122/2003 Vorlage KSD-Redaktionssystem

Landeshauptstadt Stuttgart
Referat Allgemeine Verwaltung
Gz: A0412-00

GRDrs 122/2003

Stuttgart,

06/05/2003

Umsetzung des IT-Sicherheitskonzepts der Landeshauptstadt Stuttgart

Beschlußvorlage

Vorlage an	zur	Sitzungsart	Sitzungstermin
Reform- und Strukturausschuß Verwaltungsausschuß	Vorberatung Beschlußfassung	nichtöffentlich öffentlich	18.06.2003 25.06.2003

Beschlußantrag:

Dem IT-Sicherheitskonzept der Landeshauptstadt Stuttgart (Anlagen 2 und 3) und den darin aufgezeigten Organisationsstrukturen wird im Grundsatz zugestimmt.

Kurzfassung der Begründung:
Ausführliche Begründung siehe Anlage 1

IT-Sicherheit ist die Voraussetzung zum verantwortungsvollen, sicheren Betrieb der Informations- und Kommunikationstechniken.
Beim Einsatz elektronischer Datenverarbeitungssysteme sind nach § 9 LDSG geeignete Maßnahmen zu treffen, um die Datensicherheit personenbezogener Daten sicherzustellen.

Schwerpunkte der zentralen IT-Sicherheitsstelle sind Verfügbarkeit, Vertraulichkeit und Integrität in der Informationstechnologie. Ein Ausfall oder Beschädigungen der EDV-Systeme und der darauf verarbeiteten Informationen beeinträchtigen die Arbeit des größten Teils der städtischen Verwaltung nachhaltig bzw. macht sie teilweise unmöglich und verursacht dadurch erhebliche finanzielle Schäden. Investitionen in den sicheren Betrieb der IuK-Techniken sind wirtschaftlich und unerlässlich.

Die Anforderungen an die IuK-Technik und die Organisation der IT-Sicherheit wurden in einem IT-Sicherheitskonzept mit externer Begleitung (GRDrs 1070/2001) erarbeitet und festgelegt. Dieses Konzept soll nun umgesetzt werden. Referat A sieht deshalb einen Personalbedarf von zwei Stellen für gegeben an und wird entsprechende Anträge stellen, über die im Rahmen des Stellenplanverfahrens zu entscheiden ist.

Beteiligte Stellen

Referat F

Klaus-Peter Murawski
Bürgermeister

Anlagen

Anlage 1 Ausführliche Begründung
Anlage 2 Ausführliche Fassung des IT-Sicherheitskonzepts
Anlage 3 Kurzfassung des IT-Sicherheitskonzepts
Anlage 4 Hinweise zum IT-Sicherheitskonzept
Anlage 5 Aufwände der IT-Sicherheit
Anlage 6 Entschliessung des Rats der Europäischen Union vom 18. Februar 2003

Anlage 1 Ausführliche Begründung

Die elektronische Datenverarbeitung hat auch die Verwaltung der LHS rasant und umfassend “revolutioniert”. Ohne Unterstützung durch Informations- und Kommunikationstechniken (IuK) ist die Mehrzahl der Verwaltungsvorgänge nicht mehr abschließend zu bearbeiten. Ein Arbeiten ohne Elektronischen Datenaustausch via E-Mail oder Informationsbeschaffung und Informationsvermittlung über das Medium Internet ist heute bei der Verwaltung nicht mehr denkbar.

Mit dem Ausblick auf e-commerce, e-government, cyber-democracy, e-voting usw. wird deutlich, dass wir erst am Anfang dieser Entwicklung stehen. Die Bedeutung der IuK-Techniken für die LHS und die Abhängigkeit von ihnen wird durch den steigenden Rationalisierungsdruck weiter zunehmen. Mit der Größe, Komplexität und Wichtigkeit der IuK-Techniken wachsen auch die Angriffsmöglichkeiten. Es entstehen neue Risiken und Bedrohungen, die zwingend entsprechende Sicherheitsstandards und –maßnahmen erfordern. Mittel hierzu sind z. B. Verschlüsselungsverfahren auf modernstem Stand und die Verwendung der elektronischen Signaturen. Die Bedeutung der Sicherheit in der Informationstechnik wird dabei ebenfalls schnell weiter steigen, da immer höhere Anforderungen an die Vertraulichkeit, die Integrität und die Verfügbarkeit der verarbeiteten Informationen gestellt werden.

