sicherheit in der Informationstechnik (BSI) notwendig. Der Terminus "Stand der Technik" oder auch "geeignete technische und organisatorische Maßnahmen" findet sich u.a. auch im Telemediengesetz, E-Government-Gesetz sowie in der ab 25. Mai 2018 geltenden EU-DSGVO wieder.
Neben diesen rechtlichen Anforderungen unterstreicht der Lagebericht des BSI, veröffentlicht im November 2017, unsere Erfahrungen im Laufe des vergangenen Jahres 2017 zum Thema IT-Sicherheit. Die IuK stand aufgrund von IT-Sicherheitsvorfällen ganz erheblich unter Last. Die Eintrittswahrscheinlichkeit sowie das mögliche Schadensausmaß von Risiken nimmt aufgrund der zunehmenden IT-Durchdringung bei der Stadt Stuttgart und der weiter zunehmenden Professionalisierung auf der Angreiferseite weiter zu.
Auszüge aus dem Lagebericht:
Zitate des damaligen
Bundesinnenministers de Maizière
aus dem Vorwort
: "Die vergangenen Jahre waren von IT-Sicherheitsvorfällen geprägt wie nie zuvor. "Cyber- Kriminalität, Cyber-Spionage gegenüber Staat und Wirtschaft und provozierte Ausfälle Kritischer Infrastrukturen sind eine ernstzunehmende Bedrohung unserer Gesellschaft im 21. Jahrhundert.", "Wir müssen auch künftig unsere rechtlichen, technischen und personellen Möglichkeiten zur Gestaltung der Digitalisierung und zur Gewährleistung weitreichender IT-Sicherheit fortentwickeln."
Zitate des
Präsidenten des BSI, Schönbohm
: "Leistungsfähige und sichere Kommunikationssysteme sind das zentrale Nervensystem der Gesellschaft im 21. Jahrhundert.", "In den letzten Monaten haben weltweite Angriffskampagnen wie WannaCry und Petya / NotPetya sowie erfolgreiche Cyber-Angriffe auf Unternehmen, auf demokratische Institutionen wie den Deutschen Bundestag oder die Parteien, auf Entscheidungsträger in der Wirtschaft und nicht zuletzt auch auf die Bürgerinnen und Bürger sehr deutlich gemacht, wie gefährdet unsere digitalisierte Wirtschaft und Gesellschaft ist. Die Schäden, die dabei für die Gesellschaft entstehen, gehen in die Millionen. Mit jedem Vorfall wird deutlicher, wie abhängig eine erfolgreiche Digitalisierung von der Cyber-Sicherheit ist."
Zitate zur
Gefährdungslage
: "Die Veränderung der behördlichen Arbeitsabläufe durch die Digitalisierung verändert auch die Anforderungen an den Schutz der dort verarbeiteten Informationen. Sicherheitsmaßnahmen müssen im Rahmen des etablierten Managementsystems für Informationssicherheit (ISMS) permanent an diese veränderten Rahmenbedingungen angepasst werden, denn die schnell fortschreitende Digitalisierung der Behördenstrukturen weiß auch ein Angreifer zu nutzen. Daneben kommen auch mit dem Internet der Dinge, der Industrie 4.0 beziehungsweise der Digitalisierung des technischen Umfelds neue Herausforderungen auf das ISMS in den Behörden zu.", "Zu beobachten ist aktuell eine zunehmende Professionalisierung der Angriffe. "
Zitate zu
Maßnahmen
: "Eines der wichtigsten Themen ist der Aufbau von ISMS-Strukturen in Ländern und Kommunen."
Für das ISMS soll organisatorisch bei der Abteilung Informations- und Kommunikationstechnik ein „Competence Center IT-Security (CC IT-S)“ eingerichtet werden. Hierfür soll in einem ersten Schritt ab September 2018 zum Aufbau des CC IT-S eine Vollzeitstelle laut Beschlussantrag Ziffer 3 eingerichtet werden.
Neben den rechtlichen Auswirkungen im Kontext der IT-Sicherheit (inkl. internen Konzepten und Richtlinien in der Folge) sind derzeit beispielhaft die folgenden technischen Infrastruktur-Disziplinen sowie die gesamtstädtische IT-Sicherheitsarchitektur priorisiert als Daueraufgaben vorgesehen:
Firewall, Angriffserkennungssysteme mit Abwehrfunktionalität (IDPS – Intrusion Detection & Prevention), Identitäts- und Zugriffsmanagement, Public-Key-Infrastruktur (Management digitaler Zertifikate mit kryptografischen Verfahren), Endgerätesicherheit und Systemhärtung, optimiertes Patchmanagement.
Daneben ist auch ein enger Austausch mit Computer-Notfall-Teams (CERT) des Landes, des BSI sowie mit dem kommunalen Datenverarbeitungsverbund vorgesehen.
Das IT Security Competence Center schafft die Voraussetzungen, um nach "Stand der Technik" die Digitalisierung der Stadtverwaltung voranzutreiben und damit effektive, effiziente, risiko-optimierte sowie kundenorientierte Dienstleistungen für die Bürgerschaft und Dritte erbringen zu können.
