Beschluss:

Der Beauftragung eines gemeinsamen IT-Sicherheitsbeauftragten im Sinne des beigefügten Angebotes wird zugestimmt.

Begründung:

Das Thema IT-Sicherheit gewinnt immer mehr an Bedeutung und stellt eine große Herausforderung dar. Besonders deutlich wurde dies zuletzt durch die Umsetzung des Nationalen Waffenregisters zum Ende letzten Jahres. Die Erstellung des für diesen Bereich geforderten IT-Sicherheitskonzeptes war aufwändig und ohne externe Unterstützung nicht leistbar.

Neben der bewussten oder unbewussten Weiterleitung von vertraulichen Informationen oder der Verwaltung und Einhaltung von Zugriffsrechten nimmt die Zahl und Finesse der Bedrohungen stetig zu, die durch rein technische Maßnahmen nicht mehr in den Griff zu bekommen sind. Eine Hauptquelle für Gefährdungen der IT-Sicherheit liegt beim Faktor Mensch, verursacht durch mangelndes Sicherheitsbewusstsein und Widerstände gegen „lästige“ Regeln. Jede Verwaltung sollte sich dieser Problematik bewusst werden und damit auseinandersetzen.

Hierbei muss bedacht werden, dass Sicherheit kein unveränderbarer Zustand ist, der einmal erreicht wird und sich niemals wieder ändert. Jede Verwaltung ist dynamischen Veränderungen unterworfen. Viele dieser Veränderungen betreffen über Änderungen der Geschäftsprozesse, Fachaufgaben, Infrastruktur, Organisationsstrukturen und der IT auch die IT-Sicherheit. Neben den unübersehbaren Änderungen innerhalb einer Verwaltung sind dies außerdem externe Rahmenbedingungen wie z.B. gesetzliche oder vertragliche Vorgaben.

Daher ist es notwendig, Sicherheit aktiv zu managen, um einmal erreichtes Sicherheitsniveau dauerhaft aufrechtzuerhalten. Die Ausbildung und Benennung eines IT-Sicherheitsbeauftragten trägt maßgeblich dazu bei, das Sicherheitsniveau deutlich zu steigern. Der IT-Sicherheitsbeauftragte ist u.a. für die Planung, Umsetzung und Überprüfung des IT-Sicherheits-Prozesses verantwortlich und treibt die Aufgabe „IT-Sicherheit“ voran. Er ist unabhängig und darf nicht in den Bereichen der IT-Administration bzw. Datenschutz tätig sein.

Gerade im Zusammenhang mit der Einführung des Nationalen Waffenregisters wurde diese Thematik auch bereits mehrfach in diversen IT-Arbeitskreisen sowie bei den Leitenden Bürobeamten diskutiert. Jeweils einen eigenen IT-Sicherheitsbeauftragten zu benennen und auszubilden stellt sich für die meisten Landkreise als zu kostspielig dar. Deswegen hat – stellvertretend für die Landkreise in Weser-Ems – der Landkreis Ammerland Verhandlungen mit der KDO geführt, damit der Zweckverband die Aufgabe des IT-Sicherheitsbeauftragten für die auftraggebenden Landkreise erfüllt. Damit wären strukturierte Untersuchungen, der stets neueste Stand der Untersuchungsmethoden und ein Ernenntnisaustausch untereinander gewährleistet. An dem KDO-Angebot „gemeinsamer Sicherheitsbeauftragter“ werden sich mindestens sechs Landkreise aus Weser-Ems beteiligen.

Die KDO hat daraufhin des beiliegende Angebot zur Beauftragung eines gemeinsamen IT-Sicherheitsbeauftragten ähnlich dem Modell des gemeinsamen Datenschutzbeauftragten erarbeitet (Anlage).

Die Verwaltung bittet um Zustimmung.

Herr stv. Ausschussvorsitzender Pauluschke stellt fest, dass die zu dem Zeitpunkt der Leistungserbringung gültige Umsatzsteuer hinzugerechnet werden muss, so dass die jährlichen Folgekosten ca. 21.000 € betragen werden. Er fragt, ob es sich nicht lohnen würde, einen eigenen IT-Sicherheitsbeauftragen auszubilden und einzustellen.

Herr Janßen merkt an, dass dieses Thema bereits seit einigen Jahren in der Runde der Leitenden Bürobeamten beraten wurde. Es wurden verschiedene Alternativen durchgesprochen und durchgerechnet. Die Schwierigkeiten bei der Beschäftigung eines eigenen Sicherheitsbeauftragten sind vielfältig: Zunächst muss ein dafür qualifizierter Mitarbeiter gefunden werden; dieser muss laufend mit Fortbildungen auf den neuesten Stand gebracht werden. Ein weiteres Problem stellt die Vertretungsregelung (Urlaub, Krankheit etc.) dar. Im Fazit ist es für einen Flächenlandkreis mit einer überschaubaren Anzahl von Arbeitsplätzen nicht praktikabel, einen eigenen IT-Sicherheitsbeauftragen einzustellen.

Herr KTA Janßen fragt nach, wie oft der IT-Sicherheitsbeauftragte pro Monat vor Ort sein werde. Herr Janßen erklärt ihm, dass z.B. die detaillierte Bestandsaufnahme und Besprechungen (z.B. eines detaillierten Sicherheitskonzepts) und die konkrete Schwächenanalyse sicherlich hier vor Ort durchgeführt werden. Verschiedene laufende Tests zur Durchlässigkeit/Dichte unserer Netze müssen gerade „von außen“ durchgeführt werden. Wie häufig die/der Sicherheitsbeauftragte vor Ort sein wird, ist im Detail noch nicht besprochen. Der Vertrag werde zunächst auf eine Laufzeit von drei Jahren abgeschlossen.

Abstimmungsergebnis:

Einstimmig, bei 1 Enthaltung, wie Beschlussvorschlag.