Cloud-Computing
Die öffentliche Verwaltung in der Datenwolke
Fortsetzung des Artikels von Teil 1
Strenge Datenschutzrichtlinien und Komplexität
Fachleute lenken einen kritischen Blick auf die Datenwolke für die öffentliche Verwaltung. Der Grund sind auch aktuelle Ereignisse im IT-Sicherheitsumfeld mit Datenpannen und Spionagevorfällen. Experten raten daher, dass nur in Deutschland ansässige Cloud-Anbieter für die öffentliche Verwaltung in puncto Datenschutz und Informationssicherheit infrage kommen. Das Problem bei internationalen Cloud-Anbietern liegt in den meist lockeren Datenschutzgesetzen sowie der Datenzugriff Dritter, wie der NSA-Affäre zeigt. Umstände, die mit den strengen Vorschriften in den öffentlichen Verwaltungen nicht kompatibel sind – vor allem im Umgang mit personenbezogenen Daten. Öffentliche Stellen sind verpflichtet, personenbezogene Informationen mit den Vorschriften des jeweiligen Datenschutzgesetzes der Länder oder des Bundesdatenschutzgesetztes zu verarbeiten.
Hinzu kommen komplexe Aufgaben bei der Integration von Cloud-Lösungen in die Organisationsstruktur. Gerade wenn es um die Migration vielfältiger Anwendungen geht, tun sich IT-Fachabteilungen schwer. Ein Punkt ist hierbei die Komplexität der IT-Landschaft in Verbindung mit dem jeweiligen Cloud-System. Und damit noch nicht genug: Weitere Themenfelder wie Compliance-Fragen oder unzureichende Mandantentrennungen müssen die Verwaltungen ebenfalls beim Thema Cloud-Computing beachten. Die Fülle an Knackpunkten zeigt: In diesem Kontext braucht es ein fundiertes Informationssicherheitsmanagement-System (ISMS) für die Cloud-Lösungen im öffentlichen Sektor. Doch wie könnte dieses für die öffentliche Verwaltung aussehen? Welche Regelungen und Normen stehen zur Verfügung – gerade vor dem Hintergrund neuer Regelungen im ISMS-Umfeld?
Hilfe verspricht ein ISMS
Um sensible Informationen, wie zum Beispiel personenbezogene Daten, zu schützen und eine durchgängige Sicherheits- und Risikomanagementstrategie verwaltungsübergreifend zu verankern, sind Standards ein entscheidender Faktor. Einen wichtigen Schritt zur Umsetzung eines ISMS bietet beispielsweise der internationale Standard ISO/IEC 27001:2013. Ende 2013 wurde die zweite Ausgabe des ISO-Standards veröffentlicht.
Grundsätzlich handelt es sich bei einem ISMS um eine Aufstellung von Verfahren und Regeln, mit deren Hilfe die Informationssicherheit innerhalb einer Organisation dauerhaft verbessert werden soll. Das inhaltliche Fundament von ISO 27001 ruht auf dem neuen Annex SL („Proposals for management system standards“), der für alle Managementsysteme als Maßstab dient. Ziel ist es, diverse Managementsysteme einfacher in Organisationen zu integrieren. Eine wichtige Neuerung: Für den Gesamtprozess „Integrierter Managementsysteme“ ist die Geschäftsführung zukünftig stärker verantwortlich – das bedeutet vom Etablieren der Prozesse bis zum Überwachen der Wirksamkeit als Gesamtsystem in der Organisation.
Damit-Cloud Computing zielgerichtet in Verwaltungen etabliert werden kann, braucht es Ressourcen zum Implementieren, Betreiben und Verbessern eines ISMS – inklusive der Risikobehandlung, die in der eigenen Organisation elementar ist. Hierzu zählen gleichfalls personelle Ressourcen und die Qualifizierung der Mitarbeiter in Form von Schulungen bis zu Sensibilisierungsmaßnahmen. Im Klartext heißt das: Neben der Verankerung klarer Prozessschritte – einschließlich Recovery und durchgängigem Sicherheitskonzept – sollte ein eindeutiges Rechte-Management bestehen. Im Gesamtprozess sind zudem Verantwortliche zu benennen, die als klare Prozess- und Risikoverantwortliche in der Organisation auftreten. Wichtig sind die Überwachung der Prozesse und die Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheitsmanagements.
Awareness als Basis
Sämtliche genannten Leitplanken sowie Vorschläge zu Prozessverbesserungen und Sicherheitsmaßnahmen – aufbauend auf einem ISMS – machen eine ausgeprägte Organisationskultur in der jeweiligen Verwaltung notwendig. Die Basis hierzu ist das Etablieren einer Sicherheitskultur (Awareness), die für alle Mitarbeiter gilt und verinnerlicht werden sollte. Eine Kultur des Sicherheitsdenkens muss wachsen. In diesem Kontext sollte ein besonderer Fokus auf die Mitarbeiter gelegt werden, um eine hohe Loyalität gegenüber der Verwaltung zu erzeugen. Hierzu dient auch das Vermitteln des Zwecks neuer Sicherheitsvorkehrungen im Umgang mit der jeweiligen Lösung. Hilfreich ist es beispielsweise, die eigenen Mitarbeiter von Beginn an in den Findungsprozess einzubinden. Dies könnte mit Workshops, einem Kummerkasten und Aufklärungskampagnen in der eigenen Organisation geschehen.
- Die öffentliche Verwaltung in der Datenwolke
- Strenge Datenschutzrichtlinien und Komplexität
Lesen Sie mehr zum Thema