Das IDPS sorgt für eine aktivere Überwachung des Datenverkehrs zu und von IT-Systemen oder Netzen, um Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten. Diese sollen möglichst proaktiv erkannt, abgewehrt oder präventiv verhindert werden.
Das veranschlagte Budget für die Ausbaustufe 2018/2019 ergibt sich in obiger Tabelle unter Punkt 2.a. Darin enthalten sind Stellen aus dem Beschlussantrag Ziffer 3.
2.b Erhöhung der IT/TK Netzsicherheit in Verwaltungsnetz und Sonderzonen
Zur Erhöhung der IT/TK Netzsicherheit im LHS Verwaltungsnetz und den LHS Sonderzonen wurden zu Beginn des Jahres 2018 Maßnahmen implementiert, um sämtliche Netzzugänge zu überwachen und unbefugte Zugangsversuche durch nicht in der LHS inventarisierte Endgeräte auszuschließen. Hierfür war die Anschaffung und Implementierung entsprechender Inventarisierungs- und Netzüberwachungssysteme erforderlich.
Das veranschlagte Budget für die Ausbaustufe 2018/2019 ergibt sich in obiger Tabelle unter Punkt 2.b.
2.c Beschleunigung Netz2020: Erneuerung Zonenmanagement und Verstärkung Firewalls
Das derzeitige Zonenmanagement- und Firewall-Konzept (LHSnet2020) wird beschleunigt überarbeitet und ausgebaut und das Datennetz der LHS bedarfsgerechter segmentiert, um der erhöhten Cyber-Gefährdungs- und -Bedrohungslage zu begegnen und die gesetzlich-regulatorischen Vorgaben „Industrie-/BSI-konformer Stand der Technik“ auch im Rahmen der weiteren Digitalisierung der LHS zu erfüllen. Zur Realisierung der Granularität sind weitere Firewalls erforderlich. Eine technische und konzeptionelle Abstimmung mit dem Sicherheitskonzept IDPS hat zu erfolgen.
Das veranschlagte Budget für die Ausbaustufe 2018/2019 ergibt sich in obiger Tabelle unter Punkt 2.c.
3. Maßnahmen zur IT Effizienzsteigerung durch Vereinheitlichung und Zentralisierung IT-technischer Strukturen für ein verbessertes Risikomanagement und für die Minimierung weiterer zukünftiger IuK Budget- und Personalanforderungen
3.a Integration der Schulen in die LHS-Master-Domäne (Verwaltungsbereich,
Schulsekretariate)
Von 151 Schulen sind bisher nur 22 in die LHS-Master Windows-Domäne migriert worden, mit der Folge, dass die verbliebenen 129 Schulen nicht über die automatische Softwareverteilung versorgt werden können und sämtliche Installationen und Softwareupdates manuell erfolgen müssen. Insbesondere vor dem Hintergrund des Windows 10 Rollouts und der damit einhergehenden Notwendigkeit einer zukünftig regelmäßig in sehr kurzen Zeitabständen vorzunehmenden Updateversorgung ist dies ein unhaltbarer Zustand. Neben funktionalen Einbußen bedeuten nicht zeitgerecht vorgenommene Systemupdates auch ein erhöhtes Sicherheitsrisiko.
Da es sich hier um eine befristete Maßnahme handelt, soll ein externer Dienstleister mit der Aufgabe betraut werden.
Das veranschlagte Budget für diese Maßnahme ergibt sich in obiger Tabelle unter Punkt 3.a.
3.b LHS-weites Asset und Lizenzmanagement und Anpassung Lizenzbedarf/-nutzung, inkl. Risikorückstellung
Sowohl bei der Bestandssoftware als auch bei der Anschaffung weiterer oder neuer Software im Rahmen der fortschreitenden Digitalisierung ist ein ständiges und pro-/aktives Management der gesamten Lizenzlandschaft der LHS zwingend erforderlich. Dabei bieten die stetig komplexer werdenden, dynamischen und nutzungsabhängigen Lizenzmodelle und -bedingungen aller großen Anbieter einerseits zum Teil extremes Einsparpotential und gleichzeitig andererseits ganz erhebliche Kostenrisiken. Die Anforderungen an die Kenntnisse und Fähigkeiten, technisch wie auch juristisch, des Lizenzmanagement-Fachpersonals sind aufgrund der Komplexität der Modelle und der technischen und organisatorischen Abhängigkeiten enorm.
Das veranschlagte Budget für den Auf-/Ausbau eines adäquaten Lizenzmanagements der LHS und für die Anpassung vorhandener Lizenznutzungen ergibt sich in obiger Tabelle unter Punkt 3.b. Darin enthalten sind Risikorückstellungen für eventuelle Nachlizensierungskosten verschiedener im Einsatz befindlicher Softwaresysteme. Ebenfalls enthalten sind Stellen aus dem Beschlussantrag Ziffer 3.
zum Seitenanfang