Gastbeitrag von Andreas Könen, Abteilungsleiter CI, BMI
Der Schutz von Informationen in der öffentlichen Verwaltung gewinnt angesichts der wachsenden Bedrohungslage kontinuierlich an Bedeutung. Dabei geht es nicht nur um die Aufrechterhaltung der eigenen Arbeitsfähigkeit, sondern auch um den Anspruch, das Vertrauen von Bürgern und Unternehmen in den Staat sicherzustellen und eine Vorbildfunktion im gesamtgesellschaftlichen Kontext einzunehmen.
Die IT-Konsolidierung Bund stellt uns dabei vor neue Herausforderungen. Wenn Behörden des Bundes Teile ihrer IT an Dienstleister auslagern: wer übernimmt dann die Verantwortung für die Umsetzung der notwendigen Schutzmaßnahmen? Wer verantwortet welche Risiken? Wie werden Sicherheitsvorfälle kommuniziert? Diese und viele weitere Fragen müssen beantwortet und in entsprechenden Prozessen und Organisationsstrukturen verankert werden. Klar ist: Für sichere Angebote sind die Dienstleister selbst verantwortlich. Aber wie greifen die verschiedenen Verantwortlichkeiten im Informationssicherheitsmanagement bestmöglich ineinander? Dem will sich das BMI– in enger Abstimmung mit den Bundesbehörden auf der Kundenseite und den Dienstleistern– in der kommenden Legislaturperiode verstärkt mit dem Aufbau des Informationssicherheitsmanagementsystems (ISMS) der IT-Konsolidierung Bund widmen.
Ein weiteres Handlungsfeld stellt die Umsetzung des Gesetzes zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen, das sog. Onlinezugangsgesetz (OZG) dar. Bund, Länder und Kommunen unterliegen hierdurch der Verpflichtung, ihre Verwaltungsleistungen bis Ende 2022 über Verwaltungsportale auch elektronisch anzubieten und diese Portale zu einem Verbund zu verknüpfen. Der Portalverbund stellt die technische Plattform zur Verfügung, auf der Bürgerinnen, Bürger und Organisationen jede Verwaltungsleistung – unabhängig davon, auf welches Verwaltungsportal in Deutschland sie zugreifen – einfach und schnell erreichen können. Mit der Errichtung des Portalverbundes nimmt die Vernetzung der Informationstechnik auf allen Ebene der Verwaltung weiter zu. Zur Sicherstellung des störungsfreien Betriebs und zum Schutz der im Portalverbund verarbeiteten Daten sind auf allen Verwaltungsebenen angemessene Schutzmaßnahmen zu ergreifen. Ermächtigt durch § 5 OZG gibt BMI die zur Gewährleistung der IT-Sicherheit erforderlichen Standards für die im Portalverbund und für die zur Anbindung an den Portalverbund genutzten IT-Komponenten per Rechtsverordnung vor. Mit dieser Verordnung wird ein verbindliches und verlässliches Sicherheitsniveau etabliert und das Fundament der Verwaltungsdigitalisierung in Deutschland weiter gestärkt.
Produkte und Technologien werden für die Nutzung innerhalb der Verwaltung immer wichtiger. Viele von der Verwaltung bereits genutzte Softwareangebote werden langfristig nur noch aus der Cloud angeboten. Mit dem zukünftigen alternativlosen Einsatz von Cloud-Produkten sind besondere Herausforderungen an die Informationssicherheit, den Datenschutz und den Geheimschutz zu meistern und gleichzeitig Fragen der digitalen Souveränität zu beantworten. Mit einer Weiterentwicklung und Adaption der bisher vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestehenden Anforderungen und etablierten Standards (u.a. BSI Grundschutz, C5) wird eine Weiterentwicklung der Anforderungen entsprechend des technologischen Wandels entscheidend sein, um Cloud Produkte auch für die Bundesverwaltung standardisiert einsetzen zu können. Bei einem sicheren Cloud Einsatz können damit gleichzeitig bestehende Verwaltungsprojekte wie OZG und IT-Konsolidierung Bund unterstützt werden.
Vor dem Hintergrund dieser Entwicklungen in den Bereichen IT-Konsolidierung Bund, OZG und Cloud müssen wir die Informationssicherheitsarchitektur des Bundes grundsätzlich überdenken. Das BMI plant daher u.a. die Einrichtung eines Chief Information Security Officer (CISO) des Bundes, der die politische Priorisierung des Themas stärken wird, und den Aufbau eines Kompetenzzentrums „Operative Sicherheitsberatung Bund“, welches die Bundesverwaltung bei der Umsetzung von Sicherheitsvorgaben operativ unterstützt. Auch die Rolle der Informationssicherheitsbeauftragten wird gestärkt, indem eine entsprechende gesetzliche Grundlage geschaffen wird. Ziel ist es, über die geplanten Maßnahmen das Informationssicherheitsniveau in der öffentlichen Verwaltung weiter anzuheben und der Bedrohungslage mithilfe wirksamer Schutzmechanismen aktiv zu begegnen.
