Kurzfassung der Begründung: Ausführliche Begründung siehe Anlage 1 IT-Sicherheit ist die Voraussetzung zum verantwortungsvollen, sicheren Betrieb der Informations- und Kommunikationstechniken. Beim Einsatz elektronischer Datenverarbeitungssysteme sind nach § 9 LDSG geeignete Maßnahmen zu treffen, um die Datensicherheit personenbezogener Daten sicherzustellen. Schwerpunkte der zentralen IT-Sicherheitsstelle sind Verfügbarkeit, Vertraulichkeit und Integrität in der Informationstechnologie. Ein Ausfall oder Beschädigungen der EDV-Systeme und der darauf verarbeiteten Informationen beeinträchtigen die Arbeit des größten Teils der städtischen Verwaltung nachhaltig bzw. macht sie teilweise unmöglich und verursacht dadurch erhebliche finanzielle Schäden. Investitionen in den sicheren Betrieb der IuK-Techniken sind wirtschaftlich und unerlässlich. Die Anforderungen an die IuK-Technik und die Organisation der IT-Sicherheit wurden in einem IT-Sicherheitskonzept mit externer Begleitung (GRDrs 1070/2001) erarbeitet und festgelegt. Dieses Konzept soll nun umgesetzt werden. Referat A sieht deshalb einen Personalbedarf von zwei Stellen für gegeben an und wird entsprechende Anträge stellen, über die im Rahmen des Stellenplanverfahrens zu entscheiden ist. Beteiligte Stellen Referat F Klaus-Peter Murawski Bürgermeister Anlagen Anlage 1 Ausführliche Begründung Anlage 2 Ausführliche Fassung des IT-Sicherheitskonzepts Anlage 3 Kurzfassung des IT-Sicherheitskonzepts Anlage 4 Hinweise zum IT-Sicherheitskonzept Anlage 5 Aufwände der IT-Sicherheit Anlage 6 Entschliessung des Rats der Europäischen Union vom 18. Februar 2003 Anlage 1 Ausführliche Begründung
Die elektronische Datenverarbeitung hat auch die Verwaltung der LHS rasant und umfassend “revolutioniert”. Ohne Unterstützung durch Informations- und Kommunikationstechniken (IuK) ist die Mehrzahl der Verwaltungsvorgänge nicht mehr abschließend zu bearbeiten. Ein Arbeiten ohne Elektronischen Datenaustausch via E-Mail oder Informationsbeschaffung und Informationsvermittlung über das Medium Internet ist heute bei der Verwaltung nicht mehr denkbar.
Mit dem Ausblick auf e-commerce, e-government, cyber-democracy, e-voting usw. wird deutlich, dass wir erst am Anfang dieser Entwicklung stehen. Die Bedeutung der IuK-Techniken für die LHS und die Abhängigkeit von ihnen wird durch den steigenden Rationalisierungsdruck weiter zunehmen. Mit der Größe, Komplexität und Wichtigkeit der IuK-Techniken wachsen auch die Angriffsmöglichkeiten. Es entstehen neue Risiken und Bedrohungen, die zwingend entsprechende Sicherheitsstandards und –maßnahmen erfordern. Mittel hierzu sind z. B. Verschlüsselungsverfahren auf modernstem Stand und die Verwendung der elektronischen Signaturen. Die Bedeutung der Sicherheit in der Informationstechnik wird dabei ebenfalls schnell weiter steigen, da immer höhere Anforderungen an die Vertraulichkeit, die Integrität und die Verfügbarkeit der verarbeiteten Informationen gestellt werden. Die Anforderungen an die Technik, die Organisation und die Verhaltensempfehlungen an die Mitarbeiterinnen und Mitarbeiter der LHS wurden durch die Fa. Tele-Consulting, Gäufelden, in einem IT-Sicherheitskonzept erarbeitet und festgelegt. Neben der federführenden Abteilung IuK des Haupt- und Personalamts waren am Projekt “Pro sichere Informationstechnik (ProSIT)” außerdem die zentrale Datenschutzstelle (jetzt: Behördlicher Datenschutzbeauftragter der Landeshauptstadt Stuttgart), der Gesamtpersonalrat, die Stadtkämmerei sowie die Abteilung Organisation und Personal Entwicklung beim Haupt- und Personalamt beteiligt.
