Vorbildliches E-Government: Wien ist Österreichs erste Stadtverwaltung, die das Security-Zertifikat ISO 27001 erhalten hat. Damit können die Wiener und Wienerinnen sicher sein, dass ihre Daten nach dem aktuellsten Stand der Technik verwaltet werden. [...]
Die Bundeshauptstadt ist anders – auch in Sachen Datenschutz und IT-Sicherheit. Als erste Stadtverwaltung in Österreich erreichte das Magistrat Wien die Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO/IEC 27001. „Wir verarbeiten enorme Datenmengen von mehr als 1,7 Millionen Bürgern. Dazu gehören Gewerberegister, Melde- und Passdaten, Beihilfen oder Familienurkunden bis hin zu Bauplänen“, berichtet Wolfgang Steiner, Security-Fachbereichsleiter in der Magistratsabteilung 14 für Automatisierte Datenverarbeitung. „Das Vertrauen der Bürger ist uns immens wichtig – vor allem weil auch E-Government-Dienste immer häufiger genutzt werden.“ In Österreich interagieren bereits etwa 50 Prozent der Bevölkerung online mit Behörden und Ämtern.
22 ÄMTER, 70 ABTEILUNGEN
„Das ISO-27001-Zertifikat ist ein offizielles Zeugnis dafür, dass die Daten der Wiener Bürger mit Sicherheitsvorkehrungen nach dem aktuellsten Stand der Technik verwaltet werden – und dass dieses Niveau auch gehalten wird, weil die Security-Maßnahmen gemäß ISO 27001 kontinuierlich auf ihre Wirksamkeit überprüft und optimiert werden“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Die MA 14 verwaltet zentral die Daten aus 22 Bezirksämtern und 70 Magistratsabteilungen. Um eine derart dezentrale Organisation auf einem hohen Niveau abzusichern, entschloss sich die IT-Abteilung der Stadt Wien zur Einführung eines Managementsystems für Informationssicherheit nach dem Best-Practice-Standard ISO 27001. Weltweit sind bereits rund 20.000 Unternehmen danach zertifiziert. In Österreich sind es zirka 60 Organisationen.
MAGISTRAT ALS SERVICE PROVIDER
Der Geltungsbereich des ISO-27001-Zertifikats umfasst die gesamte MA 14 mit rund 450 Mitarbeitern. Zu den Kunden der MA 14 zählen auch einige Stadt-Wien-nahe Organisationen, die ihre Service Provider selbst am Markt wählen dürfen. „Mit der Zertifizierung haben wir daher auch unsere Position als professioneller IKT-Dienstleister bestätigt“, erklärt Manuel Stecher, der als Risikobeauftragter der MA 14 für das Informationssicherheitssystem verantwortlich zeichnet.
SICHERHEIT MIT SYSTEM
Das Vorgehen gemäß ISO 27001 ist so strukturiert, dass mögliche Schwachstellen und Verbesserungspotenziale innerhalb einer Organisation systematisch beleuchtet werden. „Sowohl organisatorische, technische als auch physische Aspekte der Informationssicherheit – von Bewusstseinsbildung der Mitarbeiter über IT-Sicherheitskomponenten bis hin zum Brandschutz oder Zutrittskontrollen – werden systematisch abgebildet, umgesetzt, regelmäßig kontrolliert und bei Bedarf an geänderte Anforderungen angepasst“, erklärt CIS-Chef Scheiber. Auf diese Weise sinkt das Risiko von Datenpannen, fehlerhaften Datensätzen oder Denial of Services nachhaltig.
Im Magistrat der Stadt Wien sind Datenschutz und IT-Sicherheit auf oberster Ebene angesiedelt. Per Sicherheitserlass der Direktion sind alle Dienststellen wie Magistratsabteilungen und Bezirksämter verpflichtet, angemessene Risikoanalysen durchzuführen. „Jedes Amt und jede Abteilung muss für den eigenen Arbeitsbereich die spezifischen Sicherheitsrisiken definieren. Aus diesen werden dann gezielte Sicherheitsmaßnahmen abgeleitet und umgesetzt“, erklärt Stecher. Außerdem regelt der Erlass generell relevante Aspekte wie den Umgang mit USB-Sticks oder mobilen Endgeräten. Im zertifizierten Bereich – also der gesamten MA 14 – gelten darüber hinaus die dort erarbeiteten Policies und Richtlinien gemäß ISO 27001. Maßgeschneiderte Handlungsanweisungen unterscheiden spezifisch nach Tätigkeit und Job-Position. Stecher: „Auf diese Weise erhalten die IKT-Mitarbeiter in übersichtlicher Form genau jene sicherheitsrelevanten Informationen, die sie für ihre Aufgaben benötigen. Überfrachtete Richtlinien wären kontraproduktiv.“
Die Ergebnisse aus den Risikoanalysen der einzelnen Dienststellen werden zentral zusammengeführt, klassifiziert und priorisiert. In einem nächsten Schritt lassen sich Risikogruppen bilden und Spitzenrisiken identifizieren. „Der Vorteil von Risikogruppen ist, dass man oft mit einer gezielten Maßnahme gleich ein ganzes Bündel von theoretischen Einzelrisiken adressieren kann“, erläutert Manuel Stecher. „Auf einen derart dichten Risiko-Katalog kommt man nur durch strukturiertes Vorgehen anhand des ISO-27001-Frameworks. Hieraus können Sicherheitsmaßnahmen sehr gezielt gebündelt und damit auch kosteneffizient umgesetzt werden“, betont Stecher.