Die Anforderungen an die Technik, die Organisation und die Verhaltensempfehlungen an die Mitarbeiterinnen und Mitarbeiter der LHS wurden durch die Fa. Tele-Consulting, Gäufelden, in einem IT-Sicherheitskonzept erarbeitet und festgelegt. Neben der federführenden Abteilung IuK des Haupt- und Personalamts waren am Projekt “Pro sichere Informationstechnik (ProSIT)” außerdem die zentrale Datenschutzstelle (jetzt: Behördlicher Datenschutzbeauftragter der Landeshauptstadt Stuttgart), der Gesamtpersonalrat, die Stadtkämmerei sowie die Abteilung Organisation und Personal Entwicklung beim Haupt- und Personalamt beteiligt.

Auf der Grundlage einer umfangreichen Ist-Erhebung, auch vor Ort bei den Ämtern, wurde ein IT-Sicherheitskonzept erarbeitet (Anlagen 2 + 3). Dieses definiert Schutzbedarf, Strukturen, Funktionen, Aufgaben und Maßnahmen als Leitlinien für die Etablierung und nachhaltige Aufrechterhaltung des erforderlichen Sicherheitsniveaus der gesamten Landeshauptstadt, ihrer Ämter und Eigenbetriebe (außer Kliniken). Dabei wurde auch berücksichtigt, dass der notwendige Aufwand für die IT-Sicherheit immer in einem wirtschaftlich ausgewogenen Verhältnis zum Risiko und der Bedrohung stehen muss.

Gewährleistung der IT-Sicherheit bei der LHS

Zur weiteren Umsetzung des IT-Sicherheitskonzepts ist folgendes Vorgehen vorgesehen:

Erlass einer Dienstanweisung IT-Sicherheit durch den Oberbürgermeister.
Umsetzung der Organisationsstruktur IT-Sicherheit, verbunden mit der Schaffung von 2 Stellen.
Komplettierung der Darstellung des IST-Zustandes und weitere Detaillierung des Sicherheitskonzepts – Beseitigung der dabei bekannt werdenden Sicherheitsmängel
Aufrechterhaltung des sicheren Betriebs der IuK-Techniken

Schritt 1 - Überarbeitung und Ergänzung der städtischen IuK-Dienstanweisungen und Regelungen

Schritt 2 - Umsetzung der Organisationsstruktur “IT-Sicherheit”

Eine große Schwachstelle der IT-Sicherheit der Landeshauptstadt Stuttgart ist die fehlende Organisationsstruktur der IT-Sicherheit innerhalb der Verwaltung. Im vorliegenden IT-Sicherheitskonzept wird eine sinnvolle Gliederung vorgeschlagen, deren Umsetzung bei einem Minimum an zusätzlichem Personalbedarf ein Maximum an Effizienz für die IT-Sicherheit garantiert.

Die Organisationsstruktur sieht ein zentrales IT-Sicherheitsmanagement vor. Wie im Konzept beschrieben, lassen sich die zentralen Rollen im IT-Sicherheitsmanagement in zwei Bereiche unterteilen:

Die zentrale IT-Sicherheitsstelle mit zwei Mitarbeitern, die eine eigene Fachkompetenz aufbaut und für alle IT-Sicherheitsfragen der Landeshauptstadt Stuttgart zuständig ist. Vorgesehen ist eine Ansiedlung beim behördlichen Datenschutzbeauftragten. Die Anforderungen an die Mitarbeiterinnen / Mitarbeiter sind auf den Seiten 92 und 104 des IT-Sicherheitskonzepts (Anlage 2) dargestellt.
Das IT-Sicherheitsmanagement-Team, welches sämtliche übergreifenden Belange der IT-Sicherheit regelt und Pläne, Vorgaben und Richtlinien erarbeitet. Dieses Team setzt sich idealerweise aus Mitarbeiter/innen der IuK-Technik und des Datenschutzes zusammen.