Auf der Grundlage einer umfangreichen Ist-Erhebung, auch vor Ort bei den Ämtern, wurde ein IT-Sicherheitskonzept erarbeitet (Anlagen 2 + 3). Dieses definiert Schutzbedarf, Strukturen, Funktionen, Aufgaben und Maßnahmen als Leitlinien für die Etablierung und nachhaltige Aufrechterhaltung des erforderlichen Sicherheitsniveaus der gesamten Landeshauptstadt, ihrer Ämter und Eigenbetriebe (außer Kliniken). Dabei wurde auch berücksichtigt, dass der notwendige Aufwand für die IT-Sicherheit immer in einem wirtschaftlich ausgewogenen Verhältnis zum Risiko und der Bedrohung stehen muss. Gewährleistung der IT-Sicherheit bei der LHS Zur weiteren Umsetzung des IT-Sicherheitskonzepts ist folgendes Vorgehen vorgesehen:
Im Übrigen wenden die Ämter und Eigenbetriebe der LHS schon heute viel Arbeitszeit und Kosten für die IT-Sicherheit auf (siehe auch Anlage 5), ohne dass eine gesamtstädtische Konzeption vorliegt. Die Umsetzung des IT-Sicherheitskonzepts verspricht eine wirtschaftlich sinnvolle stadtweite Zentralisierung und damit Entlastung der Ämter und Eigenbetriebe. Von der stadtweiten Ausrichtung der IT-Sicherheit wird bei den Ämtern und Eigenbetrieben nur zu Beginn der Umsetzung des IT-Sicherheitskonzepts bei der LHS eine anfänglich geringe Mehrbelastung erwartet, die durch Wegfall paralleler Aufwände sowie durch weitere zu erwartende Einsparungen bei den IuK-Kosten durch Prozessoptimierungen gegenfinanziert werden kann. Der Gesamtaufwand der zentralen IT-Sicherheit errechnet sich aus dem IT-Sicherheitskonzept mit 2,3 IT-Sicherheitsbeauftragten. Referat A sieht dafür einen Personalbedarf von zwei Stellen für gegeben an und wird zum Stellenplan entsprechende Anträge stellen. Es ist vorgesehen, diese Stellen dem behördlichen Datenschutzbeauftragten der LHS beim Referat A zuzuordnen . Schritt 3 - Komplettierung der Darstellung des IST-Zustandes und weitere Detaillierung des Sicherheitskonzepts / Umsetzung der geplanten Maßnahmen.
Im Zuge der Ist-Erhebung des IT-Sicherheitskonzepts (Kurzfassung als Anlage 2) wurden in einigen repräsentativen Ämtern die vorhandenen Schutzmaßnahmen erfasst und die Schwachstellen analysiert. Hieraus wurden dann speziell auf das jeweilige Amt / den jeweiligen Eigenbetrieb zugeschnittene, erforderliche Maßnahmen strukturiert zusammengestellt. Aus Zeit- und Kostengründen wurden für diese Erhebung repräsentativ ca. 1/3 der Ämter und Eigenbetriebe der LHS erfasst. Eine wesentliche Aufgabe bei der Umsetzung des IT-Sicherheitskonzepts wird die stadtweite Vervollständigung der Ist-Erhebung sein. Umsetzung der geplanten Maßnahmen Die im Rahmen der Ist-Erhebung festgestellten Schwachstellen müssen beseitigt werden. Hierfür wurden im IT-Sicherheitskonzept entsprechende Maßnahmen vorgestellt, die mit der Umsetzung des IT-Sicherheitskonzepts verwirklicht werden müssen. Weitere Schwachstellen, die im Zuge der Vervollständigung der Grundschutzanalyse festgestellt werden, sind ebenfalls zügig zu beseitigen. Schritt 4 - Aufrechterhaltung des sicheren Betriebs der IuK-Techniken IT-Sicherheit ist keine einmalige Maßnahme. IT-Sicherheit muss dauerhaft gelebt werden. Damit ist eine kontinuierliche Weiterentwicklung des IT-Sicherheitskonzepts und eine Anpassung an die sich ständig ändernden IuK-Komponenten der LHS und der eingesetzten Verfahren zwingend notwendig. Dies zu gewährleisten ist eine Hauptaufgabe des IT-Sicherheitsmanagements.
Aus rechtlichen und wirtschaftlichen Gründen ist IT-Sicherheit bei der LHS unverzichtbar. Die Verwaltung hat daher den Auftrag zur Umsetzung des IT-Sicherheitskonzepts erteilt und vorgesehen, die Organisationsstruktur den Empfehlungen des Projektteams “Pro Sichere Informationstechnik - ProSIT” entsprechend zu etablieren.