Abschluss einer öffentlich-rechtlichen Vereinbarung über die Bestellung eines gemeinsamen IT-Sicherheitsbeauftragten

Betreff
Abschluss einer öffentlich-rechtlichen Vereinbarung über die Bestellung eines gemeinsamen IT-Sicherheitsbeauftragten
Vorlage
097/2019
Art
Beschlussvorlage

Beschlussvorschlag:

 

Der Rat der Stadt Kamen stimmt dem Abschluss der öffentlich-rechtlichen-Vereinbarung über die Bestellung eines/einer gemeinsamen IT-Sicherheitsbeauftragten zu.

 

 

Sachverhalt und Begründung (einschl. finanzielle Möglichkeit der Verwirklichung):

 

Eine öffentliche Verwaltung ohne IT ist heute undenkbar, denn nahezu alle Geschäftsprozesse der Verwaltung und die Dienstleitungserbringung für die Bürgerinnen und Bürger sind von einer einwandfrei funktionierenden Informationstechnik abhängig. Durch die zunehmende Durchdringung des Alltags mit Informationstechnologien und die voranschreitende Digitalisierung entstehen Chancen, aber auch neue Risiken und Bedrohungslagen z. B. durch Cyber-Kriminalität. Das Problem liegt dabei in der Kombination wachsender Gefährdung mit zunehmender Abhängigkeit von Informationstechnik.

 

Angriffe auf öffentliche Einrichtungen und Krankenhäuser haben in den vergangenen Jahren zugenommen. Ein besonders pressewirksames Beispiel war der Cyber-Angriff auf das Lukaskrankenhaus in Neuss in 2016, der einen Schaden in Millionenhöhe verursachte. Das Lukaskrankenhaus hat in der Folge in Sicherheitstechnik investiert und zusätzliche Mitarbeiter im Bereich der IT-Sicherheit eingestellt.


Das Bundesamt für Sicherheit in der Informationstechnik warnt in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2018" vor einer steigenden und vielfältigeren Anzahl von Bedrohungen. Behörden verwalten sensible Daten von Bürgerinnen und Bürgern und stellen daher ein interessantes Ziel für Cyber-Kriminelle dar. Diese Daten sind schützenswerte Güter, für deren Sicherheit die IT bereits heute eine Vielzahl an Schutzmaßnahmen (Firewalls, Virenschutz, Authentifizierung etc.) einsetzt und Sicherheitsstandards laufend erhöht.

 

Die Rolle des IT-Sicherheitsbeauftragten wird in der Regel derzeit durch die Leitung der IT wahrgenommen. Der Sinn eines IT-Sicherheitsbeauftragten ist jedoch, gerade diese Funktion nicht mit dem Alltagegeschäft zu vermischen, sondern eine unabhängige Instanz einzurichten, um Interessenskonflikten vorzubeugen. Diese Vorgehensweise empfiehlt im Übrigen auch das Bundesamt für Sicherheit in der Informationstechnik in seinem Bericht „BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise".

 

Nach dem BSI-Standard 100-2 kommt dem IT-Sicherheitsbeauftragten die Rolle des Ansprechpartners und Koordinators für Informationssicherheit zu. Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten. Dadurch lassen sich vertrauliche Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation schützen.

 

Der BSI-Standard 100-2 (IT-Grundschutz-Vorgehensweise) beschreibt die Zuständigkeit und Aufgaben wie folgt:

 

„Der IT-Sicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Institution. Die Hauptaufgabe des IT-Sicherheitsbeauftragten besteht darin, die Behörden- bzw. Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen. Seine Aufgaben umfassen unter anderem:

 

  • den Informationssicherheitsprozess zu steuern und bei allen damit zusammenhängenden Aufgaben mitzuwirken,
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
  • die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
  • der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren, Sicherheitsvorfälle zu untersuchen und
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren."

