Begründung:
Das Thema IT-Sicherheit gewinnt immer mehr an Bedeutung und stellt eine große Herausforderung dar. Besonders deutlich wurde dies zuletzt durch die Umsetzung des Nationalen Waffenregisters zum Ende letzten Jahres. Die Erstellung des für diesen Bereich geforderten IT-Sicherheitskonzeptes war aufwändig und ohne externe Unterstützung nicht leistbar.
Neben der bewussten oder unbewussten Weiterleitung von vertraulichen Informationen oder der Verwaltung und Einhaltung von Zugriffsrechten nimmt die Zahl und Finesse der Bedrohungen stetig zu, die durch rein technische Maßnahmen nicht mehr in den Griff zu bekommen sind. Eine Hauptquelle für Gefährdungen der IT-Sicherheit liegt beim Faktor Mensch, verursacht durch mangelndes Sicherheitsbewusstsein und Widerstände gegen „lästige“ Regeln. Jede Verwaltung sollte sich dieser Problematik bewusst werden und damit auseinandersetzen.
Hierbei muss bedacht werden, dass Sicherheit kein unveränderbarer Zustand ist, der einmal erreicht wird und sich niemals wieder ändert. Jede Verwaltung ist dynamischen Veränderungen unterworfen. Viele dieser Veränderungen betreffen über Änderungen der Geschäftsprozesse, Fachaufgaben, Infrastruktur, Organisationsstrukturen und der IT auch die IT-Sicherheit. Neben den unübersehbaren Änderungen innerhalb einer Verwaltung sind dies außerdem externe Rahmenbedingungen wie z.B. gesetzliche oder vertragliche Vorgaben.
Daher ist es notwendig, Sicherheit aktiv zu managen, um einmal erreichtes Sicherheitsniveau dauerhaft aufrechtzuerhalten. Die Ausbildung und Benennung eines IT-Sicherheitsbeauftragten trägt maßgeblich dazu bei, das Sicherheitsniveau deutlich zu steigern. Der IT-Sicherheitsbeauftragte ist u.a. für die Planung, Umsetzung und Überprüfung des IT-Sicherheits-Prozesses verantwortlich und treibt die Aufgabe „IT-Sicherheit“ voran. Er ist unabhängig und darf nicht in den Bereichen der IT-Administration bzw. Datenschutz tätig sein.
Gerade im Zusammenhang mit der Einführung des Nationalen Waffenregisters wurde diese Thematik auch bereits mehrfach in diversen IT-Arbeitskreisen sowie bei den Leitenden Bürobeamten diskutiert. Jeweils einen eigenen IT-Sicherheitsbeauftragten zu benennen und auszubilden stellt sich für die meisten Landkreise als zu kostspielig dar. Deswegen hat – stellvertretend für die Landkreise in Weser-Ems – der Landkreis Ammerland Verhandlungen mit der KDO geführt, damit der Zweckverband die Aufgabe des IT-Sicherheitsbeauftragten für die auftraggebenden Landkreise erfüllt. Damit wären strukturierte Untersuchungen, der stets neueste Stand der Untersuchungsmethoden und ein Ernenntnisaustausch untereinander gewährleistet. An dem KDO-Angebot „gemeinsamer Sicherheitsbeauftragter“ werden sich mindestens sechs Landkreise aus Weser-Ems beteiligen.
Die KDO hat daraufhin des beiliegende Angebot zur Beauftragung eines gemeinsamen IT-Sicherheitsbeauftragten ähnlich dem Modell des gemeinsamen Datenschutzbeauftragten erarbeitet (Anlage).
Die Verwaltung bittet um Zustimmung.
Beschlussvorschlag:
Der Beauftragung eines gemeinsamen
IT-Sicherheitsbeauftragten im Sinne des beigefügten Angebotes wird zugestimmt.
Anlagen:
Angebot