Kommunalen IT-Betrieb ressourcensparend und sicher ausrichten
⟩⟩⟩ von Paul Schubert und Benjamin Stiebel, Behörden Spiegel
IT-Betrieb ist ein Ressourcenfresser. Und er wird aufwendiger, je agiler und krisenfester man ihn aufstellen will. Das betrifft längst nicht nur die Technik. Ohne ein ordentliches IT-Sicherheitsmanagement geht es nicht. Spätestens seit den Erfahrungen mit der Pandemie werden auch Rufe nach einem IT-Notfall-Management oder Business-Continuity-Management lauter. Kleine Organisationen und Kommunen können all das nicht mehr allein leisten. Das Gebot der Stunde daher: Zentralisierung. Der Trend geht dahin, möglichst viele Aufgaben bei gemeinsamen Rechenzentren zu bündeln. „Je zentraler, desto besser”. So das Motto von Bernd Katheder, Leiter der Abteilung Sicherheitsberatung im Landesamt für Sicherheit in der Informationstechnik (LSI). Ein kommunales Behördennetz der IT sei zu präferieren, zentrale Dienstleistungen resultierten in besserer Qualität und besserer Versorgung, so Katheder.
Aufwände steigen
Die Herausforderungen liegen vor allem bei den kleineren Kommunen. Dort werden aufgrund der mangelnden Personalstärke mehr Aufgaben auf eine Person konzentriert. Dr. Matthias Kampmann, Mitarbeiter im IT-Sicherheitscluster e. V., weist auf die Bedeutung von ISIS12 hin. Hierbei handelt es sich um ein Regelwerk zur Einführung eines IT-Sicherheitsmanagementsystems, welches spezifische Maßnahmen für die Steigerung der Informationssicherheit enthält. Es wird unter anderem kommunal genutzt und gefördert. In Kürze steht ein Update an, mit dem der Verein auf die steigende Komplexität der Abläufe reagiert.
Generell wachsen die Aufgaben im IT-Betrieb, je mehr Abläufe in einem Unternehmen oder in den Verwaltungen getätigt werden. Dennoch müssen sich die Sicherheitskonzepte immer der Infrastruktur unterordnen und die Kopplung dieser Mechanismen verbessert werden. Auch kleinere Unternehmen und Kommunen fangen an, ihre IT-Dienstleistungen auszulagern. Der Trend geht vor allem dahin, Aufgaben an zentrale Rechenzentren abzugeben. Dies gilt allerdings auch für größere Kommunen und sogar die Bundesländer. Schwierig werde es, wenn selbst Laien in Organisationen die IT übernehmen, so Kampmann. Er plädiert für eine Zentralisierung der Dienstleistungen und fordert mehr Transparenz bei den Anbietern und mehr Open-Source-Modelle.
Vor allem im Hinblick auf den steigenden Bedarf an Homeoffice bzw. Remote-Aktivitäten wachsen die Herausforderungen auch für die IT-Sicherheit. Das soll aber nicht zwangsläufig bedeuten, dass das Risiko für Sicherheitslücken größer wird.
Homeoffice im Griff
Katheder formuliert den Königsweg: „Ich habe keine Daten zu Hause. Die liegen im zentralen Rechenzentrum. VPN-Tunnel und Geräte werden gepatcht, genau wie Sicherheits- und Virenscanner.” Dem schließt sich Kampmann an, gleichzeitig legt er aber auch Wert auf „DSGVO-konforme Standards und eine saubere Arbeit auf der rechtlichen deutschen und europäischen Gesetzesgrundlage”.
Die IT-Risiken beim Arbeiten außerhalb des Büros sind somit begründet, können aber durch gewissenhafte Sicherheitsstandards auf ein Minimum reduziert werden.