Die Bewertung der wichtigen Risiken erfolgt mittels Kombination aus qualitativen Einschätzungen von Mitarbeitern und rechnerischer Gewichtung – gefühltes Gefahrenpotenzial kombiniert mit errechnetem Risiko. Bei jedem Review kommen neue Aspekte hinzu, da sich sowohl Technologien als auch Anforderungen kontinuierlich verändern. Das sei der große Vorteil an dem Prozessverbesserungsmodell der ISO 27001, betont Manuel Stecher: „Durch den Zyklus aus Analyse, Maßnahmen, Kontrolle und Verbesserung entsteht ein flexibles Managementsystem, mit dem die Informationssicherheit ständig an steigende Anforderungen angepasst wird.“
AWARENESS ÜBER BLOG & CO.
Um die Informationssicherheit im Magistrat Wien praxisnah an die Mitarbeiter zu bringen, zählen Kreativität, Kontinuität und die „Politik der kleinen Schritte“, wie Ines Fohringer, Fachbereichsleiterin für Personal und Kommunikation der MA 14, berichtet. Mit einer Kombination aus einer Plakat-Kampagne und dem Train-the-Trainer-Prinzip wurde zunächst eine breite Informationsbasis geschaffen.
Für die kontinuierliche Awareness-Bildung kommen verschiedene Instrumente zum Einsatz. Dazu gehört der magistratsweite Security-Blog, auf dem aktuelle Sicherheitshinweise wie Warnungen vor im Umlauf befindlichen Viren oder aktuellen Spam-Mail-Attacken zu finden sind. „Wir informieren die Mitarbeiter auch über andere Kanäle stetig in kleinen Häppchen über aktuelle Security-Themen“, skizziert Fohringer die Awareness-Strategie. Ein wichtiger Kanal ist zudem die periodische Mitarbeiterzeitschrift, die flächendeckend an alle Ämter und Abteilungen adressiert ist. Hier werden sehr praxisnahe Security-Themen, wie etwa das Telefonieren im öffentlichen Raum oder der sichere Umgang mit Laptop und mobilen Datenträgern, aufgegriffen.
INTERNE PLATTFORM: WIEN.TEAM
Nicht zuletzt bietet das Intranet immer wieder News und Facts zu Security-Aspekten. Ein Highlight ist Wien.Team, eine Art „Magistrats-Facebook“ mit seiner eigenen IKT-Gruppe. Besonders jüngere Mitarbeiter nutzen diesen Informationskanal gerne und häufig. Definierte Moderatoren können Inhalte posten, auf Kommentare der Wien.Team-Community reagieren oder Fragen der User beantworten. „Unser Ziel ist es, dass Security-relevante Handlungen und Einstellungen für alle tagtäglich selbstverständlich sein sollen“, sagt Ines Fohringer. Als Impulsgeber für das Informationssicherheits-Managementsystem dienen regelmäßige interne und externe Audits. CIS-Chef Erich Scheiber betont: „Der Unterschied zwischen einer Zertifizierung und dem Nur-nach-der-Norm-Arbeiten besteht genau in diesen motivierenden Kontrollen von außen: Unsere Auditoren führen in zertifizierten Organisationen einmal pro Jahr eine Überprüfung durch. Dies ist ein enormer Ansporn für alle Beteiligten, das Niveau des Security-Systems nicht nur zu halten, sondern auch zu optimieren.“ Nur mit derartigem Engagement seien höchste Sicherheit und Schutz gegen Attacken oder Datenpannen langfristig zu gewährleisten. (su)
Be the first to comment