 

Der IT-Sicherheitsbeauftragte ist dabei Hauptansprechpartner bei allen Aspekten der Informationssicherheit; er/sie koordiniert die Aufgabe und treibt sie innerhalb der Verwaltung voran. Er ist der Behördenleitung direkt unterstellt und berichtet an diese. Somit ist die Unabhängigkeit von anderen Organisationseinheiten in der Verwaltung gewährleistet.

 

Im konkreten Fall wären die ersten Arbeitsschritte des IT-Sicherheitsbeauftragten:

 

  • die Analyse des Status quo der IT-Systeme z. B. der Netzinfrastruktur, der Server- und Client-Systeme, der Serverräume und der bisherigen organisatorischen Regelungen zur IT-Sicherheit,
  • die Erarbeitung einer Sicherheitsrichtlinie (allgemeine Sicherheitsziele sowie Strategie zur Erreichung der Ziele).
  • Erstellung einer allgemeinen Sicherheitskonzeption sowie Konzepten zu unterschiedlichen Aspekten der Informationssicherheit (Anforderung bei Einführung neuer Soft- und Hardwareprodukte, Virenschutz, Internetnutzung etc.).

 

Die positiven Erfahrungen mit dem gemeinsamen Datenschutzbeauftragten haben zu den Überlegungen geführt, interkommunale Zusammenarbeit auch bei dem IT-Sicherheitsbeauftragten anzustreben. Folgende Städte und Gemeinden haben neben der Stadt Kamen ihr Interesse an einer Zusammenarbeit erklärt:

 

  • Kreis Unna
  • Stadt Bergkamen
  • Gemeinde Bönen
  • Gemeinde Holzwickede
  • Stadt Lünen
  • Stadt Selm
  • Kreisstadt Unna
  • Stadt Werne

 

Die Kreisstadt Unna hat sich bereiterklärt, gemeinsam für die o. g. Behörden die Aufgabenträgerschaft für den IT-Sicherheitsbeauftragten wahrzunehmen und hierfür Ressourcen im Umfang von 1,0 VZÄ bereitzustellen.

 

Die der Kreisstadt Unna entstehenden Personalaufwendungen werden durch die teilnehmenden Kommunen erstattet. Die Gesamtaufwendungen werden auf Grundlage des KGSt-Berichts „Kosten eines Arbeitsplatzes" berechnet.

 

Aufteilung Personlaufwand "IT-Sicherheitsbeauftragte/r"

 

(Die Abrechnung erfolgt auf Grundlage des KGSt-Berichts „Kosten eines Arbeitsplätzes“ - Als VerteiIungsschlüssel dient die Anzahl der vollzeitverrechneten Planstellen des jeweils aktuellen Haushaltsjahres.)


Berechnung nach KGSt-Bericht "Kosten eines Arbeitsplatzes" :

 

Personalkosten EG 12 TVöD                            94.700,00 €

Sachkosten                                                          9.700,00 €

Gemeinkosten                                                    18.940,00 €

                                                                    ---------------------

Gesamt                                                             123.340,00 €
                                                                    ============

 

 

Der Aufwand wird nach der Anzahl der vollzeitverrechneten Planstellen des jeweils aktuellen Stellenplans des Kreises und der teilnehmenden Städte und Gemeinden verteilt.

 

Auf Grundlage der Planstellen des Jahres 2019 ergibt sich folgende Kostenverteilung:

 

Behörde

VZÄ Planstellen

Kostenanteil

Kreis Unna

1.010,26

33.655,45 €

Stadt Bergkamen

378,00

12.593,56 €

Stadt Bergkamen

95,00

3.165,80 €

Gemeinde Holzwickede

130,45

4.346,73 €

Stadt Kamen

430,85

14.353,09 €

Stadt Lünen

843,15

28.088,41 €

Stadt Selm

148,84

4.958,40 €

Kreisstadt Unna

492,84

16.418,30 €

Stadt Werne

173,00

5.763,26 €

 

*) VZÄ = Vollbeschäftigtenäquivalent, Hilfsgröße bei der Messung von Arbeitszeit

 

Die erforderlichen Mittel stehen unter der Buchungsstelle 11.08.01.529100 zur Verfügung.

 

Anlagen:

 

- Vereinbarung