Der Gesamtaufwand für die IT-Sicherheit wird im vorliegenden Konzept und den Hinweisen vom 7.3.2003 (Anlage 4 + 5) mit 1848 - 2278 Personentagen jährlich benannt, die sich auf Grund von Schulungs- und Sensibilisierungsmaßnahmen überwiegend auf alle Mitarbeiterinnen und Mitarbeiter der Landeshauptstadt Stuttgart verteilen.

Im Übrigen wenden die Ämter und Eigenbetriebe der LHS schon heute viel Arbeitszeit und Kosten für die IT-Sicherheit auf (siehe auch Anlage 5), ohne dass eine gesamtstädtische Konzeption vorliegt. Die Umsetzung des IT-Sicherheitskonzepts verspricht eine wirtschaftlich sinnvolle stadtweite Zentralisierung und damit Entlastung der Ämter und Eigenbetriebe. Von der stadtweiten Ausrichtung der IT-Sicherheit wird bei den Ämtern und Eigenbetrieben nur zu Beginn der Umsetzung des IT-Sicherheitskonzepts bei der LHS eine anfänglich geringe Mehrbelastung erwartet, die durch Wegfall paralleler Aufwände sowie durch weitere zu erwartende Einsparungen bei den IuK-Kosten durch Prozessoptimierungen gegenfinanziert werden kann.

Der Gesamtaufwand der zentralen IT-Sicherheit errechnet sich aus dem IT-Sicherheitskonzept mit 2,3 IT-Sicherheitsbeauftragten. Referat A sieht dafür einen Personalbedarf von zwei Stellen für gegeben an und wird zum Stellenplan entsprechende Anträge stellen. Es ist vorgesehen, diese Stellen dem behördlichen Datenschutzbeauftragten der LHS beim Referat A zuzuordnen .

Schritt 3 - Komplettierung der Darstellung des IST-Zustandes und weitere Detaillierung des Sicherheitskonzepts / Umsetzung der geplanten Maßnahmen.

Im Zuge der Ist-Erhebung des IT-Sicherheitskonzepts (Kurzfassung als Anlage 2) wurden in einigen repräsentativen Ämtern die vorhandenen Schutzmaßnahmen erfasst und die Schwachstellen analysiert. Hieraus wurden dann speziell auf das jeweilige Amt / den jeweiligen Eigenbetrieb zugeschnittene, erforderliche Maßnahmen strukturiert zusammengestellt. Aus Zeit- und Kostengründen wurden für diese Erhebung repräsentativ ca. 1/3 der Ämter und Eigenbetriebe der LHS erfasst.

Eine wesentliche Aufgabe bei der Umsetzung des IT-Sicherheitskonzepts wird die stadtweite Vervollständigung der Ist-Erhebung sein.

Umsetzung der geplanten Maßnahmen

Die im Rahmen der Ist-Erhebung festgestellten Schwachstellen müssen beseitigt werden. Hierfür wurden im IT-Sicherheitskonzept entsprechende Maßnahmen vorgestellt, die mit der Umsetzung des IT-Sicherheitskonzepts verwirklicht werden müssen. Weitere Schwachstellen, die im Zuge der Vervollständigung der Grundschutzanalyse festgestellt werden, sind ebenfalls zügig zu beseitigen.

Schritt 4 - Aufrechterhaltung des sicheren Betriebs der IuK-Techniken

IT-Sicherheit ist keine einmalige Maßnahme. IT-Sicherheit muss dauerhaft gelebt werden. Damit ist eine kontinuierliche Weiterentwicklung des IT-Sicherheitskonzepts und eine Anpassung an die sich ständig ändernden IuK-Komponenten der LHS und der eingesetzten Verfahren zwingend notwendig. Dies zu gewährleisten ist eine Hauptaufgabe des IT-Sicherheitsmanagements.

Aus rechtlichen und wirtschaftlichen Gründen ist IT-Sicherheit bei der LHS unverzichtbar. Die Verwaltung hat daher den Auftrag zur Umsetzung des IT-Sicherheitskonzepts erteilt und vorgesehen, die Organisationsstruktur den Empfehlungen des Projektteams “Pro Sichere Informationstechnik - ProSIT” entsprechend zu etablieren.