Bürgerinformationssystem

Vorlage - 128/2022  

 
 
Betreff: Sicherstellung der Informationssicherheit sowie des IT-Notfallmanagements der Kreisverwaltung Soest
Status:öffentlichVorlage-Art:Beschlussvorlage - öffentlich
  Aktenzeichen:10.50.08
Federführend:10 IT und Verwaltungsdigitalisierung   
Beratungsfolge:
Ausschuss für Personal, Organisation und Effizienz Vorberatung
07.06.2022 
Sitzung des Ausschusses für Personal, Organisation und Effizienz ungeändert beschlossen   
Kreisausschuss Vorberatung
09.06.2022 
9. Sitzung des Kreisausschusses ungeändert beschlossen   
Kreistag Entscheidung
21.06.2022 
9. Sitzung des Kreistages ungeändert beschlossen   

Beschlussvorschlag
Finanzielle Auswirkungen
Sachverhalt

Zur Sicherstellung der Informationssicherheit sowie des IT-Notfallmanagements wird die Verwaltung beauftragt, im Jahr 2022 die erforderlichen personellen Ressourcen im Umfang einer zusätzlichen Stelle – zunächst außerplanmäßig – einzurichten. Die Stelle soll ab 2023 als Planstelle im Stellenplan eingerichtet werden. Die Stelle ist als unabhängige Stelle direkt der Landrätin unterstellt.


 

Höhe der gesamten finanziellen Auswirkungen:

 

Produkt:

 

x

Die erforderlichen Mittel sind im Produkt eingeplant.

 

Die erforderlichen Mittel sind teilweise im Produkt eingeplant, eine Deckung erfolgt durch:

 

Die erforderlichen Mittel sind nicht eingeplant.

Erläuterungen:

 


Zusammenfassung

 

Die Zahl von Angriffen auf die IT-Infrastruktur in öffentlichen Verwaltungen steigt kontinuierlich. Zur Wahrung der Belange der Informationssicherheit innerhalb der Kreisverwaltung empfiehlt der Deutsche Landkreistag daher die Besetzung der Stelle der/des Informationssicherheitsbeauftragten in Vollzeit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zudem die Benennung einer/eines Notfallbeauftragten mit mindestens einer halben Stelle. Die Stelle der Informationssicherheitsbeauftragten wird derzeit mit einer halben Stelle wahrgenommen. Die Verwaltung wird daher beauftragt eine Vollzeitstelle mit einem Stellenanteil 0,5 Informationssicherheit und einem Stellenanteil von 0,5 Notfallmanagement zu schaffen, auszuschreiben und entsprechend zu besetzen.

Da der Stelle in der Kreisverwaltung eine hohe Priorität beigemessen wird, soll diese im Vorgriff auf den Stellenplan 2023 geschaffen werden.

 

 

Sachdarstellung

 

Das erklärte Ziel der Verwaltungsführung ist im Jahr 2025 eine Zertifizierung nach BSI-Standard ISO 27001 zu erreichen. Für die Vorbereitung wurde die Gesamtverwaltung und insbesondere Abteilung 10 beauftragt.

 

Vorfälle in der jüngeren Vergangenheit zeigen, dass Landkreise immer häufiger Angriffen auf die IT-Infrastruktur ausgesetzt sind. Meist handelt es sich um Schadprogramme, die Systeme verschlüsseln und im Anschluss eine Geldforderung stellen. Um die Kreisverwaltung vor solchen Szenarien zu schützen und im Schadensfall geeignet reagieren zu können, wird durch den Landkreistag und das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Ernennung einer/eines Informationssicherheitsbeauftragten mit einer Besetzung in Vollzeit (bei der Größe einer Landkreisverwaltung) empfohlen.

 

Neben einem geeigneten Informationssicherheitsmanagement (ISMS) gehört auch ein formell institutionalisiertes Notfallmanagement (BCM- Business Continuity Management) zu den Grundvoraussetzungen der Informationssicherheit nach IT- Grundschutz, bestehend aus IT-Notfallvorsorge und IT-Notfallbewältigung und ist damit eine wesentliche Voraussetzung für die Zertifizierung nach ISO 27001.

 

Die Aufgabe des Notfallmanagements (BCM) wurde bisher nicht wahrgenommen. Der Entwurf zum neuen Notfallmanagement des Bundesamtes für Sicherheit in der Informationstechnik empfiehlt die Besetzung einer/ eines Notfallbeauftragten mit mindestens einer 0,5 Stelle. Selbst die Einrichtung der aktuell bereits besetzten 0,5 VZÄr die/den Informationssicherheitsbeauftragte/n ist sehr selten in öffentlichen Verwaltungen, die Wahrnehmung der Aufgaben wird stetig mehr erforderlich. Die anstehenden Aufgaben allein können mit den derzeitigen 0,5 VZÄ dauerhaft nicht bewältigt werden.

 

Stark steigende Gefahren von Cyberangriffen (Angriffen auf die IT-Infrastruktur zum Beispiel durch Schadsoftware), internationale Kriegsführung in der virtuellen Welt (vgl. Ukrainekrise), gehäuft auftretende erfolgreiche Angriffe auf Kommunalverwaltungen, haben deutlich gezeigt, dass hier unbedingt Handlungsbedarf besteht. Die Schäden, die durch erfolgreiche Angriffe entstehen, gehen in die Millionen. Die bisherigen Bemühungen der Kreisverwaltung, in enger Kooperation mit der Südwestfalen-IT, solche Schäden abzuwehren, sind dringend auszuweiten.

 

Das BSI und der KDN empfehlen 15-20 % der IT-Kosten für IT-Sicherheit zu verausgaben. Im Haushalt 2022 der KV Soest beträgt das ordentliche Ergebnis 8.799.352 r das Produkt IT-Technik und Organisation. 15 % davon wären ca. 1,3 Mio. . Derzeit werden nahezu ausschließlich die Kosten für die 0,5 VZÄ Informationssicherheitsbeauftragte und ca. 20.000 hrlich für ein Fachverfahren verausgabt. Insgesamt also weniger als 100.000 € -> das sind weniger als 1%.

 

Das ist mit Abstand eine (personelle) Unterfinanzierung der Aufgaben IT-Sicherheit und Notfallmanagement und wird sich bei einem Vorfall höchstwahrscheinlich mit den entsprechenden Konsequenzen widerspiegeln.

 

Die Verwaltung wird daher beauftragt mindestens 1,0 VZÄ zusätzlich einzurichten (0,5 Informationssicherheit und 0,5 Notfallmanagement), wobei diese 1,0 VZÄ direkt der Landrätin unterstellt sein und als unabhängige Stelle fungieren muss.

 

Da der Stelle in der Kreisverwaltung eine hohe Priorität beigemessen wird, soll diese im Vorgriff auf den Stellenplan 2023 geschaffen werden.