Erstmals IT-Sicherheits-Zertifikat für Ministerium

Erfolgreiche Auditierung durch die INFODAS GmbH - Vorreiter auf Bundesebene

Die Geschäftsprozesse öffentlicher Verwaltungen werden heute weitgehend elektronisch gesteuert. Durch den Einsatz von eGovernment nimmt die digitale Verarbeitung weiter zu. Kommunen, Städte oder Ministerien sind daher zunehmend darauf angewiesen, dass ihre IT einwandfrei funktioniert. Hinzu kommt: Behörden sind verpflichtet, die Daten von Bürgern vor Missbrauch zu schützen. Andernfalls drohen hohe Geld- oder Haftstrafen.

Um eine umfassende IT-Sicherheit in Unternehmen und Behörden zu gewährleisten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Jahren den IT-Grundschutz eingeführt. Anhand des Grundschutz-Handbuches kann der IT-Beauftragte überprüfen, wo Schwachstellen vorhanden sind und diese beheben.
Da der Erfolg von eGovernment aber vor allem vom Vertrauen des Bürgers in die Technik abhängt, sollten Behörden nicht nur für einen sorgfältigen und sicherheitsbewussten Umgang mit den Daten sorgen, sondern dies auch nach außen transparent machen. Möglich ist das mit dem IT-Sicherheits-Zertifikat "ISO 27001 auf Basis von IT-Grundschutz". Eine Behörde beweist damit, dass sie ein Sicherheitsniveau erreicht hat, das dem neuesten Stand der Technik entspricht.

Das Sächsische Staatsministerium für Wissenschaft und Kunst (SMWK) wurde jetzt als erstes Ministerium bundesweit mit dem "ISO 27001"-Zertifikat ausgezeichnet. Das SMWK ist damit Vorreiter bei der Umsetzung des 2005 verabschiedeten nationalen Plans zur IT-Sicherheit der Bundesregierung. Das Prüfverfahren führte die INFODAS GmbH aus Köln durch.

Die Zertifizierung steht am Ende eines zielgerichteten Aufbaus von Sicherheitsprozessen. Seit 2002 wird das Ministerium dazu von der INFODAS GmbH begleitet. Frank Reiländer konnte als vom BSI lizenzierter Auditor das Prüfverfahren innerhalb einer Woche erfolgreich abschließen.
"Mit der erfolgreichen Auditierung einer Landesbehörde wird ein Zeichen gesetzt, dass sich der nationale Plan für IT-Sicherheit der Bundesregierung mit Hilfe der BSI-Standards gezielt und erfolgreich umsetzen lässt", erklärt Reiländer.
"Mit der angewandten Methodik werden sowohl technische als auch prozessorientierte Sicherheitsaspekte geprüft. Auch zukünftige Herausforderungen lassen sich so effizient meistern."

Da der Verlust und Missbrauch von Daten selten direkt aus der IT selber herrührt, berücksichtigt das IT-Grundschutz-Verfahren alle Faktoren, die eine Relevanz für die IT-Sicherheit besitzen - dazu gehören auch Personal und Infrastruktur. Nach der Überprüfung ist z.B. klar, ob die Mitarbeiter ausreichend über den Umgang mit Passwörtern geschult wurden, Räume und Türen genügend lange Widerstand gegen Feuer und Rauch und Firewalls ausreichend Schutz vor Angriffen bieten. Sollten bei der Analyse Schwachstellen entdeckt werden, können diese durch geeignete Maßnahmen der IT-Grundschutz-Kataloge unmittelbar behoben werden.
Für das Ministerium überprüfte Reiländer das gesamte Sicherheits- und Risikomanagement und als Stichproben 200 von insgesamt 900 umgesetzten Sicherheitsmaßnahmen detailliert. Dazu gehörten der Einsatz von Passwörtern ebenso wie eine Kontrolle der Brandschutzvorrichtungen.

"Das Erreichen des Zertifikats zeigt, dass wir mit dem Auf- und Ausbau der IT-Unterstützung im SMWK erfolgreich und wirtschaftlich effizient auch Datenschutz und IT-Sicherheit gewährleisten können", sagte Kurt Nevermann, Staatssekretär im Sächsischen Staatsministerium für Wissenschaft und Kunst, nach der Übergabe des Deutschen IT-Sicherheitszertifikates am vergangenen Donnerstag.
Bundesweit sind derzeit etwa 30 private Unternehmen und eine kommunale Einrichtung zertifiziert. Das Zertifikat hat - ähnlich einer TÜV-Prüfung eines Kfz - eine Gültigkeit von zwei Jahren und muss dann erneut bestätigt werden.